Vergroot contrast

Passagiersgegevens

Boekt iemand een reis, dan legt de reisorganisatie of vervoersmaatschappij allerlei gegevens over de reiziger vast. Bijvoorbeeld naam, adres, creditcardnummer, reisgezelschap en route. Dit zijn passagiersgegevens.

Bijna alle reisorganisaties, vliegtuigmaatschappijen, busbedrijven en internationale treinaanbieders gebruiken deze gegevens om hun diensten te kunnen aanbieden. Maar het komt ook steeds vaker voor dat binnen- en buitenlandse politiediensten passagiersgegevens opvragen. Deze diensten gebruiken de gegevens voor de grenscontrole en bij de bestrijding van zware criminaliteit en terrorisme.

Over het doorgeven van passagiersgegevens zijn in Europa afspraken gemaakt. Tot nu toe vragen de politiediensten alleen gegevens van vliegtuigmaatschappijen structureel op. Maar er zijn landen die hebben aangekondigd op termijn ook gegevens van trein- en busreizigers te willen verzamelen.

Er zijn twee soorten passagiersgegevens. Beide zijn internationaal bekend onder hun Engelse naam: Advance Passenger Information (API) en Passenger Name Records (PNR).

PNR-Richtlijn

In april 2016 is de zogenaamde PNR-richtlijn in Europa aangenomen. Deze richtlijn verplicht de lidstaten om een passagiersinformatie-eenheid op te richten. Luchtvaartmaatschappijen moeten de PNR-gegevens van vluchten aan de passagiersinformatie-eenheden sturen van de landen waar de vlucht vandaan komt of waar de vlucht naartoe gaat. De richtlijn verstaat onder PNR-gegevens ook API-gegevens.

Ook Nederland moet zich aan deze richtlijn houden. De minister van Justitie en Veiligheid heeft de AP in 2017 gevraagd te adviseren over het conceptwetsvoorstel ter implementatie van de PNR-Richtlijn.

 

Nieuws

Alle nieuwsberichten over het onderwerp 'Passagiersgegevens'

Alle antwoorden op mijn vragenVragen over passagiersgegevens

  • Wat zijn API-gegevens en wie gebruikt ze waarvoor?

    Luchtvaartmaatschappijen verzamelen Advance Passenger Information (API)-gegevens op verzoek van het land van bestemming van een vlucht. Wat precies onder API-gegevens valt, kan per land verschillen. Het zijn in elk geval gegevens over de identiteit van de reiziger, soms aangevuld met algemene gegevens over de vlucht.

    Vaak zijn de gegevens die in het zogeheten machineleesbare deel van een paspoort staan voldoende. Dat zijn de onderste 2 regels.

    De internationale luchtvaartorganisatie IATA heeft een standaard opgesteld om de geautomatiseerde verzending van API-gegevens makkelijker te maken. IATA heeft hierin vastgelegd dat API-gegevens zijn:

    • type reisdocument;
    • nummer van het reisdocument;
    • volledige naam;
    • geboortedatum;
    • nationaliteit;
    • land waar het reisdocument is afgegeven.

    Gebruik API-gegevens

    Vaak bepaalt de wet in het land van bestemming dat de luchtvaartmaatschappijen de API-gegevens voor aankomst van de vlucht moeten aanleveren. Er zijn wereldwijd 39 landen die API-gegevens vragen voordat een vliegtuig mag landen. Nog eens 32 landen overwegen zo’n verplichting in te voeren.

    De landen die API-gegevens opvragen, gebruiken deze gegevens voor de grenscontrole en om illegale migratie tegen te gaan. In Nederland leveren de luchtvaartmaatschappijen API-gegevens aan de Koninklijke Marechaussee. De API-gegevens worden door de luchtvaartmaatschappij éénmalig, bij vertrek van een vlucht, doorgestuurd. Het API-Centrum van de Koninklijke Marechaussee op Schiphol verwerkt de aangeleverde passagiersgegevens. Dit doet het centrum voor vluchten vanaf bestemmingen die in landen liggen die geen lid zijn van de EU of landen die het Verdrag van Schengen niet hebben ondertekend. Op de website van de Koninklijke Marechaussee vindt u een overzicht van de gegevens die worden vastgelegd.

  • Wat zijn PNR-gegevens en wie gebruikt ze waarvoor?

