Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 21 november 2019 en het nader rapport d.d. 21 april 2020, aangeboden aan de Koning door de Minister van Justitie en Veiligheid , mede namens de Minister voor Rechtsbescherming. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.
Blijkens de mededeling van de Directeur van uw kabinet van 21 juni 2019, nr. 2019001220, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 21 november 2019, nr. W16.19.0159/II bied ik u hierbij aan.
Het advies is ook integraal opgenomen in dit nader rapport en cursief gedrukt. Hieronder ga ik, mede namens mijn ambtsgenoot voor Rechtsbescherming, in op het advies van de Afdeling advisering van de Raad van State (hierna: de Afdeling).
Bij Kabinetsmissive van 21 juni 2019, no.2019001220, heeft Uwe Majesteit, op voordracht van de Minister van Justitie en Veiligheid, mede namens de Minister voor Rechtsbescherming, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet gegevensverwerking door samenwerkingsverbanden (WGS), met memorie van toelichting.
Samenvatting van het voorstel
Het voorstel beoogt een juridische basis te bieden voor de verwerking van persoonsgegevens door samenwerkingsverbanden. Samenwerkingsverbanden zijn, volgens het voorstel, verbanden van bestuursorganen en private partijen die gezamenlijk gegevens verwerken voor zwaarwegende algemene belangen, zoals de bestrijding van fraude en de georganiseerde criminaliteit. Het voorstel is vormgegeven als een kaderwet met een aantal algemene regels over de taak van het samenwerkingsverband, de inrichting en het functioneren daarvan. Het voorziet in een juridische grondslag om persoonsgegevens systematisch te delen en te verwerken, waaronder door profilering. Bij algemene maatregel van bestuur (amvb) wordt bepaald welke samenwerkingsverbanden onder deze kaderwet zullen vallen. Dan vindt ook de aanwijzing van de deelnemende partijen plaats, de concretisering van het zwaarwegende algemene belang waarvoor persoonsgegevens mogen worden verwerkt en de werkwijze van het samenwerkingsverband.
Op 9 oktober 2019 heeft een delegatie van de Afdeling Advisering van de Raad van State op de voet van artikel 24 van de Wet op de Raad van State met de Minister van Justitie en Veiligheid beraadslaagd over het wetsvoorstel.
Kernboodschap van de Afdeling
De overheid moet ernstige en ondermijnende criminaliteit kunnen voorkomen, opsporen en bestrijden. Bestuursorganen die gegevens hebben over zulke criminaliteit moeten die gegevens kunnen uitwisselen met elkaar en ook met private partijen, zodat zij effectief kunnen optreden. Het uitwisselen van zulke gegevens maakt echter een inbreuk op het grondwettelijk recht op bescherming van de persoonlijke levenssfeer. Voor die inbreuk ontbreekt een specifieke wettelijke grondslag. Daardoor is er in veel opzichten onduidelijkheid bij samenwerkingsverbanden over de bestaande juridische mogelijkheden. De Afdeling onderschrijft dan ook nut en noodzaak van een wettelijke regeling.
De Afdeling acht de nu voorliggende kaderwet echter niet effectief. In de eerste plaats heeft het wetsvoorstel betrekking op allerlei zeer uiteenlopende soorten samenwerkingsverbanden. De voorgestelde regels hebben mede daardoor een te ruime reikwijdte en zijn te weinig specifiek. De verantwoordelijkheid voor de gegevensverwerking komt te liggen bij alle deelnemers aan het samenwerkingsverband gezamenlijk en is daardoor niet duidelijk belegd. Bovendien kunnen samenwerkingsverbanden er zelf voor kiezen of zij onder dit voorstel willen worden gebracht. Het voorstel draagt daarmee maar in beperkte mate bij aan de met het wetsvoorstel beoogde regulering en harmonisering van samenwerkingsverbanden.
In de tweede plaats neemt het voorstel de juridische onzekerheid over de toelaatbaarheid van de gegevensuitwisseling door samenwerkingsverbanden op de voorgestelde wijze niet weg. Omdat het voorstel vergaande beperkingen van het recht op bescherming van de persoonlijke levenssfeer mogelijk wil maken en tegelijkertijd niet de wezenlijke elementen en begrenzingen bevat, voldoet het in deze vorm niet aan de eisen van artikel 10 Grondwet. Dat artikel beschermt het recht op eerbiediging van de persoonlijke levenssfeer. Hierdoor biedt het wetsvoorstel een onvoldoende juridische grondslag en daarmee onvoldoende zekerheid voor de beoogde, vergaande, verwerking en uitwisseling van gegevens. Concretisering van wezenlijke elementen bij lagere regelgeving, zoals deze kaderwet beoogt, neemt deze bezwaren niet weg en zet het parlement als medewetgever te zeer op afstand.
De Afdeling merkt op dat, juist vanwege het belang van bestrijding van ernstige en ondermijnende criminaliteit, beter gekozen kan worden voor een alternatieve benadering waarmee de voorgaande bezwaren in elk geval grotendeels kunnen worden weggenomen. Deze benadering gaat uit van wetgeving toegespitst op een (samenhangend cluster van) samenwerkingsverband(en). Daarin zouden de concrete doelen van de gegevensuitwisseling en -verwerking, de deelnemende partijen en hun bevoegdheden en verantwoordelijkheden, en de waarborgen met het oog op de bescherming van de persoonlijke levenssfeer veel specifieker moeten worden bepaald. In die alternatieve benadering is veel minder delegatie naar lagere regelgeving nodig.
De Afdeling adviseert het voorstel niet bij de Tweede Kamer der Staten-Generaal in te dienen, tenzij het is aangepast.
Leeswijzer
In dit advies gaat de Afdeling eerst in op de achtergrond en de inhoud van het voorstel (1). Daarna wordt een beoordeling gemaakt van de effectiviteit van het voorstel, gelet enerzijds op de ruime en weinig specifieke regels en anderzijds de vrijblijvendheid van het voorstel (2). Vervolgens worden vier problemen die het voorstel bevat in het licht van de effectiviteit nader toegelicht: de vrijwel onbegrensde mogelijkheid voor de deelname van private partijen (3); de gezamenlijke verwerkingsverantwoordelijkheid voor de deelnemers van het samenwerkingsverband (4); de bevoegdheid om persoonsgegevens systematisch te verwerken (inclusief profilering) (5); en de verhouding met het doelbindingsbeginsel (6). Daarna wordt stilgestaan bij de ruime delegatiegrondslagen waarin het voorstel voorziet, en wordt een beoordeling daarvan gemaakt in het licht van artikel 10 van de Grondwet (7). De Afdeling schetst tot slot een mogelijkheid voor een alternatieve benadering, waarin een groot deel van de gesignaleerde problemen zich niet zal voordoen (8).
Samenwerkingsverbanden komen voort uit een behoefte om maatschappelijke problemen door een integrale aanpak effectiever te bestrijden.2 Geregeld blijken meerdere, publieke en private, partijen feiten of vermoedens te hebben over misstanden of ernstige maatschappelijke problemen. Zij proberen die problemen beter in kaart te brengen door georganiseerd gegevens uit te wisselen en te combineren.3 Bekende voorbeelden van bestaande samenwerkingsverbanden zijn het Financieel Expertise Centrum, dat zich richt op de versterking van de integriteit van de financiële sector; de Regionale Informatie- en Expertisecentra (RIEC’s), die signalen over de ondermijnende criminaliteit verzamelen, analyseren en uitwerken, en op basis daarvan interventieadviezen geven aan de deelnemers; en de Veiligheidshuizen, die overlast, huiselijk geweld en criminaliteit proberen terug te dringen.4
De Belastingdienst, het Openbaar Ministerie en de politie nemen vaak deel aan dergelijke samenwerkingsverbanden. Zij beschikken immers over informatie die van groot belang kan zijn om ernstige criminaliteit en opzettelijke, grootschalige fraude te bestrijden. Ook nemen banken, verzekeraars, energiemaatschappijen en woningcorporaties soms deel aan een samenwerkingsverband.5 Ook deze private organisaties beschikken vaak over belangrijke informatie, zoals signalen die kunnen aangeven dat er problemen spelen die aangepakt dienen te worden, of dat bepaalde problemen zich herhaaldelijk voordoen.
Deze samenwerkingsverbanden berusten niet op een wettelijke grondslag. Zij zijn gebaseerd op door henzelf opgestelde convenanten en privacyprotocollen. Daarin is neergelegd hoe zij functioneren en aan welke eisen het samenwerkingsverband dient te voldoen vanuit het gegevensbeschermingsrecht. Alleen het Systeem risico indicatie (SyRI), het samenwerkingsverband voor het bestrijden van fiscale en sociale fraude, is wettelijk geregeld.6 Een wettelijke regeling voor de bestrijding van zorgfraude is in voorbereiding.7
De bestaande samenwerkingsverbanden vormen geen zelfstandige entiteiten met beslissingsbevoegdheden. Zonder wettelijke grondslag is dat ook niet mogelijk. De deelnemende partijen schuiven bij het samenwerkingsverband aan vanuit de eigen doelen dan wel vanuit hun wettelijke taken en wisselen op grond daarvan gegevens uit.
Bij de verwerking van gegevens door deze samenwerkingsverbanden worden knelpunten ervaren.8 Bestaande sectorale wetgeving zou onvoldoende rekening houden met de integrale werkwijze van samenwerkingsverbanden. Per sector is immers wettelijk bepaald welke partijen over bepaalde gegevens mogen beschikken voor de daarop betrekking hebbende taken en verplichtingen. Er gelden in dat kader vaak geheimhoudingsplichten. Verder moet bij de verstrekking van persoonsgegevens aan een andere partij telkens worden bekeken of het doel waarvoor de gegevens worden verstrekt verenigbaar is met het doel waarvoor ze oorspronkelijk zijn verzameld. Als het doel niet verenigbaar is, moet worden nagegaan of er voor de verstrekking een wettelijke grondslag is.9 Samenwerkingsverbanden ervaren hierin juridische onzekerheid.
Het voorstel bevat een algemene wettelijke basis voor gegevensuitwisseling en -verwerking binnen samenwerkingsverbanden, en voor de verstrekking van de resultaten van die verwerking aan de deelnemende partijen en aan derden.10 Zowel publieke als private partijen kunnen volgens het voorstel aan zo’n samenwerkingsverband deelnemen. Bij deelname dienen gegevens in beginsel te worden verstrekt aan het samenwerkingsverband. Die gegevens worden dan binnen het samenwerkingsverband verder verwerkt en nader geanalyseerd. De resultaten van die gegevensverwerking worden daarna gedeeld met een of meer deelnemende partijen of met derden.11
De samenwerkingsverbanden worden ingesteld bij amvb. Ook worden bij amvb de deelnemers van het samenwerkingsverband aangewezen, en wordt nader bepaald voor welk doel van – zoals het voorstel het in algemene termen omschrijft – «zwaarwegend algemeen belang» het samenwerkingsverband wordt ingesteld. Het voorstel bevat enkele beperkingen en voorwaarden, maar bevat ook een algemene bepaling om bij amvb nadere voorwaarden en beperkingen te stellen aan de verwerkingen van de samenwerkingsverbanden.12
Het voorstel beoogt hiermee een integrale aanpak van samenwerkingsverbanden te ondersteunen en knelpunten in de gegevensuitwisseling weg te nemen: het geeft een juridisch kader waarbinnen de gegevensuitwisseling en -verwerking door de deelnemers van het samenwerkingsverband gemakkelijker kan plaatsvinden.13 Daarnaast beoogt het voorstel een zekere harmonisatie van de al bestaande samenwerkingsverbanden.14
De overheid moet ernstige en ondermijnende criminaliteit kunnen voorkomen, opsporen en bestrijden. Bestuursorganen die gegevens hebben over zulke criminaliteit moeten die gegevens kunnen uitwisselen met elkaar en ook met private partijen, zodat zij effectief kunnen optreden. Het uitwisselen van zulke gegevens maakt echter een inbreuk op het grondwettelijk recht op bescherming van de persoonlijke levenssfeer; voor die inbreuk ontbreekt een specifieke wettelijke grondslag. Daardoor is er in veel opzichten onduidelijkheid bij samenwerkingsverbanden over de bestaande juridische mogelijkheden. De Afdeling onderschrijft dan ook nut en noodzaak van een wettelijke regeling. De samenwerking zou ook doeltreffender kunnen worden de naast elkaar bestaande, mogelijk deels overlappende samenwerkingsverbanden zouden worden gestroomlijnd met op de praktijk toegespitste regels.
