Ontvangen 29 oktober 2020
De vaste commissie voor Justitie en Veiligheid, belast met het voorbereidend onderzoek van dit voorstel van wet, heeft de eer als volgt verslag uit te brengen. Onder het voorbehoud dat de hierin gestelde vragen en gemaakte opmerkingen voldoende zullen zijn beantwoord, acht de commissie de openbare behandeling van het voorstel van wet genoegzaam voorbereid.
Met belangstelling heb ik kennisgenomen van het verslag van de vaste commissie voor Justitie en Veiligheid. De antwoorden op de vragen van de bij het verslag betrokken fracties zijn in volgorde van het verslag beantwoord. De beantwoording geschiedt mede namens de Minister voor Rechtsbescherming.
Inhoudsopgave
1. |
Inleiding |
2 |
|||
2. |
Aanleiding |
12 |
|||
3. |
Reikwijdte wetsvoorstel |
26 |
|||
3.1. |
Aanwijzing bij wet c.q. bij amvb |
26 |
|||
3.2. |
Doel van zwaarwegend algemeen belang |
37 |
|||
3.3 |
Oplossing knelpunten in de gegevensverwerking in het kader van samenwerkingsverbanden |
39 |
|||
3.3.1 |
Verstrekking van gegevens aan een samenwerkingsverband |
39 |
|||
3.3.2 |
Verwerking van gegevens binnen een samenwerkingsverband |
51 |
|||
3.3.3 |
Verwerking van gegevens met private partijen |
53 |
|||
3.3.4 |
Verstrekking van de resultaten van de verwerking uit een samenwerkingsverband |
61 |
|||
3.4 |
Waarborgen |
62 |
|||
3.5 |
Voorafgaande toetsende rol van de Autoriteit Persoonsgegevens |
82 |
|||
4. |
In de wet aangewezen samenwerkingsverbanden |
85 |
|||
4.1 |
Het Financieel Expertisecentrum (FEC) |
92 |
|||
4.2 |
De Infobox Crimineel en Onverklaarbaar Vermogen (iCOV) |
93 |
|||
4.3 |
De Regionale Informatie- en Expertisecentra (RIEC’s) |
94 |
|||
4.4 |
De Zorg- en Veiligheidshuizen (ZVH) |
96 |
|||
5. |
Verhouding tot bestaande en nieuwe samenwerkingsverbanden |
101 |
|||
6. |
Grondrechtelijke aspecten |
104 |
|||
7. |
Financiële aspecten |
106 |
|||
8. |
Overige consultatiereacties |
106 |
|||
9. |
Overig |
109 |
|||
ARTIKELSGEWIJZE TOELICHTING |
121 |
||||
Artikel 1.1 (Definities) |
121 |
||||
Artikel 1.3 (Deelnemers) |
123 |
||||
Artikel 1.4 (Gezamenlijke verwerkingsverantwoordelijkheid) |
123 |
||||
Artikel 1.7 (Verstrekking van de resultaten aan deelnemers en derden) |
124 |
||||
Artikel 1.8 (waarborgen) |
125 |
||||
Artikel 1.9 (Bijzondere waarborgen inzake geautomatiseerde gegevensanalyse) |
125 |
||||
Artikel 2.2 (Doel) |
127 |
||||
Artikel 2.21 (verwerking bijzondere categorieën van persoonsgegevens en burgerservicenummer) |
128 |
||||
Artikel 2.22 (verstrekking van gegevens aan het samenwerkingsverband) |
128 |
||||
Artikel 2.27 (deelnemers) |
128 |
||||
Artikel 3.1 (Aanwijzing samenwerkingsverbanden bij amvb) |
129 |
||||
Artikel 3.2 (Delegatiegrondslag) |
130 |
Vraag 1 (VVD)
De leden van de VVD-fractie achten het van groot belang dat de uitwisseling en verwerking van gegevens tussen instanties en sectoren aanzienlijk wordt verbeterd zodat de aanpak van fraude, criminaliteit en ondermijning effectiever en slimmer wordt. Met het wetsvoorstel Regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden) (hierna: het wetsvoorstel) wordt getracht knelpunten uit de praktijk aan te pakken. Deze leden waarderen de inzet voor een optimale gegevensuitwisseling en benadrukken dat wetgeving dient aan te sluiten bij de huidige praktijk. Voornoemde leden hebben derhalve een aantal vragen en opmerkingen betreffende het voorliggende wetsvoorstel.
Om te beginnen merken de aan het woord zijnde leden op dat relevante betrokkenen aangeven dat er zeer weinig tijd was gegund voor het indienen van de zienswijzen. Deelt de regering de mening dat het van groot belang is dat partijen die al geruime tijd vragen om wetgeving die informatiedeling vergemakkelijkt, goed betrokken zijn bij het wetsvoorstel? Kan in het verlengde daarvan worden toegelicht waarom in het proces weinig tijd is opgenomen voor de inbreng van deze partijen?
De regering deelt de mening dat het van groot belang is dat relevante betrokkenen goed aangesloten zijn. Bij de totstandkoming van dit wetsvoorstel zijn de relevante partijen betrokken. Allereerst heeft het conceptwetsvoorstel voor (internet)consultatie opengestaan van 6 juli tot 20 september 2018. Er zijn 72 burgerreacties ontvangen en 21 reacties van organisaties: de Autoriteit persoonsgegevens, Amnesty International, College voor de rechten van de mens, FEC, FIU, iCOV, Koninklijke Notariële Beroepsorganisatie, NJCM, Nederlandse Vereniging van Banken, NOvA, NVvR, OM, Piratenpartij, Platform Bescherming Burgerrechten, Politie, Privacy barometer, Privacy First, Reclassering, Regioburgemeesters, Verbond van verzekeraars en VNG. Deze reacties hebben geleid tot aanpassingen van het wetsvoorstel, zoals nader toegelicht in paragraaf 10 van de memorie van toelichting.
Op 6 juli 2018 is het conceptwetsvoorstel eveneens voorgelegd aan de Autoriteit persoonsgegevens, die op 4 januari 2019 advies uitbracht. Naar aanleiding van dat advies is op 22 februari 2019 een aangepast voorstel voorgelegd aan de Autoriteit persoonsgegevens, waarna zij op 19 april 2019 aanvullend advies uitbracht. Vervolgens is het wetsvoorstel op 21 juni 2019 aangeboden aan de Afdeling advisering van de Raad van State, die op 21 november 2019 advies heeft uitgebracht. Vanwege de ingrijpende aanpassingen sindsdien zijn vervolgens direct betrokken partijen opnieuw geconsulteerd: (deelnemers in) het FEC, iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen zijn daarbij geconsulteerd. Een verslag hiervan is opgenomen aan het slot van paragraaf 10 van de memorie van toelichting.
Gevraagd wordt waarom in het proces weinig tijd is genomen voor de inbreng van deze partijen. Vooropgesteld kan worden dat er in de reguliere consultatiefase de gebruikelijke tijd is genomen voor de inbreng van partijen. In de fase van de verwerking van het advies van de Afdeling, toen direct betrokkenen zijn geraadpleegd over de aanpassingen naar aanleiding van het advies van de Afdeling, was naar de ervaring van deze betrokkenen relatief weinig tijd beschikbaar. Het voortvarende tijdschema drukt de grote urgentie uit van dit wetsvoorstel, die door alle bij de aanpak van ondermijnende criminaliteit betrokken partijen wordt onderschreven. Ook is vanuit de Tweede Kamer bij de afgelopen begrotingsbehandeling van Justitie en Veiligheid op 20 november 2019 gevraagd om een noodwet voor informatie-uitwisseling. Het ging daarbij om een wet die zo snel mogelijk tot stand wordt gebracht en de mogelijkheden voor het uitwisselen van informatie verbetert en vereenvoudigt. Ik heb daarop toegezegd ernaar te streven het onderhavige wetsvoorstel begin 2020 bij uw Kamer in te dienen, ijs en weder dienende.1 Ook bij diverse eerdere gelegenheden is vanuit de Tweede Kamer gevraagd om voortvarend te handelen met betrekking tot dit wetsvoorstel. Aldus is ernaar gestreefd om de zorgvuldigheid en voortvarendheid zoveel mogelijk met elkaar te verenigen. Het tijdschema is verantwoord, gegeven het feit dat het wetsvoorstel in belangrijke mate codificeert wat de desbetreffende samenwerkingsverbanden op dit moment al doen. Het bevat slechts in beperkte mate nieuwe verwerkingsmethoden, zoals de themagerichte analyse op subjectniveau door iCOV, en regelt dat bij of krachtens amvb passende (nadere) voorwaarden en beperkingen kunnen worden gesteld om risico’s inzake de bescherming van persoonsgegevens te minimaliseren, en dat eventueel ook aanvullende activiteiten kunnen worden aangewezen.
Vraag 2 (VVD)
De overheid moet ernstige en ondermijnde criminaliteit kunnen voorkomen, opsporen en bestrijden. Het uitwisselen van gegevens tussen publieke instanties onderling, maar ook met private partijen, draagt bij aan een effectief optreden. De leden van de VVD-fractie delen de zorg van de Afdeling Advisering van de Raad van State (hierna: de Afdeling) over het facultatieve karakter van het wetsvoorstel. In hoeverre past dit bij de effectiviteit van de noodzakelijke samenwerking?
In de versie van het wetsvoorstel waarop de Afdeling heeft geadviseerd was nog onduidelijk welke samenwerkingsverbanden onder de reikwijdte van de wet zouden komen te vallen, omdat aanwijzing daarvan plaats zou vinden bij amvb. Dit facultatieve karakter is naar aanleiding van het advies van de Afdeling geschrapt. Nu is in het wetsvoorstel expliciet benoemd en uitgewerkt welke bestaande samenwerkingsverbanden in ieder geval onder de reikwijdte vallen. Voor zover onder het wetsvoorstel nieuwe samenwerkingsverbanden bij amvb worden aangewezen, zullen in die amvb de deelnemers worden genoemd.
Vraag 3 (VVD)
Deze leden sluiten zich aan bij de vragen die de Afdeling formuleert over de effectiviteit van het wetsvoorstel. De vraag is of de voorliggende kaderwet de door de regering gestelde doelen, regulering en harmonisatie van samenwerkingsverbanden bereikt. De regering kiest ervoor om, op basis van het advies van de Afdeling, het wetsvoorstel te richten op een viertal samenwerkingsverbanden. Waarom is voor deze vier samenwerkingsverbanden gekozen?
De regering heeft gekozen voor het Financieel Expertisecentrum (FEC), de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionale Informatie- en Expertisecentra (RIEC’s) en de Zorg- en Veiligheidshuizen om de volgende redenen:
– Het gaat hier om verbanden die samenwerken voor essentiële maatschappelijke vraagstukken op het terrein van het voorkomen en bestrijden van criminaliteit of op het snijvlak van zorg en veiligheid. Meer specifiek gaat het om de integrale aanpak van – samengevat – risico’s van inbreuken op de integriteit van het financiële stelsel, van witwas- of fraudeconstructies, van georganiseerde criminaliteit, en van complexe problemen rond personen op het snijvlak van zorg en veiligheid.
– Het betreft samenwerkingsverbanden die inmiddels ten minste vijf jaar bestaan en daarmee een bestendig karakter hebben.
– Juridische knelpunten staan bij deze samenwerkingsverbanden in de weg aan een optimale, nog effectievere samenwerking van deze samenwerkingsverbanden en behoeven een oplossing via wetgeving. Deze knelpunten en de bijbehorende oplossingen zijn samengevat in de opsomming in het antwoord op vraag 18. In paragraaf 3.3 van de memorie van toelichting zijn deze nader toegelicht.
Vraag 4 (VVD)
Welke consequenties kent deze verankering op de wijze waarop deze samenwerkingsverbanden opereren en reeds opereerden? Deelt de regering de mening dat verankering in de wet het primaire doel heeft effectiviteit van deze samenwerkingsverbanden te vergroten?
Doel van het wetsvoorstel is enerzijds om de effectiviteit te vergroten van de integrale aanpak van – samengevat – georganiseerde criminaliteit, van risico’s van inbreuken op de integriteit van het financiële stelsel, van witwas- of fraudeconstructies, van complexe problemen rond personen op het vlak van zorg en veiligheid, en van onder meer (andere) ernstige vormen van criminaliteit als bedoeld in artikel 3.1. Anderzijds is het doel van het wetsvoorstel om in aanvulling op de AVG een aantal waarborgen vast te leggen voor een goede bescherming van de persoonsgegevens die door deze samenwerkingsverbanden worden verwerkt.
De consequenties van het wetsvoorstel zijn de volgende:
• De juridische basis onder de bestaande vormen van gegevensverwerking door iCOV, FEC, RIEC’s en de Zorg- en Veiligheidshuizen wordt versterkt en voor nieuwe vormen van gegevensverwerking die zonder wettelijke grondslag niet zijn toegestaan2 wordt een juridische basis geïntroduceerd. Doordat wettelijke grondslagen voor onderlinge gegevensdeling nu niet altijd helder zijn, is er in veel opzichten onduidelijkheid over de bestaande juridische mogelijkheden om informatie met meerdere overheidsorganisaties tegelijkertijd te delen en gezamenlijk te verwerken. Het doel van het wetsvoorstel is om dit op te lossen, door met het wetsvoorstel een duidelijk juridisch kader voor gezamenlijke gegevensverwerking neer te zetten.
• Het wetsvoorstel versterkt de waarborgen tegen risico’s die gezamenlijke gegevensverwerking met zich kan brengen, mede in het licht van de uitspraak van de rechtbank Den Haag in het proces tegen SyRI. Dit wordt in antwoord op vragen hierna nog toegelicht.
• Naderhand kunnen bij amvb met een nahangprocedure nieuwe samenwerkingsverbanden onder de werking van de WGS worden gebracht. Er zullen naar alle waarschijnlijkheid ook in de toekomst samenwerkingsverbanden worden opgestart die een grondslag voor informatiedeling behoeven. Dat kan dan bij amvb worden geregeld. Een nahangprocedure verzekert dat de Eerste of de Tweede Kamer kan besluiten dat er toch een formele wet nodig is in plaats van een amvb. Dit zorgt voor de nodige flexibiliteit, terwijl de betrokkenheid van het parlement is gewaarborgd.
Vraag 5 (VVD)
Hoe gaat de regering om met mogelijke signalen van medewerkers in deze samenwerkingsverbanden als na inwerkingtreding zou blijken dat gegevensuitwisseling wordt bemoeilijkt, bijvoorbeeld door extra administratieve lastendruk? Is het Adviescollege Toetsing Regeldruk (ATR) geconsulteerd over de administratieve lastendruk van het wetsvoorstel?
Hetgeen nu in het wetsvoorstel wordt geregeld, is voor een belangrijk deel een codificatie van de bestaande praktijk. In zoverre leidt het wetsvoorstel als zodanig naar verwachting niet of nauwelijks tot extra administratieve lasten voor de deelnemers.
Op 6 juli 2018 is de internetconsultatieversie van het wetsvoorstel voor advies aan het ATR gezonden. Het ATR heeft het conceptwetsvoorstel ambtelijk afgehandeld en geen advies uitgebracht. Overeenkomstig het Instellingsbesluit ATR zullen ook de concept-amvb’s op grondslag van dit wetsvoorstel worden voorgelegd aan het ATR voor een toets op de gevolgen voor de regeldruk.
Vraag 6 (CDA)
De leden van de CDA-fractie hebben met grote belangstelling kennisgenomen van het wetsvoorstel. Zij zien de mogelijkheid van gegevensuitwisseling met een sterke wettelijke basis als een belangrijk instrument in de bestrijding van georganiseerde criminele activiteiten en het beter verzorgen van maatwerk bij een multidisciplinaire behandeling. Ook menen deze leden dat er met onderhavig wetsvoorstel recht wordt gedaan aan de bezwaren die zijn geuit bij een eerdere iteratie van dit wetsvoorstel. Het gaat bij gegevensverwerking door samenwerkingsverbanden vanzelfsprekend om een verregaande bevoegdheid die dient te worden voorzien van een stevige wettelijke basis en van voldoende waarborgen en met een rol weggelegd voor de wetgevende macht. Daar lijkt in onderhavig wetsvoorstel aan voldaan. Echter leidt het wetsvoorstel nog wel tot vragen bij deze leden.
De aan het woord zijnde leden constateren dat gekozen is voor een sterk vastgelegd, gereguleerd, gesloten systeem waarbinnen in samenwerkingsverbanden gegevens gedeeld kunnen worden. Deze leden vragen hoe dit gesloten systeem zich verhoudt tot het doel van de wet, namelijk het voorkomen en bestrijden van ondermijnende criminaliteit. Is het niet een ervaringsgegeven dat criminelen, zeker zij die zich beroepsmatig daarmee bezighouden, qua kennis en creativiteit niet gebonden zijn aan regels en systemen, en telkens nieuwe wegen en middelen zoeken om toe te slaan, zo menen deze leden. Bestaat niet het gevaar dat deze gesloten aanpak van gegevensdeling, gekoppeld aan specifiek benoemde en gereguleerde samenwerkingsverbanden, in de praktijk veel te log en te bureaucratisch is voor het doel waarvoor deze wet in het leven wordt geroepen, namelijk het effectief bestrijden van ondermijnende criminaliteit?
De regering onderkent dat het een ervaringsgegeven is dat criminelen ook qua kennis en creativiteit zich niet gebonden voelen aan regels en systemen. Daarmee is echter niet onverenigbaar dat het wetsvoorstel een gesloten karakter heeft in de zin dat het uitsluitend ziet op samenwerkingsverbanden die bij of krachtens het wetsvoorstel worden aangewezen, voor de daarbij aangegeven doeleinden. Dit is bovendien onvermijdelijk om te voldoen aan hoger recht, waaronder de AVG, die onder meer vereist dat gegevens slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verwerkt. Ook de Afdeling heeft geadviseerd om de reikwijdte van het wetsvoorstel niet open te laten. Wanneer de wezenlijke elementen en begrenzingen open worden gelaten, zet dit het parlement als medewetgever volgens de Afdeling te zeer op afstand. Om te voldoen aan artikel 8 van het EVRM en aan de AVG, is het daarnaast noodzakelijk dat er voldoende waarborgen worden geregeld ter bescherming van de privacy. Ook de Afdeling wijst op het belang van het regelen van voldoende waarborgen. De waarborgen en daarmee soms ook beperkingen die het wetsvoorstel stelt, zijn noodzakelijk ter bescherming van persoonsgegevens. Dat dergelijke waarborgen soms ook als knelpunt worden ervaren, doet aan hun waarde niets af.
De regering deelt de zorg van de CDA-fractieleden dat voorkomen moet worden dat de voorgestelde aanpak in de praktijk veel te log en te bureaucratisch zou zijn voor het doel waarvoor deze wet in het leven wordt geroepen. Door duidelijke grondslagen te bieden voor de gegevensverwerking, voorkomt het wetsvoorstel dat er een onnodige rem staat op het optimaal functioneren van samenwerkingsverbanden, doordat het onduidelijkheid wegneemt over de grondslagen voor noodzakelijke vormen van gezamenlijke, domeinoverstijgende gegevensverwerking. Waar de WGS begrenzingen, beperkingen en waarborgen bevat, is ernaar gestreefd om binnen redelijke marges ruimte te laten voor flexibiliteit. Daarom zijn in de WGS onder meer de volgende mogelijkheden gecreëerd voor innovatie en toekomstige ontwikkelingen, mede om te voorkomen dat de WGS log en bureaucratisch zou worden:
– Het wetsvoorstel is zoveel mogelijk techniekonafhankelijk geformuleerd.
– Bij of krachtens amvb kunnen nieuwe deelnemers aan de samenwerkingsverbanden worden toegevoegd.
– Bij of krachtens amvb kunnen voor de RIEC’s nieuwe activiteiten worden aangewezen, waaronder vormen van geautomatiseerde gegevensanalyse (artikel 2.18, tweede lid). Voor het FEC is dit bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid). Voor iCOV volgt deze bevoegdheid overigens uit het wetsvoorstel zelf (artikel 2.13), terwijl de Zorg- en Veiligheidshuizen geen geautomatiseerde gegevensanalyses uitvoeren.
– Bij het FEC, iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen, kunnen bij amvb nieuwe categorieën gegevens worden toegevoegd die zij mogen verwerken. Voor iCOV is dit bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.12, derde lid).
Vraag 7 (CDA)
Ook vragen deze leden of het niet veel verstandiger zou zijn, zoals dat ook in algemene zin in het strafrecht nu staande praktijk is, om open bevoegdheden toe te kennen, deze te reguleren op basis van proportionaliteit en subsidiariteit en tussentijds rechterlijke toetsmomenten in te bouwen.
Voor het reguleren van tussentijdse rechterlijke toetsmomenten wordt geen aanleiding gezien, aangezien met de voorgestelde verplichting tot privacy audits reeds is voorzien in een periodieke controle (artikel 1.10). Hiermee wordt aangesloten bij het principe van artikel 33 van de Wet politiegegevens. Door hierbij aan te sluiten is het voor de deelnemers die voor de uitoefening van hun wettelijke taken vallen onder de reikwijdte van de Wpg mogelijk om de auditverplichtingen inhoudelijk op elkaar te laten aansluiten. Dit is efficiënter en een minder grote belasting. Voorts is voorzien in onafhankelijk toezicht door de Autoriteit persoonsgegevens, de functionarissen voor gegevensbescherming en de coördinerend functionaris voor gegevensbescherming van het samenwerkingsverband (artikel 1.4, tweede lid).
Vraag 8 (CDA)
De leden van de CDA-fractie lezen dat er ook verwezen wordt naar het advies van de Afdeling wanneer er gesproken wordt over de punten van de Autoriteit Persoonsgegevens (AP). Zij merken op dat er wel een aanvullend advies is gevraagd aan de AP na het verschijnen van het definitieve wetsvoorstel, maar dat de Afdeling niet een advies heeft uitgebracht op het definitieve wetsvoorstel. Deze leden vragen de regering of daar een specifieke reden voor is.
De regering is van mening dat het wetsvoorstel niet opnieuw aan de Afdeling behoeft te worden voorgelegd. De Afdeling behoeft alleen opnieuw om advies te worden gevraagd, als in het wetsvoorstel ingrijpende wijzigingen worden aangebracht die niet het gevolg zijn van het advies van de Afdeling advisering van de Raad van State (aanwijzing 7.15 Aanwijzingen voor de regelgeving). Daarvan is in dit geval geen sprake. Het wetsvoorstel wordt weliswaar ingrijpend gewijzigd, maar dit is het gevolg van het advies van de Afdeling. Het advies is opgevolgd door de hoofdelementen van de gegevensverwerking voor een viertal samenwerkingsverbanden in het wetsvoorstel te regelen, en door de mogelijkheid om samenwerkingsverbanden bij amvb aan te wijzen, te beperken in reikwijdte en te koppelen aan een bijzondere nahangprocedure bij het parlement. Ook het toevoegen aan het wetsvoorstel van aanvullende waarborgen voor de gegevensbescherming geeft opvolging aan het advies.
Overigens had het aanvullend advies van de Autoriteit persoonsgegevens dat op 22 februari 2019 is gevraagd, betrekking op een aangepaste versie van de consultatieversie, waarin aanpassingen waren gedaan naar aanleiding van het eerste advies van de Autoriteit persoonsgegevens. De reden voor het vragen van het aanvullend advies is dat de Autoriteit persoonsgegevens had verzocht dat een aangepast wetsvoorstel voor aanvullend advies zou worden voorgelegd, hetgeen op 22 februari 2019 dus is gebeurd.
Vraag 9 (D66)
De leden van de D66-fractie hebben kennisgenomen van het wetsvoorstel. Deze leden begrijpen en onderschrijven de noodzaak van de aanpak van georganiseerde (ondermijnende) criminaliteit in onze democratische rechtsstaat en het daarmee samenhangende belang om informatie uit te wisselen tussen overheidsorganisaties en, onder omstandigheden, tussen overheidsorganisaties en private partijen. Voornoemde leden vinden het positief dat de regering een aantal bestaande samenwerkingsverbanden een expliciete wettelijke basis wil geven. Zij maken zich tegelijkertijd zorgen over de manier waarop de overheid, zoals ook in de casus Systeem Risico Indicatie (SyRi), omgaat met het verzamelen, koppelen en analyseren van grote databestanden en de spanning met essentiële grondrechten zoals het grondwettelijk verankerde recht op eerbiediging van de persoonlijke levenssfeer. Voornoemde leden hebben een aantal vragen en opmerkingen betreffende het voorliggende wetsvoorstel.
De aan het woord zijnde leden constateren dat de regering het voorstel aanzienlijk heeft gewijzigd naar aanleiding van een kritisch advies van de Afdeling en kritische opmerkingen van, onder meer, de AP. Daar het gaat om complexe materie, lijkt het deze leden verstandig de Afdeling en de AP om advies te vragen over het gewijzigde voorstel. Graag horen zij van de regering of zij daartoe bereid is en, zo nee, waarom niet.
