Gegevensbescherming: Hoe ETIAS omgaat met persoonlijke informatie

• Elk jaar verwerkt ETIAS de persoonlijke informatie van miljoenen reizigers .
• Gegevensbeveiliging is een belangrijke prioriteit geweest bij de totstandkoming van ETIAS.
• Welke mensen hebben toegang tot databases? Hoe lang worden gegevens bewaard?

In het digitale tijdperk maakt men zich vaak zorgen over de veiligheid van gegevens.

Bedrijven en organisaties hebben voortdurend behoefte aan informatie van hun klanten. Dit geeft aanleiding tot bezorgdheid over hoe deze gegevens worden bijgehouden en beveiligd .

Wanneer reizigers een ETIAS-autorisatie voor Europa aanvragen , worden hun persoonlijke gegevens beschermd.

Het ETIAS-gegevensbeschermingsbeleid is in overeenstemming met de Europese wetgeving en het Handvest van de grondrechten.

De ETIAS-wetgeving beschrijft hoe de EU-verordening inzake gegevensbescherming zal worden geïmplementeerd. Deze visumvrijstelling zal Europese burgers en toeristen beschermen en tegelijkertijd hun privacy beschermen.

WELKE PERSOONSGEGEVENS WORDEN DOOR ETIAS VERZAMELD?

Voor korte bezoeken aan Europa zonder visum is ETIAS vereist. Toeristen en zakenreizigers verstrekken bij hun aanvraag persoonlijke informatie zoals:

• Volledige naam
• Geboorteplaats en -datum
• Nationaliteit
• Geslacht
• Beroep
• Contactgegevens
• Land van verblijf
• Informatie over eerdere strafbare feiten
• Recente reisgeschiedenis

Als gevolg hiervan zijn de gegevensbeschermingsnormen van de EU van invloed op zakenreizen en toerisme in Europa.

WAAROM VRAAGT ETIAS OM PERSOONSGEGEVENS VAN REIZIGERS?

Deze informatie is om veiligheidsredenen vereist door de EU. De burgers van verschillende landen hebben geen visum nodig om naar Europa te reizen en worden momenteel niet onderworpen aan screeningprocedures.

Door gegevens te verzamelen en potentiële veiligheidsproblemen te identificeren, zal ETIAS veiliger visumvrij reizen naar Europa mogelijk maken.

HOE ETIAS PERSOONSGEGEVENS BESCHERMT

Het bureau dat verantwoordelijk is voor het beheer van het enorme ETIAS IT-systeem is eu-LISA , dat ook verantwoordelijk is voor de meeste systemen die ETIAS-passagiersgegevens filteren, zoals Eurodac, SIS en VIS.

eu-LISA moet ervoor zorgen dat er veilig met de gegevens wordt omgegaan.

ETIAS verzamelt gegevens om de veiligheid van EU-burgers te verbeteren . Niettemin is het van cruciaal belang dat de grondrechten van de betrokkenen worden geëerbiedigd.

De ETIAS-verordening legt uit hoe gegevens worden behandeld en opgeslagen, evenals vergoedingsrechten in geval van onrechtmatige verwerking .

ETIAS EN DE VEILIGE VERWERKING VAN PERSOONSGEGEVENS

De centrale en nationale eenheden van ETIAS , evenals eu-LISA, zijn verantwoordelijk voor het waarborgen dat persoonsgegevens veilig en in overeenstemming met de Europese wetgeving worden verwerkt .

In artikel 59 van de ETIAS-regel worden 15 aspecten van gegevensbeveiliging behandeld, waaronder

• Fysieke bescherming van gegevens
• Ervoor zorgen dat alleen bevoegde personen toegang hebben tot alle elementen
• Gebruik van encryptie om onbevoegd lezen, kopiëren, wijzigen of verwijderen van persoonsgegevens te voorkomen
• Vaststellen welke gegevens wanneer en voor welk doel zijn verwerkt

Gegevenscodering en beperking van de toegang tot bepaalde geautoriseerde entiteiten helpen bij het voorkomen van misbruik van persoonlijke informatie.

RECHT OP SCHADEVERGOEDING BIJ OVERTREDING VAN DE GEGEVENSBESCHERMINGSREGELS VAN ETIAS

Artikel 63 van de ETIAS-regel betreft de verplichting van de voor de verwerking verantwoordelijke of de verwerker.

Daarin staat dat iedereen die schade lijdt als gevolg van onrechtmatig databeheer recht heeft op schadevergoeding .

De schadevergoeding wordt betaald door de lidstaat of door eu-LISA, afhankelijk van de schuldige.