De Afdeling merkt echter op dat met de gekozen constructie in de nu voorliggende kaderwet de door de regering gestelde doelen, dat wil zeggen de regulering en harmonisatie van samenwerkingsverbanden, niet effectief zullen worden bereikt. Dat oordeel is met name gebaseerd op de brede reikwijdte, het facultatieve karakter en de geringe specificiteit van het voorstel. Hierna gaat de Afdeling op die aspecten in algemene zin nader in (onderdelen b tot en met d).
Het wetsvoorstel bevat zeer algemene en ruime regels. Dit blijkt allereerst uit de wettelijke taakomschrijving. Volgens artikel 2 van het voorstel kunnen de taken van samenwerkingsverbanden op de volgende terreinen liggen:
– het voorkomen van fiscale en sociale fraude;
– het toezien op de naleving van wettelijke voorschriften;
– het handhaven van de openbare orde en veiligheid;
– het voorkomen en opsporen van strafbare feiten.15
De Afdeling constateert dat het in wezen kan gaan om alle vormen van toezicht, handhaving en opsporing. Binnen dit brede werkterrein moet, volgens het voorstel, bij amvb een uitdrukkelijk welbepaald en gerechtvaardigd doel van zwaarwegend algemeen belang worden bepaald.16 Deze regeling geeft echter nauwelijks een nadere begrenzing. Het vereiste dat het doel uitdrukkelijk omschreven, welbepaald en gerechtvaardigd moet zijn, is letterlijk overgenomen uit de Algemene verordening gegevensverwerking (AVG) en geldt dus al.17 De eis van een «zwaarwegend algemeen belang» is voorts niet concreet genoeg om een wezenlijke afbakening van de taak van het samenwerkingsverband in te houden.18
Het wetsvoorstel beoogt binnen deze zeer ruime kaders ingrijpende gegevensverwerkingen mogelijk te maken. Gegevens kunnen op grond van het voorstel systematisch en met gebruik van geavanceerde technieken (bijvoorbeeld profilering) worden verwerkt voor zeer uiteenlopende doelen. Dergelijke verwerkingen vinden plaats in een potentieel breed en in het wetsvoorstel vrijwel onbegrensd verband van publieke en private deelnemers.19 De vraag is of een zodanig ingrijpend instrumentarium wel passend en geschikt is voor alle typen samenwerkingsverbanden op het ruime werkterrein waar het voorstel op ziet.
De deelnemers van het samenwerkingsverband worden op grond van het wetsvoorstel op hun verzoek of na hun instemming aangewezen bij amvb.20 Dit roept de vraag op wie er nu beslist of deze samenwerkingsverbanden onder het regime van het voorstel moeten worden gebracht.21 Uit de toelichting op het voorstel blijkt dat het voorstel in ieder geval niet tot doel heeft om een exclusief regime voor de gegevensverwerking door samenwerkingsverbanden te bieden. Met het oog daarop is het wetsvoorstel22 zo ingericht dat samenwerkingsverbanden zich vrijwillig aansluiten en daartoe op grond van deze wet niet verplicht kunnen worden.
De Afdeling merkt op dat het wetsvoorstel vanwege het geschetste facultatieve karakter onvoldoende bijdraagt aan de beoogde regulering en harmonisering van samenwerkingsverbanden. Het is immers onzeker of samenwerkingsverbanden op grond van het wetsvoorstel zullen besluiten om onder het regime van de wet te worden gebracht. Er kunnen allerlei overwegingen van bijvoorbeeld bestuurlijke en praktische aard zijn om dat niet te doen. In dat geval zullen de genoemde doelen van het voorstel niet of maar in beperkte mate worden bereikt. Voor bepaalde samenwerkingsverbanden zal dan bovendien de situatie kunnen gelden dat zij niet de ingrijpende bevoegdheden hebben die in het wetsvoorstel zijn geregeld en die gelet op het doel van het samenwerkingsverband in het algemeen belang noodzakelijk zouden kunnen zijn. Daarbij valt vooral te denken aan samenwerkingsverbanden die specifiek gericht zijn op de bestrijding van ernstige, de samenleving ontwrichtende vormen van georganiseerde criminaliteit.
Niet alleen draagt dit facultatieve karakter van het voorstel niet bij aan de effectiviteit van de noodzakelijke samenwerking. De Afdeling acht dit ook principieel onjuist. De wetgever dient zijn verantwoordelijkheid te nemen. Hij dient zélf te beslissen voor welke samenwerkingsverbanden wetgeving in het algemeen belang noodzakelijk is en welke regels in dat geval voor het betreffende samenwerkingsverband moeten gelden. Die beslissing dient, gelet op de zwaarwegende publieke belangen die in het geding zijn, niet afhankelijk te worden gesteld van het verzoek of de instemming van de samenwerkende partijen.23
Een belangrijke doelstelling van het wetsvoorstel is het wegnemen van in de praktijk ervaren knelpunten. Het wetsvoorstel zou rechtszekerheid moeten bieden zodat samenwerkingsverbanden weten in welke gevallen en onder welke voorwaarden zij gegevens mogen uitwisselen en in het samenwerkingsverband verder mogen verwerken. Rechtszekerheid is nodig om als samenwerkingsverband effectief te kunnen functioneren.
De Afdeling merkt op dat de wetgever de juridische onzekerheid over de toelaatbaarheid van de gegevensuitwisseling door samenwerkingsverbanden op de voorgestelde wijze niet of onvoldoende wegneemt. Het wetsvoorstel geldt voor ongelijksoortige samenwerkingsverbanden op een zeer breed terrein (zie hiervoor onder a) en is daardoor onvermijdelijk zeer algemeen van karakter. Het normeert nauwelijks en delegeert de dragende elementen van het specifieke samenwerkingsverband aan een amvb. Dat betreft onder meer het doel van het samenwerkingsverband, de partijen die deelnemen aan het samenwerkingsverband en hun onderscheiden verantwoordelijkheden, welke verwerkingen zijn toegestaan en onder welke voorwaarden en de waarborgen die het samenwerkingsverband en de deelnemende partijen moeten treffen. Daardoor is er ook onzekerheid over de proportionaliteit van het voorstel: het maakt vergaande bevoegdheden tot gegevensverwerking (waaronder systematische verwerking en profilering) mogelijk, terwijl niet vaststaat dat de bevoegdheden noodzakelijk en proportioneel zijn voor alle soorten samenwerkingsverbanden die onder het voorstel gebracht kunnen worden.
Omdat het wetsvoorstel vergaande beperkingen van het recht op bescherming van de persoonlijke levenssfeer mogelijk wil maken en tegelijkertijd niet de wezenlijke elementen en begrenzingen bevat, voldoet het voorstel in deze vorm niet aan de eisen van artikel 10 Grondwet. Dat artikel beschermt het recht op eerbiediging van de persoonlijke levenssfeer (zie hierna punt 7). Dat is niet alleen een principieel bezwaar. Door een onvoldoende juridische grondslag te bieden, geeft het wetsvoorstel ook onvoldoende zekerheid voor de beoogde, vergaande, gegevensverwerking en -uitwisseling. Concretisering van wezenlijke elementen bij lagere regelgeving, zoals deze kaderwet beoogt, neemt deze bezwaren niet of onvoldoende weg en zet het parlement als medewetgever te zeer op afstand.
Op grond van de voorgaande elementen tezamen (b tot en met d) meent de Afdeling dat de gerechtvaardigde doelstellingen van het wetsvoorstel niet effectief zullen worden bereikt. Hieronder gaat zij, mede in het licht van de effectiviteit, dieper in op een aantal belangrijke onderdelen van het wetsvoorstel (paragraaf 3 tot en met 6).
Reactie op punt 1 en 2 van het advies
De regering is verheugd te constateren dat de Afdeling in haar advies overweegt dat de overheid ernstige en ondermijnende criminaliteit moet kunnen voorkomen, opsporen en bestrijden en dat bestuursorganen die gegevens hebben over zulke criminaliteit die gegevens daartoe moeten kunnen uitwisselen met elkaar en ook met private partijen, zodat zij effectief kunnen optreden. De regering is tevens verheugd dat de Afdeling nut en noodzaak van een wettelijke regeling onderschrijft.
De regering neemt daarnaast ter harte dat de Afdeling het wetsvoorstel in de aan haar voorgelegde vorm niet effectief acht. In de eerste plaats heeft het voorgelegde wetsvoorstel betrekking op allerlei zeer uiteenlopende soorten samenwerkingsverbanden, waardoor de regels een te ruime reikwijdte hebben en te weinig specifiek zijn, aldus de Afdeling. In de tweede plaats neemt het voorgelegde wetsvoorstel volgens de Afdeling de juridische onzekerheid over de toelaatbaarheid van de gegevensuitwisseling door samenwerkingsverbanden niet weg en voldoet het vanwege de zeer ruime delegatie naar amvb-niveau niet aan de eisen van artikel 10 van de Grondwet.
In haar advies merkt de Afdeling op dat, juist vanwege het belang van bestrijding van ernstige en ondermijnende criminaliteit, beter gekozen kan worden voor een alternatieve benadering waarmee de voorgaande bezwaren in elk geval grotendeels kunnen worden weggenomen. De Afdeling stelt daarbij een alternatieve benadering voor, die uitgaat van wetgeving toegespitst op een (samenhangend cluster van) samenwerkingsverband(en). Daarin zouden de concrete doelen van de gegevensuitwisseling en -verwerking, de deelnemende partijen en hun bevoegdheden en verantwoordelijkheden, en de waarborgen met het oog op de bescherming van de persoonlijke levenssfeer veel specifieker moeten worden bepaald. In die alternatieve benadering is veel minder delegatie naar lagere regelgeving nodig. In dat geval kunnen de essentiële onderwerpen veel specifieker in de wet zelf worden bepaald en is minder delegatie naar lagere regelgeving nodig.
De regering volgt het advies van de Afdeling op en past het wetsvoorstel conform de door haar voorgestelde alternatieve benadering aan. In navolging van het advies van de Afdeling wordt in het wetsvoorstel een viertal samenwerkingsverbanden aangewezen en worden de hoofdelementen van de gezamenlijke gegevensverwerking in het wetsvoorstel opgenomen. De regering meent dat door het treffen van een omvattende regeling voor de gezamenlijke gegevensverwerking de bezwaren van de Afdeling worden weggenomen. Het gaat daarbij om de volgende hoofdelementen, waarop onmiddellijk hierna of anders in een nader te noemen paragraaf van dit rapport wordt ingegaan:
Hoofdelement A: aanwijzing van samenwerkingsverbanden
In het wetsvoorstel zelf wordt een viertal samenwerkingsverbanden aangewezen waarvoor de gezamenlijke gegevensverwerking eveneens in het wetsvoorstel wordt geregeld: het Financieel Expertisecentrum (FEC), de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionale Informatie- en Expertisecentra (RIEC’s) en de Zorg- en Veiligheidshuizen. Het gaat hier om verbanden die voor essentiële maatschappelijke vraagstukken op het terrein van het voorkomen en bestrijden van criminaliteit samenwerken in het belang van de veiligheid: de integrale aanpak van – samengevat – risico’s van respectievelijk: inbreuken op de integriteit van het financiële stelsel, van witwas- of fraudeconstructies, van georganiseerde criminaliteit, en van complexe problemen rond personen op het vlak van zorg en veiligheid. Het betreft hier bovendien samenwerkingsverbanden die inmiddels ten minste vijf jaar bestaan en daarmee een bestendig karakter hebben.
