Privacycommissie verzet zich tegen rechtstreekse toegang VS tot vingerafdrukgegevens

De Privacycommissie geeft een ongunstig advies voor een “Memorandum of Understanding” dat de Verenigde Staten rechtstreeks toegang zou verlenen tot Belgische vingerafdrukgegevens in de strijd tegen terrorisme en illegale immigratie.

Volgens de commissie moet die “massale, geautomatiseerde doorgifte van gevoelige persoonsgegevens” gedekt worden door “een specifieke wettelijke basis” of door een goedkeuring door het parlement.

Minister van Binnenlandse Zaken Jan Jambon (N-VA) had aan de Privacycommissie een advies gevraagd over een ontwerp van “Memorandum of Understanding (MOU) between the Government of the United States of America and the Governement of Belgium on enhancing cooperation to prevent terrorist travel and to Combat Illegal Immigration”. Het akkoord zou de VS en België wederzijdse rechtstreekse toegang geven tot vingerafdrukgegevens, voor ons land onder meer de databanken van de federale politie en de Dienst Vreemdelingenzaken. De minister wou ook een voorafgaandelijke testfase die zou uitgevoerd worden op basis van vingerafdrukgegevens die gedurende drie maanden in België werden afgenomen.

Ongunstig advies

De Privacycommissie gaf echter een ongunstig advies. “Gelet op de aard van het gekozen instrument (een memorandum of understanding), gaat de Commissie ervan uit dat de MOU na de ondertekening niet meer ter goedkeuring aan het Belgisch parlement zal voorgelegd worden en zij concludeert dan ook dat de MOU op zich geen afdoende wettelijke basis vormt om de beoogde, geautomatiseerde doorgifte van persoonsgegevens te kunnen rechtvaardigen”, schrijft de commissie.

Het memorandum voorziet onder meer over “een wijzigingsmechanisme dat impliceert dat aanpassingen aan de MOU heel soepel zouden kunnen doorgevoerd worden, opnieuw zonder enige tussenkomst van het parlement”, aldus het advies van de Privacycommissie. “Ook de manier waarop de tekst van de MOU is opgesteld – bijvoorbeeld: veelvuldig gebruik van de zinsnede “Participants intend to” in plaats van bijvoorbeeld “Participants shall” – geeft sterk de indruk dat dit instrument weinig engagementen bevat die juridisch afdwingbaar zijn.”

Hoewel het memorandum gebaseerd is op een eerder akkoord tussen de VS en België, biedt dat onvoldoende waarborgen. “De MOU is kennelijk geïnspireerd op de Overeenkomst tussen het Koninkrijk België en de Verenigde Staten van Amerika inzake de bevordering van de samenwerking bij het voorkomen en bestrijden van ernstige criminaliteit (hierna “het Prüm-like akkoord”), waaroover de Commissie op 24 november 2010 haar advies nr. 27/2010 verleende en die bij wet van 8 mei 2014 werd goedgekeurd door het Belgische parlement4. De MOU zou echter op meerdere punten een stuk verder gaan dan het Prüm-like akkoord, in het bijzonder omdat de nieuwe regeling veel ruimere finaliteiten zou hebben en omdat er ook veel meer gegevens op een geautomatiseerde wijze zouden uitgewisseld worden.”

Een testfase kan er volgens de Privacycommissie ook nog niet komen. “Gelet op bovenstaande fundamentele bezwaren, kan de Commissie ook niet instemmen met het verzoek van de aanvrager om in een soort van testfase reeds alle vingerafdrukgegevens door te geven van de drie betrokken Belgische databanken die de laatste drie maanden werden afgenomen (..). De Commissie meent dat een dergelijke test enkel mag plaatsvinden, indien hierbij geen gebruik gemaakt wordt van reële persoonsgegevens.”

Bewaartermijn

Het memorandum valt moeilijk te rijmen met het zogenaamde “Umbrella-akkoord”, dat zal regelen hoe Amerikaanse en Europese justitiële en politiële autoriteiten in strafzaken moeten omgaan met persoonsgegevens, bijvoorbeeld in een onderzoek naar terrorisme. Het Europees Parlement en de Europese Raad stemden in december in met de onderhandelde tekst ervan, en het akkoord zal uitwerking krijgen van zodra de VS er formeel mee instemmen. De Privacycommissie stelt vragen bij de bewaartermijnen in het memorandum. “Bovendien is deze bewaartermijn ook niet op een stringente wijze geformuleerd (“parties intend to keep such data for two years”), waardoor de juridische waarde ervan beperkt is. De Commissie kan dan ook alleen maar vaststellen dat er (voor de meeste gegevensverwerkingen) geen bindende expliciete bewaartermijn voorzien is, wat – zoals hoger aangehaald – in strijd is met het Umbrella-akkoord”, aldus het advies.

De Privacycommissie stelt ook vast dat de Verenigde Staten niet voorkomen op de door de Europese Commissie opgestelde lijst van landen die een passende bescherming bieden inzake persoonsgegevens. “De beoogde verwerkingen hebben potentieel een impact op de betrokkenen, in die zin dat de raadpleging en terbeschikkingstelling van gegevens negatieve gevolgen kunnen hebben. De (Privacy, nvdr.)Commissie is daarom van oordeel dat onderhavige gegevensverwerkingen moeten gedekt zijn door een specifieke wettelijke basis of door een bilateraal of multilateraal akkoord dat goedgekeurd wordt door het Belgisch parlement.”

De commissie behoudt zich het recht voor om in een later stadium een bijkomend advies te verlenen op een eventueel herwerkt voorstel.