Zoals opgemerkt in het antwoord op vraag 8 is het advies van de Afdeling grotendeels overgenomen. Er is daarom geen reden om een nieuw advies aan de Afdeling te vragen. Omdat de Afdeling de laatste adviseur in de wetgevingsprocedure is, ziet de regering ook geen aanleiding de Autoriteit persoonsgegevens om advies te vragen over het wetsvoorstel zoals dat naar aanleiding van het advies van de Afdeling is aangepast. De Autoriteit persoonsgegevens is bovendien reeds op meerdere momenten in het proces uitgebreid geconsulteerd.
Vraag 10 (GroenLinks)
De leden van de GroenLinks-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel dat kort gezegd een juridische basis beoogt te bieden voor de systematische verwerking en deling van persoonsgegevens door publieke en private samenwerkingsverbanden. De leden begrijpen en onderschrijven in beginsel de noodzaak om de wettelijke kaders voor informatiedeling ter heroverwegen. De toenemende invloed van georganiseerde criminele verbanden op de samenleving in het algemeen en het functioneren van overheden in het bijzonder baart ook de leden grote zorgen. De leden onderschrijven het uitgangspunt dat in het geval van ernstige en ondermijnende criminaliteitsvormen effectief moet kunnen worden opgetreden en daarbij kan, onder strikte voorwaarden om misslagen te voorkomen, informatiedeling en -verwerking goede diensten bewijzen. Het sectorale karakter van de huidige regelingen lijkt gegevensverwerking in samenwerkingsverbanden in de weg te staan, waardoor een effectieve aanpak van ernstige en ondermijnende criminaliteit wordt bemoeilijkt. Voornoemde leden hebben een aantal vragen en opmerkingen betreffende het voorliggende wetsvoorstel.
Voornoemde leden vinden het onontbeerlijk om een adequaat evenwicht te zoeken tussen gegevensverwerking en privacybescherming. De wijze waarop bijvoorbeeld recent in het sociaal domein met (zelflerende) algoritmen is geëxperimenteerd om fraude te voorkomen en te bestrijden, deze leden denken dan specifiek aan SyRi, maakt pijnlijk duidelijk dat informatiedeling, gegevensverwerking en interpretatie van beschikbare gegevens niet zonder risico’s is en zéér nauw luistert om ongerechtvaardigde en onaanvaardbare privacy-schendingen te voorkomen. De aan het woord zijnde leden maken zich daarom zorgen over al te lichtvaardige maatregelen. In dit licht bezien zijn de leden blij dat de regering stelt de fundamentele kritiek van de Afdeling ter harte te hebben genomen. De Afdeling was van oordeel dat het eerdere wetsvoorstel regelrecht in strijd zou zijn met artikel 10 van de Grondwet. Kwam dit oordeel al een verrassing voor de regering? Is niet eerder op het Ministerie van Justitie en Veiligheid de vraag gesteld of dit voorstel wel in lijn was met de Grondwet en internationale verdragen? Zo ja, waarom is hierop niet geacteerd?
Bij de voorbereiding van het conceptwetsvoorstel is – zoals gebruikelijk – getoetst aan hoger recht, waaronder artikel 10 van de Grondwet. Zowel op grond van het eerste als op grond van het tweede lid van artikel 10 is de wetgever bevoegd tot delegatie. Artikel 10 laat zich niet uit over de mate waarin delegatie is toegestaan. Op grond van het eerste lid kan het recht op eerbiediging van de persoonlijke levenssfeer worden beperkt bij of krachtens de wet, wat betekent dat delegatie van beperkingsbevoegdheid naar het niveau van algemene maatregel van bestuur geoorloofd is. Het tweede lid draagt de wetgever op regels te stellen inzake de vastlegging en verstrekking van persoonsgegevens en gezien het gebruik van het woord «regels» is de wetgever ook volgens deze bepaling bevoegd tot delegatie. Naar de mening van de regering voldeed het oorspronkelijke wetsvoorstel dan ook aan de voorwaarden van artikel 10 van de Grondwet. De Afdeling advisering was daarentegen van mening dat de hoofdelementen van de regeling (de reikwijdte en de structurele elementen) onvoldoende tot uitdrukking kwamen in de formele wet, hetgeen naar haar oordeel een spanning opleverde met artikel 10 van de Grondwet.
Wat hiervan ook zij, thans is dit niet langer aan de orde, omdat het advies van de Afdeling om deze spanning op te heffen, is overgenomen door de hoofdelementen van de gegevensverwerking alsnog in het wetsvoorstel te regelen. De Afdeling noemde3 dat immers zelf als oplossing.
Overigens acht ook de regering het niet wenselijk dat – zoals de Afdeling het aanduidt – het parlement als medewetgever «te zeer op afstand» komt te staan» bij de vaststelling van de wezenlijke elementen, begrenzingen en waarborgen met betrekking tot de gegevensverwerking door samenwerkingsverbanden. Ook om die reden zijn deze onderwerpen conform het advies van de Afdeling in het wetsvoorstel zelf geregeld, waar deze oorspronkelijk bij amvb zouden worden geregeld.
Vraag 11 (GroenLinks)
Voornoemde leden vragen of de kritiek van de Afdeling geheel is opgevolgd in het huidige voorstel. Kan de regering voorzien in een precies overzicht per onderdeel van het oorspronkelijke aan de Afdeling voorgelegde voorstel, het commentaar van de Afdeling daarop en de precieze wijze waarop de regering daaraan gevolg heeft gegeven?
Aan het advies is opvolging gegeven door de gegevensverwerking door vier (clusters van) samenwerkingsverbanden in het wetsvoorstel zelf te regelen in plaats van bij amvb. De mogelijkheid om samenwerkingsverbanden bij amvb aan te wijzen, is nog slechts mogelijk binnen de beperkte reikwijdte van hoofdstuk 3 en na toepassing van een bijzondere nahangprocedure bij het parlement. Voor het overige verwijs ik deze leden naar het nader rapport.
Vraag 12 (SP)
De leden van de SP-fractie hebben met kritische belangstelling kennisgenomen van het wetsvoorstel. Samenwerking en het delen van informatie in de bestrijding van criminaliteit, het aanpakken van fraude en het ontduiken van wettelijke verplichtingen is van groot belang, maar de grondrechten en de grenzen van de rechtsstaat moeten in acht worden genomen. Deze leden hebben over het wetsvoorstel nog veel vragen, die zowel fundamenteel als specifiek van aard zijn.
Voornoemde leden stellen allereerst vast dat om deze wet veel te doen is geweest. Het heeft een lange voorgeschiedenis en bekritiseerde totstandkoming. Het advies van de Afdeling is ronduit vernietigend: niet effectief, te ruime reikwijdte, te weinig specifiek, en het zou zelfs in strijd met artikel 10 van de Grondwet zijn. Ook de AP heeft herhaaldelijk uiterst kritisch geadviseerd, evenals vele andere deskundigen en betrokkenen. Na de adviezen van de Afdeling en de AP is het wetsvoorstel ingrijpend gewijzigd. Klopt het dat de vier nieuwe samenwerkingsverbanden die in dit wetsvoorstel worden gepresenteerd pas na het advies van de Afdeling toegevoegd zijn aan het wetsvoorstel? Hoe denkt de regering dat dit een zorgvuldig consultatieproces ten goede is gekomen? Deelt de regering de mening dat de Afdeling, alsmede de AP, op dit punt door de regering buitenspel zijn gezet en daardoor niet (optimaal) hun wettelijke adviesrol hebben kunnen uitvoeren? Zo nee, waarom is de regering het daar niet mee eens? Is overwogen om onder andere de Afdeling en de AP opnieuw om advies te vragen, zodat opnieuw fundamenteel en in totaliteit kan worden bekeken en beoordeeld of deze nieuwe versie aan de bezwaren tegemoet komt en wel de toets der kritiek kan doorstaan? Zo nee, waarom niet? Is de regering bereid om dat alsnog te doen?
Voor het antwoord op deze vraag wordt verwezen naar de antwoorden op de vragen 8 en 9.
Vraag 13 (SP)
De leden van de SP-fractie wijzen bijvoorbeeld ook op consultatiedocumenten, waaruit blijkt dat het proces tamelijk rommelig is verlopen. Zo schrijft bijvoorbeeld het RIEC-LIEC: «Gesteld kan worden dat de poging om een kaderwet voor samenwerkingsverbanden op te stellen die voldoet aan de Algemene verordening gegevensbescherming (AVG) en allerlei internationale verdragen niet is geslaagd. Dit heeft ertoe geleid dat onder stoom en kokend water een oplossing gevonden moest worden voor de vier samenwerkingsverbanden die oorspronkelijk de aanleiding vormden om te komen tot wetgeving. Zoals ook hiervoor is aangegeven is thans wederom de reactietermijn te kort om een inhoudelijke bespreking in de stuurgroepen mogelijk te maken.» Kan de regering hierop reflecteren? Vindt de regering dat het proces zorgvuldig is doorlopen of had dit beter gekund en gemoeten?
Op de vragen van de leden van de SP-fractie over de zorgvuldigheid van het proces kan de regering benadrukken dat het van groot belang is dat relevante partijen goed betrokken zijn. Vanwege de ingrijpende aanpassingen in het wetsvoorstel naar aanleiding van het advies van de Afdeling advisering van de Raad van State zijn daarom bij de voorbereiding daarvan (deelnemers in) het FEC, iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen opnieuw geconsulteerd. Een verslag hiervan is opgenomen aan het slot van paragraaf 10 van de memorie van toelichting.
Ter zake van de RIEC’s hebben burgemeesters en de stuurgroepen RIEC’s tijdens de voorbereiding van het wetsvoorstel in hun consultatiereactie aangegeven positief te zijn over het idee om samenwerkingsverbanden een goede wettelijke basis te bieden, maar kritisch te zijn op zowel de snelheid van het proces als op de inhoud. Het belangrijkste bezwaar is het gebrek aan flexibiliteit in mogelijkheden voor de praktijk. In het wetsvoorstel wordt de bestaande praktijk van de RIEC’s, die nu is gebaseerd op een convenant, op een zo flexibel mogelijke wijze gecodificeerd – binnen de grenzen die de Afdeling advisering stelt. De WGS biedt daarmee een duidelijk juridisch kader voor de praktijk. De bedoeling van de WGS is dan ook dat de RIEC’s hun bestaande praktijk moeten kunnen voortzetten. Daarbij biedt de WGS juist het voordeel dat eventuele twijfel rondom de rechtmatigheid daarvan wordt weggenomen. De regering heeft de zorgen van de stuurgroepen RIEC’s over inflexibiliteit om in te spelen op toekomstige uitdagingen ter harte genomen en het wetsvoorstel naar aanleiding daarvan op belangrijke punten aangepast. Om de RIEC’s tegemoet te komen zijn in de WGS veel mogelijkheden gecreëerd voor innovatie en toekomstige ontwikkelingen. Zo kunnen er bij amvb nieuwe deelnemers aan de RIEC’s worden toegevoegd en kunnen er nieuwe activiteiten worden aangewezen, waaronder geautomatiseerde gegevensanalyse. Ook kunnen er nieuwe taken en bevoegdheden van deelnemers worden aangewezen ten behoeve waarvan de deelnemers gegevens kunnen uitwisselen en kunnen er zelfs nieuwe soorten gegevens worden toegevoegd. Uiteraard zal de uitwerking samen met onder meer de RIEC’s moeten gebeuren en een zorgvuldig proces moeten doorlopen. Nieuwe mogelijkheden voor de RIEC’s zullen ook aan de AVG moeten voldoen.
De regering meent dat de WGS niet compleet is als daarin niet ook voldoende waarborgen worden geregeld ter bescherming van de privacy. Het regelen van waarborgen is ook een belangrijke eis die de Afdeling advisering stelt aan een wettelijke regeling voor gezamenlijke verwerking door samenwerkingsverbanden. Om ook daarin de nodige flexibiliteit voor onder andere de RIEC’s te bereiken, wordt in het wetsvoorstel veelal slechts aangegeven dat er op een bepaald punt een waarborg dient te zijn, maar de verdere invulling van die waarborg kan op lager niveau gebeuren. Zorgen van de burgemeesters en de RIEC’s over de invulling daarvan, kunnen daarom worden geadresseerd bij de voorbereiding van de amvb waarin de waarborgen nader worden uitgewerkt. Gelet op het voorgaande is de regering van mening dat het aangepaste wetsvoorstel een zorgvuldig proces heeft doorlopen, waarbij rekening is gehouden met de bestaande praktijk en de wensen van de RIEC’s.
Vraag 14 (ChristenUnie)
De leden van de ChristenUnie-fractie hebben kennisgenomen van het voorliggende wetsvoorstel. Genoemde leden herkennen de problemen die worden ervaren rondom de uitwisseling van gegevens tussen én binnen samenwerkingsverbanden, hetgeen effectieve bestrijding van ondermijnende criminaliteit in de weg staat. Tegelijkertijd hechten deze leden belang aan artikel 10 van de Grondwet en het daarbij behorende recht op privacy. Genoemde leden vinden het belangrijk dat noodzakelijke inperkingen op dit recht, nu en in de toekomst, op een zorgvuldige wijze verlopen. De aan het woord zijnde leden constateren dat het huidig wettelijk kader voor de verwerking en het delen van gegevens door samenwerkingsverbanden niet volstaat. In de memorie van toelichting worden hier ook een aantal voorbeelden van gegeven. Een wettelijke grondslag is wat betreft deze leden dan ook op zijn plaats.
De aan het woord zijnde leden zien ook dat het wetsvoorstel, na advisering door de AP en de Afdeling, fundamenteel is gewijzigd qua structuur en inhoud. Is overwogen deze nieuwe versie voor te leggen ter advisering aan eerdergenoemde organen?
Voor het antwoord op deze vraag wordt verwezen naar de antwoorden op de vragen 8 en 9.
Vraag 15 (ChristenUnie)
Naar aanleiding van het wetsvoorstel is zoals gezegd gekozen voor een andere structuur van het wetsvoorstel waarbij vier clusters van samenwerkingsverbanden zijn opgenomen en wordt aangegeven welke gegevens wel en welke gegevens niet mogen worden gedeeld. Het is mogelijk zowel de clusters als de categorieën gegevens per algemene maatregel van bestuur (AMvB) uit te breiden. Vanuit maatschappelijke organisaties is er zorg over de democratische controle op deze uitbreiding en wordt gesproken van te brede definities en bevoegdheden voor clusters. Vanuit veiligheidsinstanties is juist de zorg geuit over te weinig bewegingsvrijheid en te lange procedures voor uitbreiding. Kan de regering aangeven hoe zij zich op dit spanningsveld beweegt?
Binnen dit spanningsveld is een balans gevonden door de gegevensverwerking van vier (clusters van) samenwerkingsverbanden in het wetsvoorstel zelf te regelen in plaats van bij amvb, namelijk bij een viertal (clusters) van samenwerkingsverbanden die bestendig zijn, belangrijk zijn voor de veiligheid én knelpunten ondervinden die oplossing vergen in de vorm van wetgeving. Weliswaar kunnen volgens het wetsvoorstel vanwege de flexibiliteit daarnaast samenwerkingsverbanden bij amvb worden aangewezen, maar dit is slechts mogelijk binnen de beperkte reikwijdte van hoofdstuk 3 en na toepassing van een bijzondere nahangprocedure bij het parlement.
Wat betreft de vraag welke categorieën gegevens mogen worden gedeeld, is een balans gevonden door alle delegatiegrondslagen die het mogelijk maken om bij amvb de categorieën gegevens uit te breiden, te onderwerpen aan de verplichting om de parlementaire voorhangprocedure te volgen.
Vraag 16 (PvdD)
De leden van de Partij voor de Dieren-fractie hebben ontsteld kennisgenomen van het wetsvoorstel. Zij wijzen dit voorstel met grote overtuiging af. Deze leden zijn hoogst verbaasd dat de regering deze wet alsnog voorlegt gezien die door de Afdeling in een 32 pagina tellend advies beoordeeld wordt als niet effectief, disproportioneel, in strijd met de Grondwet en op te grote afstand geplaatst van het parlement. Een wet die leest als een recept voor (data)misbruik, privacy schendingen, mensenrechtenschendingen en andere grove misstanden. Wat betreft voornoemde leden heeft de coalitie van maatschappelijke organisaties tegen SyRi het in haar advies over deze wet mooi verwoord: «De gerechtelijke uitspraak over SyRi was een streep in het zand. Daar gaat de regering nu met een bulldozer overheen.» De leden vragen de regering met klem het wetsvoorstel in te trekken en daarna ook af te zien van het herformuleren van een soortgelijke wet. Hieronder zullen zij uitgebreid aangeven waarom zij tot dat verzoek zijn gekomen.
De regering is het volstrekt oneens met de wijze waarop de leden van de Partij voor de Dieren-fractie het wetsvoorstel kwalificeren en ziet dan ook geen enkele reden om het wetsvoorstel in te trekken.
Vraag 17 (CDA)
De leden van de CDA-fractie constateren dat vier samenwerkingsverbanden in onderhavig wetsvoorstel een wettelijke basis krijgen. In dat kader vragen deze leden of de regering per samenwerkingsverband middels een of meerdere casussen kan illustreren hoe onderhavig wetsvoorstel een meerwaarde oplevert ten opzichte van de huidige situatie. Daarbij vragen voorgenoemde leden of in deze voorbeelden ook uiteengezet kan worden hoe daarmee het doel van elk van de samenwerkingsverbanden beter behaald kan worden. Kunnen in dit verband de beperkingen van de huidige situatie, beschreven in paragraaf 3.3.2, worden toegelicht?
Hieronder wordt per samenwerkingsverband de meerwaarde van het wetsvoorstel toegelicht, mede aan de hand van voorbeelden, en een toelichting op de beperkingen van de huidige situatie. Zoals hieruit blijkt, bestaat de meerwaarde uit het wetsvoorstel enerzijds uit een grotere effectiviteit van de integrale aanpak van georganiseerde criminaliteit, van risico’s van inbreuken op de integriteit van het financiële stelsel, van witwas- of fraudeconstructies, van complexe problemen rond personen op het vlak van zorg en veiligheid, en van onder meer (andere) ernstige vormen van criminaliteit als bedoeld in artikel 3.1. Anderzijds bestaat de meerwaarde uit de vastlegging van een aantal waarborgen – in aanvulling op de AVG – voor een goede bescherming van de persoonsgegevens die door deze samenwerkingsverbanden worden verwerkt.
Meerwaarde voor FEC
Het FEC is een samenwerkingsverband van diverse overheidsorganisaties en heeft als doel de integriteit van het financiële stelsel te versterken. Aan sommige activiteiten van het FEC nemen ook private partijen uit deze sector deel. Bij het FEC kunnen straks ook gegevens aan meerdere of alle deelnemers tegelijk worden verstrekt om in een signalenoverleg of gegevensanalyse verder te verwerken. Nu moet die noodzaak nog per deelnemer worden vastgesteld. In de huidige setting mogen gegevens die een partij voor zijn wettelijke taak heeft gekregen, daarom niet altijd binnen het FEC gedeeld worden en kan aldus versnippering ontstaan van de informatie over een probleem. Na inwerkingtreding van de WGS is er een expliciete wettelijke grondslag om gegevens tegelijkertijd met deelnemers te delen ten behoeve van een gezamenlijke gegevensanalyse in het kader van het doel van het samenwerkingsverband. De informatie – uitgezonderd fiscale gegevens waar het private partijen betreft – kan met alle deelnemers van het samenwerkingsverband worden gedeeld, wat ten goede komt aan een integraal beeld van een probleem. Aldus draagt het wetsvoorstel eraan bij dat informatie die bij verschillende FEC-deelnemers versnipperd ligt, bij elkaar wordt gebracht om zo grotere zaken aan het licht te kunnen brengen. Verder kunnen er straks ten behoeve van de activiteiten van het FEC gezamenlijke gegevensanalyses worden uitgevoerd.
Meerwaarde voor RIEC’s
Het RIEC is een samenwerkingsverband waarin partners in het strafrechtelijke en bestuursrechtelijke domein samenwerken aan de integrale aanpak van georganiseerde criminaliteit. Het is voor de integrale aanpak van georganiseerde criminaliteit van groot belang dat betrokken overheden relevante informatie met elkaar kunnen delen. Goede informatiedeling stelt hen in staat om hun eigen taken en bevoegdheden optimaal toe te passen. De WGS biedt een duidelijk juridisch kader voor de gezamenlijke verwerking van gegevens door de RIEC’s. De WGS bepaalt welke deelnemers met het oog op de integrale aanpak van georganiseerde criminaliteit gezamenlijk gegevens mogen verwerken, welke gegevens zij mogen verwerken, onder welke voorwaarden zij de gegevens met elkaar en met derden mogen delen en welke waarborgen daarvoor gelden. De deelnemers van de RIEC’s kunnen gezamenlijk gegevens verwerken in het kader van de aanwijzing en analyse van handhavingsknelpunten, het voeren van casusoverleggen en het maken van gebiedscans en thematische scans ter bestrijding van verschijningsvormen van georganiseerde criminaliteit. Dit omvattende kader biedt een goede basis voor de gezamenlijke gegevensverwerking binnen de RIEC’s.
In RIEC-verband werken in gezamenlijkheid partijen als het OM en de politie samen met bestuurlijke partners, zoals het college van burgemeester en wethouders, de Belastingdienst en de IND, in de aanpak van georganiseerde criminaliteit. Bij een goede samenwerking hoort ook het delen van de noodzakelijke informatie en gegevens. In de huidige situatie moet er dan een grondslag zijn voor de verstrekking van bijvoorbeeld de politie aan het college van burgemeester en wethouders, het college van burgemeester en wethouders aan de Belastingdienst, de Belastingdienst aan de IND, de IND etc. Elke verstrekking is uitsluitend mogelijk op basis van veelal bilaterale grondslagen, vastgelegd in sectorale wetgeving. Dat is het wettelijk kader waarbinnen deelnemende partijen nu werken. De huidige constructie schiet dan tekort omdat die geen blijk en uiting geeft aan de breed gedragen maatschappelijke en politieke wens en verwachting dat deze partijen samenwerken in de aanpak van georganiseerde criminaliteit en ten behoeve daarvan ook gezamenlijk gegevens moeten kunnen analyseren.
Meerwaarde voor iCOV
ICOV stelt op verzoek van een of meer deelnemers rapportages op waaruit opgemaakt kan worden waar mogelijk crimineel of fiscaal ontdoken vermogen wordt verborgen. Ook kan daaruit worden opgemaakt welke figuren zich hier mogelijk mee bezig houden. Deze rapportages kunnen bijdragen aan de bestrijding van onder meer witwassen, belastingontduiking, fraudebestrijding, inning van overheidsvorderingen en de bevordering en bewaking van correcte marktwerking.
Nu voert iCOV rapportages nog uit op basis van de bestaande wettelijke bevoegdheden van de desbetreffende individuele deelnemer en bestaande bilaterale grondslagen voor gegevensverstrekking. Geheimhoudingsplichten vormen nu een knelpunt om voor die rapportages data van verschillende deelnemers te combineren. In de WGS is een wettelijke basis opgenomen die expliciteert dat de door deelnemers verstrekte gegevens voor die rapportages gecombineerd mogen worden in het kader van het doel van het samenwerkingsverband. De WGS bevat in dit verband een uitzondering op geheimhoudingsplichten die het toelaten dat een ander wettelijk voorschrift daarop een uitzondering maakt, en bij sommige geheimhoudingsbepalingen waar dat niet het geval is, voegt de WGS een exceptie toe in de betreffende sectorale wet. Daarnaast maakt de WGS bij iCOV de uitvoering van een deels nieuwe methode mogelijk: de iRT compact. Zoals in paragraaf 4.2 van de memorie van toelichting uiteengezet, kan het hierbij gaan om op verzoek van een deelnemer opgestelde themarapportages over bijvoorbeeld witwassen via vastgoed in een bepaald geografisch gebied, waarbij bepaalde subjecten en objecten (bedrijven) weer van een naam en andere identificerende gegevens worden voorzien. Vervolgens worden het vermogen, het inkomen en het netwerk geanalyseerd. Een iRT compact kan aldus sturingsinformatie bieden die afzonderlijke deelnemers helpt bij een efficiëntere en effectievere invulling van de eigen taak.