Mogelijkheid aanwijzing nieuwe samenwerkingsverbanden bij amvb
Om voldoende flexibiliteit te houden voor het aanwijzen van nieuwe samenwerkingsverbanden, wordt met hoofdstuk 3 een delegatiegrondslag voorgesteld, op basis waarvan een nieuw samenwerkingsverband bij algemene maatregel van bestuur kan worden aangewezen. Daarbij wordt een bijzondere nahangprocedure voorgesteld om het parlement ook bij de aanwijzing en regeling van dit nieuwe verband te betrekken. Deze procedure houdt in dat na publicatie van de amvb de Staten-Generaal een periode van vier weken krijgen waarin één van beide Kamers met een absolute meerderheid kan verzoeken om het in de amvb geregelde onderwerp bij wet te regelen. In dat geval wordt de amvb onverwijld ingetrokken en wordt een daartoe strekkend wetsvoorstel zo spoedig mogelijk ingediend. In vier bestaande wetten is deze procedure overigens geregeld in deze vorm.24 Betrokkenheid van het parlement wordt op deze manier gegarandeerd bij de aanwijzing van nieuwe samenwerkingsverbanden. Overigens is aanwijzing van een samenwerkingsverband bij amvb uitsluitend mogelijk wanneer het gaat om bij amvb omschreven doeleinden die passen binnen het raamwerk van hoofdstuk 3.
Betekenis van de aanwijzing als samenwerkingsverband
De aanwijzing van samenwerkingsverbanden in dit wetsvoorstel heeft uitsluitend betrekking op het mogelijk maken en reguleren van de gezamenlijke verwerking van persoonsgegevens en andere relevante gegevens in de samenwerking tussen deelnemers. Duidelijkheidshalve wordt benadrukt dat de aanwijzing van de vier samenwerkingsverbanden nadrukkelijk niet tot gevolg heeft dat er een nieuw overheidsorgaan, nieuwe instantie of zelfstandige entiteit van enige vorm ontstaat, waarmee er eventueel nieuwe juridische verhoudingen zouden ontstaan tussen de deelnemers of ter zake van het samenwerkingsverband als zodanig. Aan het wetsvoorstel ligt het uitgangspunt ten grondslag dat de gezamenlijke verwerking van persoonsgegevens en andere relevante gegevens ten dienste staat aan de uitoefening van de bestaande wettelijke taken en bevoegdheden van de deelnemers. Er worden met de aanwijzing of enige andere bepaling in dit wetsvoorstel derhalve geen nieuwe taken of bevoegdheden aan de deelnemers of aan de samenwerkingsverbanden als zodanig toegekend. Artikel 1.3, vierde en vijfde lid, bepaalt dat aanwijzing als deelnemer geen wijziging aanbrengt in de publiekrechtelijke taken en bevoegdheden van de deelnemers alsmede dat de deelnemers een samenwerkingsverband zonder rechtspersoonlijkheid vormen.
Voor zover dit wetsvoorstel regels bevat over de juridische verhoudingen tussen de deelnemers, hebben die uitsluitend betrekking op de nadere uitwerking van de eisen die de Algemene verordening gegevensbescherming stelt ter zake van de gezamenlijke verwerking, zoals de gezamenlijke verwerkingsverantwoordelijkheid.
Evenmin regelt dit wetsvoorstel de organisatie, inrichting, positionering en het beheer van de samenwerkingsverbanden. De regeling daarvan is voorbehouden aan de deelnemers. Een samenwerkingsverband vraagt om ondersteuning in de vorm van huisvesting, ICT-voorzieningen, ondersteuning en personeel. De deelnemers maken onderling afspraken over de wijze waarop het samenwerkingsverband wordt ingericht, taken stellen, prioriteiten vaststellen en zorgdragen voor financiering en beheer. Ook kan sprake zijn van mandaatverlening in de zin van afdeling 10.1.1 van de Algemene wet bestuursrecht.
Hoofdelement B: doelen waarvoor samenwerkingsverbanden gegevens verwerken en afwijking van het doelbindingsbeginsel
Hierop wordt ingegaan in reactie op punt 6 van het advies («6. Afwijking van het doelbindingsbeginsel»).
Hoofdelement C: aanwijzing van de deelnemers aan een samenwerkingsverband
Voor alle vier samenwerkingsverbanden worden de deelnemers in het wetsvoorstel aangewezen. Het gaat hierbij om deelnemers die momenteel op basis van een convenant al deelnemen aan een van de vier samenwerkingsverbanden. Door aanwijzing van de deelnemers is deelname verplicht, en niet facultatief.
Bij de aanwijzing van de deelnemers in het wetsvoorstel wordt daarbij gespecificeerd voor welke wettelijke taken en bevoegdheden de deelnemers deelnemen aan het samenwerkingsverband. Dit is nodig om te voldoen aan artikel 6, eerste lid, onderdeel e, en het derde lid, van de AVG. Bij de doelomschrijving van de specifieke samenwerkingsverbanden wordt aangesloten bij de uitoefening van de publiekrechtelijke of wettelijke taken en bevoegdheden van de deelnemers. Zoals hiervoor is aangegeven wordt daarmee invulling gegeven aan de eisen van de AVG uit de artikelen 5, onderdelen a en b, van de AVG, die bepalen dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is, alsmede voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld en niet verder mogen worden verwerkt op een met die doeleinden onverenigbare wijze behoudens artikel 6, vierde lid, aanhef, AVG.
Om te voldoen aan de voornoemde eisen van de AVG, in het bijzonder aan artikel 6, eerste lid, onderdeel e, is in aanvulling daarop van belang om in het wetsvoorstel te bepalen met het oog op de uitoefening van welke taken en bevoegdheden van de deelnemers het noodzakelijk is voor deelnemers om in het samenwerkingsverband gezamenlijk gegevens te verwerken. Artikel 6, eerste lid, onderdeel e, bepaalt immers dat de verwerking noodzakelijk moet zijn voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Gelet op de onderscheidenlijke doelen van de samenwerkingsverbanden, is het niet noodzakelijk om in dat kader gezamenlijk gegevens te verwerken ten behoeve van die taken en bevoegdheden van de deelnemers die geen verband houden met dat doel. Voor de uitoefening van alle aangewezen taken en bevoegdheden geldt dat gezamenlijke gegevensverwerkingen noodzakelijk zijn om het doel te realiseren. Voor een toelichting op de aangewezen taken en bevoegdheden wordt verwezen naar de artikelsgewijze toelichting.
Gelet op de snelle maatschappelijke ontwikkelingen op het terrein van criminaliteitsbestrijding en veiligheid, moet het mogelijk zijn in de toekomst nieuwe deelnemers aan te wijzen. Om die reden kunnen bij of krachtens algemene maatregel van bestuur nieuwe deelnemers worden aangewezen die deelnemen aan de samenwerkingsverbanden FEC, iCOV en RIEC. Voor de Zorg- en Veiligheidshuizen wordt in het wetsvoorstel de mogelijkheid gecreëerd derden op incidentele basis te laten deelnemen aan het casusoverleg dat plaatsvindt in het kader van het Zorg- en Veiligheidshuis. Hieronder wordt daar nader op ingegaan.
Hoofdelement D: bevoegdheden van de deelnemers
In navolging van het advies van de Afdeling worden in het aangepaste wetsvoorstel regels gesteld over de bevoegdheden van de deelnemers in het samenwerkingsverband. In het wetsvoorstel worden regels gesteld over de activiteiten die de deelnemers in het kader van het samenwerkingsverband verrichten waarvoor gezamenlijke gegevensverwerking noodzakelijk is, welke gegevens zij daarvoor mogen verwerken en worden grondslagen gecreëerd voor de gegevensverwerking die in het kader van voornoemde activiteiten plaatsvindt. In het wetsvoorstel wordt voor alle samenwerkingsverbanden bepaald:
1) welke activiteiten zij verrichten waarvoor gezamenlijke gegevensverwerking noodzakelijk is voor het doel van het samenwerkingsverband;
2) welke categorieën gegevens de deelnemers daarbij mogen verwerken;
3) de grondslag op grond waarvan zij in het kader van voornoemde activiteiten gegevens mogen verwerken, evenals op welke wijze en met welke gegevens.
Het FEC voert op basis van signalen zogenoemde signalenoverleggen uit over risico’s op inbreuken op de integriteit van het financiële stelsel en verricht ten behoeve van het doel van het FEC gegevensanalyses, beide om daaruit sturingsinformatie af te leiden voor de deelnemers.
De Infobox Crimineel en Onverklaarbaar Vermogen stelt op basis van geautomatiseerde gegevensanalyses rapportages op over het vermogen en inkomsten van een of meer natuurlijke of rechtspersonen (iRVI) of over de financieel-zakelijke relaties rondom natuurlijke of rechtspersonen (iRR), geanonimiseerde rapportages over een ontwikkeling of trend in een bepaalde regio of met betrekking tot een bepaald fenomeen (iRT NN) en – als nieuwe methode – rapportages waarin op basis van een iRT NN een iRVI of iRR wordt opgesteld (iRT compact).
De RIEC’s wijzen handhavingsknelpunten aan en analyseren deze. Zij voeren casusoverleggen en verrichten gebiedscans en nulmetingen ten behoeve van het bepalen en uitvoeren van gezamenlijke strategieën voor de uitvoering van de wettelijke taken en de inzet van hun wettelijke bevoegdheden door de deelnemers bij misstanden in maatschappelijke sectoren en publieke voorzieningen die vatbaar zijn voor innesteling van georganiseerde criminaliteit.
De Zorg- en Veiligheidshuizen voeren casusoverleggen, waarbij betrokken deelnemers in afstemming afspraken kunnen maken over interventies die ten aanzien van een betrokkene worden ingezet, de uitvoering, evaluatie en zo nodig het bijstellen van die afspraken alsmede overleggen over afsluiting van de casus, ten behoeve van het bepalen en uitvoeren van een gezamenlijke strategie voor de uitoefening van de wettelijke taken en bevoegdheden van de deelnemers alsmede daaraan gerelateerde noodzakelijke activiteiten die worden verricht door de deelnemers. Ook stellen de Zorg- en Veiligheidshuizen lijsten vast met geprioriteerde casussen.
Voor de voornoemde verwerkingsactiviteiten creëert het wetsvoorstel een grondslag op grond waarvan de deelnemers gezamenlijk gegevens mogen verwerken. Daarbij worden nadere regels gesteld over het proces van gezamenlijke gegevensverwerking, de werkwijze van de deelnemers en welke gegevens zij in welke fase van het proces mogen gebruiken. Gemakshalve wordt voor een toelichting op deze nadere regels verwezen naar het wetsvoorstel en de memorie van toelichting.
Hoofdelement E: positie van private partijen
Hierop wordt ingegaan in reactie op punt 3 van het advies van de Afdeling.
Hoofdelement F: verantwoordelijkheden van de deelnemers
Hierop wordt ingegaan in reactie op punt 4 van het advies van de Afdeling.
Hoofdelement G: materiële regels over gegevensverwerkingen
Hierop wordt ingegaan in reactie op punt 5 van het advies van de Afdeling.
Hoofdelement H: waarborgen
Hierop wordt ingegaan in reactie op punt 7 van het advies van de Afdeling («Legaliteitsbeginsel en grondrechten»).
Dit nader rapport gaat nu verder met punt 3 van het advies van de Afdeling.
Private partijen kunnen op grond van het wetsvoorstel deelnemen aan een samenwerkingsverband op dezelfde basis, met dezelfde rechten, plichten en verantwoordelijkheden, als publieke deelnemers.25 Als zij als deelnemers zijn aangewezen, kunnen private partijen volgens het voorstel op dezelfde wijze als deelnemende overheidsorganisaties meebeslissen over de verwerking van gegevens binnen het samenwerkingsverband en over de verstrekking van die gegevens aan publieke of private deelnemers of aan derden. Het kan gaan om allerlei soorten gegevens; het voorstel regelt expliciet dat strafrechtelijke gegevens aan een samenwerkingsverband kunnen worden verstrekt.26
De positie van de deelnemers binnen een samenwerkingsverband is echter wezenlijk verschillend.
– Bestuursorganen die als deelnemers worden aangewezen, zullen doorgaans een op de wet gebaseerde publieke taak hebben die verband houdt met het doel van het samenwerkingsverband.