HOE DE GEGEVENS VAN ETIAS WORDEN GEDEELD MET DERDE LANDEN EN ANDERE ORGANISATIES

Artikel 65 van de ETIAS-regel heeft betrekking op de uitwisseling van gegevens.

Volgens het verslag zal de in de centrale eenheid van ETIAS bewaarde persoonlijke informatie niet worden gedeeld met andere internationale organisaties of particuliere entiteiten dan Interpol, de Internationale Criminele Politieorganisatie.

Interpol is een belangrijke speler in de pre-screening van bezoekers die naar Europa reizen. Gegevensoverdracht aan Interpol is vereist om het publiek te beschermen.

Artikel 65 van de wet bepaalt ook wanneer immigratieambtenaren toegang kunnen krijgen tot informatie die aan een vreemd land zal worden doorgegeven. Dit is alleen mogelijk als aan specifieke eisen wordt voldaan.

Uitzonderingen kunnen worden gemaakt in extreme omstandigheden , zoals de dreiging van terroristische activiteiten of een ernstig strafbaar feit.

ALLEEN BEVOEGDE PERSONEN HEBBEN TOEGANG TOT ETIAS

Onder bepaalde voorwaarden zullen wetshandhavingsinstanties, waaronder Europol, gemachtigd zijn om ETIAS-gegevens te raadplegen . Zij mogen alleen om toegang verzoeken wanneer dat absoluut noodzakelijk is om hun verantwoordelijkheden uit te voeren.

eu-LISA zal verantwoordelijk zijn voor het bijhouden van logboeken van alle ETIAS-gegevensverwerkingsprocessen , waarin wordt vastgelegd:

• De reden voor toegang tot de gegevens
• De datum en het tijdstip van de operatie
• Het personeelslid dat de verrichting heeft uitgevoerd

Voorts zal eu-LISA bijhouden wie gemachtigd is om gegevens in te voeren en op te vragen. Dit voorkomt ongeoorloofde of illegale toegang tot informatie.

HOE LANG WORDEN PERSOONSGEGEVENS DOOR ETIAS BEWAARD?

ETIAS slaat persoonlijke gegevens slechts tijdelijk op, hetzij voor:

• De geldigheidsduur van de reisvergunning toen de aanvraag werd goedgekeurd
• 5 jaar vanaf de laatste ETIAS-weigering , intrekking of nietigverklaring

Gegevens kunnen drie jaar na het verlopen van de toestemming worden bewaard als de sollicitant hiervoor toestemming geeft. Daarna worden de gegevens automatisch uit het centrale systeem van ETIAS verwijderd.

WETGEVING INZAKE GEGEVENSBESCHERMING IN EUROPA

Een van de grootste zorgen van de Europese Unie is gegevensbeveiliging . Onjuiste informatiebehandeling heeft dure economische gevolgen.

De privacy- en beveiligingswetgeving van de EU verplicht organisaties in de Unie en overal ter wereld om strenge privacynormen in acht te nemen.

ETIAS EN DE ALGEMENE VERORDENING GEGEVENSBESCHERMING VAN DE EU

De Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU) is in 2018 in werking getreden om individuen meer controle te bieden over hun persoonlijke gegevens en hoe deze worden gebruikt.

De GDPR heeft de internationale handel vergemakkelijkt door te voorzien in een consistente regel die in de hele EU geldt.

GDPR garandeert dat de persoonlijke informatie van een individu correct wordt behandeld . Om aan de regel te voldoen, moet een organisatie de gebruikers op de hoogte brengen van:

• De omvang van de gegevensverzameling
• Hoe lang het wordt bewaard
• Als het wordt overgedragen aan een derde

Mensen hebben het recht om een overzicht van hun persoonsgegevens en de verwerking ervan in te zien. Ze hebben ook het recht op verwijdering in bepaalde omstandigheden, wat betekent dat ze kunnen vragen om verwijdering van hun gegevens.

Deze regel is van toepassing op ETIAS, aangezien het persoonsgegevens van onderdanen van derde landen zal verwerken. Het ETIAS-systeem is ontworpen in overeenstemming met de AVG .

HOE IS GDPR VAN TOEPASSING OP VISA WAIVER PROGRAMMA’S?

Andere visumvrijstellingsprogramma’s over de hele wereld moeten voldoen aan de AVG. Volgens de Europese Commissie is de Algemene Verordening Gegevensbescherming van toepassing op:

Omdat het de persoonlijke gegevens van mensen uit derde landen zal verwerken, moet het ETIAS-gegevensbeschermingsbeleid niet alleen voldoen aan de AVG-normen, maar ook aan andere visumvrijstellingsprogramma’s over de hele wereld .

ESTA voor de Verenigde Staten en eTA Canada verzamelen en verwerken gegevens over personen uit EU-lidstaten. Bijgevolg moeten zij voldoen aan de algemene gegevensbeschermingsregel van de EU.