    Passenger Name Records (PNR)-gegevens zijn gegevens die reisorganisaties en vervoersmaatschappijen verzamelen als iemand een reis boekt of incheckt. Zoals het reisgezelschap, de reisvoorkeuren, speciale verzoeken van de reiziger, gegevens over de betaalwijze, bagage-informatie en zitplaatsnummer. Meestal geven reizigers deze gegevens zelf aan de reisorganisatie of vervoersmaatschappij.

    Gebruik PNR-gegevens

    In Nederland worden de PNR-gegevens door luchtvaartmaatschappijen geautomatiseerd via een beveiligde verbinding naar de Douane gestuurd ten behoeve van controles. Het gaat om PNR-data van:

    • alle vluchten  die van buiten de Europese Unie (EU) op een Nederlands vliegveld landen;
    • alle vluchten die vanaf een Nederlands vliegveld vertrekken naar een bestemming buiten de EU.

    Mede op basis van deze informatie bepaalt de Douane welke vluchten gecontroleerd worden en wordt de reizigersstroom onderverdeeld in verschillende risicogradaties. 

    Opsporing

    Opsporingsdiensten willen graag toegang tot de databanken met PNR-gegevens. Zo kunnen zij met behulp van profielen zoeken naar mogelijke criminelen. Op basis van eerdere ervaringen kunnen zij de reiskenmerken van bijvoorbeeld drugs- of mensenhandelaren invoeren. Het computersysteem zoekt dan automatisch of in een vliegtuig iemand zit die dezelfde reiskenmerken heeft. De opsporingsdiensten kunnen deze persoon vervolgens bij aankomst extra ondervragen.
    Opsporingsdiensten in Nederland (Politie, de Bijzondere opsporingsdiensten en de Rijksrecherche) kunnen alleen reisgegevens opvragen op basis van een vordering van een officier van justitie.

    Risico’s gebruik PNR-gegevens

    Reisorganisaties en vervoersmaatschappijen verzamelen PNR-gegevens niet om automatisch door de politie te worden doorzocht. Ook registeren zij niet voor alle reizigers dezelfde gegevens. De informatie is daarom niet altijd even betrouwbaar.

    Bovendien kunnen er bijzondere persoonsgegevens in een PNR-bestand staan. Dit zijn extra gevoelige persoonsgegevens, waarvoor strenge wettelijke regels gelden om die te mogen gebruiken.

    PNR-gegevens zijn bijzondere persoonsgegevens als iemand bijvoorbeeld hulp nodig heeft vanwege een handicap (gegevens over gezondheid) of graag kosjer of halal wil eten (gegevens over godsdienst).

  • Welke regels gelden voor doorgifte van passagiersgegevens?

    Passagiersgegevens mogen niet zomaar worden doorgegeven naar een land buiten de Europese Unie (EU). Dit mag alleen als dit land persoonsgegevens voldoende beschermt of als er speciale afspraken zijn gemaakt.

    API-gegevens

    Voor het doorgeven van Advance Passenger Information (API)-gegevens naar andere lidstaten of naar landen buiten de EU zijn nog geen afspraken gemaakt. Met het aannemen van de PNR-Richtlijn in 2016 (zie hieronder) is hierin voorzien.

    PNR-gegevens

    In april 2016 is de PNR-Richtlijn aangenomen, die zowel ziet op PNR-gegevens als API-gegevens. Op grond van die richtlijn moeten EU-lidstaten PNR-gegevens onderling uitwisselen als dat nodig is voor het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit.
     
    PNR-gegevens mogen niet zonder meer naar een land buiten de EU worden gestuurd. De EU heeft daarom met landen die PNR-gegevens willen krijgen een verdrag gesloten. Hierin staan specifieke waarborgen.

    Bijvoorbeeld de bewaartermijn van de PNR-gegevens, welke organisaties toegang krijgen tot de gegevens en wat zij met de gegevens mogen doen. Op dit moment zijn PNR-verdragen gesloten met de Verenigde Staten, Canada en Australië. Andere landen mogen (nog) geen PNR-gegevens ontvangen.

    Ontvangt een land PNR-gegevens, dan moet het bijzondere persoonsgegevens (extra gevoelige gegevens, zoals gegevens over gezondheid of godsdienst) meteen uit het informatiesysteem filteren. Het land mag deze gegevens niet doorzoeken.

