Nieuws

Privacywaakhond verplicht Europol 4 petabyte aan persoonsgegevens te verwijderen

Europol heeft jarenlang onrechtmatig persoonsgegevens verzameld en opgeslagen. De Europees Toezichthouder voor Gegevensbescherming (EDPS) heeft het agentschap een jaar de tijd gegeven om de betreffende gegevens te verwijderen. Inmiddels is nieuwe wetgeving in de maak die de huidige werkwijze moet legaliseren.

Maarten Albers
 Exterieur van overheidsorganisatie Europol. Beeld Jerry Lampen / ANP
Exterieur van overheidsorganisatie Europol.Beeld Jerry Lampen / ANP

De beslissing van de EDPS is een pijnlijke nederlaag voor Europol, het samenwerkingsverband van politiediensten in de EU dat zich de laatste jaren probeerde te onderscheiden met de inzet van kunstmatige intelligentie en machine learning. Die ambities moeten nu tijdelijk in de ijskast.

Volgens de huidige regels mag Europol alleen gegevens opslaan van personen die op enige manier in verband kunnen worden gebracht met een misdrijf. Dat kunnen mogelijke daders of slachtoffers zijn, maar ook contacten daarvan of getuigen. Volgens de EDPS, de Europese evenknie van de Autoriteit Persoonsgegevens, heeft Europol echter van een groot deel van de informatie die het bezit niet aan kunnen geven hoe dit gelinkt kan worden aan een eventueel misdrijf.

De Britse krant The Guardian meldt op basis van interne documenten dat het gaat om zo’n 4 petabyte aan informatie, oftewel 4 miljoen gigabyte. In de datasets zouden gegevens zitten van ten minste een kwart miljoen huidige of voormalige verdachten, en een veelvoud van mensen met wie zij contact hebben gehad. Europol verkreeg de gegevens in de afgelopen zes jaar van nationale politiediensten.

De EDPS had Europol eerder al verzocht om een redelijke tijd vast te stellen waarbinnen het de verkregen informatie kan filteren en onrechtmatig opgeslagen informatie weg kan gooien. Omdat het agentschap niet aan dat verzoek heeft voldaan, heeft de toezichthouder nu bepaald dat Europol persoonsgegevens moet weggooien als het binnen een half jaar na ontvangst niet kan aantonen dat deze gelinkt kunnen worden aan een misdrijf. Europol krijgt een jaar de tijd om al zijn databestanden op te schonen. Daarna kan de EDPS boetes gaan opleggen.

Het risico van ongelimiteerd persoonsgegevens binnenhalen en verwerken is volgens de EDPS dat onschuldige personen onterecht in verband kunnen worden gebracht met misdrijven, wat serieuze gevolgen kan hebben voor hun bewegingsvrijheid en persoonlijk leven.

Eerdere waarschuwing

De beslissing is het sluitstuk van een onderzoek dat begon in 2019, toen voor het eerst twijfels rezen over de manier waarop Europol informatie verzamelt en opslaat. Al snel bleek volgens de EDPS dat Europol zich niet aan de regels houdt. In september 2020 vaardigde de toezichthouder daarom al een officiële waarschuwing uit. Hoewel het agentschap een aantal van de eerder geconstateerde risico’s heeft aangepakt, heeft het volgens de EDPS niets gedaan om de belangrijkste zorg, dat persoonsgegevens worden opgeslagen zonder grondslag, weg te nemen.

De digitale ambities van Europol werden eerder ook al door EDPS gedwarsboomd. Het agentschap ontwikkelde tijdens de EDPS-onderzoeksprocedure algoritmes om de grote databestanden die het bezit te analyseren. Europol vroeg toestemming van de EDPS om de gegevens daarmee te verwerken, maar toen die uitbleef werd het programma in januari vorig jaar doorgezet. Een maand later zette de EDPS het alsnog stop.

Europol stelt in een reactie dat de beslissing gevolgen heeft voor zijn ‘vermogen om complexe en grote datasets te analyseren op verzoek van EU-rechtshandhaving’. De onderzoeken van Europol gaan onder andere over terrorisme, cybercrime, en de internationale drugshandel.

Volgens Sarah Eskens, die aan de VU onderzoek doet naar Europees privacyrecht en massasurveillance, draait het geschil om ‘een klassieke vraag: hoeveel gegevens heeft een inlichtingen- of opsporingsdienst nodig om zijn werk te doen? De diensten vinden altijd dat ze al die gegevens nodig hebben, maar de EDPS trekt nu een grens.’ Ook Europarlementariër Tineke Strik (GroenLinks) vindt het een ‘bijzondere uitspraak met consequenties. Wat Europol doet is gewoon niet noodzakelijk en niet proportioneel.’