WAT IS DE BOETE VOOR EEN GDPR-GEGEVENSINBREUK?

Een inbreuk op de AVG is duur voor een bedrijf . Om naleving te garanderen zijn hoge boetes vastgesteld.

De straf voor het schenden van de EU-wetgeving inzake gegevensbescherming wordt bepaald door elementen zoals:

• Het aantal getroffenen
• Of het nu opzettelijk was
• Inbreuken in het verleden

De maximale boetes zijn € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet van het voorgaande fiscale jaar, afhankelijk van welke van beide het grootst is.

Deze forse straf toont aan hoe serieus de EU de privacy van gegevens opvat. Zij stelt strenge eisen aan zichzelf en aan alle andere verwerkers en voor de verwerking verantwoordelijken.

ETIAS EN HET HANDVEST VAN DE GRONDRECHTEN

ETIAS houdt rechtstreeks verband met de vrijheidsclausule in het Handvest van de grondrechten.

Volgens artikel 8 van het handvest heeft “eenieder recht op bescherming van zijn persoonsgegevens”.

Om in overeenstemming te zijn met het charter, mogen de gegevens van ETIAS-reizigers alleen worden verwerkt voor specifieke, legitieme doeleinden en met hun toestemming . Iedereen heeft het recht om de over hem verzamelde informatie in te zien.

De Europese Toezichthouder voor gegevensbescherming (EDPS) is een onafhankelijke instantie die ervoor moet zorgen dat ETIAS de mensenrechten op het gebied van privacy en gegevensbescherming eerbiedigt .

ETIAS SLIMME GRENZEN EN GEGEVENSBESCHERMING

Het inreis-uitreissysteem (EES) , dat ook door eu-LISA wordt beheerd, zal in de nabije toekomst aan de EU-grenzen worden ingevoerd. Het systeem verzamelt informatie van onderdanen van derde landen die de buitengrenzen van het Schengengebied passeren.

Het Europese EES verzamelt biometrische informatie van ETIAS-reizigers en visumhouders. Omdat de afmetingen van iemands gezicht uniek zijn en kunnen worden gebruikt om een persoon te identificeren, wordt deze informatie als gevoelig beschouwd.

Om te garanderen dat het voldoet aan de EU-wetgeving inzake de bescherming van persoonsgegevens, is het EWS geëvalueerd en gewijzigd op basis van suggesties van de Europese Toezichthouder voor gegevensbescherming (EDPS).

In de toekomst zal het toenemende gebruik van kunstmatige intelligentie bij EU-grenscontroles nieuwe problemen opleveren op het gebied van gegevensprivacy.

Omdat deze gegevens zo gevoelig zijn, moeten de autoriteiten, met name de EDPS, garanderen dat het grondrecht op gegevensbescherming wordt geëerbiedigd.

Oplossingen op het gebied van infrastructuur en informatietechnologie kunnen alleen worden ontwikkeld als de EU-regelgeving inzake gegevensbescherming volledig wordt nageleefd.

SCHENDEN SCHENGEN SMART BORDERS DE GDPR-NORMEN?

Europa geeft prioriteit aan gegevensbescherming. Dat is de conclusie van de burgers na de aanneming van de algemene verordening gegevensbescherming (GDPR).

Er zijn echter nieuwe zorgen ontstaan met betrekking tot gezichtsherkenningstechnologie en de geplande implementatie van de ETIAS-visumvrijstelling .

Dit element van slimme grenzen kan volgens EU-commissaris Margrethe Vestager in strijd zijn met de Europese normen voor gegevensbescherming.

In dit opzicht kunnen slimme grenzen moeilijkheden ondervinden bij het verzamelen van biometrische gegevens van niet-EU-onderdanen die het Schengengebied binnenkomen.

De grootste zorg draait om de GDPR-onderdelen 6 (Rechtmatigheid van de verwerking) en 9 (Verwerking van bijzondere categorieën persoonsgegevens).

Dit is niet de eerste tegenslag voor de slimme grenzen van de EU; sinds het voorstel in februari 2013 heeft deze technologische oplossing voor de buitengrenzen van Schengenlidstaten aanleiding gegeven tot bezorgdheid over de ” algehele haalbaarheid van het voorgestelde nieuwe systeem “, volgens de technische studie over slimme grenzen die in 2014 is gepubliceerd.

De Europese Unie zal aanvullende informatie verstrekken over hoe haar lidstaten het probleem van de activering van gezichtsherkenningssystemen en slimme grenzen zullen aanpakken en tegelijkertijd gegevensbescherming voor alle personen, ook die van buiten het Schengengebied, mogelijk zullen maken.