– Private partijen die worden aangewezen, zoals banken, verhuurders of makelaars, hebben particuliere doelstellingen en hebben in dat kader – binnen de grenzen van de wet – de vrijheid te handelen zoals zij willen. Zij streven in beginsel niet – en in elk geval niet primair – publieke doelen na.
– Een tussencategorie zijn private rechtspersonen met een wettelijke taak, zoals woningcorporaties en zorginstellingen. Zij zijn in beginsel niet gehouden om publieke taken uit te voeren, behalve als het gaat om hun eigen wettelijke taak. Die taak is meestal gericht op dienstverlening aan burgers, niet op toezicht of handhaving.
Het is in bepaalde gevallen essentieel dat overheidsinstanties en private partijen op voet van gelijkwaardigheid maar rekening houdend met hun onderscheiden verantwoordelijkheden met elkaar samenwerken en in dat kader gegevens uitwisselen. Dat betekent echter niet dat private partijen zoals nu voorgesteld ook op dezelfde manier als overheidsinstanties in wettelijk geregelde samenwerkingsverbanden zouden moeten deelnemen, en – als zij deelnemen – moeten meebeslissen over wat het samenwerkingsverband doet. Deelname in die zin ligt niet zonder meer voor de hand omdat het samenwerkingsverband een publiek doel dient waarvoor private partijen geen primaire verantwoordelijkheid dragen.
Het is dan ook de vraag of het niet wenselijk is om de deelname van private partijen aan samenwerkingsverbanden in de vergaande vorm waarvoor gekozen is in het wetsvoorstel, uit te sluiten. Ook als zij geen deelnemer zijn in de door het wetsvoorstel voorgestelde zin, is het mogelijk om samen te werken, te overleggen en gegevens uit te wisselen. Uit de toelichting blijkt niet of deze mogelijkheid is overwogen.
Ook als daar niet voor zou worden gekozen en deelname wel mogelijk wordt gemaakt is het van belang de positie van de betrokken private partij in het samenwerkingsverband afhankelijk van de omstandigheden nader te definiëren en te beperken tot wat voor de beoogde samenwerking noodzakelijk is. Er zouden bijvoorbeeld beperkingen kunnen worden gesteld aan de mate waarin private partijen inzage krijgen in gegevens en kunnen meebeslissen over het verstrekken van gegevens aan de deelnemers en aan derden. Ook zouden beperkingen kunnen worden gesteld aan het soort gegevens die private partijen kunnen ontvangen van het samenwerkingsverband, of aan de soorten doelen waarvoor ze die gegevens kunnen krijgen.
De Afdeling merkt op grond van het voorgaande op dat het wetsvoorstel te ruime mogelijkheden biedt voor deelname van private partijen. In de gekozen constructie van een kaderwet met een zeer brede reikwijdte (zie hiervoor punt 2b) kan de wetgever dit moeilijk oplossen, tenzij deelname van private partijen aan een samenwerkingsverband in absolute zin wordt uitgesloten. Ervan uitgaande dat de wetgever zélf hier de mogelijkheden en grenzen moet bepalen, is een meer specifiek gerichte wet geschikter.
Reactie op punt 3 van het advies
Naar aanleiding van het advies van de Afdeling heeft de regering de positie van private partijen in dit verband heroverwogen. Daarbij heeft de regering bezien:
1) of en zo ja, van welke partijen deelname noodzakelijk is om het doel van het samenwerkingsverband te realiseren;
2) hoe in dat geval de deelname kan worden beperkt tot hetgeen noodzakelijk is om het doel te realiseren alsmede hoe de bevoegdheden en verantwoordelijkheden ter zake van de gezamenlijke gegevensverwerking worden voorbehouden aan de publiekrechtelijke deelnemers of overheidsinstanties;
3) betrokkenheid van private partijen op een andere manier dan structurele deelname kan worden gerealiseerd, voor zover noodzakelijk.
Bij iCOV en RIEC’s is deelname van private partijen niet noodzakelijk.
Het FEC is een samenwerkingsverband van diverse overheidsorganisaties dat als doel heeft de integriteit van het financiële stelsel te versterken. Aan sommige activiteiten van het FEC nemen ook private partijen uit deze sector deel. Risico’s van inbreuken op de integriteit van het financiële stelsel moeten worden tegengegaan. De deelnemers in het FEC treden gezamenlijk preventief op tegen risico’s ten aanzien van de integriteit van het financiële stelsel, houden toezicht op de naleving van de hiervoor relevante regelgeving of handhaven deze waar nodig.
De deelnemers aan het FEC zijn toezichthouders of andere handhavende instanties ten opzichte van de partijen die onderdeel uitmaken van het financiële stelsel, of ze zijn informatieleverancier van voornoemde instanties.
Daarnaast wordt door het samenwerkingsverband FEC ingezet op het gezamenlijk voorkomen en bestrijden van het gebruik van het financiële stelsel voor financieel-economische criminaliteit, zoals witwassen, en andere vormen van ernstige, met name ondermijnende criminaliteit alsmede terrorismefinanciering. Met het oog op dit laatste doel werken de deelnemers aan het FEC, met uitzondering van de Belastingdienst, ook al enige jaren samen met financiële instellingen, te weten: de Nederlandse Vereniging van Banken, ING Bank, ABN Amro Bank, Rabobank, Volksbank en Aegon. Dit gebeurt vanuit de visie dat de integriteit van het financiële stelsel niet slechts een zaak is van de overheid. Deze visie klinkt ook door in Wet ter voorkoming van witwassen en het financieren van terrorisme (Wwft), die op dit vlak verplichtingen aan banken en andere financiële ondernemingen oplegt. In het wetsvoorstel zijn de publiekrechtelijke deelnemers of overheidsinstanties (de toezichthouders AFM en DNB worden daar ook onder begrepen) aangewezen. Bij amvb zullen andere overheidsorganen of overheidsinstanties en banken of andere private partijen worden aangewezen, voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband en het om daarbij beschreven specifieke verwerkingen of onderdelen daarvan gaat. Dat zal dus gelden voor ten minste voornoemde financiële instellingen. Zij doen overigens alleen mee aan twee Taskforces die onder de vlag van het FEC functioneren: de Taskforce Terrorismefinanciering en de Taskforce Serious Crime. De private deelnemers aan het FEC zullen op grond van het wetsvoorstel uitsluitend verantwoordelijk zijn voor zover het gaat om bij algemene maatregel van bestuur beschreven specifieke verwerkingen of onderdelen daarvan.
Gelet op het doel van de Zorg- en Veiligheidshuizen is deelname van private partijen noodzakelijk, omdat zorgverlening, hulp en begeleiding in de praktijk vaak geschiedt door de partijen uit de private sector. In artikel 2.27, eerste lid, worden de publiekrechtelijke deelnemers of overheidsinstanties aangewezen die zijn belast met de uitoefening van wettelijke taken of bevoegdheden.
In artikel 2.27, tweede lid, wordt een aantal privaatrechtelijke rechtspersonen als deelnemer aangewezen die bij of krachtens de wet taken of bevoegdheden uitoefenen of daartoe door een bestuursorgaan gemandateerd zijn, of daaraan gerelateerde noodzakelijke activiteiten verrichten, en die verband houden met het doel, bedoeld in artikel 2.25. Met laatstgenoemde activiteiten wordt gedoeld op instellingen voor geestelijke gezondheidszorg. Het gaat bij de private deelnemers om:
• een reclasseringsinstelling;
• een advies- en meldpunt huiselijk geweld en kindermishandeling;
• de gecertificeerde instelling die in het bezit is van een certificaat als bedoeld in de Jeugdwet;
• een instelling voor geestelijke gezondheidszorg;
• een instelling die in opdracht van het college van burgemeester en wethouders taken verricht ter uitvoering van de Wet maatschappelijke ondersteuning 2015, de Jeugdwet, de Participatiewet en de Wet gemeentelijke schuldhulpverlening.
In navolging van de Afdeling van de Raad van State meent de regering dat de primaire verantwoordelijkheid voor de persoonsgegevensverwerking in het kader van het samenwerkingsverband moet berusten bij de publiekrechtelijke deelnemers of overheidsinstanties en niet bij de private deelnemers. Om die reden wordt in het wetsvoorstel ter zake van de Zorg- en Veiligheidshuizen een tweedeling gemaakt tussen publiekrechtelijke deelnemers of overheidsinstanties enerzijds en privaatrechtelijke deelnemers anderzijds. De gezamenlijke verwerkingsverantwoordelijkheid als bedoeld in artikel 26 van de AVG voor de gezamenlijke verwerking van gegevens wordt daarbij exclusief toegekend aan de publiekrechtelijke deelnemers of overheidsinstanties. De rechten en plichten die uiting geven aan deze verantwoordelijkheid en die zijn verbonden aan de gezamenlijke gegevensverwerking die op grond dit wetsvoorstel, in het bijzonder de paragraaf over de Zorg- en Veiligheidshuizen, mogelijk worden gemaakt, worden om voornoemde redenen dan ook primair voorbehouden aan de publiekrechtelijke deelnemers of overheidsinstanties. Het gaat daarbij onder andere om de beslissing om persoonsgegevens te delen met een ander Zorg- en Veiligheidshuis en de beoordeling of een melding geschikt is voor casusoverleg.
In het wetsvoorstel (artikel 2.31, negende lid) wordt mogelijk gemaakt dat de publiekrechtelijke deelnemers aan het Zorg- en Veiligheidshuis derden op incidentele basis kunnen laten deelnemen aan het casusoverleg, indien dat noodzakelijk is voor het doel. Voor een goede behandeling van complexe persoonsgebonden casuïstiek kan het noodzakelijk zijn dat derden op incidentele basis worden betrokken. Het gaat daarbij om derden op uiteenlopende gebieden zoals huisvesting, zorg, maatschappelijke opvang, jeugdhulp, crisisopvang, woonbegeleiding, beschermd wonen, begeleiding geestelijke of licht verstandelijke beperking problematiek, maatschappelijk werk, slachtofferzorg, bewindvoerders, huisartsenzorg, curatoren, bewindvoerders of mentoren. Voor een goede beoordeling van een individuele casus kan het noodzakelijk zijn ook expertisecentra, onderzoeksinstellingen of wetenschappelijke instellingen als derden te laten deelnemen aan het overleg over een individuele casus. Indien derden op incidentele basis deelnemen, zien de publiekrechtelijke deelnemers erop toe dat de AVG en het bij of krachtens deze wet bepaalde door de betrokken derde in acht wordt genomen (artikel 2.31, tiende lid).
Voor de effectiviteit van de samenwerkingsverbanden kan het noodzakelijk zijn dat de resultaten van de gezamenlijke verwerking aan derden, waaronder private partijen kunnen worden verstrekt. In diverse vormen van publiek-private samenwerking is verstrekking van relevante informatie aan bijvoorbeeld private partijen nodig om strafbare feiten te voorkomen en op te sporen. Om in deze behoefte te voorzien, wordt in het wetsvoorstel mogelijk gemaakt dat de resultaten aan een derde kunnen worden verstrekt, indien dit noodzakelijk is voor de uitvoering van wettelijke verplichtingen van een derde, wanneer deze verplichtingen verenigbaar zijn met het doel van het samenwerkingsverband. Het gaat hier om een wettelijke toegestane vorm van verdere verwerking voor publiekrechtelijke taken of wettelijke verplichtingen van de ontvanger die verenigbaar zijn met de doelen van het samenwerkingsverband. De regering meent hiermee een evenwichtige vorm van participatie van private partijen bij de gezamenlijke gegevensverwerking door samenwerkingsverbanden te hebben gerealiseerd.