Meerwaarde voor Zorg- en Veiligheidshuizen
Veel criminaliteits- en veiligheidsvraagstukken komen voort uit sociale en/of zorgproblematiek. Zorg- en Veiligheidshuizen richten zich op complexe casuïstiek die niet door één deelnemer of keten alleen kan worden opgelost. De gegevensuitwisseling die noodzakelijk is bij samenwerking momenteel uitermate complex. Dat komt omdat de deelnemers van Zorg- en Veiligheidshuizen uit verschillende domeinen komen en dus gebonden zijn aan verschillende wet- en regelgeving. De huidige regelgeving biedt geen kader voor deze gezamenlijke verwerking van gegevens die plaatsvindt tijdens een casusoverleg, waardoor de deelnemers per casus steeds vooraf moeten nagaan of elke andere deelnemer aan het casusoverleg wel een voldoende grondslag heeft om kennis te mogen nemen van de gegevens die zij inbrengen. Deze werkwijze hindert het samenbrengen van informatie van verschillende partijen om een goed beeld van de persoonsgerichte casuïstiek te vormen, wat nodig is om een integraal plan van aanpak op te kunnen stellen. Hierdoor kan essentiële informatie buiten beeld blijven. Daarom moeten Zorg- en Veiligheidshuizen gegevens makkelijker kunnen verwerken om beter te kunnen samenwerken en af te stemmen tussen deelnemers. Dit wetsvoorstel biedt een expliciet juridisch kader dat het mogelijk maakt voor partijen die samenwerken binnen de Zorg- en Veiligheidshuizen gegevens uit te wisselen ter uitvoering van de werkzaamheden.
Hierna wordt een aantal voorbeelden gegeven van situatie waarin de gegevensuitwisseling die noodzakelijk is bij samenwerking momenteel uitermate complex is.
Zorg- en Veiligheidshuizen behandelen uiteenlopende casussen van complexe aard. Een casus kan een gezin betreffen met meerdere kinderen uit eerdere relaties, waarbij er onder andere sprake is van huiselijk geweld. Het gezin is bekend bij meerdere instanties. Na weer een incident is de moeder met een aantal van de kinderen overgeplaatst naar een tijdelijke woning. Daarnaast is ze laaggeletterd waardoor ze niet goed voor zichzelf en haar kinderen kan zorgen. Gezien de complexiteit van de situatie is het lastig voor betrokken partijen om separaat van elkaar een goede aanpak te realiseren, zoals woonruimte, ondersteuning bij de opvoeding en het waarborgen dat de kinderen naar school (blijven) gaan. Daarom wordt de casus opgepakt door een Zorg- en Veiligheidshuis waarin verschillende partners met elkaar samenwerken. Het wetsvoorstel biedt een grondslag voor betrokken partijen om binnen een Zorg- en Veiligheidshuis relevante gegevens met elkaar te delen. Ook de afspraken over het delen van gegevens zijn helder vastgelegd. Daardoor kan vanuit het Zorg- en Veiligheidshuis snel en efficiënt een passend behandelplan opgesteld worden.
Het kan ook een jongen betreffen, die bij zijn moeder woont en al lange tijd in beeld is bij politie en hulpverleningsinstanties vanwege zijn gedrag. Harde diagnoses ontbreken, maar er is een sterk vermoeden van LVB-problematiek (licht verstandelijke beperking) en een persoonlijkheidsstoornis. Hij weigert hulp. Ondertussen dreigt hij uit huis te worden gezet wegens overlast. Zonder interventies is het wachten op een strafbaar feit of een verder verergeren van de situatie totdat hij eindelijk gaat inzien dat het zo niet langer kan. Zodra politie, gemeente en hulpverleningsinstanties (zoals jeugdzorg) deze situatie openlijk kunnen bespreken en een duidelijke wettelijke grondslag hebben om gegevens met elkaar te delen, kan er sneller naar een oplossing gezocht worden zonder dat de situatie hoeft te escaleren.
Het kan ook jongeren betreffen die door de politie zijn aangemeld bij een Zorg- en Veiligheidshuis. De jongeren worden verdacht van het plegen van zware delicten. Sommigen zijn bekend bij de politie, sommigen zijn voor de eerste keer in aanraking gekomen met de politie. De politie wil graag meer duidelijkheid krijgen over welke organisaties er betrokken zijn bij deze jongeren. Bij het Zorg- en Veiligheidshuis kan deze situatie verder worden onderzocht. Door het snel(ler) in beeld krijgen van de relevante informatie over deze jongeren, omdat ze bijvoorbeeld bij gemeenten, reclassering en/of zorginstanties bekend zijn, kan vanuit het Zorg- en Veiligheidshuis per jongere een passend behandelplan worden opgesteld en kan op de groep als geheel stevig worden ingezet (zowel strafrechtelijk als met bestuurlijke maatregelen).
Vraag 18 (D66)
De leden van de D66-fractie zijn van mening dat in de discussie over het delen van informatie vaak sprake is van een tegenstelling tussen zij die menen dat er veel (juridische) belemmeringen bestaan bij het delen van informatie en zij die stellen dat er juist heel veel mogelijk is, maar in de praktijk niet altijd van de mogelijkheden wordt gebruik gemaakt. Deze leden missen de analyse van de regering op dit punt. Welke praktische belemmeringen worden er nu precies opgelost met dit wetsvoorstel? Zijn de belemmeringen die in de praktijk worden ervaren hiermee in de toekomst inderdaad opgelost?
De regering ziet dat vele voorwaarden die worden gesteld aan het uitwisselen van persoonsgegevens inderdaad als belemmering worden ervaren. Veel van die zogenaamde «belemmeringen» zijn evenwel als voorwaarden aan te merken die de regering terecht vindt. Het gaat dan om waarborgen die wettelijk zijn vastgelegd om persoonsgegevens te beschermen, zoals het transparantiebeginsel en het principe van dataminimalisatie. Het wetsvoorstel brengt in dergelijke voorwaarden dan ook geen verandering. Sterker nog, het voorstel bevat, gelet op de risico’s die aan de gezamenlijke gegevensverwerking door samenwerkingsverbanden kunnen zijn verbonden, ook extra waarborgen tegen dergelijke risico’s.
Een en ander neemt niet weg dat er ook belemmeringen worden ervaren die het gevolg zijn van onduidelijkheid bij samenwerkingsverbanden over de bestaande juridische mogelijkheden om gezamenlijk gegevens te verwerken. Zoals onder meer uit het advies van de Afdeling advisering van de Raad van State valt op te maken, ligt de oorzaak daarvan voor een belangrijk deel in het ontbreken van een specifieke wettelijke grondslag voor die gezamenlijke gegevensverwerking, met name als die een (deels) domeinoverstijgend karakter heeft. Dit leidt tot handelingsverlegenheid waar die niet zou hoeven te bestaan. De Afdeling advisering bevestigt dat bestuursorganen die gegevens hebben over ernstige en ondermijnende criminaliteit, die gegevens moeten kunnen uitwisselen met elkaar en ook met private partijen, en onderschrijft dan ook nut en noodzaak van een wettelijke regeling als grondslag voor dergelijke gegevensuitwisselingen.4
Tegen deze achtergrond biedt het wetsvoorstel vooral een adequate juridische grondslag voor bestaande verwerkingsactiviteiten van samenwerkingsverbanden. Het heeft in zoverre een codificerend karakter. Daarnaast neemt het ook een aantal specifieke belemmeringen weg. Het betreft de volgende belemmeringen met telkens vermelding van de oplossing in het wetsvoorstel:
• Veelal ontbreekt een heldere basis om gegevens voor het doel van het samenwerkingsverband als zodanig te verstrekken. De deelnemende partijen zijn daarom vaak gehouden de noodzaak van verstrekking aan andere deelnemers steeds per individuele deelnemer aan te tonen. Dit knelpunt wordt opgelost door de verstrekkingsgrondslagen in artikel 1.5, eerste lid, eerste volzin, en die, genoemd in het tweede lid van dat artikel.
• Deelnemers aan een samenwerkingsverband zijn op basis van de vigerende geheimhoudingsbepalingen meestal gehouden de door hen individueel ontvangen gegevens vertrouwelijk te behandelen. Deze eis staat in de weg aan een gezamenlijke gegevensverwerking binnen zo’n verband. Dit knelpunt wordt in de eerste plaats opgelost door gebruikmaking van de in sommige bestaande geheimhoudingsbepalingen opgenomen mogelijkheid om bij wettelijk voorschrift daarvan af te wijken. Zie daarvoor artikel 1.5, eerste lid, tweede volzin.5 Voor zover een specifieke geheimhoudingsbepaling van toepassing is die het niet toelaat dat een ander wettelijk voorschrift daarop een uitzondering maakt, voegt hoofdstuk 4 een elftal uitzonderingen toe aan de sectorale wetten die dergelijke geheimhoudingsbepalingen bevatten. Voegt hoofdstuk 4 geen uitzondering toe aan een geheimhoudingsbepaling van dat type, dan geldt die onverkort. Dat is onder meer van belang in geval van absolute geheimhoudingsbepalingen die uit het internationale recht voortvloeien.
• Sectorale wetten bevatten veelal geen duidelijke, op samenwerkingsverbanden toegesneden, grondslagen voor verstrekking aan en verdere verwerking van gegevens door samenwerkingsverbanden waaraan ook een of meer private partijen deelnemen, terwijl dat met het oog op de behartiging van een doel van zwaarwegend algemeen belang wel wenselijk kan zijn. Dit knelpunt wordt opgelost door de basis die in artikel 1.3 is neergelegd voor deelname door private partijen.
• De verstrekking van de resultaten van de verwerking vanuit samenwerkingsverbanden heeft thans vaak een niet heel duidelijke grondslag als gevolg van het feit dat de grondslag voor de verstrekking van gegevens aan en de verwerking daarvan binnen een samenwerkingsverband ook al niet heel duidelijk is of niet op het samenwerkingsverband is toegesneden. In de artikelen 1.5 en 1.6 zijn daarvoor goede grondslagen opgenomen, alsmede in artikel 1.7 ook voor de verstrekking van de resultaten van de verwerking vanuit samenwerkingsverbanden.
• Samenwerkingsverbanden stuiten soms op het probleem dat een verstrekking van gegevens aan dat verband door een van de deelnemers en de verwerking daarvan binnen het verband in onvoldoende mate beantwoordt aan het principe van doelbinding. Dit principe kan op gespannen voet staan met het uitgangspunt van de integrale, multidisciplinaire benadering door een samenwerkingsverband. De WGS bewerkstelligt dat verstrekking van persoonsgegevens door een deelnemer aan het samenwerkingsverband voor het doel van dat verband, weliswaar samenhang moet vertonen, maar niet per se verenigbaar hoeft te zijn met de oorspronkelijke doeleinden waarvoor de persoonsgegevens worden verwerkt.6 De verwerking van persoonsgegevens voor een dergelijk niet verenigbaar doel is op grond van de AVG toegestaan, mits is voorzien in een deugdelijke wettelijke grondslag (artikel 6, vierde lid, AVG).
Overigens zijn de hier genoemde grondslagen in hoofdstuk 2 van het wetsvoorstel nog verder uitgewerkt.
Vraag 19 (SP)
De leden van de SP-fractie vragen de regering aan de hand van voorbeelden duidelijk te maken waarom de in dit wetsvoorstel gekozen vorm, met samenwerkingsverbanden en een verplichting om gegevens te delen, de enige juiste manier is om de betreffende maatschappelijke problemen op te lossen. Om welke maatschappelijke problemen gaat het bijvoorbeeld? Waarin en op welke onderdelen faalt de aanpak nu? Komt dat dan slechts door de barrières om informatie te delen of speelt geregeld ook een capaciteitsprobleem en te weinig menskracht daarin een rol? Wat kan nu niet in de aanpak dat straks wel kan? Kon dat niet op een andere, minder bezwaarlijke en minder vergaande manier worden geregeld? Graag zien voornoemde leden meerdere aansprekende voorbeelden tegemoet die deze vragen beantwoorden.
Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 17.
Vraag 20 (SP)
Voorts vragen de aan het woord zijnde leden of kan worden verduidelijkt wat nu precies het doel van de wet is. Met andere woorden: wat wil de regering bereiken door gegevensverwerking door samenwerkingsverbanden te regelen op de manier die ze in deze wet voorstelt en hoe kan bijvoorbeeld over een jaar, twee jaar, of vijf jaar beoordeeld worden of de wet inderdaad het gewenste effect heeft gehad? Graag ontvangen deze leden een zo precies mogelijk antwoord, bijvoorbeeld: x aantal procent meer vervolgingen; afname van x aantal procent georganiseerde criminele ondernemingen, etc.
Het doel van de WGS is de gegevensverwerking door bepaalde, in deze wet aangewezen samenwerkingsverbanden voor de vervulling van een daarin omschreven doel van een adequate juridische basis te voorzien, waardoor bestaande knelpunten in de gegevensverwerking die hiervóór zijn beschreven, worden weggenomen, en daarbij tevens in aanvulling op de AVG een aantal waarborgen vast te leggen voor een goede bescherming van de persoonsgegevens die door deze samenwerkingsverbanden worden verwerkt. Het wetsvoorstel bevat in artikel 5.1 een evaluatiebepaling die ertoe verplicht binnen vijf jaar na de inwerkingtreding daarvan verslag te doen over de doeltreffendheid en effecten van deze wet. De criteria aan de hand waarvan deze evaluatie zal plaatsvinden, zullen onder meer zijn gelegen in de mate waarin de knelpunten die de WGS beoogt op te lossen, daadwerkelijk zullen zijn opgelost. Voor deze evaluatie is verder van belang dat het wetsvoorstel de ontvangers van resultaten van de gegevensverwerking van het samenwerkingsverband ertoe verplicht om ten minste jaarlijks terug te koppelen wat de effectiviteit en bruikbaarheid van de resultaten was (artikel 1.7, vierde lid) en de deelnemers om een periodieke evaluatie op basis van deze terugkoppeling uit te voeren (artikel 1.7, vijfde lid). Op basis van de evaluatierapporten van de samenwerkingsverbanden kan dan ten behoeve van de evaluatie van de WGS een beeld worden gegeven van de effectiviteit van de WGS voor bijvoorbeeld de aanpak van ondermijnende criminaliteit. Overigens meent de regering dat de criteria om deze effectiviteit te beoordelen niet gezocht zullen moeten worden in het aantal vervolgingen dat sinds de inwerkingtreding van de WGS meer heeft plaatsgevonden, of in een afname van het aantal georganiseerde criminele ondernemingen. De ontwikkelingen op dat vlak hangen van zoveel meer factoren af dan alleen een betere gegevensverwerking en kunnen daarom onmogelijk specifiek aan de WGS worden toegerekend.
Vraag 21 (PvdD)
De leden van de Partij voor de Dieren-fractie delen de mening, zoals waarschijnlijk eenieder, dat fraude, diefstal of criminaliteit, in welke vorm dan ook, ongewenst is. Zij zijn echter niet van mening, zoals de regering dat wel lijkt, dat het bestrijden van bijvoorbeeld toeslagenfraude of winkeldiefstal een doel van dermate zwaarwegend algemeen belang is dat het terzijde schuiven van grondwettelijk beschermde grondrechten gerechtvaardigd is. Dit wetsvoorstel maakt het echter mogelijk voor zulke doelen de Grondwet en mensenrechten te schenden. Deze leden beoordelen dit als ongekend disproportioneel.
Voornoemde leden willen de regering wijzen op eerdere situaties waarin er een stevige disbalans was tussen het ingezette instrument en de daadwerkelijke misstand. Zij roepen daar het meest recente voorbeeld toe in herinnering. Het recente leed dat is veroorzaakt in het bestrijden van mogelijke fraude met kinderopvangtoeslagen staat in geen verhouding tot de daadwerkelijke fraude. Het is bewijs dat de inzet ter bestrijding van fraude schadelijker kan zijn dan de fraude zelf. Kan de regering daarop reflecteren? Fraude moet bestreden worden maar dan wel met middelen (zoals meer mankracht) die effectief zijn, zo min mogelijk negatieve impact hebben, onder controle van de volksvertegenwoordiging staan en de privacy en de Grondwet respecteren. Dit wetsvoorstel laat dit op alle bovenstaande punten na.
De regering is het eens met de leden van de Partij voor de Dieren-fractie dat vormen van criminaliteit, zoals fraude, bestreden moeten worden met proportionele middelen die onder de controle van de volksvertegenwoordiging staan en de privacy van burgers en de Grondwet respecteren. De regering is van mening dat de WGS een evenwichtig kader biedt voor samenwerkingsverbanden om gezamenlijk gegevens te verwerken voor een zwaarwegend algemeen belang, zoals de bestrijding van witwas- of fraudeconstructies of de bestrijding van georganiseerde criminaliteit. Niet alleen schept de WGS een duidelijke wettelijke grondslag voor samenwerkingsverbanden om gezamenlijk gegevens te verwerken, de WGS creëert ook een duidelijk begrensd en afgebakend kader voor welke gegevens welke partijen met welk doel gezamenlijk mogen verwerken. Bovendien gaan de mogelijkheden die de WGS biedt, gepaard met een groot arsenaal aan waarborgen om de privacy van burgers te beschermen.
Bij de bestrijding van criminaliteit is een goede informatiepositie voor de overheid onontbeerlijk. De regering merkt op dat de Afdeling advisering van de Raad van State in haar advies heeft overwogen dat de overheid ernstige en ondermijnende criminaliteit moet kunnen voorkomen, opsporen en bestrijden en dat bestuursorganen die gegevens hebben over zulke criminaliteit die gegevens daartoe moeten kunnen uitwisselen met elkaar en ook met private partijen, zodat zij effectief kunnen optreden. Nut en noodzaak van een wettelijke regeling voor deze informatie-uitwisseling wordt door de Afdeling advisering onderschreven. De Afdeling heeft de regering duidelijke adviezen gegeven voor hoe de WGS moet worden ingericht om aan de eisen van artikel 10 van de Grondwet en de AVG te voldoen. De regering heeft het advies opgevolgd en het wetsvoorstel aangepast conform deze adviezen. De regering meent daarmee een evenwichtig kader te hebben gecreëerd voor de gezamenlijke verwerking van gegevens door samenwerkingsverbanden, waarbij mogelijkheden tot informatie-uitwisseling gepaard gaan met heldere begrenzing van deze mogelijkheden en waarborgen ter bescherming van de privacy van burgers.
Voor wat betreft de toepassing van de WGS in de praktijk is van groot belang dat de eisen die de AVG stelt aan de verwerking van persoonsgegevens onverkort blijven gelden voor de deelnemers van een samenwerkingsverband. Bij alle bevoegdheden tot persoonsgegevensverwerking die de deelnemers van een samenwerkingsverband krijgen op grond van dit wetsvoorstel, moet bij de uitoefening telkens door de deelnemers worden getoetst of de persoonsgegevensverwerking noodzakelijk is met het oog op het doel waarmee zij gezamenlijk gegevens mogen verwerken. Elke separate persoonsgegevensverwerking moet daarnaast voldoen aan de eisen van de AVG, waaronder het beginsel van minimale gegevensverwerking (artikel 5, eerste lid, onderdeel c, van de AVG). Onderdeel daarvan is ook dat bij elke casus in het kader van de subsidiariteit en proportionaliteit steeds een afweging zal moeten worden gemaakt welke gegevens kunnen worden gedeeld en of dat noodzakelijk is voor het realiseren van het doel van het samenwerkingsverband alsmede welke deelnemers op welk moment betrokken moeten worden en dus in een concreet geval gerechtigd zijn gezamenlijk gegevens te verwerken.
Vraag 22 (PvdD)
In het beschrijven van de noodzaak wordt verder veel aandacht besteed aan het feit dat momenteel een heldere basis voor samenwerkingsverbanden (en de gegevensuitwisseling die daar nu reeds plaatsvindt) ontbreekt, zo constateren de leden van de Partij voor de Dieren-fractie. Is bij de regering bekend of er op dit moment samenwerkingsverbanden zijn die, in strijd met de huidige wetgeving, gegevens uitwisselen? Kan de regering aangeven om welke samenwerkingsverbanden het gaat? Acht de regering het wenselijk dat deze partijen op dit moment de wet overtreden? Is er sinds dit bekend is opgetreden tegen deze samenwerkingsverbanden? Zo nee, waarom niet? Was men daartoe niet verplicht?
Het is de regering niet gebleken dat er op dit moment samenwerkingsverbanden zijn die in strijd met de huidige wetgeving gegevens uitwisselen. Samenwerkingsverbanden wisselen momenteel gegevens uit op grond van en conform bestaande grondslagen die het mogelijk maken gegevens waarover een overheidsinstantie beschikt, uit te wisselen met andere overheidsinstanties voor zover dat noodzakelijk is voor de uitoefening van de taken en bevoegdheden van die instanties. Bij het gezamenlijk verwerken van gegevens stuiten samenwerkingsverbanden op knelpunten. De WGS beoogt een oplossing te bieden voor knelpunten die samenwerkingsverbanden in de praktijk ervaren. Deze knelpunten vormen namelijk een belemmering voor het optimaal functioneren van samenwerkingsverbanden omdat bepaalde noodzakelijke vormen van gezamenlijke, domeinoverstijgende gegevensverwerking nu niet mogen plaatsvinden of achterwege worden gelaten omdat er te veel onduidelijkheid bestaat over de grondslagen daarvoor.
De WGS beoogt een oplossing te bieden voor met name de volgende knelpunten. Verstrekking van gegevens aan een samenwerkingsverband berust veelal op grondslagen om aan afzonderlijke deelnemers aan dat verband gegevens te verstrekken. Dergelijke grondslagen zijn vaak te vinden in regelgeving die geldt voor een specifieke overheidsinstantie of binnen een specifiek rechtsgebied. Bij verstrekking van gegevens aan een deelnemer in een samenwerkingsverband dient telkens de noodzaak van een verstrekking per individuele deelnemer te worden aangetoond. Een heldere basis om gegevens voor het doel van het samenwerkingsverband als zodanig te verstrekken ontbreekt vaak. Een tweede knelpunt betreft de verwerking van gegevens binnen een samenwerkingsverband, omdat elke deelnemer gehouden is de door hem individueel ontvangen gegevens vertrouwelijk te behandelen. Deze eis staat in de weg aan een adequate gezamenlijke gegevensverwerking binnen een samenwerkingsverband. Een ander knelpunt is dat er vaak geen goede, op samenwerking met een of meer private partijen toegesneden grondslagen zijn, terwijl dat met het oog op de behartiging van een doel van zwaarwegend algemeen belang wel wenselijk kan zijn. Ook is een knelpunt de verstrekking van de resultaten van de verwerking vanuit samenwerkingsverbanden. Daarvoor ontbreekt vaak een adequate grondslag.
Vraag 23 (PvdD)
De Afdeling beschrijft in haar advies dat de huidige samenwerkingsverbanden slechts functioneren op basis van zelf opgestelde protocollen en er maar één samenwerkingsverband is dat een wettelijke basis kent (namelijk SyRi). Kan de regering daarop reageren?
Die constatering is volgens de regering juist. Daarbij moet worden opgemerkt dat gegevensuitwisseling op basis van protocollen als zodanig niet onrechtmatig is, mits de regels van de AVG en de Uitvoeringswet AVG (hierna: UAVG) in acht worden genomen. De Autoriteit persoonsgegevens ziet hierop toe en kan zo nodig handhavend optreden.
Vraag 24 (PvdD)
Hoe beziet de regering haar wetsvoorstel met de kennis dat juist het ene samenwerkingsverband met een wettelijke basis door de rechtbank Den Haag in de uitspraak van 5 februari 2020 (ECLI:NL:RBDHA:2020:1878) als strijdig met het Europees Verdrag voor de Rechten van de Mensen en de Fundamentele Vrijheden (EVRM) beoordeeld is? In welk opzicht beoordeelt zij haar inzet met het wetsvoorstel anders dan de inzet bij SyRi?
In de eerste plaats verschilt de WGS in fundamentele zin van de in de voormelde uitspraak onverbindend verklaarde wetgeving ter zake van de inzet van het systeem SyRI. Dit wetsvoorstel regelt weliswaar gezamenlijke gegevensverwerking door samenwerkingsverbanden, maar stelt geen systeem zoals SyRI in dat aan de hand van niet-toetsbare risico-modellen en indicatoren grote hoeveelheden bestandsgegevens aan elkaar koppelt en analyseert met het oog op risico-meldingen zonder de betrokkene daarover te informeren. De kritiek van de rechtbank Den Haag heeft betrekking op de inzet van het systeem SyRI en niet op de gegevensuitwisseling in het samenwerkingsverband als zodanig.
Gelet op de vraagstelling van de leden van de Partij voor de Dieren-fractie hecht de regering eraan te benadrukken dat de rechtbank Den Haag in voormelde uitspraak heeft geoordeeld dat de gegevensuitwisseling als zodanig ten behoeve van een samenwerkingsverband met het oog op het voorkomen en bestrijden van onrechtmatig gebruik van o.a. sociale zekerheidsvoorzieningen verenigbaar is met het EVRM (artikel 8, tweede lid). De WGS heeft ten doel de gezamenlijke verwerking van gegevens door samenwerkingsverbanden te regelen ten behoeve van het voorkomen en bestrijden van verschillende vormen van criminaliteit, of op het snijvlak van zorg en veiligheid. Voormelde uitspraak bevestigt het standpunt van de regering dat de WGS daarmee een legitiem doel dient, zoals artikel 8, tweede lid, van het EVRM vereist.
