In dit onderzoeksrapport worden de nieuwe bevoegdheden bekeken die bij de in juni 2022 goedgekeurde wetswijzigingen aan EU-politieagentschap Europol zijn verleend. Vastgesteld wordt dat de taken en bevoegdheden van het agentschap weliswaar enorm zijn uitgebreid, met name wat betreft het verwerven en verwerken van gegevens, maar dat het onafhankelijke toezicht op de gegevensbescherming aanzienlijk is verminderd.

(Bron: bericht statewatch, vertaling globalinfo.nl, die dol is op donateurs)

In 2022 werd de rechtsgrondslag van het agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving, beter bekend als Europol, herzien. Veranderingen waren nodig, aldus de Europese Commissie, omdat "Europa wordt geconfronteerd met een veiligheidslandschap in beweging, met evoluerende en steeds complexere veiligheidsdreigingen." Dit creëerde "dringende operationele behoeften", en de hervormingen van de verordening van 2016 die het agentschap regelt, werden begin juni goedgekeurd door de Raad van de EU en het Europees Parlement en traden 20 dagen later in werking.

Door de wijzigingen wordt het agentschap verantwoordelijk voor een groot aantal nieuwe taken en worden de mogelijkheden van het agentschap om gegevens in te zien en te verwerken enorm uitgebreid. Gezien de rol van Europol als "knooppunt" voor informatieverwerking en -uitwisseling tussen EU-lidstaten en andere entiteiten, vergroten de nieuwe regels dus de bevoegdheden van alle politiediensten en andere agentschappen die met Europol samenwerken. Ondanks deze uitbreiding van de gegevensbevoegdheden worden de gegevensbeschermingsvoorschriften voor het agentschap in de nieuwe regels echter aanzienlijk versoepeld.

Dit rapport beoogt een overzicht te geven van de bevoegdheden en problemen die de herziene rechtsgrondslag met zich meebrengt, zodat de civiele samenleving, verkozen ambtenaren en iedereen die belang heeft bij deze kwestie, de rol van het agentschap beter kan begrijpen. Het is gebaseerd op een analyse van de rechtsgrondslag van Europol, andere relevante wetgeving en openbaar beschikbare documentatie.

Dit rapport is opgesteld in het kader van het project "Bouwen aan de biometrische staat - EU-agentschappen en interoperabele gegevensbanken", dat wordt ondersteund door Privacy International.

Hoofdpunten van het rapport

Reikwijdte van het optreden

De wijzigingen van 2022 geven de directeur van Europol de bevoegdheid te verzoeken dat een onderzoek wordt ingesteld naar een misdrijf waarbij slechts één lidstaat betrokken is, wanneer het "een gemeenschappelijk belang raakt dat onder het beleid van de Unie valt", in plaats van wanneer het slechts onder de doelstellingen van Europol valt. Voorheen moesten twee of meer lidstaten bij een misdrijf betrokken zijn. De lidstaat of lidstaten zijn nog steeds niet verplicht aan een dergelijk verzoek te voldoen, maar Europol moet het Europees openbaar ministerie en Eurojust in kennis stellen van deze verzoeken en de ontvangen antwoorden, hetgeen een manier lijkt om druk uit te oefenen op de nationale autoriteiten.

De taken van het agentschap zijn door de wijzigingen van 2022 sterk uitgebreid en omvatten nu ook het ondersteunen van nationale "speciale interventie-eenheden", het ondersteunen van de identificatie van en het onderzoek naar verdachten die "een hoog veiligheidsrisico" vormen, het beheren van het samenwerkingsplatform EMPACT voor gezamenlijke politieoperaties, en het helpen vaststellen van "onderzoeks- en innovatie"-prioriteiten voor het EU-programma voor veiligheidsonderzoek.

Doeleinden van de verwerking en gegevenscategorieën

Hoewel de wet nog steeds relatief strak gedefinieerde categorieën van personen bevat over wie Europol gegevens mag verwerken, is de manier waarop de politie termen als "verdachte", "contact" of "medewerker" definieert voor interpretatie vatbaar - zoals blijkt uit een zaak die onlangs aan het licht is gekomen, waarin een vreedzame activist door de Nederlandse politie als terrorist werd aangemerkt en zijn gegevens met Europol werden gedeeld.