Het voorstel bepaalt dat de deelnemers aan het samenwerkingsverband gezamenlijk verwerkingsverantwoordelijke zijn. Aldus kan er, zo stelt de toelichting, geen onduidelijkheid over bestaan: iedere deelnemer aan het samenwerkingsverband is verantwoordelijk voor de verwerking van gegevens door het samenwerkingsverband.27 Bij amvb zal worden bepaald hoe deelnemende organisaties taken en verantwoordelijkheden onderling verdelen en wie als contactpunt en als functionaris voor gegevensbescherming wordt aangewezen.28
Hoewel gezamenlijke verwerkingsverantwoordelijkheid wordt toegestaan door de AVG vraagt de Afdeling zich af of zulks in de context van dit wetsvoorstel voldoende is afgewogen.29 Het risico van samenwerking op voet van gelijkwaardigheid is dat de verantwoordelijkheid voor de gezamenlijke werkzaamheden en resultaten in concrete gevallen zoek raakt. Als een burger een van de deelnemende partijen benadert omdat hij bijvoorbeeld inzage of correctie wil van zijn gegevens, bestaat de kans dat die terugverwijst naar het samenwerkingsverband waar de verwerking in feite heeft plaatsgevonden. Binnen dat samenwerkingsverband is vervolgens moeilijk te bepalen wie uiteindelijk voor welk aandeel aanspreekbaar is.
De vraag naar de aanspreekbaarheid zal zich niet alleen kunnen voordoen in de relatie met de burger maar ook in situaties waarin in brede zin publieke verantwoording moet worden afgelegd. Naarmate er meer partijen aan het samenwerkingsverband deelnemen en de doelen of taken van de deelnemers sterker uiteenlopen, zal moeilijker kunnen worden bepaald door wie en op welke wijze politieke verantwoordelijkheid kan worden gedragen. De toelichting op het wetsvoorstel gaat daar niet op in.
Het wetsvoorstel bevat geen concrete regels om te verzekeren dat het samenwerkingsverband en de deelnemende partijen voor de burger en voor degene die politiek verantwoordelijk is, effectief aanspreekbaar is. Dat probleem wordt versterkt doordat de medewerkers die namens hun organisatie binnen het samenwerkingsverband samenwerken, op grond van het wetsvoorstel in beginsel geheimhouding verschuldigd zijn aan hun eigen organisatie.30 Die geheimhoudingsplicht, hoewel uit een oogpunt van bescherming van persoonsgegevens begrijpelijk, kan het voor de deelnemende organisaties gecompliceerder maken om hun (gezamenlijke) verantwoordelijkheid voor de gegevensverwerking in de praktijk te effectueren omdat zij niet steeds over alle relevante informatie zullen kunnen beschikken.
De Afdeling wijst erop dat de in het wetsvoorstel gekozen constructie van de gezamenlijke verwerkingsverantwoordelijkheid vragen oproept en in verband daarmee niet voor alle samenwerkingsverbanden adequaat lijkt. Afhankelijk van de aard van het samenwerkingsverband en de verhouding tussen de daarin participerende partijen zijn andere constructies wellicht passender.31 Ook dat pleit voor meer specifiek (in)gerichte wetgeving.
Reactie op punt 4 van het advies
Door aanwijzing van de samenwerkingsverbanden, de vaststelling van het doel en de aanwijzing van deelnemers, meent de regering ook tegemoet te komen aan het bezwaar van de Afdeling dat de verantwoordelijkheid voor de gezamenlijke gegevensverwerking onduidelijk was belegd. De regering acht het van belang dat de deelnemers aan een samenwerkingsverband de gezamenlijke verwerkingsverantwoordelijkheid als bedoeld in artikel 26 van de AVG voor de gezamenlijke gegevensverwerking in het samenwerkingsverband dragen. Zoals in reactie op punt 3 van het advies is toegelicht, wordt echter bij de Zorg- en Veiligheidshuizen de gezamenlijke verwerkingsverantwoordelijkheid toegekend aan de publiekrechtelijke deelnemers en wordt bij het FEC de verantwoordelijkheid van private deelnemers beperkt tot specifieke verwerkingen.
Gelet op het feit dat dit wetsvoorstel geen nieuwe juridische entiteiten creëert, geen nieuwe taken en bevoegdheden aan de deelnemers toekent (behoudens de bevoegdheid om ten behoeve van de uitoefening van hun bestaande wettelijke taken en bevoegdheden gezamenlijk gegevens te verwerken) en evenmin nieuwe taken en bevoegdheden aan het samenwerkingsverband als zodanig toekent, wordt daarmee aangesloten bij de bestaande situatie waarin elke deelnemer aan een samenwerkingsverband deelneemt vanuit de verantwoordelijkheid voor de eigen taken en bevoegdheden en ook volledig verantwoordelijk is en blijft voor de uitoefening daarvan. Met dit uitgangspunt verdraagt zich niet dat één of enkele deelnemers verantwoordelijk zouden worden voor de gegevensverwerking ten behoeve van de uitoefening van taken en bevoegdheden van een andere partij.
In het aangepaste wetsvoorstel is de regeling inzake de gezamenlijke verwerkingsverantwoordelijkheid van de deelnemers aangescherpt en verduidelijkt. Zo is bepaald dat de deelnemers één van de functionarissen voor gegevensbescherming van de deelnemende overheidsinstanties of overheidsorganen aanwijzen die als coördinerend functionaris voor gegevensbescherming voor het samenwerkingsverband optreedt. Ook wordt de regeling inzake de verantwoordelijkheden ter zake van de rechten van betrokkenen nader gespecificeerd. Bij algemene maatregel van bestuur worden regels gesteld over de werkwijze en de respectievelijke verantwoordelijkheden van de deelnemers, waaronder met betrekking tot de uitoefening van de rechten van betrokkene en hun respectieve verplichtingen om de informatie te verstrekken, bedoeld in de artikelen 13 en 14 van de Algemene verordening gegevensbescherming alsmede over de aanwijzing van een deelnemende overheidsinstantie of deelnemend overheidsorgaan als contactpunt voor betrokkenen voor de uitoefening van de rechten op grond van hoofdstuk III van de Algemene verordening gegevensbescherming.
Bij amvb kan worden bepaald dat het samenwerkingsverband gegevens systematisch kan verwerken. Het kan daarbij blijkens de voorgestelde wettekst gaan om het combineren, structureren, profileren en analyseren van gegevens om informatie af te leiden en vast te leggen voor het doel van het samenwerkingsverband.32 De vraag is wat er onder weinig specifieke begrippen als «systematisch verwerken», «combineren», «structureren» en «analyseren» moet worden verstaan; zij worden niet nader gedefinieerd.33 Wat er met de bepaling wordt bedoeld kan worden afgeleid uit de toelichting: daaruit blijkt dat er met name behoefte bestaat aan een wettelijke grondslag voor twee soorten gegevensverwerking, die worden omschreven als gezamenlijke casusanalyse en gezamenlijke data-analyse.
Gezamenlijke casusanalyses binnen samenwerkingsverbanden zijn met name van belang om ondermijnende criminaliteit effectief te kunnen bestrijden, zoals binnen de RIEC’s. De deelnemers aan zo’n samenwerkingsverband kunnen uiteenlopende signalen delen en combineren om het ondermijnende netwerk meer compleet in kaart te brengen en om te bepalen welke interventies het meest geschikt zijn.34
Bij een gezamenlijke data-analyse worden – zo stelt de toelichting – patronen blootgelegd of groepsprofielen opgesteld, om aan de hand daarvan een lijst te kunnen opstellen van personen, organisaties of bedrijven die met het oog op het doel van het samenwerkingsverband een verhoogd risico laten zien. Zulke analyses leveren – zo stelt de toelichting – doorgaans betere35 informatie op dan analyses die een individuele deelnemer aan het verband op grond van louter zijn eigen gegevens kan maken. De analyse kan een lijst opleveren van personen met een groot risico dat zij fraude plegen of nog gaan plegen. Zij zijn niet formeel verdachte, maar kunnen wel rekenen op «bijzondere aandacht».36 Uit deze beschrijving van «gezamenlijke data-analyse» blijkt dat het opstellen van zo’n lijst in feite neerkomt op profilering, zoals dat begrip is omschreven in de AVG.37
De Afdeling onderkent dat er situaties kunnen zijn waarin profilering een duidelijke meerwaarde heeft. Profilering is echter een methode waaraan grote risico’s zijn verbonden. Bij profilering kan – zo stelt de toelichting – aan een individuele persoon een generiek kenmerk van een groep worden tegengeworpen, terwijl dat kenmerk op hem niet van toepassing is en daarmee voor hem een zogenoemde false positive oplevert.38
De toelichting gaat echter niet nader in op de vraag wat dat concreet voor iemand kan betekenen. De gevolgen kunnen indringend zijn. Zo kan een risicomelding mede leiden tot het weigeren van een vergunning, overheidsopdracht of aanbesteding op basis van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur («Wet Bibob»).39 Daarnaast is voorstelbaar dat het instrument vooral wordt gericht op wijken of categorieën personen met een eenzijdige samenstelling (bijvoorbeeld arm of rijk, sociale of etnische opbouw). Daardoor kan een eenzijdig en onjuist beeld ontstaan van bijvoorbeeld de mate waarin fraude voorkomt onder bepaalde groepen. Dat kan stigmatiserend werken.
De bevoegdheid tot profileren dient dan ook met concrete waarborgen te zijn omgeven, als uitwerking van de algemene waarborgen die de AVG bevat.40 Het gaat met name om het beginsel van minimale gegevensverwerking,41 en om het voorkomen van discriminatie.42 In dat verband valt op dat het voorstel zelf geen materiële waarborgen bevat: die kunnen bij amvb worden geregeld. Wel bevat het twee andere, meer procedureel gerichte waarborgen.
De eerste waarborg houdt in dat de Autoriteit Persoonsgegevens (AP) vooraf toestemming moet geven voor profilering.43 Deze bepaling is weliswaar gebaseerd op de AVG maar is in de praktijk niet zonder problemen44: het houdt in dat de AP intensief wordt betrokken bij een bestuurlijke afweging, die niet gemaakt zou moeten worden door de toezichthouder maar door het bevoegde en aanspreekbare bestuursorgaan. Dat orgaan is bovendien beter op de hoogte van de elementen die op zijn eigen specifieke werkterrein afgewogen moeten worden dan de algemene toezichthouder. Daar komt bij dat het verlenen van toestemming gelet op de complexiteit van de materie en de verschillende belangen die in het geding zijn, een omvangrijk onderzoek noodzakelijk zal maken. Het is daarom begrijpelijk dat de AP tegen de achtergrond van de totaliteit van zijn takenpakket, in haar tweede advies heeft gevraagd wat de omvang van deze nieuwe taak is en hoe die zal worden bekostigd.45
De tweede in het wetsvoorstel neergelegde waarborg met het oog op profilering houdt in dat het samenwerkingsverband algemene gegevens over systematische gegevensverwerking toegankelijk moet maken; deze waarborg geeft uitwerking aan het beginsel van transparantie, dat burgers in staat moet stellen om na te gaan welke gegevens van hem verwerkt zouden kunnen worden.46 Het samenwerkingsverband hoeft echter geen gegevens over profilering toegankelijk te maken als een (publieke of private) deelnemer van oordeel is dat zwaarwegende redenen zich daartegen verzetten.47 De Afdeling acht het niet onaannemelijk dat deze uitzondering op het terrein dat door het wetsvoorstel wordt bestreken relatief vaak zal worden ingeroepen: bij SyRI, het systeem tegen sociale en fiscale fraude, is informatieverstrekking stelselmatig achterwege gebleven, om te voorkomen dat de «modus operandi» bekend wordt.48
In het licht van het voorgaande acht de Afdeling de voorgestelde procedurele waarborgen onvoldoende. In aanvulling daarop zijn concrete materiële criteria nodig om te bepalen wanneer profilering is toegestaan. Dat zal eenvoudiger te realiseren zijn als gekozen wordt voor wetgeving per (onderling samenhangende clusters van) samenwerkingsverband(en).
Reactie op punt 5 van het advies
Het wetsvoorstel bevat naar aanleiding van het advies niet langer de termen systematische verwerking of profilering, noch de daaraan gekoppelde voorafgaande toestemming. Om wel te voorzien in aanvullende waarborgen, zijn diverse andere waarborgen toegevoegd aan het wetsvoorstel, die hierna in reactie op punt 7 worden beschreven.