In de tweede plaats volgt uit de uitspraak dat geautomatiseerde gegevensanalyse en het gebruik van risicoprofielen in verband met de uitoefening van toezichthoudende taken op zich niet verboden is, maar dat dergelijke methodes wel voldoende inzichtelijk en controleerbaar moeten zijn en met voldoende waarborgen moeten zijn omkleed om de toets aan artikel 8, tweede lid, van het EVRM te kunnen doorstaan. Voor zover dit wetsvoorstel geautomatiseerde gegevensanalyse nu of in de toekomst mogelijk maakt, worden daaraan specifieke waarborgen verbonden in het voorgestelde artikel 1.9. Daarbij wordt in het belang van de transparantie in het bijzonder de verplichting gesteld om aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica (het voorgestelde artikel 1.9, derde lid). Anders dan in de onverbindend verklaarde SyRI-wetgeving zal bij het gebruik van risico-indicatoren en risicomodellen daarover zoveel mogelijk transparantie worden betracht zodat deze zo veel mogelijk toetsbaar zijn. Deze verplichting is opgenomen naar aanleiding van voornoemde uitspraak.
De uitzondering op deze verplichting die inhoudt dat van deze uitleg aan het publiek kan worden afgezien voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen verzetten, moet volgens de regering restrictief worden uitgelegd. Bij deze zwaarwegende redenen moet in ieder geval worden gedacht aan de situatie waarin het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, of dat de informatieverstrekking de verwezenlijking van de doeleinden van de gegevensverwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Als door het geven van voor het publiek toegankelijke wijze informatie bijvoorbeeld (volledig) bekend wordt hoe een profiel werkt, is er het risico dat degenen op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid van het profiel en de effectiviteit van het toezicht worden verminderd.
Daarnaast geldt dat met het gebruik van de woorden «voor zover» is beoogd te regelen dat de informatieverstrekking minder specifiek kan zijn als er zwaarwegende redenen zijn. Nadrukkelijk is niet beoogd dat dan geen informatieverstrekking plaatsvindt.
Of van dergelijke zwaarwegende redenen sprake is kan worden voorgelegd aan de coördinerende functionaris voor de gegevensbescherming van het samenwerkingsverband of aan de rechtmatigheidsadviescommissie van het samenwerkingsverband.
De inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse zullen nader worden geborgd in het voorgestelde artikel 2.14, eerste lid. Deze bepaling stelt ter zake van iCOV verplicht dat bij lagere regelgeving regels worden gesteld over de wijze van vaststelling van indicatoren, inclusief regels over de kwaliteit en de hypothese waarop deze zijn gebaseerd. Ook stelt het voorgestelde artikel 2.14, tweede lid, verplicht dat er nadere regels worden gesteld over de uitvoering van de gegevensanalyse, o.a. de wijze waarop de bescherming van de persoonlijke levenssfeer nader wordt gewaarborgd, de methoden van verwerking en de wijze waarop verbanden tussen gegevens zichtbaar worden gemaakt. Momenteel verrichten de RIEC’s geen geautomatiseerde gegevensanalyse, maar in het wetsvoorstel wordt wel de mogelijkheid gecreëerd om dat in de toekomst te gaan doen. Dezelfde regels zullen in dat geval ook gaan gelden voor de RIEC’s door deze op te nemen in de amvb waarin dat voor de RIEC’s wordt geregeld.
De privacy audits die samenwerkingsverbanden op grond van het voorgestelde artikel 1.10 moeten verrichten en waarvan de resultaten naar de Autoriteit persoonsgegevens worden gezonden, dienen eveneens de inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse. Gelet op het feit dat daarbij de uitvoering van de krachtens dit wetsvoorstel en de AVG gestelde regels wordt gecontroleerd, ligt in de rede dat de uitvoering van geautomatiseerde gegevensanalyse daarbij wordt betrokken. Daarnaast draagt het jaarverslag van de samenwerkingsverbanden dat op grond van het voorgestelde artikel 1.12 dient te worden opgesteld en op internet dient te worden geplaatst eveneens de transparantie en controleerbaarheid van gehanteerde methodes.
Ook de overige bezwaren van de rechtbank Den Haag worden voldoende ondervangen in dit wetsvoorstel, in het bijzonder met betrekking tot het informeren van betrokkenen, vaststelling van het doel van het samenwerkingsverband en het verrichten van een noodzakelijkheidstoets van de gegevensverwerking door alle deelnemers. Zo stelt de aanwijzing van de deelnemers aan het samenwerkingsverband als gezamenlijke verwerkingsverantwoordelijken op grond van het voorgestelde artikel 1.4, eerste lid, veilig dat betrokkenen hun recht op grond van artikel 14 van de AVG om geïnformeerd te worden jegens elke verwerkingsverantwoordelijke kunnen uitoefenen (artikel 26, derde lid, van de AVG). De vaststelling van het doel van het samenwerkingsverband wordt bij wet vastgelegd en wordt dus niet ter bepaling overgelaten aan de deelnemers van het samenwerkingsverband zelf. Ook de verstrekking van de in het wetsvoorstel opgenomen categorieën van gegevens door deelnemers aan het samenwerkingsverband is op grond van het voorgestelde artikel 1.5, eerste lid, in beginsel verplicht voor zover dat noodzakelijk is voor het wettelijk bepaalde doel van het samenwerkingsverband. Hoewel de categorieën te verstrekken gegevens in het wetsvoorstel zijn opgesomd, heeft iedere deelnemer beoordelingsruimte bij de vraag of in concrete gevallen gegevensverstrekking aan het samenwerkingsverband noodzakelijk is voor het doel van dat samenwerkingsverband.
Vraag 25 (PvdD)
De leden van de Partij voor de Dieren-fractie lezen in de memorie van toelichting dat het uitwisselen van data noodzakelijk is om te komen tot een zo efficiënt mogelijke aanpak. Met data wil de regering tot een efficiëntere aanpak komen van elk denkbaar probleem van winkeldiefstal tot fraude en terrorisme. Welke reden heeft de regering te denken dat op basis van de samenwerkingsverbanden tot een efficiëntere aanpak gekomen kan worden? Wordt door de regering alleen op efficiëntie gestuurd of zijn er ook nog andere belangen? Is ook overwogen om te komen tot een iets minder efficiënte maar ook minder ingrijpende aanpak? Zoals eerder door deze leden beschreven krijgt de proportionaliteit niet altijd voldoende aandacht. Het feit dat iets efficiënter zou kunnen wil niet zeggen dat het ook wenselijk is. Een verpleegkundige zou een patiënt heel efficiënt kunnen wassen door er een emmer water overheen te gooien. Of dat ook wenselijk is laat zich raden.
Dat data op dit moment soms niet «efficiënt» gedeeld kunnen worden wordt door de regering gezien als belemmering. Kan zij ingaan op de volgende stelling van de AP: «Waar in de memorie van toelichting sprake is van «belemmeringen» is evenzogoed sprake van «belangrijke waarborgen»»? Deelt de regering de stelling dat data delen nu als lastig gezien wordt omdat voldaan moet worden aan belangrijke waarborgen die misbruik van die data voorkomen? Zo nee, waarom niet? Wat heeft de regering gedaan met deze kritiek van de AP die eigenlijk als bijl aan de wortel van het wetsvoorstel ligt?
Zoals de leden van de Partij voor de Dieren-fractie aangeven is een efficiënte aanpak van essentiële maatschappelijke vraagstukken op het terrein van het voorkomen en bestrijden van criminaliteit een belangrijke reden voor dit wetsvoorstel, maar ook het vastleggen van voldoende waarborgen bij deze efficiënte aanpak is een reden voor dit wetsvoorstel. De behoefte aan dit wetsvoorstel wordt ingegeven door de wens om bepaalde vormen van criminaliteit meer dan voorheen van een integrale aanpak te voorzien, waarbij verschillende overheidsinstanties, en in sommige gevallen ook private partijen met elkaar samenwerken om die vraagstukken aan te pakken. Zo’n brede en integrale benadering vereist een efficiënte en doeltreffende samenwerking van alle betrokken partijen. Daarvoor is uitwisseling van informatie essentieel. Alleen dan kunnen partijen tot zo effectief mogelijke en op elkaar afgestemde interventies komen. Tegelijkertijd behoort te worden voorzien in deugdelijke en effectieve waarborgen voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer.
De WGS regelt de gezamenlijke gegevensverwerking voor vier samenwerkingsverbanden: het FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen. Deze samenwerkingsverbanden bestaan inmiddels ten minste vijf jaar en hebben hun meerwaarde bewezen bij de integrale aanpak van – samengevat – risico’s van respectievelijk inbreuken op de integriteit van het financiële stelsel, van witwas- of fraudeconstructies, van georganiseerde criminaliteit en van complexe problemen rond personen op het vlak van zorg en veiligheid. Dat samenwerking en gegevensuitwisseling tussen overheidsinstanties alsmede met private partijen met het oog op het voorkomen, opsporen en bestrijden van ernstige en ondermijnende criminaliteit noodzakelijk is, wordt ook onderschreven door de Afdeling advisering van de Raad van State in haar advies bij dit wetsvoorstel.
Op de overheid rust de plicht om als zij persoonsgegevens verwerkt ten behoeve van het voorkomen en bestrijden van criminaliteit, dat op een proportionele en subsidiaire manier te doen. Het wetsvoorstel zoals dat is voorgelegd aan de Afdeling advisering en de Autoriteit persoonsgegevens, beantwoordde daar niet in voldoende mate aan. Naar aanleiding van het advies van de Afdeling en de adviezen van de Autoriteit persoonsgegevens, onder andere op het punt dat de leden van de Partij voor de Dieren-fractie aanhalen, heeft de regering het wetsvoorstel op belangrijke punten aangepast. De regering meent met het aangepaste wetsvoorstel een evenwichtig en proportioneel kader te hebben gecreëerd voor de gezamenlijke verwerking van gegevens door samenwerkingsverbanden, waarbij mogelijkheden tot informatie-uitwisseling gepaard gaan met heldere begrenzing van deze mogelijkheden en waarborgen ter bescherming van het belang van de privacy van burgers. Daarbij geldt dat bij de toepassing van de WGS de deelnemers van een samenwerkingsverband ervoor zorg moeten dragen dat ook elke separate persoonsgegevensverwerking voldoet aan de eisen van de AVG. Onderdeel daarvan is ook dat bij elke casus in het kader van de subsidiariteit en proportionaliteit steeds een afweging zal moeten worden gemaakt welke gegevens met welke deelnemers kunnen worden gedeeld en of dat noodzakelijk is voor het realiseren van het doel van het samenwerkingsverband.
In reactie op de vraag van de leden van de Partij voor de Dieren-fractie of de regering de stelling deelt dat data delen nu als lastig gezien wordt omdat voldaan moet worden aan belangrijke waarborgen die misbruik van die data voorkomen, kan de regering aangeven dat data delen door de vier samenwerkingsverbanden als lastig wordt ervaren vanwege het ontbreken van een helder kader voor gezamenlijke gegevensverwerking – onder andere over welke waarborgen daarvoor gelden. De WGS beoogt de vier samenwerkingsverbanden en eventuele andere onder de WGS te brengen samenwerkingsverbanden deze helderheid te verschaffen. Zoals eerder ook in het antwoord op vraag 18 aangegeven is de regering van mening dat sommige waarborgen die als belemmering worden ervaren, juist wenselijk zijn in het kader van de bescherming van persoonsgegevens.
Vraag 26 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen of de regering bekend is met de publicatie «Pretenties van predictive policing, data zonder daadkracht» gepubliceerd in Cahiers Politiestudies 2020, waaruit blijkt dat de Nederlandse overheid al vele jaren teveel vertrouwd op de inzet van data in plaats van mankracht. Uit deze publicatie blijk dat die inzet veel minder effectief bleek dan beloofd en ernstige gevolgen kan hebben voor de rechtstaat en grondrechten zoals privacy. Een beleidsinzet die overigens ook vaak tot opsporings- en handhavingsinzet leidt die bovengemiddeld gericht is op etnische minderheden. Deelt de regering de conclusie dat er juist teveel op data vertrouwd wordt en te weinig op menskracht? Deelt de regering de conclusie dat de inzet op steeds meer data gevaren met zich meebrengt voor de rechtstaat, grondrechten en (etnische) minderheden? Acht zij dat wenselijk? Zo nee, wat gaat zij doen om dit te voorkomen? In het geval de regering de conclusies van de publicatie niet deelt, kan worden aangeven op basis waarvan de regering tot een andere mening komt?
De regering stelt voorop dat dit wetsvoorstel geen betrekking heeft op specifieke methoden die door de politie ter ondersteuning aan de uitvoering van hun eigen taak worden ingezet, zoals «predictive policing». Dit wetsvoorstel ziet op gegevensuitwisseling in samenwerkingsverbanden. Er zijn veel factoren die de inzet van politie bepalen, het gebruik van data is daar slechts één van. Bij het voorkomen en opsporen van strafbare feiten is de inzet, kennis en ervaring van agenten (menskracht) altijd bepalend. Data gegenereerd uit methodes als predictive policing vervullen daarbij een aanvullende, maar ondergeschikte rol. Bij de bestrijding van criminaliteit is een goede informatiepositie voor de overheid volgens de regering onontbeerlijk. Nut en noodzaak van een wettelijke regeling voor deze informatie-uitwisseling worden ook door Afdeling advisering van de Raad van State onderschreven. De regering acht het van groot belang dat de rechtsstaat, de grondrechten, in het bijzonder het verbod op verboden discriminatie worden gerespecteerd. Daarom heeft de regering een helder kader gecreëerd dat in overeenstemming is met de AVG, de Grondwet en internationale regelgeving, waarbij mogelijkheden voor gegevensverwerking gepaard gaan met een groot aantal waarborgen ter bescherming van de grondrechten van burgers.
Vraag 27 (PvdD)
De aan het woord zijnde leden vragen of de regering de mening deelt dat een van de andere doelen van het wetsvoorstel, namelijk het bestrijden van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen, op dit moment overduidelijk niet gebaat is bij meer geautomatiseerde data-analyses. Zo nee, waarom niet? Is de regering niet bekend met de schrijnende voorbeelden van burgers die zonder aanleiding en onterecht op zwarte lijsten terecht kwamen.? Dit waren zwarte lijsten die niet verantwoord konden worden en burgers wel ernstig in de problemen brachten.7
Het wetsvoorstel voorziet in aanvullende waarborgen en in een grondslag om bij of krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen op grond van deze wet te kunnen stellen (artikel 1.8 en volgende). Door naleving van deze kaders, in combinatie met de bepalingen van de AVG, wordt een herhaling van situaties als bij de toeslagenaffaire voorkomen.
Om te controleren of deze verplichtingen en waarborgen daadwerkelijk in acht worden genomen, is voorzien in een systeem van checks and balances. De verplichte rechtmatigheidsadviescommissie (artikel 1.8, zesde lid) heeft tot taak de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden op te lossen. Met de voorgestelde verplichting tot privacy audits is voorzien in een periodieke rechtmatigheidscontrole (artikel 1.10). Daarnaast is voorzien in onafhankelijk toezicht door de Autoriteit persoonsgegevens, de functionarissen voor gegevensbescherming en de coördinerend functionaris voor gegevensbescherming van het samenwerkingsverband.
Bij een gezamenlijke geautomatiseerde gegevensanalyse regelt artikel 1.9 aanvullende waarborgen, waaronder de verplichting tot menselijke tussenkomst bij de verstrekking van een resultaat van een gezamenlijke geautomatiseerde gegevensanalyse, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen (artikel 1.9, tweede lid). Hiermee wordt voorkomen dat een niet op juistheid en objectiviteit geverifieerd signaal wordt verstrekt, en dat ten onrechte een risico wordt gesignaleerd. Een andere waarborg is bijvoorbeeld de verplichting om op een voor het publiek toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9, derde lid). Ook valt onder meer te wijzen op de verplichting tot pseudonimisering (artikel 1.9, vijfde lid). Daarnaast bevat het wetsvoorstel diverse andere waarborgen, zoals een systeem met een beperkt aantal autorisaties, screening van medewerkers, logging, een vernietigingstermijn en de geheimhoudingsplicht.
Vraag 28 (CDA)
De leden van de CDA-fractie constateren dat de AP in haar aanvullend advies stelt dat de AMvB’s een voorhangprocedure dienen te krijgen. Het uiteindelijke wetsvoorstel bevat een systematiek van AMvB’s die een bijzondere nahangprocedure kennen. Wat is de reden voor het niet kiezen voor een voorhangprocedure, maar een bijzondere nahangprocedure?
Bij een nahangprocedure van een amvb waarbij een samenwerkingsverband wordt aangewezen wordt niet een ontwerp van de amvb, maar een vastgestelde amvb aan het parlement voorgelegd, voordat deze in werking kan treden. Voordeel hiervan is dat het parlement beschikt over het advies van de Afdeling advisering van de Raad van State met het nader rapport en aldus beschikt over alle relevante stukken.
Bij een voorhangprocedure is dit anders, aangezien die voorafgaat aan de adviesaanvraag aan de Afdeling advisering.
Vraag 29 (D66)
Het valt de leden van de D66-fractie op dat het wetsvoorstel zeer veel delegatiebepalingen bevat. Daardoor is voor deze leden lastig te overzien wat precies de gevolgen zijn. Hoewel zij begrip hebben voor de noodzaak tot flexibiliteit en niet alles op het niveau van een wet in formele zin hoeft te worden geregeld, vragen deze leden de regering nader in te gaan op de vraag of alle delegatiebepalingen wel strikt noodzakelijk zijn.
De noodzaak wordt met name ingegeven door de behoefte vanuit de praktijk van de samenwerkingsverbanden aan maatwerk en ruimte voor toekomstige ontwikkelingen en innovatie. Er zijn grofweg vier categorieën delegatiegrondslagen in de WGS te onderscheiden.
In de eerste plaats de delegatiegrondslag van artikel 1.8, eerste lid, die bepaalt dat voorwaarden en beperkingen kunnen worden gesteld aan alle verwerkingen van gegevens op grond van deze wet. Het formuleren van nadere waarborgen op grond van dit artikel kan zorgen voor een optimaal evenwicht tussen enerzijds het doel van gegevensverwerking en anderzijds de rechten en belangen van burgers en rechtspersonen. Voor nieuwe en ruimere verwerkingsmogelijkheden in het wetsvoorstel, die verder gaan dan de mogelijkheden die wet- en regelgeving nu biedt, zal onder meer ter zake van de gegevens van de Belastingdienst – inclusief FIOD, Toeslagen en Douane – expliciet worden gewogen of nadere regels moeten worden gesteld over de te verstrekken categorieën gegevens en zo ja in hoeverre voorwaarden en beperkingen aan de verwerking van die gegevens zullen worden verbonden. Eventuele voorwaarden en beperkingen zullen ervoor moeten zorgen dat alleen die gegevensverwerking plaatsvindt die strikt noodzakelijk is en waarbij het genoemde evenwicht wordt geborgd.
In de tweede plaats de delegatiegrondslagen uit hoofdstuk 1 die ter zake van de algemene bepalingen de mogelijkheid bieden nadere regels te stellen die zijn toegesneden op de praktijk, bijvoorbeeld ter zake van de gezamenlijke verwerkingsverantwoordelijkheid en de waarborgen die deelnemers van samenwerkingsverbanden in acht moeten nemen ter bescherming van de privacy. De WGS regelt in de huidige vorm de gezamenlijke gegevensverwerking voor vier samenwerkingsverbanden, met uiteenlopende doelen, activiteiten en werkwijzen. De delegatiegrondslagen uit hoofdstuk 1 dienen ertoe de nadere concretisering van de algemene bepalingen te kunnen differentiëren op een wijze die is toegesneden op het doel en de activiteiten van een samenwerkingsverband. Een voorbeeld is de werkwijze en de samenstelling van de rechtmatigheidsadviescommissie, de wijze van benoeming en ontslag van haar leden en de instelling van één gezamenlijke rechtmatigheidsadviescommissie ten behoeve van een cluster van samenwerkingsverbanden (het voorgestelde artikel 1.8, zesde lid). Aangezien de samenwerkingsverbanden andersoortige activiteiten met verschillende doelen verrichten, is het nodig dat de werkwijze en de samenstelling van de rechtmatigheidsadviescommissie daarop is aangesloten.
De derde categorie delegatiegrondslagen is te vinden in de onderscheiden vier paragrafen in het voorgestelde hoofdstuk 2, waarin de gezamenlijke gegevensverwerking voor de vier onderscheiden samenwerkingsverbanden is opgenomen. Deze delegatiegrondslagen maken het mogelijk de specifieke regels voor gezamenlijke gegevensverwerking voor de vier samenwerkingsverbanden nader te concretiseren op een wijze die maatwerk mogelijk maakt en ruimte biedt voor toekomstige ontwikkelingen en innovatie. Zo biedt het voorgestelde artikel 2.18, tweede lid, de mogelijkheid om voor de RIEC’s aanvullende activiteiten aan te wijzen, waaronder geautomatiseerde gegevensanalyse.
In de vierde plaats bevat het voorgestelde hoofdstuk 3 de mogelijkheid om bij amvb andere samenwerkingsverbanden op het terrein van criminaliteitsbestrijding onder de WGS te brengen en daar nadere regels over te stellen. Meer samenwerkingsverbanden die samenwerken met het oog op een zwaarwegend algemeen belang, genoemd in het voorgestelde artikel 3.1, kunnen, indien daartoe aanleiding is, op grond van deze delegatiegrondslag in staat worden gesteld gezamenlijk gegevens te verwerken, binnen de randvoorwaarden en met de waarborgen die in de WGS zijn opgenomen, alsmede met parlementaire betrokkenheid in de vorm van een nahangprocedure.
Vraag 30 (D66)
De aan het woord zijnde leden lezen dat de regering naar aanleiding van het advies van de Afdeling heeft besloten een viertal samenwerkingsverbanden bij wet te regelen en de mogelijkheid nieuwe samenwerkingsverbanden bij AMvB aan te wijzen te koppelen aan een nahangprocedure, waarbij een van beide kamers van de Staten-Generaal bij meerderheid kan beslissen de instelling van dat samenwerkingsverband bij wet te regelen. Voornoemde leden vinden dat een stap vooruit, omdat daarmee de rol van het parlement bij dit belangrijke onderwerp wordt versterkt. De aan het woord zijnde leden vragen wel waarom de regering kiest voor een nahangprocedure en niet gewoon voor het indienen van een voorstel tot wijziging van de wet, indien zij van mening is dat een samenwerkingsverband zou moeten worden toegevoegd. Zou een dergelijke procedure niet meer recht doen aan de noodzaak voor een degelijke wettelijke grondslag en de afweging tussen het belang van het delen van informatie en het belang van het bestrijden van ernstige georganiseerde criminaliteit?
De leden van de D66-fractie vragen waarom onderscheid wordt gemaakt tussen de vier bestaande samenwerkingsverbanden (die wel een formeel wettelijke grondslag krijgen) en andere samenwerkingsverbanden, waarbij een AMvB volstaat? Ook de AP, het College voor de Rechten van de Mens en het NJCM vragen in hun adviezen hier aandacht voor. Waarom is niet voor dezelfde route gekozen als de vier bestaande samenwerkingsverbanden: een formeel wettelijke grondslag? Door de aanwijzing van samenwerkingsverbanden via AMvB wordt de materiele reikwijdte van deze wet fors verbreedt, door samenwerkingsverbanden via brede doelen van zwaarwegend belang onder hoofdstuk 3 toe te staan.
In dit wetsvoorstel is getracht een balans te vinden tussen enerzijds het bieden van de noodzakelijke waarborgen, waaronder ook de betrokkenheid van het parlement, en anderzijds het creëren van de mogelijkheid om bij een zwaarwegend algemeen belang voortvarend en effectief in te kunnen spelen op grote knelpunten in de praktijk. Deze balans komt tot uitdrukking in de keuze om de gegevensverwerking van vier bestendige samenwerkingsverbanden in het wetsvoorstel te regelen. De mogelijkheid om bij amvb bepaalde samenwerkingsverbanden te kunnen aanwijzen, is opgenomen om de volgende redenen:
– Snelheid en flexibiliteit. Het maken van amvb’s voor samenwerkingsverbanden gaat sneller dan telkens een nieuwe wet maken. Doorontwikkeling van techniek, beveiliging en data-analyse en de aanpassingssnelheid van criminelen aan diezelfde ontwikkelingen vergen extra snelheid en grotere flexibiliteit, zoals ook door de leden van de CDA-fractie is opgemerkt.
– Het is niet alleen aan de regering, maar ook aan het parlement als medewetgever om te bepalen of zij een samenwerkingsverband al dan niet in de wet geregeld wil hebben. Een nahangprocedure verzekert dat de Tweede Kamer hierover een oordeel kan vellen bij elke amvb waarin een samenwerkingsverband wordt aangewezen.
Vier (clusters van) bestendige samenwerkingsverbanden zijn wel in het wetsvoorstel opgenomen, omdat zij – kort gezegd – belangrijk zijn voor de veiligheid, en omdat zij knelpunten ondervinden die in de weg staan aan een optimaal functioneren van het samenwerkingsverband en waarvoor oplossing in de vorm van wetgeving gerechtvaardigd is.