Europol mag nu enorme hoeveelheden gegevens verwerken die door de lidstaten aan Europol zijn overgedragen over mensen die volkomen onschuldig kunnen zijn en geen enkel verband hebben met criminele activiteiten. Dit legaliseert een activiteit die voorheen illegaal was en waarvoor Europol door de Europese Toezichthouder voor gegevensbescherming is veroordeeld.

Het agentschap kan nu "onderzoeksgegevens" verwerken die, zolang ze betrekking hebben op "een specifiek strafrechtelijk onderzoek", geen betrekking hoeven te hebben op een van de in de Europol-verordening genoemde categorieën voor betrokkenen - dat wil zeggen dat ze betrekking kunnen hebben op iedereen en overal ("onderzoeksgegevens" kunnen worden ontvangen van lidstaten, EU-organen, internationale organisaties en niet-EU-staten).

Europol heeft de bevoegdheid gekregen om "onderzoeks- en innovatieprojecten" uit te voeren, die waarschijnlijk gericht zullen zijn op het gebruik van big data, machinaal leren en technieken van "kunstmatige intelligentie". Voor die projecten mag zij bijzondere categorieën van persoonsgegevens (zoals genetische gegevens of etnische achtergrond) verwerken en alle gegevens gebruiken die zij van lidstaten, EU-organen, internationale organisaties, derde landen of particuliere partijen ontvangt, zonder daarvoor toestemming te vragen.

Omvang van de gegevensverwerking

De omvang van de gegevensverwerking door Europol is de afgelopen jaren aanzienlijk toegenomen, en de recente wetswijzigingen zijn bedoeld om dit verder te vergroten: het aantal voorwerpen dat eind 2021 in het Europol-informatiesysteem (EIS) was opgeslagen, bedroeg meer dan 1,5 miljoen, een stijging van meer dan 280% sinds 2016; en het aantal zoekopdrachten in het EIS steeg tussen 2016 en 2021 met 753%, toen er meer dan 12 miljoen zoekopdrachten waren.

Een voorstel tot herziening van de regels voor informatie-uitwisseling tussen nationale rechtshandhavingsinstanties zal de hoeveelheid aan Europol verstrekte gegevens verder doen toenemen, doordat het verplicht wordt het agentschap op te nemen in berichten die via SIENA (Secure Information Exchange Network Application) worden verzonden.

Bronnen van gegevens

Nieuwe bevoegdheden voor Europol om "informatiesignaleringen" in het Schengeninformatiesysteem op te nemen, op basis van informatie die van derde landen is ontvangen, en voorstellen om "biometrische gegevens uit derde landen" voor het Prüm-netwerk te verstrekken, doen de mogelijkheid ontstaan dat Europol wordt gebruikt als knooppunt voor het witwassen van gegevens die in strijd met de wet zijn verkregen, en dat derde landen Europol gebruiken als kanaal om politieke tegenstanders en dissidenten lastig te vallen.

Met de wijzigingen van 2022 in de Europol-verordening worden de beperkingen op de internationale doorgifte van gegevens aanzienlijk versoepeld, waardoor de raad van bestuur toestemming kan geven voor de doorgifte van persoonsgegevens aan derde landen en internationale organisaties zonder dat er een juridische overeenkomst bestaat.

Prioritaire staten voor samenwerking met Europol zijn onder meer dictaturen, autoritaire en repressieve regimes, zoals Algerije, Egypte, Turkije en Marokko.

Het agentschap is niet langer verplicht "op zijn website een lijst van besluiten inzake adequaatheid, overeenkomsten, administratieve regelingen en andere instrumenten betreffende de doorgifte van persoonsgegevens te publiceren en bij te houden".

Europol kan nu contact opnemen met particuliere partijen om persoonsgegevens op te vragen (via de nationale eenheden, die de gegevens moeten opvragen overeenkomstig hun nationale wetgeving), maar de lidstaat via welke Europol het verzoek indient, hoeft geen rechtsmacht te hebben over het betrokken misdrijf.

In een "online-crisissituatie" of in gevallen van online-verspreiding van materiaal over seksueel misbruik van kinderen kan Europol rechtstreeks van particuliere partijen persoonsgegevens ontvangen.