De materiële regels over gegevensverwerkingen zijn grotendeels al opgenomen door bepalingen aan het wetsvoorstel toe te voegen inzake de bevoegdheden en activiteiten van de deelnemers. Naast deze regels over de activiteiten die de deelnemers in het kader van het samenwerkingsverband verrichten waarvoor gezamenlijke gegevensverwerking noodzakelijk is, welke gegevens zij daarvoor mogen verwerken en de grondslagen voor de gegevensverwerking die in het kader van voornoemde activiteiten plaatsvindt, worden diverse materiële regels voor de gezamenlijke gegevensverwerking geïntroduceerd in het wetsvoorstel. Enkele specifieke onderwerpen worden er hier uitgelicht.
Verstrekking van de resultaten aan deelnemers en derden
In het wetsvoorstel wordt geregeld onder welke voorwaarden de resultaten van de gezamenlijke gegevensverwerking van het samenwerkingsverband aan deelnemers en aan derden kunnen worden verstrekt.
Tenzij naar het oordeel van een of meer deelnemers op wier gegevens de resultaten zijn gebaseerd zwaarwegende redenen zich daartegen verzetten, worden de resultaten van de verwerking binnen het samenwerkingsverband verstrekt aan een of meer deelnemers, voor zover de verstrekking noodzakelijk is voor:
a. de vervulling van een publiekrechtelijke taak die aan de deelnemer is opgedragen, wanneer deze taak verenigbaar is met het doel van het samenwerkingsverband, of
b. de behartiging van de gerechtvaardigde belangen of uitvoering van wettelijke verplichtingen van een private deelnemer, wanneer deze belangen of verplichtingen verenigbaar zijn met het doel van het samenwerkingsverband.
Tenzij een deelnemer daartegen bezwaar heeft, kunnen de resultaten van de verwerking binnen het samenwerkingsverband ook aan een derde worden verstrekt, voor zover de verstrekking bij of krachtens deze wet van een grondslag is voorzien, de verstrekking door de rechtmatigheidsadviescommissie is getoetst en de verstrekking noodzakelijk is voor:
a. de vervulling van een publiekrechtelijke taak die aan de derde is opgedragen, wanneer deze taak verenigbaar is met het doel van het samenwerkingsverband, of
b. de behartiging van de gerechtvaardigde belangen of uitvoering van wettelijke verplichtingen van een private derde, wanneer deze belangen of verplichtingen verenigbaar zijn met het doel van het samenwerkingsverband.
Daarbij worden ook regels gesteld over hoe de ontvangers omgaan met de ontvangen resultaten. Voor zover er gegevens aan derden worden verstrekt, en die gegevens bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard betreffen, kunnen die uitsluitend aan derden worden verstrekt nadat de deelnemers die deze persoonsgegevens aan het samenwerkingsverband hebben verstrekt, hiermee hebben ingestemd.
Onderlinge gegevensuitwisseling
Voor de regionaal georganiseerde RIEC’s en Zorg- en Veiligheidshuizen wordt geregeld dat de RIEC’s onderling en de Zorg- en Veiligheidshuizen onderling gegevens kunnen uitwisselen, voor zover dat noodzakelijk is voor hun respectievelijke doelen. Gelet op het feit dat de regionaal georganiseerde samenwerkingsverbanden hetzelfde doel nastreven, moet onderlinge uitwisseling mogelijk zijn. Verstrekking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard aan een ander regionaal informatie- en expertisecentrum vindt uitsluitend plaats nadat de partij of de partijen die deze persoonsgegevens aan het regionaal expertisecentrum heeft of hebben verstrekt, hiermee heeft of hebben ingestemd.
Bijzondere categorieën persoonsgegevens, persoonsgegevens van strafrechtelijke aard en identificatienummers
Voor zover de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) daartoe niet reeds een uitzondering op de verwerkingsverboden biedt, worden voor de samenwerkingsverbanden enkele wettelijke uitzonderingen gecreëerd op de verwerkingsverboden van artikel 9 en 10 van de AVG voor een aantal bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Ook wordt een grondslag gecreëerd voor de verwerking van persoonsidentificatienummers als bedoeld in artikel 46 van de UAVG. Voor de noodzaak daartoe wordt verwezen naar de memorie van toelichting bij het wetsvoorstel.
Gegevens over gezondheid en medisch beroepsgeheim
De Zorg- en Veiligheidshuizen verwerken gegevens over gezondheid. Voor de noodzaak daartoe verwijst de regering naar de memorie van toelichting bij het wetsvoorstel. Op sommige deelnemers aan de Zorg- en Veiligheidshuizen rust het medisch beroepsgeheim. Zij kunnen gegevens over gezondheid uitsluitend verstrekken aan Zorg- en Veiligheidshuizen voor zover dat is toegestaan onder de regels van het medisch beroepsgeheim. In het wetsvoorstel wordt geen doorbreking van het medisch beroepsgeheim geregeld. Verduidelijkt wordt dat verstrekking van gegevens aan het samenwerkingsverband op geen enkele wijze afbreuk doet aan het medisch beroepsgeheim. Een deelnemer waarop het medisch beroepsgeheim van toepassing is, verstrekt uitsluitend gegevens indien betrokkene daartoe uitdrukkelijk toestemming heeft gegeven, behoudens de gevallen waarin enig wettelijk voorschrift een deelnemer verplicht gegevens te verstrekken of enig wettelijk voorschrift toestaat deze gegevens zonder uitdrukkelijke toestemming van betrokkene te verstrekken of de verstrekking van deze gegevens noodzakelijk is uit het oogpunt van goed hulpverlenerschap.
Ter bescherming van deelnemers waarop het medisch beroepsgeheim rust, kunnen zij voorwaarden en beperkingen stellen aan het verstrekken van de resultaten aan deelnemers of derden.
Het voorstel voorziet erin dat persoonsgegevens zullen worden verzameld voor uiteenlopende doelen. Gegevens worden uitgewisseld door verschillende publieke en private partijen op een breed werkterrein die verschillende doelen en taken behartigen en over uiteenlopende soorten persoonsgegevens zullen beschikken. Persoonsgegevens die aanvankelijk zijn verzameld voor een specifieke wettelijke taak of een commercieel bedrijfsbelang, komen terecht bij het samenwerkingsverband en uiteindelijk bij een of meer andere deelnemende partijen of derden waar de gegevens mogelijk voor heel andere doelen zullen worden gebruikt: op grond van het voorstel kan het gaan om doelen die uiteen kunnen lopen en niet noodzakelijkerwijs verenigbaar zijn.
Als persoonsgegevens voor een bepaald doel worden verzameld hoeft de burger er in beginsel niet op bedacht te zijn dat zijn gegevens door een andere instantie dan waarmee hij contact heeft gehad, voor een heel ander doel worden gebruikt. Daarom is het doelbindingsbeginsel één van de kernbeginselen van het gegevensbeschermingsrecht. De AVG bepaalt met het oog daarop dat persoonsgegevens moeten worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en dat ze niet verder mogen worden verwerkt op een met die doeleinden onverenigbare wijze.49 Verdere verwerking van persoonsgegevens, ook voor onverenigbare doelen, is mogelijk als dit in het nationale recht is bepaald, mits aan bepaalde voorwaarden is voldaan.50 Uitzonderingen op het beginsel van doelbinding dienen strikt te worden geïnterpreteerd. Een te ruime uitleg zou deze voor de burger belangrijke waarborg kunnen ondermijnen.
De Afdeling merkt op dat het wetsvoorstel te veel ruimte biedt voor afwijking van het doelbindingsbeginsel. Weliswaar stelt de toelichting dat dit beginsel uitgangspunt blijft maar tegelijkertijd wordt er ruimte gecreëerd om in een amvb waarmee een samenwerkingsverband wordt ingesteld «een doel van zwaarwegend algemeen belang te formuleren dat niet op voorhand verenigbaar is met de doelen waarvoor de deelnemers de te verstrekken gegevens hebben verzameld».51 Daarmee wordt vrijwel onbegrensd ruimte gelaten voor afwijking van het doelbindingsbeginsel en bestaat het risico dat in de uitwerking die afwijking in feite tot hoofdregel wordt verheven. Daarmee verliest de doelbinding zijn waarborgfunctie. Als wordt gekozen voor wetgeving per (cluster van) samenwerkingsverband(en), kan de spanning tussen de uiteenlopende doelen in ieder geval eenvoudiger worden opgelost.
Reactie op punt 6 van het advies
Wat betreft de doelbinding moeten drie verschillende fasen van verwerkingen worden onderscheiden: de verstrekking door de deelnemers aan het samenwerkingsverband, de verwerking door/binnen het samenwerkingsverband en de verstrekking (van de resultaten van de verwerking) door het samenwerkingsverband aan de deelnemers:
• Verstrekking door de deelnemers aan het samenwerkingsverband. Deze zal in sommige gevallen een vorm van niet-verenigbare verdere verwerking kunnen zijn, als de verstrekking voor het doel van het samenwerkingsverband als geheel zou zijn. Daarvoor is op grond van artikel 6, vierde lid, AVG een lidstaatrechtelijke grondslag vereist. Het wetsvoorstel geeft een dergelijke grondslag. Het zwaarwegend algemeen belang dat daarvoor vereist is, valt samen met het doel van het samenwerkingsverband.
• Verwerking door/binnen het samenwerkingsverband. Deze verwerking vloeit voort uit het doel van het samenwerkingsverband. De grondslag is gelegen in artikel 6, eerste lid, onderdeel e, juncto derde lid, AVG.
• Verstrekking van de resultaten door het samenwerkingsverband aan de deelnemers of derden. Deze verstrekking vormt een met het doel van het samenwerkingsverband verenigbare verdere verwerking. De verstrekking van resultaten wordt niet mogelijk gemaakt voor onverenigbare doelen.
Het principe van doelbinding dient aldus voor samenwerkingsverbanden het uitgangspunt te blijven, met dien verstande dat het in beginsel wenselijk is dat de deelnemers persoonsgegevens aan het samenwerkingsverband verstrekken als dat noodzakelijk is voor het doel van het samenwerkingsverband, ook al is dit doel niet verenigbaar met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Aan het slot van paragraaf 3.3.1 van de memorie van toelichting wordt hierop nader ingegaan.
De doelbinding is in het wetsvoorstel vormgegeven door de doelen waarvoor de samenwerkingsverbanden gegevens mogen verwerken in het wetsvoorstel te bepalen. In het wetsvoorstel worden vier samenwerkingsverbanden aangewezen waarop de bepalingen van dit wetsvoorstel inzake de gezamenlijke gegevensverwerking van toepassing zijn, namelijk het FEC, iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen. In het wetsvoorstel is voor elk samenwerkingsverband het doel bepaald met het oog waarop deze samenwerkingsverbanden gezamenlijk gegevens mogen verwerken.
Het FEC verwerkt gegevens, voor zover dat noodzakelijk is voor de uitoefening van publiekrechtelijke taken en bevoegdheden van de deelnemers, met het oog op risico’s van inbreuken op de integriteit van het financiële stelsel, of onderdelen daarvan.
iCOV verwerkt met het oog op het in kaart brengen van onverklaarbaar of crimineel vermogen, het bestrijden van witwas- of fraudeconstructies, het kunnen innen van overheidsvorderingen die oninbaar dreigen te worden en het uitoefenen van toezicht op de goede werking van de markt, in opdracht van een of meer deelnemers gegevens voor zover dat noodzakelijk is voor de uitoefening van publiekrechtelijke taken en bevoegdheden van de deelnemers.
De RIEC’s verwerken gegevens, voor zover dat noodzakelijk is voor de uitoefening van de wettelijke taken en bevoegdheden van de deelnemers op het terrein van strafrechtelijke, bestuursrechtelijke en fiscaalrechtelijke handhaving in het belang van de bestrijding van georganiseerde criminaliteit.
De Zorg- en Veiligheidshuizen verwerken bij de behandeling van complexe casuïstiek gegevens ten aanzien van een betrokkene voor zover dat noodzakelijk is voor de uitoefening, afstemming en coördinatie van de inzet van de wettelijke taken en bevoegdheden waarmee de deelnemers zijn belast en daaraan gerelateerde noodzakelijke activiteiten op het terrein van strafrechtelijke en bestuursrechtelijke handhaving alsmede begeleiding, zorg- en hulpverlening in het belang van het voorkomen, verminderen en bestrijden van criminaliteit, en ernstige overlast en het voorkomen en verminderen van onveilige situaties voor personen of binnen een gebied.