Vraag 31 (GroenLinks)
De leden van de GroenLinks-fractie begrijpen de opzet van een kaderwet, maar betreuren het dat de beoordelingscriteria voor bijvoorbeeld het bepalen van het zwaarwegend algemeen belang om gegevens in samenwerkingsverbanden te delen niet in de wet zelf worden opgenomen. Ook de voorwaarden en beperkingen die aan verwerking kunnen worden gesteld worden in het wetsvoorstel bij AMvB en niet bij wet geregeld. Deze leden vragen de regering te beargumenteren waarom dit soort essentiële randvoorwaarden niet in deze kaderwet thuishoren.
Het oorspronkelijke wetsvoorstel had het karakter van een kaderwet, maar mede naar aanleiding van het advies van de Afdeling advisering van de Raad van State is daarvan afgestapt en worden de vier belangrijkste samenwerkingsverbanden in het wetsvoorstel zelf uitgewerkt. Het wetsvoorstel bevat weliswaar delegatiegrondslagen voor de voorwaarden en beperkingen die aan de gegevensverwerking worden gesteld, maar deze zijn aanvullend van aard: ook het wetsvoorstel zelf stelt voorwaarden en beperkingen aan de gegevensverwerking. Zo bevat het wetsvoorstel voorwaarden en beperkingen aan de doelen waarvoor samenwerkingsverbanden gegevens mogen verwerken, de aanwijzing van deelnemers, de bevoegdheden van de deelnemers, de positie van private partijen en de verantwoordelijkheden van de deelnemers. Daarnaast bevat het wetsvoorstel diverse waarborgen, evenals materiële regels over gegevensverwerkingen.
De beoordelingscriteria voor het bepalen van een zwaarwegend algemeen belang bij samenwerkingsverbanden die bij amvb kunnen worden aangewezen, zijn in artikel 3.1 opgenomen:
a. het voorkomen en bestrijden van ernstige vormen van criminaliteit;
b. het voorkomen en bestrijden van grootschalig of systematisch onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen; of
c. het voorkomen en bestrijden van grootschalige of systematische ontduiking van wettelijke verplichtingen tot betaling van belastingen, retributies en rechten bij in- en uitvoer.
Of daadwerkelijk sprake is van een zwaarwegend algemeen belang, moet worden getoetst aan de hand van een belangenafweging tussen het belang dat gediend wordt met de gezamenlijke verwerking van persoonsgegevens en het belang van de persoonlijke levenssfeer van degenen op wie de persoonsgegevens betrekking hebben. Bij deze belangenafweging moeten ook de beginselen van proportionaliteit en subsidiariteit worden betrokken. Het is lastig om de beoordelingscriteria voor een zwaarwegend algemeen belang nader te concretiseren in de wet, omdat deze van de context afhankelijk zijn en in de loop van de tijd zich verder kunnen ontwikkelen. Een en ander laat onverlet dat de regering ertoe is gehouden om in de nota van toelichting bij een amvb op grond van hoofdstuk 3, een concrete onderbouwing te geven van de aanwezigheid van het zwaarwegend algemeen belang dat voor een specifiek samenwerkingsverband de verwerking van persoonsgegevens rechtvaardigt. In de vorm van een nahangprocedure kan ook het parlement zich hierover uitspreken.
Vraag 32 (GroenLinks)
Kent de regering daarnaast het fenomeen van overdreven techno-optimisme? Hoe wil zij ervoor zorgen dat sprake is van techno-realisme?
Ongerechtvaardigd techno-optimisme in de zin dat technologie alle problemen oplost, is niet verstandig. Wanneer echter bij voorbaat moderne technieken zouden worden uitgesloten om bepaalde risico’s met betrekking tot individuele personen in beeld te brengen, zou het gevolg zijn dat kansen worden gemist en dat het functioneren van sommige samenwerkingsverbanden suboptimaal blijft. Moderne technieken zijn bij sommige samenwerkingsverbanden noodzakelijk om veiligheidsrisico’s in kaart te brengen, zoals bijvoorbeeld bij iCOV, om risico’s inzake witwas- of fraudeconstructies boven water te krijgen. Er moet echter voor gewaakt worden dat de nieuwe technieken zelf een risico vormen voor bijvoorbeeld de kwaliteit en zorgvuldigheid van het overheidshandelen. Daarom is het noodzakelijk om het gebruik van nieuwe technieken gepaard te laten gaan met behoorlijke waarborgen, en daaraan voorwaarden te verbinden.
Technorealisme is in de literatuur8 omschreven als het aanvaarden van de goede kanten van de nieuwe technologieën, maar het zich er tegelijkertijd van bewust zijn dat technologieën niet neutraal zijn en dat men een scherp oog voor de negatieve kanten moet hebben. Naar realisme wordt voorts gestreefd door goed te kijken naar de effectiviteit en deze te evalueren. Het wetsvoorstel voorziet in een evaluatiebepaling, een verplicht jaarverslag over de effectiviteit (artikel 1.12), een verplichte periodieke privacy audit (artikel 1.10) en de verplichting voor de deelnemers om periodiek de gehanteerde werkwijze te evalueren (artikel 1.7, vijfde lid), inclusief – indien van toepassing – de gehanteerde patronen en indicatoren, ten behoeve van de verbetering van de patronen en indicatoren.
Vraag 33 (GroenLinks)
Voor de aan het woord zijnde leden is de invoering van een horizonbepaling van groot belang. Hoe kijkt de regering hiernaar?
Wij zijn van mening dat het zinvol is om na vijf jaren de afweging te maken of een samenwerkingsverband nog steeds noodzakelijk is en of de wet op de juiste manier functioneert. Het wetsvoorstel is dan ook aangepast met een verplichting om zowel de wet als de amvb’s na vijf jaar te evalueren.
Een horizonbepaling daarentegen acht de regering hier niet op haar plaats. Het gaat immers naar zijn aard niet om een tijdelijk probleem of een tijdelijk fenomeen. Het is duidelijk dat er altijd behoefte zal zijn aan het delen van informatie en dus ook persoonsgegevens. Uiteraard kan uit de evaluatie na vijf jaar wel blijken dat de wet of de onderliggende amvb’s op onderdelen aanpassing behoeven. De procedure daartoe zal dan zo snel mogelijk in gang worden gezet.
Vraag 34 (GroenLinks)
Kan de regering per samenwerkingsverband aangeven wanneer de gegevensdeling een succes is?
Elk samenwerkingsverband zal op grond van artikel 1.12 jaarlijks een jaarverslag moeten opstellen. Daarin zal het de terugkoppelingen over de effectiviteit en de bruikbaarheid van de geleverde informatieproducten moeten beschrijven die het op grond van artikel 1.7, vierde lid, van de ontvangers van deze producten heeft gekregen. Deze beschrijvingen zullen per samenwerkingsverband een indicatie geven van het succes van de gegevensuitwisseling onder de werking van de WGS en worden meegenomen in de in artikel 5.1 voorgeschreven evaluatie van deze wet. De criteria voor de beoordeling van dit succes zullen worden opgesteld bij de voorbereiding van deze evaluatie. Daarbij zal worden gelet op de vraag of het wetsvoorstel de samenwerkingsverbanden heeft gefaciliteerd in het bereiken van hun wettelijke doelstellingen, en of de waarborgen van de persoonlijke levenssfeer naar behoren functioneren.
Vraag 35 (GroenLinks)
Gezien de impact van gegevensverwerking en -deling voor de rechtspositie en -bescherming van in beginsel onverdachte burgers, zeker als dat in publiek-private samenwerkingsverbanden plaatsvindt, vinden de aan het woord zijnde leden het noodzakelijk dat volledige duidelijkheid bestaat over onder meer het doel van gegevensverwerking, wie onder welke voorwaarden toegang heeft tot gedeelde gegevens, hoe besluitvorming plaatsvindt en welke rol al dan niet (zelflerende) algoritmen daarin hebben, wie toezicht houdt op de rechtmatige gegevensverwerking en hoe burgers inzicht krijgen in de wijze waarop hun gegevens worden gebruikt. Wordt voorafgaand aan een besluit tot datadeling benoemd wat de te verwachten effecten zijn? Worden die effecten ook geëvalueerd? Voornoemde leden trekken de parallel met predictive policing: daar was en is veel enthousiasme voor. Echter, na onderzoek kwam de Politieacademie in 2017 tot de conclusie dat het geen aanwijzingen heeft kunnen vinden dat predictive policing uiteindelijk leidt tot minder (stijgende) criminaliteit (zie «Predictive policing: lessen voor de toekomst», Politieacademie 2017, pag. 41).
De regering stelt voorop dat dit wetsvoorstel geen betrekking heeft op specifieke methoden die door de politie ter ondersteuning aan de uitvoering van haar eigen taak worden ingezet, zoals «predictive policing».
Zoals toegelicht in het antwoord op de vorige vraag, worden de effecten van de gegevensverwerking op diverse wijzen geëvalueerd. Uit artikel 36 van de AVG volgt dat een samenwerkingsverband voorafgaand aan een voorgenomen verwerking van persoonsgegevens de Autoriteit persoonsgegevens moet raadplegen wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling een hoog risico laat zien wanneer het samenwerkingsverband geen maatregelen neemt om het risico te beperken. Verder voorziet het wetsvoorstel in een evaluatiebepaling (het voorgestelde artikel 5.1), een verplicht jaarverslag over de effectiviteit van het samenwerkingsverband (het voorgestelde artikel 1.12), een verplichte periodieke privacy audit (het voorgestelde artikel 1.10) en de verplichting voor de deelnemers om periodiek de gehanteerde werkwijze te evalueren (het voorgestelde artikel 1.7, vijfde lid).
Vraag 36 (GroenLinks)
De leden van de GroenLinks-fractie begrijpen dat de werkingssfeer van het wetsvoorstel op dit moment is beperkt tot het FEC, de iCOV, de RIEC’s en de ZVH. Bij AMvB kunnen andere samenwerkingsverbanden onder de werkingssfeer van de wet worden gebracht. Voornoemde leden stellen het op prijs dat deze regering afziet van de gedachte van de vorige regering dat voor aanwijzing een convenant volstaat, maar vragen of met het oog op de inperking van grond- en mensenrechten een AMvB voldoende rechtsbasis biedt. De aan het woord zijnde leden bepleiten een formeel wettelijke juridische grondslag voor de aanwijzing van andere samenwerkingsverbanden. Met het oog op de te maken afweging tussen noodzaak en grondrechtenaantasting is de aanwijzing bij wet in formele zin naar het oordeel van deze leden de koninklijke weg, en het niet te laten afhangen van de uitkomst van de voorgestelde nahangprocedure. In de wetenschap dat dit soort wetswijzigingen ook nog eens relatief snel zijn door te voeren, zien de aan het woord zijnde leden niet in dat dit ten koste zou kunnen gaan van de door de regering gewenste flexibiliteit. Graag ontvangen zij een reactie.
Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 30.
Vraag 37 (SP)
De leden van de SP-fractie constateren dat de term AMvB wel zestig keer voorkomt in het wetsvoorstel. Dat feit zegt op zichzelf misschien nog niet alles, maar er wordt wel erg veel overgelaten aan de mogelijkheid om later, in lagere regelgeving, belangrijke besluiten te nemen. Dit betreft onder meer de samenstelling van het verband en de deelnemers, de categorieën gegevens die verstrekt moeten gaan worden, de werkwijze en de respectievelijke verantwoordelijkheden van de deelnemers, de voorwaarden en beperkingen aan de verwerkingen van persoonsgegevens, etc. Dat zijn zeker geen ondergeschikte punten. Waarom is ervoor gekozen om zoveel onderdelen later in te vullen? Waarom is slechts op een enkele plaats gekozen voor een voorhangbepaling?
Op de vragen van de leden van SP-fractie over het aantal delegatiegrondslagen in het wetsvoorstel en de redenen daarvoor, verwijst de regering naar de beantwoording van de vraag van de leden van de D66-fractie over dit onderwerp (vraag 29). De delegatiegrondslagen zijn met name noodzakelijk vanwege de behoefte vanuit de praktijk van de samenwerkingsverbanden aan maatwerk en ruimte voor toekomstige ontwikkelingen en innovatie. In navolging van het advies van de Afdeling advisering van de Raad van State heeft de regering de hoofdelementen van de gezamenlijke gegevensverwerking voor vier samenwerkingsverbanden opgenomen in het wetsvoorstel (FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen). Het gaat daarbij onder meer om het doel van het samenwerkingsverband, welke partijen deelnemen met het oog op de opgesomde taken en bevoegdheden, de activiteiten die zij verrichten, welke gegevens zij daarbij mogen verwerken (waaronder soms bijzondere persoonsgegevens), onder welke randvoorwaarden en welke waarborgen voor de gezamenlijke gegevensverwerking gelden. Bij de voorbereiding is de bestaande praktijk van de samenwerkingsverbanden als uitgangspunt genomen. Daarbij heeft een aantal deelnemers aan de samenwerkingsverbanden de nadrukkelijke wens geuit om voldoende flexibiliteit zodat maatwerk mogelijk wordt en ruimte wordt geboden voor toekomstige ontwikkelingen en innovatie. Door de hoofdelementen op het niveau van formele wet te regelen en ruimte te bieden voor uitwerking daarvan bij lagere regelgeving, meent de regering de balans te houden tussen het advies van de Afdeling advisering en de behoefte uit de praktijk aan flexibiliteit. Formele betrokkenheid van het parlement bij de lagere regelgeving is daarom slechts bij enkele bijzondere onderwerpen geregeld, zoals de regeling van de gezamenlijke gegevensverwerking van nieuwe samenwerkingsverbanden.
Vraag 38 (SP)
De aan het woord zijnde leden vragen waarom er niet voor gekozen wordt om bij wet een grondslag op te nemen voor de verstrekking van gegevens aan een samenwerkingsverband, of dit in ieder geval te doen voor de private partijen die deelnemen aan een publiek-privaat samenwerkingsverband. Is het niet juist van belang om zo veel mogelijk waarborgen, duidelijkheid en eenheid te creëren in het beleid wanneer met name private partijen ook deelnemen aan een samenwerkingsverband? Private partijen dienen namelijk in essentie niet per se hetzelfde doel als publieke partijen, namelijk het dienen van de samenleving, zo merken voornoemde leden op.
Het voorgestelde artikel 1.5 (Verstrekking aan het samenwerkingsverband) voorziet in een wettelijke grondslag voor de verstrekking van gegevens aan het samenwerkingsverband door elke deelnemer – zowel publieke als private deelnemers. Vanwege het belang van duidelijkheid en eenheid is daarbij geen onderscheid gemaakt tussen het publieke of private karakter van de deelnemers. Het voorgestelde artikel 1.5, eerste lid, bepaalt dat elke deelnemer de bij of krachtens deze wet aangewezen categorieën van gegevens aan het samenwerkingsverband verstrekt, voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband, tenzij naar het oordeel van de deelnemer zwaarwegende redenen zich daartegen verzetten. Voor elk samenwerkingsverband is in de toepasselijke paragraaf in het voorgestelde hoofdstuk 2 bepaald welke partijen, publiek of privaat, deelnemen aan het desbetreffende samenwerkingsverband en welke categorieën gegevens de deelnemers aan het samenwerkingsverband verstrekken. Hierdoor is voor alle vier samenwerkingsverbanden duidelijk wie er deelneemt en welke gegevens worden verstrekt. Volledigheidshalve merkt de regering op dat de WGS niet alleen de grondslag regelt voor de verstrekking van gegevens aan het samenwerkingsverband, maar ook grondslagen regelt voor de verwerking van gegevens binnen een samenwerkingsverband (o.a. het voorgestelde artikel 1.6) en voor de verstrekking van de resultaten aan deelnemers en derden (o.a. het voorgestelde artikel 1.7).
Vraag 39 (SP)
De aan het woord zijnde leden lezen dat de AP toestemming moet geven voor profilering. Concreet betekent dit dat toestemming niet ziet op elke keer dat deze profilering wordt toegepast, maar dat de toestemming betrekking heeft op een bepaalde profileringsvorm die in de AMvB is vastgelegd. De vorm van profilering wordt dus niet in deze wet geregeld, maar per AMvB. Wat voornoemde leden betreft zou zo iets ingrijpends niet per AMvB geregeld moeten worden. Kan uitgebreid worden verduidelijkt waarom de regering daar anders over denkt? Desalniettemin klinkt dit als een forse taakverzwaring voor de AP. Wordt de AP daarvoor ook gecompenseerd in de vorm van meer budget? Zo nee, waarom niet?
Het wetsvoorstel bevat naar aanleiding van het advies van de Afdeling niet langer een bepaling inzake voorafgaande toestemming van de Autoriteit persoonsgegevens. Een dergelijke rol voor de Autoriteit persoonsgegevens zou betekenen dat de uitvoering van de wet de facto afhankelijk wordt gesteld van de toestemming van de toezichthouder. De Afdeling schreef in haar advies op het onderhavige wetsvoorstel over voorafgaande toestemming: «Deze bepaling is weliswaar gebaseerd op de AVG maar is in de praktijk niet zonder problemen: het houdt in dat de Autoriteit persoonsgegevens intensief wordt betrokken bij een bestuurlijke afweging, die niet gemaakt zou moeten worden door de toezichthouder maar door het bevoegde en aanspreekbare bestuursorgaan. Dat orgaan is bovendien beter op de hoogte van de elementen die op zijn eigen specifieke werkterrein afgewogen moeten worden dan de algemene toezichthouder. Daar komt bij dat het verlenen van toestemming gelet op de complexiteit van de materie en de verschillende belangen die in het geding zijn, een omvangrijk onderzoek noodzakelijk zal maken.»
Om wel te voorzien in aanvullende waarborgen, zijn diverse andere waarborgen toegevoegd aan het wetsvoorstel. Dat doet het wetsvoorstel, door bijna twintig waarborgen te regelen, zoals toegelicht in paragraaf 3.4 van de memorie van toelichting. Te wijzen valt – onder veel meer – op de verplichte rechtmatigheidsadviescommissie en de verplichte periodieke privacy audits.
Het bestaande instrument van voorafgaande raadpleging van de Autoriteit persoonsgegevens biedt overigens een voldoende waarborg dat de Autoriteit persoonsgegevens wordt geraadpleegd indien daartoe aanleiding is. Zoals toegelicht in paragraaf 3.5 houdt dat in dat verwerkingsverantwoordelijken op grond van artikel 36, eerste lid, van de AVG verplicht zijn de Autoriteit persoonsgegevens te «raadplegen» over een voorgenomen verwerking van persoonsgegevens wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling is dat er sprake is van een hoog risico wanneer het samenwerkingsverband geen maatregelen zou nemen om het risico te beperken. Deze voorafgaande raadpleging geldt nu reeds, ongeacht de vraag of sprake is van samenwerkingsverbanden. Het wetsvoorstel brengt geen aanvulling of wijziging in de rol van de Autoriteit persoonsgegevens.
Bij de voorafgaande raadpleging van de Autoriteit persoonsgegevens zijn twee uitkomsten mogelijk.
– De voorafgaande raadpleging leidt niet tot een advies van de Autoriteit persoonsgegevens. Dit is het geval wanneer er toch geen sprake is van een hoog restrisico, of wanneer er voldoende maatregelen zijn genomen om de risico’s te verminderen. In dat geval is er geen beletsel om te beginnen met de voorgelegde verwerking van de persoonsgegevens.
– De voorafgaande raadpleging leidt wel tot een advies van de Autoriteit persoonsgegevens. In het advies geeft de Autoriteit persoonsgegevens aan welke maatregelen/veranderingen er nodig zijn. Hoewel de term «advies» de indruk wekt dat dit niet bindend is, legt de Autoriteit persoonsgegevens de AVG zodanig uit dat handhavend kan worden opgetreden «als na afloop van de voorafgaande raadpleging blijkt dat een verwerkingsverantwoordelijke is begonnen met de verwerking in strijd met het gegeven advies».9
Ongeacht de exacte status van het advies van de Autoriteit persoonsgegevens, laat dit onverlet dat de Autoriteit persoonsgegevens te allen tijde de bevoegdheid behoudt om zelfstandig of op verzoek toezicht te houden. Uit overweging 94 van de AVG blijkt dat zelfs indien de Autoriteit persoonsgegevens bij de voorafgaande raadpleging geen aanleiding zag om een advies uit te brengen, er later toch nog handhavend kan worden opgetreden: «Het uitblijven van een reactie van de toezichthoudende autoriteit binnen die termijn dient evenwel een optreden van de toezichthoudende autoriteit overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden.»
Volledigheidshalve wordt voor wat betreft de (on)toelaatbaarheid van profilering volgens het wetsvoorstel, verwezen naar het antwoord op vraag 80.
Vraag 40 (ChristenUnie)
Vanuit de eerste zorg hebben de leden van de ChristenUnie-fractie onder meer vragen over de keuze voor een nahangprocedure. Lezen zij het goed dat de nahangprocedure voor elke uitbreiding zou gelden? Heeft de regering overwogen als uitgangspunt een voorhangprocedure te hanteren en enkel in uitzonderlijke gevallen, goed beargumenteerd, over te gaan tot een nahangprocedure?
Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 28.
Vraag 41 (PvdD)
De leden van de Partij voor de Dieren-fractie vinden het zorgwekkend en onwenselijk dat de regering ervoor kiest het wetsvoorstel vorm te geven als kaderwet. Bij kaderwetgeving wordt wetgeving dermate ruim opgezet dat de daadwerkelijke uitwerking in lagere vormen van besluitvorming, en daarmee buiten de medewetgevende macht van het parlement, plaatsvindt. Waarom is voor deze aanpak gekozen gezien het een wet is die zo’n fundamentele inbreuk maakt (of gaat maken) op grondrechten?
De regering is vast bekend met de kritiek op kaderwetgeving die de Afdeling al een aantal jaren achter elkaar verwoord. Voornoemde leden vragen wat de regering hiermee heeft gedaan. Waarom heeft zij ervoor gekozen na kritiek op dit punt enkele clusters van samenwerkingsverbanden in de wet onder te brengen, maar het kaderwetgevende karakter van de wet verder in stand te laten? Is de regering van mening dat daarmee een heldere juridische basis voor samenwerkingsverbanden wordt gecreëerd? Is de regering bereid het wetsvoorstel opnieuw aan de Afdeling voor te leggen? Zo nee, waarom niet?
De regering begrijpt de vragen van de leden van de Partij voor de Dieren-fractie aldus dat deze betrekking hebben op het oorspronkelijke wetsvoorstel zoals dat is voorgelegd aan o.a. de Autoriteit persoonsgegevens en de Afdeling advisering van de Raad van State. Het oorspronkelijke wetsvoorstel was inderdaad vormgegeven als kaderwet. Naar aanleiding van het advies van de Afdeling advisering van de Raad van State bij het oorspronkelijke wetsvoorstel, is het wetsvoorstel ingrijpend aangepast en zijn alle door de Afdeling advisering genoemde hoofdelementen van de gezamenlijke gegevensverwerking in het wetsvoorstel opgenomen voor de vier samenwerkingsverbanden FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen. Het gaat daarbij onder meer om het doel van het samenwerkingsverband, welke partijen deelnemen met het oog op de opgesomde taken en bevoegdheden, de activiteiten die zij verrichten, welke gegevens zij daarbij mogen verwerken (waaronder soms bijzondere persoonsgegevens), onder welke randvoorwaarden en welke waarborgen voor de gezamenlijke gegevensverwerking gelden. Het aangepaste wetsvoorstel bevat een omvattende regeling voor de gezamenlijke gegevensverwerking door de vier genoemde samenwerkingsverbanden en niet meer slechts een kader daarvoor. Het wetsvoorstel voorziet ook in waarborgen en in een grondslag om bij of krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen op grond van deze wet te stellen (artikel 1.8, eerste lid). De regering is van mening daarmee een voorstel voor een heldere juridische basis te hebben gedaan inzake de vier samenwerkingsverbanden.
In de toekomst kan de behoefte ontstaan om ook andere bestaande en nieuwe samenwerkingsverbanden onder de werking van de WGS te kunnen brengen. Zoals nader toegelicht in het antwoord op vraag 30, wordt met hoofdstuk 3 een delegatiegrondslag voorgesteld, op basis waarvan andere bestaande of nieuwe samenwerkingsverbanden bij amvb kunnen worden aangewezen. Daarbij wordt een bijzondere nahangprocedure voorgesteld om het parlement ook bij de aanwijzing en regeling van dit nieuwe verband te betrekken. Deze procedure houdt in dat na publicatie van de amvb de Staten-Generaal een periode van vier weken krijgen waarin één van beide Kamers met een absolute meerderheid kan verzoeken om het in de amvb geregelde onderwerp bij wet te regelen. In dat geval wordt de amvb onverwijld ingetrokken en wordt een daartoe strekkend wetsvoorstel zo spoedig mogelijk ingediend. Ook al kent de WGS de mogelijkheid om bij lagere regelgeving de gezamenlijke gegevensverwerking voor andere samenwerkingsverbanden te regelen, wordt het kaderwetgevend karakter daarvan beperkt door deze bijzondere nahangprocedure.