Herculische taak

Maar de Zweedse Eurocommissaris van Binnenlandse Zaken Ylva Johansson verdedigde Europol tegenover The Guardian. ‘Wetshandhavers hebben de instrumenten, middelen en de tijd nodig om gegevens te analyseren die rechtmatig aan hen zijn gegeven. In Europa is Europol het platform dat de nationale politiediensten ondersteunt bij deze herculische taak.’ Strik betwijfelt dat: ‘Helpt het eindeloos bewaren van al die gegevens Europol echt met gericht, efficiënt en to the point werken?’

Maar de ambities van Europol op het gebied van kunstmatige intelligentie eindigen niet met de EDPS-beslissing. Inmiddels heeft de Europese Commissie een wijziging voorgesteld van de Europol-verordening, die het gedrag waarvoor het agentschap nu op de vingers wordt getikt legaal zou maken. Over dat voorstel beginnen binnenkort trilaterale onderhandelingen tussen het Europees Parlement, de Commissie, en de lidstaten. ‘Het voorstel legaliseert de huidige werkwijze van Europol’, bevestigt Strik. ‘Daarnaast krijgt Europol nog meer bevoegdheden om informatie uit databestanden te halen en aan die bestanden toe te voegen.’

Strik vindt die uitbreiding niet wenselijk en pleit voor een interne waakhond binnen Europol. Ze verwacht dat vooral de lidstaten en de Commissie zullen aandringen op een uitbreiding van de gereedschapskist van Europol. ‘Het Parlement is verdeeld, maar over het algemeen wel kritischer.’

Eskens, die de nieuwe Europol-wetgeving al langer volgt, hoopt dat de EDPS-uitspraak meer aandacht voor het onderwerp oproept. ‘Er is tot nu toe niet veel discussie geweest over dit nieuwe kader, onder politici of academici. Ik heb ook nog geen radicale wijzigingsvoorstellen gezien, in Brussel lijkt men het erover eens te zijn dat dit nodig is. Het voorstel zit op een sneltrein richting invoering.’ Volgens Strik heeft haar partij wel radicale wijzigingen voorgesteld, maar was daar geen meerderheid voor.

Zelfs als de nieuwe wetgeving wordt ingevoerd, betwijfelt Strik of die lang zal standhouden. In het verleden is vergelijkbare wetgeving die massasurveillance van telecommunicatie mogelijk maakte uiteindelijk door de rechter teruggedraaid. Strik: ‘De Commissie en Europese Raad zoeken elke keer de grenzen op en worden vervolgens door het Europees Hof van Justitie of een toezichthouder teruggefloten. Het is niet uitgesloten dat dat hiermee ook weer gaat gebeuren.’

Maar Eskens acht die kans klein. ‘Bij Europol gaat het ook om grootschalige dataverzameling, maar de leveranciers van de data, zoals nationale politiediensten, doen wel aan voorselectie. Daarnaast zijn de wetgevers natuurlijk op de hoogte van die recente uitspraken en zullen ze er alles aan doen om ervoor te zorgen dat de nieuwe verordening voldoet aan de voorwaarden die het Hof heeft gesteld.’

Nederlandse activist in database van Europol

De Nederlandse activist Frank van der Linde is voor zover bekend de enige persoon die onterecht in de database van Europol zit en daar zelf ook achter is gekomen. Hij werd, volgens een latere rechterlijke uitspraak onterecht, door de Nederlandse politie als extremist gekwalificeerd.

Van der Linde kreeg dankzij een rechterlijke uitspraak zijn dossier te zien en kwam er zo achter dat zijn gegevens ook aan Europol waren doorgegeven. ‘De Nederlandse politie ontkende dat aanvankelijk, maar gaf het later schoorvoetend toe’, aldus Van der Linde. ‘Ik heb toen hun hulp gevraagd om mijn registratie bij Europol weg te krijgen, maar dat vonden ze niet hun verantwoordelijkheid.

‘Europol wil niet zeggen of ze mijn gegevens hebben, en wil mijn dossier ook niet overdragen aan de EDPS omdat de Nederlandse politie dat blokkeert. Maar de EDPS is een van de weinige instanties die kan toetsen of het gedrag van Europol rechtmatig is.’