Het doel waarvoor de samenwerkingsverbanden persoonsgegevens kunnen uitwisselen is bij elk samenwerkingsverband gekoppeld aan de uitoefening van de bestaande publiekrechtelijke wettelijke taken en bevoegdheden van de deelnemers (en voor de Zorg- en Veiligheidshuizen aan daaraan gerelateerde noodzakelijke activiteiten). Hiermee wordt uitvoering gegeven aan de verplichting uit de artikelen 5, 6, eerste lid, onderdeel e, in samenhang bezien met het derde lid, van de Algemene verordening gegevensbescherming. Artikel 5, onderdelen a en b, van de AVG bepalen dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is, alsmede voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld en niet verder mogen worden verwerkt op een met die doeleinden onverenigbare wijze.
Artikel 6, eerste lid, onderdeel e, van de AVG bepaalt dat de verwerking van persoonsgegevens alleen rechtmatig is indien de verwerking noodzakelijk is voor een taak van algemeen belang of van een taak in het kader van de uitoefening van openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Artikel 6, derde lid, onderdeel b, van de AVG bepaalt dat de rechtsgrond moet worden vastgesteld bij lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. Het doel van de verwerking moet bij de rechtsgrond worden vastgesteld of is noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.
De samenwerkingsverbanden verwerken uitsluitend gegevens voor zover dat noodzakelijk is voor de uitoefening van hun publiekrechtelijke of wettelijke taken en bevoegdheden. De bestaande wettelijke taken en bevoegdheden van de deelnemers vergen voor de uitoefening daarvan dat relevante persoonsgegevens en andere gegevens worden verwerkt. Dit wetsvoorstel bouwt daarop voort door de informatiepositie van afzonderlijke deelnemers in aanvulling daarop te versterken door de mogelijkheid te creëren om onder voorwaarden relevante persoonsgegevens en andere gegevens met andere relevante deelnemers uit te wisselen en in gezamenlijkheid te verwerken. Het wetsvoorstel creëert immers geen nieuwe taken en bevoegdheden voor de deelnemers of de samenwerkingsverbanden als zodanig. Doordat de verwerking altijd noodzakelijk moet zijn voor de uitoefening van hun bestaande wettelijke taken en bevoegdheden, zijn het doel en de grenzen daarvan duidelijk afgebakend, welbepaald en uitdrukkelijk omschreven. Gelet op het feit dat de gezamenlijke gegevensverwerking uitsluitend is toegestaan ten behoeve van de integrale aanpak van – samengevat – risico’s van respectievelijk: inbreuken op de integriteit van het financiële stelsel, van witwas- of fraudeconstructies, van georganiseerde criminaliteit, en van complexe problemen rond personen op het vlak van zorg en veiligheid, is sprake van een zwaarwegend algemeen belang.
Bij de uitoefening van alle bevoegdheden tot persoonsgegevensverwerking die de deelnemers krijgen op grond van dit wetsvoorstel, moet de voorgenomen verwerking in een concreet geval worden getoetst aan de eis dat deze noodzakelijk is het met oog op het doel van het samenwerkingsverband. Elke voorgenomen persoonsgegevensverwerking moet daarnaast voldoen aan de eisen van de AVG.
Aanwijzing van een samenwerkingsverband bij amvb is uitsluitend mogelijk als bij amvb doeleinden worden omschreven die passen binnen het raamwerk van hoofdstuk 3:
a. het voorkomen en bestrijden van ernstige vormen van criminaliteit;
b. het voorkomen van grootschalig of systematisch onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen; of
c. het voorkomen van grootschalige of systematische ontduiking van wettelijke verplichtingen tot betaling van belastingen, retributies en rechten bij in- en uitvoer.
Het doel van een bij amvb aan te wijzen samenwerkingsverband zal uiteraard ook moeten voldoen aan voornoemde eisen uit de AVG.
Verstrekking van de resultaten door het samenwerkingsverband aan de deelnemers of derden
In het wetsvoorstel wordt tevens geregeld onder welke voorwaarden de resultaten van de gezamenlijke gegevensverwerking van het samenwerkingsverband aan deelnemers of aan derden kunnen worden verstrekt. Resultaten kunnen onder voorwaarden aan een deelnemer worden verstrekt voor de vervulling van een publiekrechtelijke taak die aan de deelnemer is opgedragen, wanneer deze taak verenigbaar is met het doel van het samenwerkingsverband, of de behartiging van de gerechtvaardigde belangen of uitvoering van wettelijke verplichtingen van een private deelnemer, wanneer deze belangen of verplichtingen verenigbaar zijn met het doel van het samenwerkingsverband. Resultaten kunnen onder voorwaarden aan een derde worden verstrekt voor de vervulling van een publiekrechtelijke taak die aan de derde is opgedragen, wanneer deze taak verenigbaar is met het doel van het samenwerkingsverband, of de behartiging van de gerechtvaardigde belangen of uitvoering van wettelijke verplichtingen van een derde, wanneer deze belangen of verplichtingen verenigbaar zijn met het doel van het samenwerkingsverband. Het gaat hier om een wettelijke toegestane vorm van verdere verwerking voor publiekrechtelijke taken, wettelijke verplichtingen of gerechtvaardigde belangen van de ontvanger die verenigbaar zijn met de doelen van het samenwerkingsverband.
Het voorstel bevat, zoals eerder opgemerkt, grondslagen om op een groot aantal onderwerpen nadere regels te stellen bij amvb. Dat betreft onder meer de samenwerkingsverbanden die onder de wet zullen worden gebracht, het doel van het samenwerkingsverband, de partijen die deelnemen aan het samenwerkingsverband en hun onderscheiden verantwoordelijkheden, welke verwerkingen (inclusief systematische verwerking en profilering) zijn toegestaan en onder welke voorwaarden, en de waarborgen die het samenwerkingsverband en de deelnemende partijen moeten treffen. Het gevolg hiervan is dat een wezenlijk deel van het wettelijk regime niet op het niveau van de formele wet zal worden geregeld.
Het voorstel maakt het mogelijk dat persoonsgegevens op ruime schaal worden gedeeld. Ruime verwerking en uitwisseling van gegevens door en tussen overheidsinstanties en private partijen kan in het algemeen belang noodzakelijk zijn. Dit geldt zeker als het gaat om de bestrijding van ernstige, ondermijnende criminaliteit. Tegelijkertijd is het van belang te onderkennen dat persoonsgegevens raken aan de identiteit en het privéleven van individuele personen. Als persoonsgegevens op ruime schaal worden gedeeld en verspreid, kan dit grote consequenties hebben voor de betrokkene. Een ieder heeft dan ook recht op bescherming van zijn persoonsgegevens.52 Dit geldt te meer omdat technologische ontwikkelingen het steeds gemakkelijker maken om persoonsgegevens te verwerken en om een compleet beeld te vormen van de identiteit en het privéleven van bepaalde personen. Het wetsvoorstel biedt in dat verband een ruime basis voor verwerking van persoonsgegevens met behulp van het gebruik van moderne technieken, die uitmonden in «zachte» gegevens (risicomeldingen).53
Artikel 10 van de Grondwet bepaalt dat het recht op eerbiediging van de persoonlijke levenssfeer door de formele wetgever mag worden beperkt.54 De wetgever mag die bevoegdheid delegeren aan lagere regelgevers. Maar deze heeft hierin geen carte blanche. De beperkingen op het grondrecht moeten worden gespecificeerd en er dient, in elk geval op hoofdlijnen, een belangenafweging plaats te vinden in het licht van artikel 10 van de Grondwet op het niveau van de formele wet.
De Grondwet geeft aan de wetgever een belangrijke verantwoordelijkheid: deze moet beoordelen of de beperking van fundamentele rechten van burgers blijft binnen de grenzen die de Grondwet stelt en daarbij voldoet aan eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Aan deze verantwoordelijkheid wordt geen recht gedaan als de concrete invulling vrijwel geheel wordt overgelaten aan de amvb. De hoofdelementen die in algemene zin in ieder geval in de formele wet moeten worden neergelegd zijn de reikwijdte en de structurele elementen van een regeling.55
De Afdeling stelt vast dat het wetsvoorstel in deze vorm daaraan niet voldoet. Het bevat, samenvattend, weinig hoofdelementen:
– het voorstel voorziet in de bevoegdheid om samenwerkingsverbanden in te stellen op een zeer breed terrein, maar de beoordeling en beslissing om in een concreet geval tot instelling over te gaan wordt gedelegeerd. De feitelijke reikwijdte van het voorstel wordt dus bij amvb bepaald;
– de ruimte om partijen aan te wijzen die aan het samenwerkingsverband mogen deelnemen is vrijwel onbegrensd. Dat geldt ook voor private partijen: het voorstel geeft publieke en private partijen een gelijke positie (zie hiervoor punt 3);
– het voorstel maakt het mogelijk om binnen samenwerkingsverbanden gegevens systematisch te verwerken, combineren, structureren en analyseren. Dit impliceert tevens gebruik van moderne technieken, met name profilering.56 Deze bevoegdheid wordt in het voorstel niet aan materiële regels gebonden (zie hiervoor punt 5);
– de algemene doelen waarvoor de samenwerkingsverbanden gegevens mogen verwerken zijn niet nader bepaald of werkelijk begrensd. Dit betekent dat ook niet of nauwelijks grenzen worden gesteld aan gegevensverwerking voor onverenigbare doelen (zie hiervoor punt 6);
– het voorstel bepaalt dat bij amvb nadere voorwaarden en beperkingen worden gesteld aan alle verwerkingen op grond van deze wet.57 Aan die bevoegdheid worden geen grenzen gesteld. Evenmin wordt in het wetsvoorstel bepaald aan wie (deelnemers en derden) gegevens vanuit het samenwerkingsverband mogen worden verstrekt en welke waarborgen in concrete zin voor de burger zullen gelden;
– het voorstel bevat met name regels over persoonsgegevens, maar de reikwijdte is ruimer dan dat: het maakt verwerking mogelijk van gegevens in het algemeen. Zo kan het ook gaan om bedrijfsgegevens die niet noodzakelijkerwijs tot personen zijn te herleiden.58 Ook bedrijfsgegevens die niet onder de persoonsgegevens zijn te rekenen verdienen bescherming tegen verspreiding en gebruik, zoals blijkt uit de weigeringsgrond voor het verstrekken van bedrijfs- en fabricagegegevens in de Wet openbaarheid van bestuur.59 De meeste waarborgen in het voorstel hebben echter alleen betrekking op persoonsgegevens.
Het niet uitwerken van deze hoofdelementen in de wet zelf leidt ertoe dat het bereik en de proportionaliteit van de beperkingen in de zin van artikel 10 van de Grondwet onvoldoende in concreto door de wetgever worden bepaald. Het wetsvoorstel is een kaderwet die een vrijwel onbegrensde ruimte geeft om over belangrijke en voor de burger potentieel ingrijpende onderwerpen op een lager niveau te besluiten en nadere regels te stellen. Het voorstel voldoet in deze vorm daarmee niet aan de eisen die de Grondwet stelt.
Reactie op punt 7 van het advies
In navolging van het advies van de Afdeling worden in het wetsvoorstel een viertal samenwerkingsverbanden aangewezen en worden de hoofdelementen van de gezamenlijke gegevensverwerking in het wetsvoorstel opgenomen.
In punt 7 merkt de Afdeling – in aanvulling op de eerdere punten uit het advies – op dat in het wetsvoorstel niet wordt bepaald welke waarborgen in concrete zin voor de burger zullen gelden. Daarom wordt hier ingegaan op het voornoemde hoofdelement H: waarborgen.
In navolging van het advies van de Afdeling worden in dit wetsvoorstel een aantal specifieke waarborgen geregeld voor de gezamenlijke gegevensverwerking in een samenwerkingsverband. Deze waarborgen gelden in aanvulling op bestaande waarborgen in de AVG en andere wetgeving. Voor een nadere toelichting op de bestaande waarborgen wordt verwezen naar paragraaf 3.4 van de memorie van toelichting.