Op de vraag van de leden van de Partij voor de Dieren-fractie of de regering bereid is het wetsvoorstel opnieuw aan Afdeling advisering van de Raad van State voor te leggen, verwijst de regering naar de beantwoording van de vraag van de leden van CDA-fractie over dit onderwerp (vraag 8).
Vraag 42 (PvdD)
Voornoemde leden vragen of de regering de kritiek deelt, zoals verwoord door meerdere partijen, dat elk samenwerkingsverband, indien dit gewenst geacht zou zijn, een aparte wet zouden behoeven. Zo nee, waarom niet?
Het aangepaste wetsvoorstel bevat een integraal kader voor de gezamenlijke gegevensverwerking door vier samenwerkingsverbanden, die met elkaar gemeen hebben dat zij alle een rol vervullen bij de bestrijding van criminaliteit en dat naast bestuurlijke partijen, zoals de gemeentelijke en provinciale bestuursorganen, ook de politie en het OM (vaste) deelnemers zijn. Op de gezamenlijke gegevensverwerking door deze samenwerkingsverbanden zijn dezelfde uit de AVG voortvloeiende eisen van toepassing. De WGS biedt dan ook het voordeel dat deze eisen op één plek en op uniforme wijze nader worden uitgewerkt voor deze samenwerkingsverbanden, en mogelijk in de toekomst voor andere samenwerkingsverbanden met aanverwante doelen die krachtens het voorgestelde hoofdstuk 3 gezamenlijk gegevens gaan verwerken. Bovendien maakt deze constructie het mogelijk algemene bepalingen op te nemen over onder andere de gezamenlijke verwerkingsverantwoordelijkheid, de uitwisseling van gegevens met het samenwerkingsverband en waarborgen voor de bescherming van persoonsgegevens. De regering geeft er daarom de voorkeur aan de gezamenlijke gegevensverwerking voor het FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen en vergelijkbare samenwerkingsverbanden bedoeld in hoofdstuk 3, in één wet te regelen en niet in separate wetten. De WGS heeft echter niet tot doel een exclusief regime voor gegevensverwerking door samenwerkingsverbanden te creëren. Zij heeft dan ook geen implicaties voor de talloze bestaande samenwerkingsverbanden die binnen de grenzen van het huidige recht voldoende ruimte hebben om op de door hen gewenste wijze persoonsgegevens te verwerken. Voor zover er samenwerkingsverbanden zijn die gemeenschappelijke casusanalyses of data-analyses willen verrichten waarvoor thans geen of geen expliciete grondslag bestaat, kan worden overwogen deze tot een samenwerkingsverband om te vormen dat bij of krachtens de WGS wordt aangewezen. Zo’n samenwerkingsverband zal uiteraard op het moment van inwerkingtreding, ten volle aan de voorschriften van de WGS moeten voldoen. De WGS laat voorts onverlet dat de gezamenlijke gegevensverwerking door samenwerkingsverbanden op andere beleidsterreinen met andere doelstellingen en werkwijzen in separate wetgeving wordt gerealiseerd.
Vraag 43 (PvdD)
Deelt de regering de kritiek, zoals bijvoorbeeld verwoord door het College voor de Rechten van de Mens, dat de discretionaire bevoegdheid onder deze wet veel te ruim is? Zo nee, waarom niet? Deelt de regering ook de zorgen van het College dat met het wetsvoorstel de eerste stap op een glijdende schaal gezet wordt aangezien de reikwijdte van het wetsvoorstel vele malen verder reikt dan waarvoor nu gesteld wordt dat deze ingezet gaat worden? Gaat de regering de reikwijdte van de wet inperken? Zo nee, waarom niet? Kan de regering aangeven op welke wijze zij gaat voorkomen dat steeds meer data voor steeds minder zwaarwegende belangen gedeeld gaat worden? Op welke wijze betrekt zij de Kamer bij het bewaken van die grens?
In reactie op de vragen van de leden van de Partij voor de Dieren-fractie over de kritiek, onder andere verwoord door het College van de Rechten van de Mens, dat de discretionaire bevoegdheid onder deze wet te ruim is, brengt de regering in herinnering dat de kritiek van het College voor de Rechten van de Mens, evenals de vergelijkbare kritiek van de Afdeling advisering van de Raad van State en de Autoriteit persoonsgegevens, betrekking heeft op het oorspronkelijke wetsvoorstel zoals dat aan hen ter advies en consultatie is voorgelegd. De regering heeft het wetsvoorstel naar aanleiding van die kritiek ingrijpend aangepast en verwijst hier naar de beantwoording van vraag 41. Aanvullend daarop kan de regering aangeven dat de reikwijdte van het aangepaste wetsvoorstel zoals dat bij uw Kamer is ingediend, aanzienlijk is ingeperkt ten opzichte van het oorspronkelijke voorstel. Door te regelen welke vier samenwerkingsverbanden met welk doel van zwaarwegend algemeen belang welke gegevens mogen uitwisselen voor de uitoefening van specifiek genoemde taken en bevoegdheden onder de gestelde randvoorwaarden en met inachtneming van de gestelde waarborgen, heeft de regering de reikwijdte van het aangepaste wetsvoorstel beperkt op een wijze die in overeenstemming is met de AVG en de Grondwet. Het wetsvoorstel voorziet ook in waarborgen en in een grondslag om bij of krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen op grond van deze wet te kunnen stellen (artikel 1.8, eerste lid). Voor zover in de toekomst aanleiding zal zijn andere of nieuwe samenwerkingsverbanden onder de WGS te brengen, zal het parlement daarbij worden betrokken conform de bijzondere nahangprocedure op grond van het voorgestelde hoofdstuk 3.
Vraag 44 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen waarom de regering een wet maakt met als doel om zekerheid te bieden aan samenwerkingsverbanden en vervolgens een wetsvoorstel opstelt waarover de Afdeling oordeelt dat «de wetgever de juridische onzekerheid over de toelaatbaarheid van gegevensuitwisseling op de voorgestelde wijze niet of onvoldoende wegneemt». Voldoet daarmee het wetsvoorstel wel aan het doel zoals gesteld door de regering zelf?
De regering begrijpt de vraag van de leden van de Partij voor de Dieren-fractie aldus dat deze betrekking heeft op verhouding van het wetsvoorstel tot artikel 10 van de Grondwet. Voor het antwoord op deze vraag verwijst de regering naar het antwoord op de vragen van de GroenLinks-fractie (vraag 10). Bovendien benadrukt de regering nogmaals dat deze opmerkingen van de Afdeling betrekking hadden op het oorspronkelijke wetsvoorstel.
Vraag 45 (GroenLinks)
De leden van de GroenLinks-fractie onderkennen een zekere discrepantie tussen de genoemde doeleinden. Aanwijzing van een samenwerkingsverband is mogelijk, zo stelt de regering in de memorie van toelichting op pagina 6, bij a. het voorkomen en bestrijden van ernstige vormen van criminaliteit, b. het voorkomen van grootschalig of systematisch onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen of c. het voorkomen van grootschalige of systematische ontduiking van wettelijke verplichtingen tot betaling van belastingen, retributies en rechten bij in- en uitvoer. Even verderop omarmt de regering «een breder terrein dan fraudebestrijding» voor deze kaderwet, waarbij het dan gaat om: a. voorkoming van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen en het bevorderen dat aan wettelijke verplichtingen wordt voldaan tot betaling van belastingen, retributies en rechten bij in- en uitvoer, b. de uitoefening van toezicht op de naleving van wettelijke voorschriften, c. de handhaving van openbare orde en veiligheid en d. de voorkoming en opsporing van strafbare feiten. Het lijkt erop dat de werkingssfeer van de onderhavige wet aanzienlijk ruimer is dan de voorgespiegelde beperking tot ernstige, ondermijnende criminaliteit en grootschalig, systematisch misbruik van overheidsgeld. De genoemde voorbeelden van fraude (uitkeringsfraude, vastgoedfraude, verzekeringsfraude e.d.) en criminaliteitsvormen (hennepteelt, milieucriminaliteit, voertuigcriminaliteit) suggereren dat het ook kan gaan om delicten en misbruikvormen van minder grootschalige aard. Zonder afbreuk te doen aan de ernst van deze misstanden roept het bij de aan het woord zijnde leden toch de vraag op of, met het oog op de beginselen van proportionaliteit en subsidiariteit, de reikwijdte van deze wet wel voldoende is afgebakend. Kan de regering voorzien in een overzicht van concrete criteria, gevallen en/of situaties waarin deze wet al dan niet van toepassing is? Vindt de regering ook niet dat, zoals hier eerder door deze leden is benadrukt, de interpretatie van het zwaarwegend algemeen belang niet aan de samenwerkingsvormen zelf moet worden overgelaten, maar aan de wetgever in formele zin?
De regering is het met de leden van de GroenLinks-fractie eens dat de interpretatie van het zwaarwegend algemeen belang niet aan de samenwerkingsverbanden zelf moet worden overgelaten. Daarom berust de interpretatie van het zwaarwegend algemeen belang bij samenwerkingsverbanden die volgens het wetsvoorstel bij amvb mogen worden aangewezen, – binnen de ruimte van het voorgestelde artikel 3.1 – aan de regering en – via de voorgestelde nahangprocedure – aan het parlement.
De aangehaalde passage uit de memorie van toelichting over de doelen a tot en met d, en de aangehaalde voorbeelden hebben betrekking op de vorige versie van het wetsvoorstel, zoals voorgelegd aan de Afdeling op 21 juni 2019. Die versie ging uit van een bredere reikwijdte en sloot aan bij het rapport van de Werkgroep Verkenning kaderwet gegevensuitwisseling van 14 december 2014. De aangehaalde passage maakt onderdeel uit van de paragraaf uit de memorie van toelichting die de voorgeschiedenis weergeeft van het toepassingsbereik.
Vraag 46 (PvdD)
De leden van de Partij voor de Dieren-fractie lezen dat ten aanzien van de noodzaak voor dit wetsvoorstel regelmatig wordt verwezen naar «zwaarwegende algemene belangen». Kan de regering aangeven welke definitie van zwaarwegend algemeen belang zij hanteert? Is dat de definitie zoals die verwoord is in de Wet politiegegevens en de rol van de officier van justitie? Klopt het dat in die wet elke verwerking die enige betekenis heeft voor de samenleving als een verwerking van «algemeen belang» wordt gezien? Kopt het ook dat elke verwerking die een «meer dan gewone betekenis» heeft gezien wordt als een verwerking met een «zwaarwegend algemeen belang»? Deelt de regering de mening dat deze definitie veel te ruim is? Klopt het dat in de onderliggende stukken bij die wet voorbeelden genoemd worden zoals winkelcriminaliteit en jeugdcriminaliteit? Acht de regering het wenselijk dat het grondrecht op privacy van grote groepen burgers geschonden gaat worden ter bestrijding van deze relatief beperkte criminaliteit?
Of er sprake is van een zwaarwegend algemeen belang, is in dit wetsvoorstel voornamelijk relevant voor de vraag of het mogelijk is om bij amvb een samenwerkingsverband aan te kunnen wijzen. Dat er sprake is van een zwaarwegend algemeen belang betekent nog niet dat er bij amvb een samenwerkingsverband kan worden aangewezen. Dat kan volgens artikel 3.1 alleen als het gaat om een zwaarwegend algemeen belang inzake: a. het voorkomen en bestrijden van ernstige vormen van criminaliteit, b. het voorkomen en bestrijden van grootschalig of systematisch onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen, of c. het voorkomen en bestrijden van grootschalige of systematische ontduiking van wettelijke verplichtingen tot betaling van belastingen, retributies en rechten bij in- en uitvoer. De doelen zullen niet veel te ruim zijn, want een amvb onder het wetsvoorstel kan niet alle doelen uit artikel 3.1 omvatten; wel kunnen hieruit één of enkele nader gespecificeerde subdoelen worden geselecteerd. Bij het opstellen van een amvb voor een samenwerkingsverband dient dus het doel van het desbetreffende samenwerkingsverband te worden geconcretiseerd binnen de kaders van artikel 3.1. In de nota van toelichting dient vervolgens concreet te worden onderbouwd waarom sprake is van een zwaarwegend algemeen belang.
De term «zwaarwegend algemeen belang» komt inderdaad voor in de Wpg en overigens ook in de Wjsg.10 Het criterium van het zwaarwegend algemeen belang is volgens de wetsgeschiedenis bij de Wpg ontleend aan artikel 8, vierde lid, van de toenmalige privacyrichtlijn (Richtlijn nr. 95/46/EG) en komt tegenwoordig voor in artikel 9, tweede lid, onder g, van de AVG. De richtlijn gegevensbescherming opsporing en vervolging kent de term niet.
Of sprake is van een zwaarwegend algemeen belang, moet worden getoetst aan de hand van een belangenafweging tussen het belang dat gediend wordt met de gezamenlijke verwerking van persoonsgegevens en het belang van de persoonlijke levenssfeer van degenen op wie de persoonsgegevens betrekking hebben. Bij deze belangenafweging moeten ook de beginselen van proportionaliteit en subsidiariteit worden betrokken.
Overigens dienen de vier clusters van samenwerkingsverbanden die in het wetsvoorstel worden geregeld, ook doelstellingen van zwaarwegend algemeen belang. In de artikelsgewijze toelichting bij de artikelen die de doelstellingen regelen van het FEC, iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen is dit onderbouwd (artikelsgewijze toelichting bij de artikelen 2.2, 2.10, 2.17, 2.25).
Vraag 47 (VVD)
In de memorie van toelichting lezen de leden van de VVD-fractie dat het wetsvoorstel zal geworden gekarakteriseerd door zowel een verstrekkingsplicht als een verstrekkingsbevoegdheid. Deze leden vragen een toelichting van de verstrekkingsplicht. In welke situaties zijn deelnemers verplicht gegevens te verstrekken en wanneer niet? Geldt dit voor alle deelnemers? Hoe en door wie wordt getoetst of aan de verstrekkingplicht is voldaan en welke consequenties zijn verbonden aan het niet nakomen hiervan?
Gekozen is voor een verstrekkingsplicht en niet voor een verstrekkingsbevoegdheid. Daarmee wil de regering benadrukken dat de samenwerking niet vrijblijvend kan zijn. De verstrekkingsplicht is niet absoluut. Integendeel, de WGS bevat verschillende elementen waaruit blijkt dat de deelnemers een zekere mate van autonomie behouden:
• De deelnemers stellen gezamenlijk het doel van en de middelen voor de verwerking van persoonsgegevens vast en zijn uit dien hoofde gezamenlijke verwerkingsverantwoordelijken. Dit impliceert dat een deelnemer mede bepaalt voor welke concrete gegevensverwerkingen gegevens moeten worden aangeleverd en uit dien hoofde ook opdrachten kan tegenhouden.
• Hoewel de categorieën te verstrekken gegevens in het wetsvoorstel zijn opgesomd, heeft iedere deelnemer beoordelingsruimte bij de vraag of in concrete gevallen gegevensverstrekking aan het samenwerkingsverband noodzakelijk is voor het doel van dat samenwerkingsverband.
• De deelnemer kan, ook al is de verstrekking van gegevens op zich noodzakelijk voor het doel van het samenwerkingsverband, besluiten om daar wegens zwaarwegende redenen van af te zien (artikel 1.5, eerste lid).
• Op de verplichting om gegevens te verstrekken kunnen op grond van artikel 1.8, eerste lid, bij amvb voorwaarden en beperkingen worden gesteld.
Vraag 48 (VVD)
Tevens lezen de aan het woord zijnde leden dat de deelnemer van het samenwerkingsverband kan besluiten van verstrekking van gegevens af te zien wegens zwaarwegende redenen. Kan de regering toelichten hoe de procedure eruit ziet wanneer een geschil met betrekking tot het delen van bepaalde gegevens optreedt tussen twee deelnemers?
Artikel 1.5, eerste lid, bevat een uitzondering op de verstrekkingsplicht ingeval «naar het oordeel van de deelnemer zwaarwegende redenen zich daartegen verzetten». De deelnemer die gegevens zou moeten verstrekken, maakt dus zelf de afweging of er zwaarwegende redenen zijn die zich daartegen verzetten. Andere deelnemers hebben daar in juridische zin geen zeggenschap over, om te voorkomen dat daarover rechtsonzekerheid ontstaat. Zo staat het ook uitdrukkelijk in het voorgestelde artikel 1.5, eerste lid. Deze tenzij-clausule maakt het overigens ook mogelijk om de gegevens alleen aan sommige deelnemers niet te verstrekken.
Vraag 49 (VVD)
Ook lezen de leden van de VVD-fractie in de memorie van toelichting dat het voorliggende wetsvoorstel ruimte schept de eis van doelbinding (het doel van verzamelen van de gegevens moet overeen komen met het doel van verstrekken) los te laten indien daartoe een duidelijke noodzaak bestaat. Kan de regering toelichten hoe de procedure van toetsing van een dergelijke noodzaak eruit zal zien en wie deze toetsing zal uitvoeren? Welke criteria worden hierbij gehanteerd? Wat zijn de juridische gevolgen als zou blijken dat de eis van doelbinding te snel is losgelaten?
De regering begrijpt de vragen van de leden van de VVD-fractie aldus dat deze betrekking hebben op de toelaatbaarheid van verdere verwerking van persoonsgegevens voor een ander doel dat niet op voorhand verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld.
Het principe van doelbinding zoals vastgelegd in artikel 5, eerste lid, onderdeel b, van de AVG is een van de belangrijkste principes in het persoonsgegevensbeschermingsrecht en dient daarom ook voor samenwerkingsverbanden het uitgangspunt te blijven. Deelnemers aan samenwerkingsverbanden wisselen die persoonsgegevens momenteel met elkaar uit op grond van bestaande sectorspecifieke grondslagen die het mogelijk maken gegevens waarover zij beschikken, bilateraal uit te wisselen met andere instanties voor zover dat noodzakelijk is voor de uitoefening van de taken en bevoegdheden van die instanties. Het is in beginsel wenselijk dat deelnemers van een samenwerkingsverband deze persoonsgegevens aan het samenwerkingsverband – dus multilateraal – kunnen verstrekken als dat noodzakelijk is – ook al is dit doel niet op voorhand verenigbaar met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. De AVG staat verdere verwerking van persoonsgegevens toe voor een ander doel dat niet op voorhand verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mits dat wettelijk is geregeld en in het kader van een zwaarwegend algemeen belang is (artikel 6, vierde lid, aanhef jo. artikel 23, eerste lid, van de AVG). Het wetsvoorstel beoogt zo’n grondslag te bieden voor de vier samenwerkingsverbanden. In het wetsvoorstel wordt daarom voor elk samenwerkingsverband bepaald met welk doel zij gezamenlijk gegevens mogen verwerken.
Ook de Richtlijn gegevensbescherming opsporing en vervolging (2016/680) staat verdere verwerking van persoonsgegevens toe. De richtlijn heeft betrekking op de verwerking van persoonsgegevens door een bevoegde autoriteit in de zin van de richtlijn (bijvoorbeeld politie, de KMar en de officier van justitie) voor de doeleinden van de voorkoming, opsporing en vervolging van strafbare feiten en de tenuitvoerlegging van straffen (artikel 1, eerste lid, van de richtlijn). De richtlijn is in Nederland geïmplementeerd in de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Artikel 9, eerste lid, van de richtlijn staat toe dat persoonsgegevens die voor de voornoemde doeleinden worden verzameld, ook voor andere doeleinden worden verwerkt wanneer dat is geregeld in het Unierecht of lidstatelijk recht.11 Op die verdere verwerking van persoonsgegevens voor andere doeleinden door partijen die niet onder de reikwijdte van de richtlijn vallen, is de AVG van toepassing. De WGS biedt een grondslag voor het verstrekken persoonsgegevens door OM en opsporingsdiensten op basis van de voorgestelde wijzigingen van de Wpg en Wjsg. Persoonsgegevens die onder de werking van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens vallen en dus voor in die wetten vastgestelde doelen verwerkt worden, kunnen op basis van de WGS door een deelnemer in een samenwerkingsverband worden ingebracht voor verwerking voor een ander doel, namelijk het doel van het desbetreffende samenwerkingsverband. De AVG is van toepassing op de verwerking van deze persoonsgegevens in het kader van het samenwerkingsverband.
Bij het bepalen van de doelen waarmee de onderscheiden samenwerkingsverbanden gezamenlijk gegevens mogen verwerken, is aangesloten bij de bestaande wettelijke taken en bevoegdheden van de deelnemers en de doelen die zij daarbij nastreven. De deelnemers aan een samenwerkingsverband mogen uitsluitend gezamenlijk gegevens verwerken met het oog op het doel van het samenwerkingsverband voor zover dat noodzakelijk is voor de uitoefening van hun taken en bevoegdheden. Het FEC verwerkt gegevens, voor zover dat noodzakelijk is voor de uitoefening van publiekrechtelijke taken en bevoegdheden van de deelnemers, met het oog op risico’s van inbreuken op de integriteit van het financiële stelsel, of onderdelen daarvan (het voorgestelde artikel 2.2). ICOV verwerkt gegevens met het oog op het in kaart brengen van onverklaarbaar of crimineel vermogen, het bestrijden van witwas- of fraudeconstructies, het kunnen innen van overheidsvorderingen die oninbaar dreigen te worden en het uitoefenen van toezicht op de goede werking van de markt, in opdracht van een of meer deelnemers, voor zover dat noodzakelijk is voor de uitoefening van publiekrechtelijke taken en bevoegdheden van de deelnemers (het voorgestelde artikel 2.10). De RIEC’s verwerken gegevens, voor zover dat noodzakelijk is voor de uitoefening van de wettelijke taken en bevoegdheden van de deelnemers op het terrein van strafrechtelijke, bestuursrechtelijke en fiscaalrechtelijke handhaving in het belang van de bestrijding van georganiseerde criminaliteit (het voorgestelde artikel 2.17). De Zorg- en Veiligheidshuizen verwerken persoonsgegevens bij de behandeling van complexe casuïstiek in het belang van het voorkomen, verminderen en bestrijden van criminaliteit, en ernstige overlast en het voorkomen en verminderen van onveilige situaties voor personen of binnen een gebied (het voorgestelde artikel 2.25).
Naar het oordeel van de regering beantwoorden de respectievelijke doelen van de voornoemde samenwerkingsverbanden aan de zwaarwegende algemene belangen die artikel 23, eerste lid, AVG beschermt, namelijk de waarborging van: c) de openbare veiligheid; d) de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; e) andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid; h) een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a), tot en met e) en punt g) bedoelde gevallen. Op de doelen van de voornoemde samenwerkingsverbanden wordt nader ingegaan in de memorie van toelichting.
De wetgever, en niet de deelnemers van de samenwerkingsverbanden zelf, bepaalt in hoeverre verdere verwerking van persoonsgegevens is toegestaan voor niet-verenigbare doelen door aan de hand van de voornoemde criteria van de AVG de reikwijdte te bepalen van de lidstaatrechtelijke grondslag die daartoe strekt. De deelnemers van de samenwerkingsverbanden dienen zich daar vervolgens aan te houden. De Autoriteit persoonsgegevens houdt toezicht op de rechtmatigheid van de persoonsgegevensverwerking en is op grond van de AVG en de Uitvoeringswet AVG bevoegd handhavend op te treden in situaties waarin sprake is van onrechtmatige persoonsgegevensverwerking.
Vraag 50 (D66)
De leden van de D66-fractie hebben over de gegevensverwerking van samenwerkingsverbanden verschillende vragen. Zij lezen dat ingevolgde artikel 1.5 van het wetsvoorstel elke deelnemer aan een samenwerkingsverband verplicht wordt tot gegevensverstrekking aan het samenwerkingsverband, voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband, tenzij naar het oordeel van de deelnemer «zwaarwegende redenen» zich daartegen verzetten. Kan de regering toelichten wat verstaan wordt onder deze «zwaarwegende redenen»?
De uitzonderingsclausule inzake zwaarwegende redenen is van belang voor het kunnen leveren van maatwerk. De deelnemer die gegevens zou moeten verstrekken maakt zelf de afweging of er zwaarwegende redenen zijn die zich daartegen verzetten. Bij zwaarwegende redenen moet in het geval van de opsporingsdiensten in ieder geval worden gedacht aan redenen die verband houden met opsporingsbelangen. Een voorbeeld van deze uitzondering doet zich voor wanneer het OM besluit om geen gegevens te verstrekken omdat met verstrekking het opsporingsbelang zou worden geschaad. Een andere zwaarwegende reden zou kunnen zij dat het OM besluit om niet tot verstrekking over te gaan omdat het niet tot vervolging overgaat wegens gebrek aan bewijs.