    In de verdragen is ook opgenomen hoe het toezicht op het gebruik van PNR-gegevens is geregeld. De privacytoezichthouder in het betreffende land, de Europese Commissie (EC) en een vertegenwoordiger van de gezamenlijke Europese privacytoezichthouders houden toezicht.

    Er vindt gezamenlijk toezicht plaats door de privacytoezichthouder in het betreffende land, de Europese Commissie en een vertegenwoordiger van de gezamenlijke Europese privacytoezichthouders. Zij controleren gemiddeld eens in de 2 jaar of de ontvangen persoonsgegevens goed worden beschermd.

    Op 26 juli 2017 concludeerde het Europese Hof in haar advies dat het geplande verdrag tussen de EU en Canada over de doorgifte van passagiersgegevens niet in haar huidige vorm mag worden gesloten. De EC en Canada moeten opnieuw onderhandelen. De Europese Commissie gaat ook bekijken welke gevolgen de uitspraak zal hebben voor andere PNR-instrumenten zoals de PNR-Richtlijn. Het ontslaat de lidstaten in de tussentijd niet van de verplichting om de richtlijn toe te passen.

  • Hoe weet ik of mijn passagiersgegevens worden doorgegeven?

    Vliegt u naar een van de landen die  Advance Passenger Information (API)-gegevens eisen? Dan moet uw luchtvaartmaatschappij u er bij het inchecken op wijzen dat deze uw paspoortgegevens moet doorgeven aan het land van bestemming.

    Passenger Name Records (PNR)-gegevens moeten op grond van internationale afspraken worden doorgegeven aan de Verenigde Staten, Canada en Australië. Vliegt u naar een van deze landen, dan verstrekt de luchtvaatmaatschappij uw PNR-gegevens aan de autoriteiten in dit land. Uw reisbureau of luchtvaartmaatschappij kan u vertellen welke PNR-gegevens in uw dossier zijn opgenomen.

  • Hoe lang worden mijn passagiersgegevens in het buitenland bewaard?

    In de meeste landen mogen Advance Passenger Information (API)-gegevens in principe 24 uur worden bewaard vanaf het moment dat een vlucht is geland.

    Voor Passenger Name Records (PNR)-gegevens is de bewaartermijn vastgelegd in de PNR-verdragen:

    • Verenigde Staten (VS): 15 jaar. De VS mogen de gegevens alleen de eerste 5 jaar actief gebruiken. Alleen bij speciale redenen mogen de VS de gegevens na die 5 jaar nog doorzoeken.
    • Canada: 5 jaar.
    • Australië: 5,5 jaar.
  • Kan ik mijn passagiersgegevens inzien en/of laten corrigeren of verwijderen?

    Voor Advance Passenger Information (API)-gegevens verschilt dit per land. Het is namelijk afhankelijk van de nationale wetgeving voor de bescherming van persoonsgegevens in dat land.

    Voordat u vertrekt, kunt u terecht bij uw luchtvaartmaatschappij of eventueel bij het reisbureau waar u uw reis heeft geboekt. Zij kunnen u vertellen welke gegevens over u zijn geregistreerd. En welke gegevens aan het land van bestemming moeten worden doorgegeven.

    Na uw reis kunt u contact opnemen met de autoriteiten in het land om te weten welke gegevens zij over u verwerken en welke waarborgen daarvoor gelden. Uw luchtvaartmaatschappij kan u vertellen aan welke autoriteiten uw gegevens zijn doorgegeven.

    PNR-gegevens

    Voor Passenger Name Records (PNR)-gegevens heeft de Europese Unie met de Verenigde Staten, Canada en Australië speciale afspraken gemaakt over uw recht op inzage, correctie en verwijdering van uw gegevens. De rechten zijn min of meer gelijk aan wat u in Nederland gewend bent. De precieze regels zijn uitgelegd in de PNR-verdragen. Zie voor meer informatie:

    Vragen of klachten

    Heeft u een vraag of klacht over het gebruik van uw passagiersgegevens? Neem dan bij API-gegevens contact op met de autoriteiten in het land waar u naartoe bent gereisd. Gaat het om PNR-gegevens, dan kunt u terecht bij bovengenoemde grensbewakingsautoriteiten.