In het voorgestelde artikel 1.8 is voorts voorzien in een aantal specifieke waarborgen:
– bij of krachtens algemene maatregel van bestuur kunnen voorwaarden en beperkingen worden gesteld aan alle verwerkingen van gegevens op grond van deze wet;
– een systeem van autorisaties, dat wil zeggen de verlening van toegang tot de systemen waarin de samenwerkingsverbanden gegevens verwerken aan uitsluitend door de deelnemers geautoriseerde personen;
– bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld omtrent de betrouwbaarheidsvereisten aan geautoriseerde personen;
– de deelnemers dragen zorg voor de vastlegging langs elektronische weg (logging) van bij of krachtens algemene maatregel van bestuur te beschrijven verwerkingen van persoonsgegevens in geautomatiseerde systemen;
– de deelnemers treffen passende organisatorische maatregelen om te waarborgen dat per geval de gegevens enkel voor het vooraf vastgestelde doel worden verwerkt;
– de instelling van een rechtmatigheidsadviescommissie die tot taak heeft de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden op te lossen;
– een vernietigingstermijn voor verwerkte persoonsgegevens;
– een adequaat beveiligingsniveau, ten minste overeenkomstig richtlijnen van de Minister van Binnenlandse Zaken en Koninkrijksrelaties;
– bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over deze waarborgen, waaronder opleidingseisen voor personen die zijn aangewezen ten behoeve van de inzet in het samenwerkingsverband.
Daarnaast kent het wetsvoorstel de volgende verplichtingen als waarborg:
– de verplichting tot een periodiek privacy audit (artikel 1.10);
– de verplichting om een jaarverslag uit te brengen (artikel 1.12);
– de verplichting voor ontvangers van resultaten van de gegevensverwerking van het samenwerkingsverband om ten minste jaarlijks terug te koppelen wat de effectiviteit en bruikbaarheid van de resultaten was; de deelnemers zijn verplicht tot periodieke evaluatie op basis van deze terugkoppeling (artikel 1.7);
– de verplichting om bij amvb een contactpunt voor betrokkenen aan te wijzen en om bij amvb regels te stellen over de werkwijze en de respectieve verantwoordelijkheden van de deelnemers (artikel 1.4);
– de verplichting om categorieën van persoonsgegevens die deelnemers aan het samenwerkingsverband moeten verstrekken, bij of krachtens de WGS aan te wijzen. Dit draagt bij aan de transparantie van de gegevensverwerking (artikel 1.5);
– de geheimhoudingsplicht (artikel 1.11): de verwerkingsverantwoordelijken zijn jegens derden verplicht tot geheimhouding van de informatie die uit uitgevoerde analyses voortkomt behoudens voor zover de verstrekking van resultaten op grond van artikel 1.7 is toegestaan, enig ander wettelijk voorschrift voorziet in de bevoegdheid of verplichting om de gegevens te verstrekken of voor zover de gegevensverstrekking noodzakelijk is voor het afleggen van verantwoording door een medewerker aan de deelnemer die hem heeft aangewezen voor de inzet in het samenwerkingsverband.
Bij geautomatiseerde gegevensanalyse regelt artikel 1.9 tevens in aanvulling op het voorgaande de volgende waarborgen:
– de verplichting zorg te dragen voor adequate en uniforme technische en organisatorische maatregelen voor de bevordering van de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse en de bevordering van de juistheid en de volledigheid van de gegevens die daarbij worden verwerkt;
– de plicht tot menselijke tussenkomst in geval van verstrekking van de uitkomst van een geautomatiseerde gegevensanalyse aan een deelnemer of een derde, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen;
– de verplichting om aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica bij gezamenlijke geautomatiseerde gegevensanalyse door het samenwerkingsverband, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten;
– de verplichting tot terugmelding van onjuistheden in bronbestanden;
– de verplichting tot pseudonimisering indien binnen een samenwerkingsverband persoonsgegevens geautomatiseerd geanalyseerd worden, in bij of krachtens algemene maatregel van bestuur vastgestelde fasen van gegevensanalyse.
Waarborgen bij bedrijfsgegevens
Dit wetsvoorstel beoogt een omvattend kader te bieden voor de verwerking van zowel persoonsgegevens als niet-persoonsgegevens voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband. Ten behoeve van de activiteiten van het FEC, iCOV en de RIEC’s, kan het ter realisering van het doel noodzakelijk zijn om bedrijfsgegevens te verwerken. De activiteiten van deze samenwerkingsverbanden zijn gericht op het achterhalen van vormen van financiële en georganiseerde criminaliteit, waarbij bedrijfsgegevens een belangrijke rol spelen. De categorieën gegevens, waaronder bedrijfsgegevens, zijn opgenomen in het wetsvoorstel, voor zover de samenwerkingsverbanden dergelijke gegevens verwerken. Dit wetsvoorstel doet geen afbreuk aan andere wetgeving waarin regimes over de omgang met bedrijfsgegevens zijn opgenomen, waaronder bijvoorbeeld de Wet openbaarheid van bestuur, de wetgeving inzake intellectuele eigendom en de Wet bescherming bedrijfsgeheimen.
Bedrijfsgegevens kwalificeren in de praktijk van samenwerkingsverbanden doorgaans snel als persoonsgegevens. Dit komt doordat de AVG een ruime definitie van de term persoonsgegevens bevat. Bedrijfsgegevens die direct of indirect een natuurlijk persoon identificeren, vallen reeds onder de bescherming van de AVG. In de praktijk van samenwerkingsverbanden zijn bedrijfsgegevens doorgaans herleidbaar tot personen, en daarmee persoonsgegevens, gelet op de bronnen waar de deelnemers toegang toe hebben. Doordat bedrijfsgegevens veelal herleidbaar zijn tot bijvoorbeeld feitelijk leidinggevenden, bestuurders of eigenaren, is er sprake van persoonsgegevens en zullen deze wat betreft bijvoorbeeld de waarborgen mede onder de bepalingen over persoonsgegevens vallen. Op de verwerking van bedrijfsgegevens zullen de termijnen van de Archiefwet van toepassing zijn waar het gegevens van overheidsorganisaties en overheidsorganen betreft, zodat vernietiging van die gegevens plaatsvindt na verstreken archieftermijnen. En voor zover deze bedrijfsgegevens toch geen persoonsgegevens zijn, zullen die in de praktijk in dezelfde systemen als persoonsgegevens verwerkt worden, zodat de beveiliging van en autorisatie tot die systemen zich eveneens tot deze gegevens uitstrekt. Ook de verplichting tot geheimhouding voor betrokkenen bij een samenwerkingsverband geldt voor deze gegevens op dezelfde wijze als voor persoonsgegevens.
Vanwege de brede reikwijdte acht de Afdeling het zeer onzeker of in de gekozen constructie de met het oog op de effectiviteit en de Grondwet noodzakelijke toespitsing kan worden gerealiseerd.
De Afdeling geeft daarom een alternatieve benadering in overweging waarin deze problemen beperkter en overzichtelijker worden. Die benadering zou kunnen inhouden dat voor enkele belangrijke samenwerkingsverbanden, of voor onderling samenhangende clusters van samenwerkingsverbanden die zich op hetzelfde te specificeren gebied bevinden, aparte wetten tot stand worden gebracht dan wel dat deze wet tot een dergelijk cluster wordt beperkt en dienovereenkomstig betekenisvol wordt aangepast. De noodzaak daartoe kan met name bestaan voor samenwerkingsverbanden die specifiek gericht zijn op de bestrijding van ernstige en grootschalige georganiseerde criminaliteit («ondermijnende criminaliteit»). Juist op dit terrein zijn wellicht ook aanvullende bevoegdheden nodig die van een specifieke wettelijke grondslag moeten worden voorzien.
In deze benadering wordt het eenvoudiger om voor de betreffende samenwerkingsverbanden afzonderlijk na te gaan of de knelpunten die in de praktijk worden ondervonden bij het verwerken van persoonsgegevens zodanig zijn dat wetgeving nodig is en hoe deze toegespitst op het betreffende samenwerkingsverband moet worden ingericht. De onzekerheid over de rechtmatigheid van de gegevensverwerking kan dan beter worden weggenomen. Het wordt ook beter mogelijk om in concreto een evenwicht te vinden tussen het belang van een effectief overheidsoptreden en het belang van de bescherming van de persoonlijke levenssfeer.
Het wordt in een op de betreffende samenwerkingsverbanden gerichte benadering eenvoudiger om daarop toegespitst maatwerk te leveren. Zo wordt het gemakkelijker te beoordelen hoe de taken en doelen van de deelnemers zich tot elkaar verhouden, welke problemen zich voordoen als die doelen minder goed of niet verenigbaar zijn en of – en zo ja, onder welke voorwaarden – het gelet op het doel van het betreffende samenwerkingsverband gerechtvaardigd is om de doelbinding te doorbreken. De verantwoordelijkheid voor de gegevensverwerking kan scherper worden omschreven, met nadere bepaling van de rol van iedere deelnemer. De rol van de private partijen binnen het samenwerkingsverband kan nauwkeurig, per geval, worden uitgewerkt. Specifieke wetgeving kan bovendien meer concrete sturing geven bij de keus om binnen het samenwerkingsverband te kiezen voor gezamenlijke casusanalyses en profilering. Ook kan concreter worden bepaald welke waarborgen met het oog op een zorgvuldige gegevensverwerking moeten gelden. Ten slotte kan nader worden bepaald of ook bedrijfsgegevens die niet tot personen herleidbaar zijn verwerkt moeten worden en, zo ja, welke voorwaarden en beperkingen daarbij moeten gelden.
De Afdeling merkt op dat een dergelijke meer op specifieke samenwerking gerichte benadering ook elders ingang vindt. Gewezen kan worden op het hiervoor al genoemde Systeem risico indicatie (SyRI) waarvoor – daargelaten of de betreffende wet aan de grondrechtelijke eisen voldoet60 – een specifiek daarop gerichte wettelijke regeling tot stand is gebracht.61 Verder zijn er wetsvoorstellen in voorbereiding voor de gegevensverwerking ter bestrijding van zorgfraude62 en in het kader van de gegevensuitwisseling in het sociale domein.63 Ook kan inspiratie worden geput uit wat op dit moment al bij convenant of protocol voor bestaande samenwerkingsverbanden is geregeld. Onderzocht zou kunnen worden in hoeverre onderdelen hiervan zich lenen voor regeling op het niveau van de formele wet.
Met een dergelijke, meer op de (een) concre(e)t(e) samenwerkingsverband(en) gerichte benadering neemt de wetgever (regering en parlement) zelf verantwoordelijkheid voor de wezenlijke beleidskeuzes die nu grotendeels worden voorbehouden aan het niveau van de amvb. Dergelijke meer toegespitste wetgeving is niet alleen effectiever maar doet tevens meer recht aan eveneens benodigde waarborgen voor de bescherming van de persoonlijke levenssfeer. De spanning die zich voordoet met artikel 10 van de Grondwet kan met het oog daarop langs die weg worden opgeheven.
Reactie op punt 8 van het advies
De regering meent met voornoemde aanpassingen het advies van de Afdeling te hebben opgevolgd en een evenwichtig kader te hebben gecreëerd voor de gezamenlijke gegevensverwerking door samenwerkingsverbanden.
De Afdeling advisering van de Raad van State heeft een aantal bezwaren bij het voorstel en adviseert het voorstel niet bij de Tweede Kamer der Staten-Generaal in te dienen, tenzij het is aangepast.
De vicepresident van de Raad van State,
Th.C. de Graaf
Ik moge U hierbij, mede namens mijn ambtsgenoot voor Rechtsbescherming, verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal, te zenden.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus
– Artikel 7, eerste lid, aanhef, in de bedrijvende vorm redigeren (aanwijzing 4.49, eerste lid, toelichting, van de Aanwijzingen voor de regelgeving).
– In artikel 9, eerste en tweede lid, in de zinsnede die begint met «behoudens», verduidelijken wat hier bedoeld is: dat het wettelijk voorschrift voorziet in de bevoegdheid om gegevens te verstrekken of in de verplichting.