Vraag 51 (D66)
De aan het woord zijnde leden begrijpen het doel van bestrijden van criminaliteit, maar hebben zorgen over het scheppen van deze wettelijke grondslag waarbij op grote schaal systematisch gegevens worden verwerkt die niet voor dat doel verstrekt zijn, en die kunnen resulteren in meldingen aan handhavingsorganisaties. Voornoemde leden hebben ook vragen over het grotendeels loslaten van het principe van doelbinding, waardoor het verwerken en analyseren van gegevens in een samenwerkingsverband mogelijk wordt terwijl de deelnemers die gegevens voor een ander doel verzameld hebben. Dit mag wanneer de gegevensanalyse dient ter verwezenlijking van het doel van het samenwerkingsverband. Die doelen zijn echter zeer breed gesteld in hoofdstuk 2, en hoofdstuk 3 van de wet laat de mogelijkheid open voor andere samenwerkingsverbanden met op dit moment nog onbekende doeleinden.
In de memorie van toelichting lezen de leden van de D66-fractie dat het principe van doelbinding het uitgangspunt blijft, maar dat daarnaast ruimte wordt geschapen om deelnemers gegevens aan een samenwerkingsverband te laten verstrekken die deze in eerste instantie voor een ander doel hebben verzameld: «Samenwerkingsverbanden stuiten namelijk soms op het probleem dat een verstrekking van gegevens aan dat verband door een van de deelnemers en de verwerking daarvan binnen het verband in onvoldoende mate beantwoordt aan dit principe van doelbinding.» Voornoemde leden zien in feite dat doelbinding grotendeels wordt losgelaten. Zij zijn hier kritisch over en halen aan wat de Afdeling hierover schreef: «Als persoonsgegevens voor een bepaald doel worden verzameld hoeft de burger er in beginsel niet op bedacht te zijn dat zijn gegevens door een andere instantie dan waarmee hij contact heeft gehad, voor een heel ander doel worden gebruikt (.) Uitzonderingen op het beginsel van doelbinding dienen strikt te worden geïnterpreteerd.» Deze leden verzoeken de regering uitgebreid in te gaan op deze afwijking van het doelbindingsprincipe en de noodzaak daartoe. Als zich volgens de regering «soms» het probleem voordoet dat een deelnemer geen gegevens mag verstrekken vanwege het principe van doelbinding, waarom zou dan standaard mogelijk gemaakt worden dat van dit principe kan worden afgeweken? Wordt afwijking hiermee niet de norm? Waarom is deze afwijking slechts minimaal begrensd? Hoe ziet de regering dit in combinatie met de brede doelen die bijvoorbeeld gesteld worden voor de ZVH in artikel 2.25? Hoe kan op basis van zeer ruime doelen een goede proportionaliteitsafweging worden gemaakt? Graag ontvangen de aan het woord zijnde leden een reactie.
De leden van de D66-fractie verzoeken de regering uitgebreid in te gaan op de afwijking van het doelbindingsprincipe en de noodzaak daartoe. Naar aanleiding van de kritiek van de Afdeling advisering van de Raad van State over te ruime afwijking van het doelbindingsbeginsel, heeft de regering bij gelegenheid van het nader rapport het wetsvoorstel meer in lijn gebracht met het doelbindingsbeginsel, zoals de Afdeling advisering heeft geadviseerd.
In de eerste plaats heeft de regering de respectievelijke doelen waarmee de vier samenwerkingsverbanden gezamenlijk gegevens mogen verwerken in het wetsvoorstel zelf opgenomen. De wetgever stelt deze doelen dus zelf vast; de vaststelling van deze doelen zal niet worden gedelegeerd aan de lagere regelgever en wordt ook niet overgelaten aan de samenwerkingsverbanden zelf. De regering is het met de Afdeling advisering eens dat er geen onduidelijkheid mag bestaan voor welke doelen de deelnemers gegevens aan een samenwerkingsverband mogen verstrekken, deze gegevens vervolgens door of binnen het samenwerkingsverband worden verwerkt en de resultaten daarvan aan deelnemers of derden mogen worden verstrekt. Waar in het voorgestelde derde hoofdstuk is geregeld dat de gezamenlijke gegevensverwerking voor andere of nieuwe samenwerkingsverbanden bij amvb kan worden geregeld, geldt dat het parlement altijd betrokken zal worden in de vorm van een bijzondere nahangprocedure. Indien een der Kamers de wens te kennen geeft dat het onderwerp van de algemene maatregel bij wet moet worden geregeld, wordt een daartoe strekkend wetsvoorstel zo spoedig mogelijk ingediend (het voorgestelde artikel 3.3).
In de tweede plaats is bij de vaststelling van de doelen waarmee de onderscheiden samenwerkingsverbanden gezamenlijk gegevens mogen verwerken, aangesloten bij de doelen die zij nu ook al nastreven bij de uitoefening van hun bestaande taken en bevoegdheden in het kader van de integrale aanpak van criminaliteit. Het doel van het samenwerkingsverband is dus de gemene deler met het oog waarop de afzonderlijke deelnemers hun taken en bevoegdheden reeds mede uitoefenen. Bijvoorbeeld bij de RIEC’s geldt dat alle deelnemers hun eigen taken en bevoegdheden mede uitoefenen ter bestrijding van georganiseerde criminaliteit. Niet alleen de politie en het OM hebben daarbij een belangrijke rol, maar ook de burgemeester in het kader van de handhaving van de openbare orde, de FIOD op het terrein van belastingcriminaliteit en de KMar op het terrein van toezicht en handhaving oefenen hun taken en bevoegdheden mede uit om georganiseerde criminaliteit te bestrijden. Hoewel het doel van de RIEC’s van bestrijding van georganiseerde criminaliteit een brede strekking heeft, vindt het doel zijn begrenzing in welke partijen mogen deelnemen en voor de uitoefening van welke taken en bevoegdheden in de integrale aanpak van georganiseerde en ondermijnende criminaliteit.
In de derde plaats is verdere verwerking van persoonsgegevens in afwijking van het doel waarmee de deelnemers die persoonsgegevens oorspronkelijk hebben verzameld, op grond van dit wetsvoorstel uitsluitend toegestaan voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband. Omdat het doel van het samenwerkingsverband in wet- en regelgeving wordt vastgelegd, is het de wetgever zelf die bepaalt of en in hoeverre verdere verwerking van persoonsgegevens in dit verband toelaatbaar is, en niet het samenwerkingsverband. Wanneer bepaalde gegevens niet noodzakelijk zijn voor het doel van het samenwerkingsverband (bijvoorbeeld de bestrijding van georganiseerde criminaliteit) mogen die gegevens door een deelnemer niet worden verstrekt.
Zoals de Afdeling advisering van de Raad van State aangeeft, staat de AVG verdere verwerking van persoonsgegevens toe voor een ander doel dat niet op voorhand verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mits dat wettelijk is geregeld en in het kader van een zwaarwegend algemeen belang is (artikel 6, vierde lid, aanhef jo. artikel 23, eerste lid, van de AVG). Ook de Richtlijn gegevensbescherming opsporing en vervolging (2016/680) staat verdere verwerking van persoonsgegevens toe wanneer dat is vastgelegd in lidstatelijk recht. Het wetsvoorstel beoogt zo’n grondslag te bieden voor de vier samenwerkingsverbanden door de doelen van de samenwerkingsverbanden te bepalen en te begrenzen. Volledigheidshalve verwijst de regering hier ook naar de beantwoording van vraag 49.
In reactie op de vragen van de leden van de D66-fractie over de noodzaak tot afwijking van het doelbindingsprincipe, kan de regering samenvattend antwoorden dat met vaststelling van het doel waarmee samenwerkingsverbanden gezamenlijk gegevens mogen verwerken, wordt voldaan aan de eis van de AVG dat er een wettelijke grondslag moet zijn voor de verstrekking van persoonsgegevens aan een samenwerkingsverband, de verwerking van persoonsgegevens in een samenwerkingsverband en de verstrekking van resultaten vanuit een samenwerkingsverband.
Voor een effectieve integrale aanpak van de in dit wetsvoorstel betrokken vormen van criminaliteit, is een goede informatiepositie cruciaal. De regering ziet zich daarin gesteund door de Afdeling advisering. Door de gezamenlijke gegevensverwerking door samenwerkingsverbanden van een wettelijke grondslag te voorzien, biedt de regering niet alleen een oplossing voor de gevallen waarin een deelnemer nu gegevens die wel essentieel zijn voor de integrale aanpak, niet mag verstrekken aan een samenwerkingsverband, maar voor alle gevallen waarin het delen van informatie tussen deelnemers noodzakelijk is met het oog op de bestrijding van verschillende vormen van criminaliteit. Zoals hiervoor aangegeven, zijn de voorgestelde doelen waarmee samenwerkingsverbanden gezamenlijk gegevens mogen verwerken, beperkt tot de uitoefening van de taken en bevoegdheden van deelnemende partijen en de doelen die zij daarbij nu ook al mede nastreven. De regering is van mening de doelen te begrenzen op een wijze die beantwoordt aan de verplichting uit de artikelen 5, 6, eerste lid, onderdeel e, in samenhang bezien met het derde en vierde lid, van de AVG. Hieruit volgt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld en (verder) mogen worden verwerkt en de verwerking van persoonsgegevens alleen rechtmatig is indien de verwerking noodzakelijk is voor een taak van algemeen belang of van een taak in het kader van de uitoefening van openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen en bij lidstatelijk recht moet zijn vastgelegd. De deelnemers van een samenwerkingsverband zullen per geval moeten bepalen in hoeverre gegevensverstrekking proportioneel is. Een duidelijke, helder begrensde wettelijke grondslag dient er mede toe de deelnemers van een samenwerkingsverband in staat te stellen een goede proportionaliteitsafweging te maken.
Vraag 52 (SP)
De leden van de SP-fractie constateren dat het delen van gegevens niet wordt bevorderd, maar verplicht volgens artikel 1.5 voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband, tenzij naar het oordeel van de deelnemer zwaarwegende redenen zich daartegen verzetten. Dat is verstrekkend. Kan in ieder geval verduidelijkt worden wat onder «zwaarwegende redenen» wordt verstaan?
Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 50.
Vraag 53 (SP)
Hoe zit het verder in dit verband met de professionele ruimte van werkers in de (semi)publieke sector? Hoe moet een reclasseringswerker in het ZVH nu beoordelen welke informatie over een betrokken cliënt nu wel of niet verplicht gedeeld moet worden? Is dat eigenlijk wel wenselijk? Verdwijnt hiermee niet het maatwerk? Het ZVH wijst er nadrukkelijk op dat casusbehandeling maatwerk is, en moet blijven. Graag ontvangen deze leden een uitgebreide reactie hierop.
Zoals hiervoor aangegeven is gekozen voor een verstrekkingsplicht en niet voor een verstrekkingsbevoegdheid, omdat de regering wil benadrukken dat deelname aan een samenwerkingsverband niet vrijblijvend kan zijn. Indien deelnemers er structureel voor kiezen geen gegevens te verstrekken, kan immers moeilijk worden volgehouden dat de gezamenlijke gegevensverwerking door samenwerkingsverbanden behoorlijk functioneert en nuttig en noodzakelijk is. De verstrekkingsplicht is niet absoluut. Hoewel de categorieën te verstrekken gegevens in het wetsvoorstel zijn opgesomd, heeft iedere deelnemer beoordelingsruimte bij de vraag of in concrete gevallen gegevensverstrekking aan het samenwerkingsverband noodzakelijk is voor het doel van dat samenwerkingsverband. De deelnemer kan, ook al is de verstrekking van gegevens op zich noodzakelijk voor het doel van het samenwerkingsverband, besluiten om daar wegens zwaarwegende redenen van af te zien (het voorgestelde artikel 1.5, eerste lid).
Ook het maatwerk is gewaarborgd. Het wetsvoorstel bepaalt dat de Zorg- en Veiligheidshuizen bij de behandeling van complexe casuïstiek uitsluitend gegevens verwerken ten aanzien van een betrokkene voor zover dat noodzakelijk is voor het doel van de Zorg- en Veiligheidshuizen. De WGS biedt de deelnemers handvatten om te beoordelen welke categorieën gegevens aan het samenwerkingsverband moeten worden verstrekt. De voorgestelde artikelen 2.26, 2.31 en 2.32 geven de kaders voor de activiteiten van de ZVH waarvoor de gegevens worden gebruikt, namelijk het casusoverleg en opname van een casus op een lijst met geprioriteerde casussen. Op grond van artikel 2.29, derde lid, kan de reclassering voorwaarden en beperkingen stellen aan het verstrekken van de resultaten aan deelnemers of derden. De WGS biedt de reclasseringsmedewerker duidelijkheid over wat er met de verstrekte gegevens gebeurt zodat hij een goede beoordeling kan maken of de verstrekking van gegevens noodzakelijk en proportioneel is.
Vraag 54 (SP)
De aan het woord zijnde leden constateren dat het principe van doelbinding wordt opgerekt, of misschien zelfs wordt losgelaten. Kan dit uitgebreid worden toegelicht, aan de hand ook van voorbeelden?
Om herhaling te voorkomen, verwijst de regering de leden van de SP-fractie naar de beantwoording van de vragen van de leden van de VVD-fractie en de leden van de D66-fractie over het doelbindingsprincipe, het advies van de Afdeling advisering van de Raad van State daarover en de wijze waarop de regering het wetsvoorstel daarmee in overeenstemming heeft gebracht (vragen 49 en 51).
Vraag 55 (PvdD)
De leden van de Partij voor de Dieren-fractie moeten aangaande de omgang met (persoons)gegevens als gevolg van deze wet constateren dat het de regering aan respect voor het grondrecht op privacy ontbeert. De basisbeginselen op het gebied van privacy zijn óf onbekend óf bewust geschoffeerd. Beide zijn zeer ernstig. Ter illustratie zullen deze leden hier onder enkele basisbeginselen van privacy behandelen.
Eén daarvan is dat men ter bescherming van de persoonlijke levenssfeer idealiter zo min mogelijk data verzamelt. Hoe minder data een bepaalde organisatie bezit en hoe minder wijdverspreid deze data zijn hoe kleiner de kans dat er iets mee misgaat. Met deze wet, waarmee in de toekomst werkelijk elke organisatie elke dataset mag (of zelfs moet) delen, gaat de regering daar lijnrecht tegenin. In voorliggend wetsvoorstel wordt juist gestreefd naar het zo veel mogelijk delen van data.
Een tweede basisbeginsel is dat men moet laten weten wat er met de data gebeurt. Bekend moet zijn dat een organisatie data verzamelt, welke data dat is en met wie men dat deelt. Zodra gegevens verzameld zijn kunnen organisaties met het voorliggende wetsvoorstel echter, zonder medeweten van de burgers, overgaan tot het delen van informatie met onbekende derden. Een enorme schending.
Een derde beginsel is dat voor het gebruik van gegevens toestemming gegeven moet worden. Dit betekent niet dat mensen slechts gevraagd moet worden of ze een nieuwsbrief wel of niet willen ontvangen. Dit betekent ook dat men de keuze voorgelegd zou moeten krijgen of de data gedeeld mogen worden ten behoeve van het doel van het samenwerkingsverband. Ook dit gebeurt niet.
Een vierde beginsel is dat het doel waartoe data verzameld wordt duidelijk en begrensd moet zijn. Het simpelweg verzamelen van data om daar later een doel voor te verzinnen, of zelfs het bewust verzamelen van data onder de noemer van het ene doel om het later voor een andere doel te gebruiken is geen beleid dat de privacy beschermt en respecteert. Het is echter wel een gang van zaken die door het wetsvoorstel gefaciliteerd wordt.
In haar advies benoemt de Afdeling veel van deze punten ook, constateren de aan het woord zijnde leden. Zij stelt bijvoorbeeld over het laatste punt, het doelbindingsbeginsel, dat het voorliggende wetsvoorstel een vrijwel onbegrensde ruimte laat voor afwijking van het doelbindingsbeginsel en dat daarmee het risico bestaat dat in de uitwerking ervan afwijking van dit beginsel tot hoofdregel verheven wordt. De Afdeling concludeert dat met dit wetsvoorstel het doelbindingsbeginsel zijn waarborgfunctie verliest.
De leden van de Partij voor de Dieren-fractie delen deze grote zorgen van de Afdeling. Zij zijn ook van mening dat de reactie van de regering op dit punt absoluut tekortschiet. De regering stelt dat in sommige gevallen de doelen overeen zullen komen. Voornoemde leden zijn van mening dat dit slechts geredeneerd is vanuit de belangen van de deelnemende organisaties die de gegevens verzamelen en zeker niet vanuit de gedachte dat de privacy van burgers grondwettelijk door de overheid beschermd moet worden. De belangen van de burgers wiens gegevens verzameld worden zijn ook dermate divers dat onmogelijk generiek gesteld kan worden dat het verbreden van het gebruik van die data in het belang van de burger is. Kan de regering ook aangeven wat zij gedaan heeft met de kritiek van Amnesty International op dit punt? Zij stellen onder andere, en deze leden delen die stelling, dat het doelbeginsel en het proportionaliteitsbeginsel in dit soort wetgeving onlosmakelijk met elkaar verbonden zijn en dat de doelspecificatie dient als maatstaf voor de proportionaliteitsafweging. De consequenties die daaruit volgen (namelijk dataminimalisatie en opslagbeperkingen) zijn onvoldoende terug te vinden in het voorliggende wetsvoorstel. Graag ontvangen de aan het woord zijnde leden een reactie.
In navolging van de kritiek van onder andere Amnesty International dat de doelen van samenwerkingsverbanden onder het oorspronkelijke wetsvoorstel veel te ruim waren, heeft de regering het wetsvoorstel aangepast en meer in lijn gebracht met het doelbindingsbeginsel. De doelen van de vier samenwerkingsverbanden zijn in het aangepaste wetsvoorstel opgenomen. Het proportionaliteitsbeginsel is in het wetsvoorstel geborgd doordat voor elk samenwerkingsverband in het doel is bepaald dat de gezamenlijke gegevensverwerking uitsluitend is toegestaan voor zover dat noodzakelijk is voor de uitoefening van de bestaande wettelijke taken en bevoegdheden in het belang van de bestrijding van de specifieke vorm van criminaliteit die de focus is van het desbetreffende samenwerkingsverband. Dat betekent dat aan drie voorwaarden moet zijn voldaan: 1) de verstrekking en verwerking moeten noodzakelijk zijn, 2) voor de uitoefening van bestaande wettelijke taken en bevoegdheden van de deelnemers en 3) de verstrekking en verwerkingen moeten het zwaarwegend algemeen belang van het samenwerkingsverband dienen, bijvoorbeeld de bestrijding van georganiseerde criminaliteit in het geval van de RIEC’s. De doelen van de vier samenwerkingsverbanden beantwoorden daarmee aan de eisen die de artikelen 5, 6, eerste, derde en vierde lid, van de AVG stellen aan wettelijke grondslagen voor de (verdere) verwerking van persoonsgegevens.
Het beginsel van minimale gegevensverwerking en het beginsel van opslagbeperking liggen besloten in de noodzakelijkheidseis die voor elk samenwerkingsverband gaat gelden. Volgens het beginsel van minimale gegevensverwerking moeten persoonsgegevens toereikend zijn, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doelen waarvoor zij worden verwerkt (artikel 5, eerste lid, onderdeel d, van de AVG). Door het vastleggen van het doel, stelt de regering juist veilig dat er niet meer gegevens mogen worden verwerkt dan noodzakelijk is voor dat doel. Naast de rechtstreeks werkende eisen van de AVG ter zake van rechtmatige persoonsgegevensverwerking waaraan deelnemers zich moeten houden, bevat de WGS waarborgen die er mede toe dienen de opslag van gegevens te beperken. Zo bevat het voorgestelde artikel 1.8 termijnen voor de verwerking van gegevens en de verplichting persoonsgegevens na afloop van die termijn te vernietigen of te anonimiseren (zevende lid). Daarnaast bevat het voorgestelde artikel 1.9 regels inzake pseudonimisering in het geval van geautomatiseerde analyse.
Deze leden noemen voorts als basisbeginsel van het recht op privacy dat persoonsgegevens slechts verwerkt mogen worden als betrokkene daarvoor toestemming heeft gegeven. Dat is niet juist. Toestemming is een van de grondslagen voor gegevensverwerking, maar artikel 6, eerste lid, van de AVG noemt er nog vijf, waarvoor toestemming geen vereiste is.
Vraag 56 (PvdD)
Voornoemde leden vragen op welke wijze het wetsvoorstel rekening houdt met de motie-Elissen (Kamerstuk 32 761, nr. 38) die de regering verzocht verwerking van persoonsgegevens voor andere doelen dan het doel waarvoor de gegevens oorspronkelijk zijn verzameld uitsluitend mogelijk te maken in geval van verenigbaarheid én op basis van een wettelijke grondslag. Hoe is dat te rijmen met de huidige inzet van de regering waarmee die verenigbaarheidseis wordt losgelaten?
De motie-Elissen c.s. waarnaar de leden van de Partij voor de Dieren-fractie verwijzen, verzocht de regering er zorg voor te dragen dat de op dat moment in voorbereiding zijnde AVG zou gaan voorzien in een bepaling die verwerking van persoonsgegevens voor andere doelen dan het doel waarvoor de gegevens oorspronkelijk zijn verzameld, uitsluitend mogelijk maakt in geval van verenigbaarheid en op basis van een wettelijke grondslag. De AVG biedt de lidstaten op grond van artikel 6, vierde lid, jo. artikel 23, eerste lid de bevoegdheid om een wettelijke grondslag in het leven te roepen die verdere verwerking van persoonsgegevens mogelijk maakt voor andere doelen dan die waarvoor de gegevens oorspronkelijk zijn verzameld indien dat noodzakelijk is voor een zwaarwegend algemeen belang. De regering maakt in de WGS gebruik van deze bevoegdheid en geeft daarbij tevens uitvoering aan de overige eisen die de AVG aan een dergelijke wettelijke grondslag stelt. Artikel 6, vierde lid, van de AVG kent geen cumulatieve eis dat verwerking van persoonsgegevens voor andere doelen dan het doel waarvoor de gegevens oorspronkelijk zijn verzameld, uitsluitend mag in geval van verenigbaarheid én op basis van een wettelijke grondslag. Artikel 6, vierde lid, van de AVG laat ook ruimte voor verdere verwerkingen waarvan het doel niet verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld, mits daarvoor maar een lidstatelijke wettelijke grondslag is getroffen. Wel moet daar terughoudend mee worden omgegaan.12
Vraag 57 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen de regering of zij niet een belangrijk onderdeel van de tekst van het AVG artikel 6 negeert? In het artikel staat namelijk beschreven wanneer een verwerking rechtmatig is. Dat is het geval wanneer toestemming voor de verwerking gegeven wordt óf wanneer de verwerking noodzakelijk is voor een aantal in het artikel genoemde doelen. Deelt de regering de mening dat het woord «noodzakelijk» betekent dat de verwerking onmisbaar zou moeten zijn voor het bereiken van het doel en anders onrechtmatig is? Dus wanneer een doel ook bereikt zou kunnen worden zonder de gegevensverwerking is de verwerking (indien zonder toestemming uitgevoerd) niet noodzakelijk en daarmee niet rechtmatig. Op welke wijze heeft de regering gewaarborgd dat onderzocht wordt of doelen ook bereikt kunnen worden zonder gegevensverwerking?
Artikel 6 van de AVG vormt de basis van dit wetsvoorstel. Door het doel vast te stellen waarvoor deelnemers van samenwerkingsverbanden gezamenlijk gegevens kunnen verwerken, wordt uitvoering gegeven aan de eis uit artikel 6 dat voor overheidsinstanties een wettelijke grondslag is vereist om persoonsgegevens te verzamelen en te verwerken.
Artikel 6, eerste lid, onderdeel e, van de AVG bepaalt dat de verwerking van persoonsgegevens alleen rechtmatig is indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Artikel 6, derde lid, onderdeel b, van de AVG bepaalt dat de rechtsgrond moet worden vastgesteld bij lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. Artikel 6, vierde lid, bepaalt dat verdere verwerking van persoonsgegevens is toegestaan voor een ander doel dat niet op voorhand verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mits dat wettelijk is geregeld en in het kader van een zwaarwegend algemeen belang is (artikel 6, vierde lid, aanhef jo. artikel 23, eerste lid, van de AVG).
Door de doelen wettelijk vast te leggen, wordt voldaan aan de eisen van artikel 6 van de AVG voor een rechtmatige verstrekking van persoonsgegevens door deelnemers aan de samenwerkingsverbanden, voor een rechtmatige verwerking door of binnen samenwerkingsverbanden en voor een rechtmatige verstrekking van de resultaten van de gezamenlijke gegevensverwerking vanuit de samenwerkingsverbanden aan deelnemers en derden voor zover dat noodzakelijk is voor de uitoefening van hun taken en bevoegdheden in het belang van criminaliteitsbestrijding.