Europol kan nu persoonsgegevens van particuliere partijen ontvangen via derde landen of internationale organisaties, en wanneer het agentschap persoonsgegevens ontvangt van een in een derde land gevestigde particuliere partij, kan het de gegevens en "de resultaten van de analyse en verificatie daarvan" doorgeven op basis van een besluit van de raad van bestuur, zonder dat er een juridische overeenkomst bestaat.

Europol kan nu informatie ontvangen en verwerken "die afkomstig is van particulieren", indien deze ontvangen is via een nationale eenheid, een contactpunt van een derde land of een autoriteit van een derde land of een internationale organisatie, maar kan geen contact opnemen met particulieren om gegevens te verkrijgen.

Interoperabiliteit: grootschalige en genetwerkte databanken

Europol heeft nu toegang tot alle zes gecentraliseerde databanken van de EU op het gebied van justitie en binnenlandse zaken, en dankzij de juridische hervormingen waarover momenteel wordt onderhandeld, kan Europol toegang krijgen tot het "Prüm"-netwerk van nationale politiedatabanken, dat momenteel DNA, vingerafdrukken en gegevens uit kentekenregisters omvat, en waarschijnlijk ook gezichtsopnames en politiedossiers zal omvatten.

Binnen de interoperabiliteitsarchitectuur speelt Europol een sleutelrol bij het opstellen van "watchlists" en profielen van personen die naar de EU willen reizen, en ontwikkelt het een "Europees reisinformatiecentrum" om te zorgen voor een alomvattende profilering en bewaking van internationale reizigers.

Toezicht en controle

De gegevensbeschermingsfunctionaris van Europol heeft een uitgebreide reeks taken en bevoegdheden gekregen, maar de mogelijkheden voor onafhankelijk extern toezicht door de Europese Toezichthouder voor gegevensbescherming zijn aanzienlijk beperkt.

De raad van bestuur schond de nieuwe verordening zodra deze in werking was getreden, door de EDPS niet te raadplegen over uitvoeringsbesluiten waarin wordt vastgesteld hoe Europol grote datasets zal verwerken met het oog op "categorisering van data van betrokkenen".

De drempel om nieuwe gegevensverwerkingsactiviteiten naar de Europese Toezichthouder voor gegevensbescherming (EDPS) te verwijzen voor extern onderzoek is verhoogd, en de EDPS heeft zijn bezorgdheid geuit over "terugkerende problemen" met de "risicobeoordelingsmethode" die Europol gebruikt om te bepalen of een nieuwe gegevensverwerkingsactiviteit al dan niet naar de EDPS moet worden verwezen.

Als Europol bepaalt dat de nieuwe verwerkingsactiviteiten "bijzonder dringend en noodzakelijk zijn om een onmiddellijke bedreiging te voorkomen en te bestrijden", kan het gewoon de EDPS raadplegen en vervolgens gegevens gaan verwerken zonder op een reactie te wachten.

Het agentschap moet nu een grondrechtenfunctionaris ( Fundamental Rights Officer, FRO) in dienst hebben, hoewel de regels deze functionaris minder onafhankelijk maken dan zijn tegenhanger bij Frontex. De FRO van Europol wordt benoemd door de raad van bestuur "op voorstel van de uitvoerend directeur" en "brengt rechtstreeks verslag uit aan de uitvoerend directeur".

De gemengde parlementaire controlegroep (Joint Parliamentary Scrutiny Group JPSG), bestaande uit nationale en Europese parlementsleden, belast met het politieke toezicht op de werkzaamheden van Europol, heeft enkele nieuwe bevoegdheden gekregen (voornamelijk met betrekking tot de informatie die Europol aan de groep moet verstrekken) en moet worden geraadpleegd over het meerjarenwerkprogramma van Europol. Zijn conclusies en aanbevelingen zijn echter niet bindend voor het agentschap.

De JPSG moet ook een "raadgevend forum" oprichten om "onafhankelijk advies in grondrechtenzaken" te verstrekken, wat vergelijkbaar is met een vereiste die voor Frontex geldt. In tegenstelling tot het adviesforum van Frontex krijgt de JPSG in de nieuwe regels echter geen bijzondere bevoegdheden, behalve dat deze advies mag geven.