De gezamenlijke verwerking van persoonsgegevens in het kader van het samenwerkingsverband is noodzakelijk wanneer dat voor deelnemers van een samenwerkingsverband nodig is om een goede informatiepositie te krijgen zodat zij hun taken en bevoegdheden op het terrein van het voorkomen en bestrijden van criminaliteit effectief kunnen uitoefenen. Gelet op het feit dat een adequate informatiepositie inherent is aan de uitoefening van de wettelijke taken en bevoegdheden van deelnemers, en de doelen waarmee samenwerkingsverbanden gezamenlijk gegevens mogen verwerken zijn gekoppeld aan die wettelijke taken en bevoegdheden, valt niet in te zien hoe overheidsinstanties hun taken en bevoegdheden zouden moeten uitoefenen zonder alle daarvoor relevante informatie. Rechtmatig overheidsingrijpen moet immers gebaseerd zijn op toereikende en ter zake dienende informatie. Dat neemt niet weg dat samenwerkingsverbanden op een proportionele manier met gegevens van burgers moeten omgaan. In geen geval mogen er meer of andere gegevens worden verwerkt dan de gegevens die noodzakelijk zijn voor de vervulling van de taak van zwaarwegend algemeen belang van het samenwerkingsverband. De regering is zich ervan bewust dat met de WGS vergaande mogelijkheden worden verleend. Daarom heeft de regering tal van waarborgen in het wetsvoorstel opgenomen ter bescherming van de privacy van burgers. De Autoriteit persoonsgegevens houdt toezicht op de rechtmatigheid van persoonsgegevensverwerking en kan optreden in het geval dat de deelnemers van samenwerkingsverbanden zich niet aan de regels uit de AVG en dit wetsvoorstel houden.
Vraag 58 (PvdD)
Voornoemde leden vragen of de regering kan aangeven waarom ervoor gekozen wordt in het voorliggende wetsvoorstel een verstrekkingsplicht op te nemen in plaats van een verstrekkingsbevoegdheid. Waarom kiest de regering ervoor het delen van informatie te laten gebeuren op basis van een «ja-tenzij» principe? In hoeverre past dat bij de privacy principes die eerder genoemd zijn? Deze leden lezen dat wanneer organisaties zoals de politie en de Koninklijke Marechaussee deelnemen aan een samenwerkingsverband zij gegevens moeten verstrekken en daar alleen onderuit kunnen als zij zwaarwegende redenen zien zich daartegen te verzetten. Deelt de regering de conclusie dat het onwenselijk is dat gegevens vanzelfsprekend gedeeld gaan worden en alleen met zwaarwegende redenen tegen gehouden kan worden? Wat verstaat de regering onder zwaarwegende redenen? Wie beoordeelt dat?
De regering deelt de conclusie dat het onwenselijk is indien gegevensverstrekking – bijvoorbeeld door de politie en Koninklijke Marechaussee – alleen met zwaarwegende redenen tegengehouden zou kunnen worden. Zo is het wetsvoorstel daarom niet vormgegeven: de verstrekkingsplicht is geclausuleerd. In de eerste plaats geldt de verstrekkingsplicht slechts voor zover de verstrekking noodzakelijk is voor het doel van het samenwerkingsverband. In de tweede plaats voorziet het wetsvoorstel in aanvullende voorwaarden aan en uitzonderingen op de gegevensverstrekking. Op de verplichting om gegevens te verstrekken kunnen op grond van artikel 1.8, eerste lid, bij amvb voorwaarden en beperkingen worden gesteld (zie hierover het antwoord op vraag 29).
Als voldaan is aan de voorwaarden voor de verstrekkingsplicht, dan geldt een uitzondering op de verstrekkingsplicht indien zwaarwegende redenen zich tegen de gegevensverstrekking verzetten. Bovendien geldt een uitzondering indien een specifieke geheimhoudingsbepaling van toepassing is die het niet toelaat dat de WGS daarop een uitzondering maakt.
Geconcludeerd kan dus worden dat gegevensverstrekking in het wetsvoorstel niet alleen met een beroep op zwaarwegende redenen kan worden tegengehouden.
Voor het antwoord op de vragen over zwaarwegende redenen wordt verwezen naar het antwoord op vraag 50.
Vraag 59 (PvdD)
Wat gebeurt er volgens de regering als een organisatie die niet langer deel wenst te nemen aan een bepaald samenwerkingsverband daartoe toch verplicht blijft? Acht de regering zo’n situatie denkbaar? Acht zij die wenselijk? Zo nee, op welke wijze wordt dit voorkomen?
Het ongedaan maken van een aanwijzing als deelnemer verloopt op grond van artikel 1.3, zesde lid, niet noodzakelijk via dezelfde procedure als waarmee de aanwijzing heeft plaatsgevonden. Indien deelname niet meer noodzakelijk is voor het doel van het samenwerkingsverband, is het wenselijk dat deelname van een in hoofdstuk 2 genoemde deelnemer, op korte termijn bij amvb kan worden beëindigd. Met artikel 1.3, zesde lid, wordt voorkomen dat een organisatie waarvan deelname niet langer noodzakelijk is, toch nog relatief lange tijd als deelnemer is aangewezen. Dit is van belang, omdat veel deelnemers in het wetsvoorstel zelf worden aangewezen als deelnemer, en dus niet op het niveau van amvb.
Vraag 60 (PvdD)
De leden van de fractie van de Partij voor de Dieren vragen de regering verder op welke wijze rekening is gehouden met het onomkeerbare karakter van informatie delen. Zodra gegevens eenmaal gedeeld zijn kunnen deze niet meer «teruggehaald» worden. Op welke manier zorgt de regering ervoor dat wanneer een samenwerking of een samenwerkingsverband niet langer wenselijk is of zelfs als gevaarlijk gezien wordt de data teruggehaald kunnen worden? Deelt de regering de zorgen dat wanneer gegevens eenmaal gedeeld zijn dit onomkeerbaar is en dat feit grote risico’s met zich meebrengt? Deelt de regering verder de mening dat er voor elke partij verschillende belangen bij gegevensuitwisseling zijn? Ter illustratie: bij het delen van informatie over de mobiliteit van alle Nederlandse burgers kan wellicht gesteld worden dat de politie en de bank elkaar kunnen helpen om te bepalen wat voor routes criminelen vaak gebruiken. Het kan de bank echter ook informatie opleveren over waar hun billboards meer bereik hebben, waar ze hun filialen beter zouden kunnen neerzetten, etc. Deelt de regering de mening dat de denkbare toepassingen haast oneindig zijn en ook over de tijd nog kunnen veranderen? Zo ja, welke conclusies verbindt de regering daaraan? De aan het woord zijnde leden maken zich grote zorgen over het feit dat op dit moment niet te bezien valt welke toepassingen er in de toekomst mogelijk zijn. Deelt de regering ook de mening dat ook wanneer organisaties informatie slechts kortstondig bezitten ze de nuttige informatie daar snel uit gedestilleerd kunnen hebben? Op welke manier houdt het wetsvoorstel hier rekening mee?
Mede om de genoemde risico’s te beperken, is het van belang om de gegevensverwerking in samenwerkingsverbanden in goede banen te leiden met wetgeving. Dat doet het wetsvoorstel, door bijna twintig waarborgen te regelen, zoals toegelicht in paragraaf 3.4 van de memorie van toelichting. Daarnaast is voorzien in voorwaarden en beperkingen. Een belangrijke randvoorwaarde is bijvoorbeeld dat de resultaten van de gegevensverwerking door het samenwerkingsverband uitsluitend mogen worden gebruikt voor doeleinden die verenigbaar zijn met het doel van het samenwerkingsverband (artikel 1.7). Hoewel de denkbare toepassingen van gegevensverwerking inderdaad oneindig zijn, zijn de toegestane toepassingen van de gegevensverwerking bepaald niet oneindig. Commerciële doeleinden – zoals in het voorbeeld van de PvdD-fractieleden genoemd – zijn onverenigbaar met de doeleinden van de samenwerkingsverbanden die worden aangewezen bij of krachtens dit wetsvoorstel. De Autoriteit persoonsgegevens ziet erop toe dat de deelnemers zich aan deze voorwaarden houden.
Vraag 61 (SP)
De leden van de SP-fractie constateren dat openbare gegevens (social media) een bron vormen die veel informatie en aanwijzingen oplevert. Mag deze informatie gedeeld en verwerkt worden? Of moeten deze ook in de lijst van de te verwerken gegevens opgenomen worden?
Het wetsvoorstel voorziet hier niet in, omdat op dit punt geen knelpunten zijn gerezen ten aanzien van samenwerkingsverbanden. De Awb, noch bijzondere bestuursrechtelijke wetten, bevatten een expliciete grondslag voor het doen van openbronnenonderzoek.
Gegevens die op internet voor een ieder toegankelijk zijn, mogen in beginsel door bestuursorganen worden verzameld, als onderdeel van hun onderzoeksplicht bij de voorbereiding van besluiten (artikel 3:2 Awb), als onderdeel van de toezichtsbevoegdheden van artikel 5:16 en 5:17 Awb, of een algemene grondslag in wetgeving, waarin staat dat voor de taakuitoefening informatie mag worden verzameld en verwerkt. Openbronnenonderzoek is echter niet vrij en onbeperkt. De aard en intensiteit van het openbronnenonderzoek bepalen de eisen die worden gesteld aan de wettelijke grondslag van deze onderzoeksbevoegdheid. Hoe groter de privacy-inmenging die plaatsvindt, hoe meer waarborgen nodig zijn. Deze factoren betreffen 1. de omvang en het type van de (over te nemen) gegevens, 2. de aard van de bron, 3. de wijze van zoeken en 4. het gebruik van de gegevens en de mogelijke impact op de persoon.13 Zodra het bewaren van de gegevens wordt aangemerkt als een privacy-inmenging, zijn alle vervolghandelingen, zoals het combineren met andere gegevens, dat automatisch ook.
Wanneer deelnemers op rechtmatige wijze beschikken over gegevens uit openbronnenonderzoek, dan zijn zij in beginsel verplicht deze gegevens te verstrekken aan het samenwerkingsverband als dat nodig is voor het doel van het samenwerkingsverband, mits de gegevens zijn terug te voeren tot bij of krachtens dit wetsvoorstel aangewezen categorieën van gegevens. Het wetsvoorstel regelt geen bevoegdheid voor samenwerkingsverbanden om zelf (al dan niet openbare) gegevens te vergaren. Het onderhavige wetsvoorstel gaat uitsluitend over het gezamenlijk verwerken van gegevens waarover deelnemers van een samenwerkingsverband reeds beschikken. Het wetsvoorstel gaat dus wel over verdere verwerking van gegevens, maar niet over initiële gegevensverzameling. De initiële gegevensverzameling door een deelnemer wordt beheerst door de specifieke sectorwet die op die deelnemer van toepassing is.
Vraag 62 (SP)
In de regio Brabant-Zeeland wordt gewerkt met een zogenaamd Joint Datalab ondermijning. In dit datalab kunnen de netwerkpartners beveiligd informatie delen en inzien. Kan voor de aan het woord zijnde leden worden verduidelijkt waarom dit nu op dit moment al kan, en waarom het wetsvoorstel op dit vlak dan nog een meerwaarde zou hebben?
Het Joint Datalab bevindt zich op dit moment in een ontwikkelfase, waarbij in een testomgeving de mogelijkheden van specifieke vormen van dataverzameling worden verkend. Parallel hieraan wordt het systeem zodanig ingericht dat de gegevensverstrekkingen vanuit de onderscheiden partijen passen binnen het huidige RIEC-convenant en de kaders zoals in het voorliggende wetsvoorstel zijn voorzien.
Vraag 63 (ChristenUnie)
De leden van de ChristenUnie-fractie constateren dat bij de VNG onduidelijkheid bestaat over de verwerking van openbare gegevens, bijvoorbeeld van openbare profielen op sociale media. Kan worden toegelicht of verwerking van deze gegevens ook onder de reikwijdte van het voorstel valt? Wat betekent dit voor samenwerkingsverbanden die niet nu bij naam zijn genoemd?
Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 61.
Vraag 64 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen of de regering ook rekening heeft gehouden met het risico dat organisaties in samenwerkingsverbanden straks een stimulans hebben om ten behoeve van andere organisaties waarmee zij samenwerken informatie te gaan verzamelen. Zo ja, hoe heeft zij dit risico ondervangen? Zo nee, waarom niet? Kan de regering zich voorstellen dat wanneer organisaties intensief samenwerken dit kan leiden tot een zeker mate van amicaliteit en wederzijdse welwillendheid tot het uitwisselen van gegevens die, gegeven de wettelijke rollen van de organisaties, niet gerechtvaardigd zou zijn? Kan de regering zich voorstellen dat organisaties elkaar met het voorliggende wetsvoorstel gegevens gaan toespelen die voor hen beide profijtelijk zijn maar geen zwaarwegend algemeen belang dienen? Op welke manier wordt dit voorkomen?
De deelnemende partijen worden op grond van dit wetsvoorstel gerechtigd uitsluitend informatie die zij bij de uitoefening van hun eigen taken en bevoegdheden hebben vergaard, onder voorwaarden te delen met andere deelnemers. Het is niet toegestaan dat deelnemers informatie die zij zelf niet nodig hebben bij de uitoefening van hun eigen taken en bevoegdheden, gaan verzamelen ten behoeve van de verstrekking aan andere deelnemers. Die deelnemers zouden daarbij buiten hun eigen taken en bevoegdheden treden en daarmee ook de AVG schenden. De deelnemers blijven immers onverkort verwerkingsverantwoordelijke voor een rechtmatige verwerking van persoonsgegevens binnen de uitoefening van hun eigen taken en bevoegdheden. De regering gaat uit van de professionaliteit van deelnemende partijen. Voorts houdt de Autoriteit persoonsgegevens toezicht op de rechtmatige verwerking van persoonsgegevens en is bevoegd op te treden tegen onregelmatigheden. Dit wetsvoorstel voorziet uitsluitend in mogelijkheden voor informatie-uitwisseling voor zover daarmee een zwaarwegend algemeen belang wordt gediend. Zoals eerder aangegeven voorziet dit wetsvoorstel in mogelijkheden voor gezamenlijke gegevensverwerking, maar ook in waarborgen ter bescherming van de privacy van burgers. Zo dient het samenwerkingsverband ingevolge het voorgestelde artikel 1.10 periodieke privacy audits te verrichten waarbij de uitvoering van de regels van dit wetsvoorstel en de AVG worden gecontroleerd. Een afschrift van de controle-resultaten moet aan de Autoriteit persoonsgegevens worden gezonden. Indien uit de controle-resultaten blijkt dat niet wordt voldaan aan het bij of krachtens dit wetsvoorstel bepaalde, dient het samenwerkingsverband maatregelen te nemen en binnen een jaar een hercontrole uit te voeren. Ook die hercontrole-resultaten moeten aan de Autoriteit persoonsgegevens worden gezonden. In het geval van onregelmatigheden is de Autoriteit persoonsgegevens bevoegd om op te treden. Daarnaast dienen de samenwerkingsverbanden een jaarverslag op te stellen en dit verslag op internet te plaatsen (het voorgestelde artikel 1.12). Daarmee wordt de transparantie van de werkwijze en methodes van samenwerkingsverbanden gediend.
Vraag 65 (VVD)
De leden van de VVD-fractie hebben vernomen dat het wetsvoorstel ruimte biedt voor het delen van informatie binnen publiek-private samenwerkingsverbanden. Zij vragen in hoeverre het wetsvoorstel ruimte biedt voor het delen van informatie tussen private partijen? Ook vragen deze leden in hoeverre het wetsvoorstel voorziet in cross-sectorale informatiedeling, waar ook grote behoefte aan is in het kader van criminaliteitsbestrijding?
Vanwege de publieke belangen die worden nagestreefd met de samenwerkingsverbanden in de zin van dit wetsvoorstel, volgt uit artikel 1.3, derde lid, dat het samenwerkingsverband niet zal kunnen bestaan uit uitsluitend private partijen, maar er altijd tevens publieke partijen deel van uitmaken. Wat zodoende onder de voorgestelde wet zou kunnen, is publiek-private samenwerking binnen het FEC of binnen de Zorg- en Veiligheidshuizen, of – via een toekomstige amvb – een samenwerkingsverband tussen politie, OM en bedrijven ter bestrijding van ernstige vormen van criminaliteit. Dit zijn vormen van cross-sectorale informatiedeling tussen publieke en private partijen.
Voor wat betreft cross-sectorale informatiedeling tussen uitsluitend private partijen verwijs ik naar de brief aan uw Kamer met de beleidsreactie onderzoek «Cross-sectorale gegevensdeling tussen private partijen voor fraudebestrijding» en het gelijknamige rapport.14 Zoals in die beleidsreactie is toegelicht, is cross-sectorale gegevensdeling tussen private partijen reeds mogelijk, namelijk met een vergunning van de Autoriteit persoonsgegevens. De Autoriteit persoonsgegevens kan een dergelijke vergunning verlenen, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van betrokkenen niet onevenredig wordt geschaad (artikel 33, vijfde lid, Uitvoeringswet AVG).
Vraag 66 (VVD)
Banken kennen interne zwarte lijsten. In het kader van een betere en efficiëntere aanpak om criminelen bij banken te kunnen weren en witwassen beter aan te pakken, vragen voornoemde leden in hoeverre dit wetsvoorstel de wettelijke grondslag schept voor het onderling uitwisselen van deze lijsten? Op welke schaal wisselen banken op dit moment gegevens uit via externe zwarte lijsten van financiële instellingen? Hoe beoogt dit wetsvoorstel te borgen dat financiële instellingen zorgvuldig met gegevens van mensen omgaan?
Het onderhavige wetsvoorstel ziet uitsluitend op gegevensuitwisseling binnen samenwerkingsverbanden waaraan ook overheidsinstanties deelnemen. Binnen het FEC is ook deelname van banken aan sommige verwerkingen binnen het FEC mogelijk, indien zij als deelnemer worden aangewezen bij amvb. Dat kan alleen gebeuren voor zover dit noodzakelijk is voor het doel van het samenwerkingsverband en indien tevens overheidsinstanties of overheidsorganen deelnemen. Dit wetsvoorstel biedt derhalve geen wettelijke grondslag voor het delen van informatie louter tussen banken.
Uitwisseling van strafrechtelijke gegevens tussen banken is nu al op basis van een door de Autoriteit persoonsgegevens te verlenen vergunning mogelijk.15 Daarbij geldt wel dat deze uitwisseling noodzakelijk moet zijn met het oog op een zwaarwegend belang van bepaalde private partijen en dat moet zijn voorzien in voldoende waarborgen zodat personen niet ten onrechte op bijvoorbeeld een zwarte lijst komen te staan. In het licht van de eisen van noodzakelijkheid, subsidiariteit en proportionaliteit moet de vergunningaanvraag goed zijn onderbouwd en dienen de waarborgen steviger te zijn naarmate de reikwijdte van de lijst en de impact van plaatsing daarop groter zijn. In het kader van fraude hebben de banken samen met andere instellingen reeds een dergelijke lijst (Incidentenwaarschuwingssysteem Financiële Instellingen (IFI)). De regels hierover staan in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. De Autoriteit persoonsgegevens heeft hiervoor al een verklaring van rechtmatigheid afgeven. Op dit moment loopt een vergunningaanvraag bij het Autoriteit persoonsgegevens ten aanzien van een herzien Protocol.
Daarnaast is in het plan van aanpak witwassen aangekondigd dat de informatie-uitwisseling tussen instellingen vergemakkelijkt zal worden, onder meer door wettelijke belemmeringen weg te nemen voor het gezamenlijk monitoren van transacties. Het wetsvoorstel plan van aanpak witwassen, dat dit regelt, ligt bij de Afdeling advisering van de Raad van State voor ter advisering.
Vraag 67 (CDA)
De leden van de CDA-fractie lezen dat de Belastingdienst geen gegevens mag verstrekken aan deelnemers voor zover dit private partijen zijn. Deze leden vragen de regering hoe dit zich verhoudt tot het FEC waarbinnen intensieve samenwerking mogelijk moet zijn tussen Belastingdienst en bijvoorbeeld banken. Kan worden toegelicht waarom er niet voor gekozen is dat door middel van onderhavig wetsvoorstel het delen van deze gegevens of een deel daarvan wel mogelijk kan zijn.
Op grond van artikel 67 van de Algemene wet inzake rijksbelastingen mogen gegevens waarover de Belastingdienst in het kader van de uitvoering van de belastingwetten beschikt, niet verder bekend worden gemaakt. Bij wettelijk voorschrift kan op deze geheimhoudingsplicht een uitzondering worden gemaakt. In de praktijk vindt een dergelijke doorbreking plaats in het kader van zwaarwegende overheidsbelangen. Een verstrekking aan private partijen vindt in beginsel niet plaats. De belangen van deze private partijen wegen niet op tegen het belang van belastingplichtigen om hun belastinggegevens geheim te houden. Zou de Belastingdienst belastinggegevens breed verspreiden onder private partijen, dan is denkbaar dat belastingplichtigen minder bereid zijn om hun belastingaangifte volledig en correct in te vullen. Met onderhavig wetsvoorstel is een zwaarwegend algemeen belang gediend. De publiek-private samenwerking binnen het FEC is van groot belang ter voorkoming van witwassen en financiering van terrorisme. Financiële instellingen hebben op grond van de Wet ter voorkoming van witwassen en het financieren van terrorisme een aantal wettelijke verplichtingen en vervullen een belangrijke poortwachtersfunctie. Dit rechtvaardigt een doorbreking van de geheimhoudingsplicht van de Belastingdienst voor zover dat echt noodzakelijk is. Verstrekking van resultaten van gegevensverwerkingen die mede gebaseerd zijn op belastingdienstgegevens kunnen in dit verband aan private partijen worden verstrekt. Dit is alleen mogelijk ten behoeve van vooraf duidelijk begrensde wettelijke taken van die private partijen. Daarom regelt het wetsvoorstel dat verstrekking van resultaten met belastingdienstgegevens aan een private deelnemer alleen mogelijk is ten behoeve van het uitvoeren van een wettelijke verplichting of publiekrechtelijke taak van die private deelnemer, mits die verplichting of taak verenigbaar is met het doel van het samenwerkingsverband. Indien naar het oordeel van de Belastingdienst zwaarwegende redenen zich tegen verstrekking verzetten, kan de Belastingdienst verstrekking tegenhouden. Dezelfde criteria gelden mutatis mutandis voor verstrekking aan een private derde, met dien verstande dat de Belastingdienst dan de verstrekking reeds om de reden dat daartegen bezwaar bestaat kan tegenhouden. Verstrekking van een resultaat voor de behartiging van de gerechtvaardigde belangen van private partijen is uitgesloten.
Vraag 68 (CDA)
Ook vragen de aan het woord zijnde leden de regering of in de antwoorden op deze vragen ook de samenwerking met havens en vakantieparken kan worden meegenomen, sectoren die ook gebaat zijn bij adequate gegevensdeling.
Het FEC heeft het versterken van de integriteit van de financiële sector als doel. Gelet op dit doel ligt een eventuele samenwerking met havens en vakantieparken binnen het FEC op dit moment niet direct in de rede. De WGS biedt de mogelijkheid om private partijen, zoals voornoemd, bij of krachtens amvb als deelnemer aan de RIEC’s aan te wijzen, voor zover dat noodzakelijk is voor het doel van dat samenwerkingsverband. Mocht dat in de toekomst worden gerealiseerd, dan volgt uit artikel 1.5, vierde lid, dat door de Belastingdienst geen gegevens aan die private partijen worden verstrekt en uit artikel 1.7, zesde lid, dat resultaten van gegevensverwerking voor zover deze gegevens mede gebaseerd zijn op gegevens van de Belastingdienst (met uitzondering van de FIOD) alleen aan die private partijen kunnen worden verstrekt indien dat noodzakelijk is voor het uitvoeren van een wettelijke verplichting of de vervulling van een publiekrechtelijke taak van de ontvanger en op voorwaarde dat sprake is van verenigbaarheid met het doel van het samenwerkingsverband.
Vraag 69 (D66)
De leden van de D66-fractie lezen dat private partijen deel kunnen uitmaken van een samenwerkingsverband en zo in bezit komen van zeer privacygevoelige gegevens zoals stafrechtelijke gegevens, die voor een ander doel verzameld zijn. De Afdeling was hier kritisch over: wat betreft deelname van private partijen wordt gesuggereerd deze mogelijkheid uit te sluiten. Ook als private partijen geen officiële deelnemer zijn in de door het wetsvoorstel voorgestelde zin, is het wel mogelijk om samen te werken, te overleggen en gegevens uit te wisselen. Voornoemde leden lezen dat de regering heeft overwogen of deelname van private partijen noodzakelijk is voor het doel van het samenwerkingsverband bij de vier voorgestelde samenwerkingsverbanden. Daarom is dit niet bij elk samenwerkingsverband op dezelfde wijze mogelijk. Zal dit op eenzelfde wijze gebeuren bij samenwerkingsverbanden die middels AMvB worden «opgehangen» aan de kapstok van deze wet? Waarom is deelname van private partijen niet in de wet verder begrensd en aan voorwaarden verbonden, bijvoorbeeld door de samenwerking te beperken tot wat noodzakelijk is? De Afdeling suggereert verder om bijvoorbeeld beperkingen voor te stellen aan de mate waarin private partijen inzage krijgen in gegevens en kunnen meebeslissen over het verstrekken van gegevens aan de deelnemers en aan derden. Ook zouden beperkingen kunnen worden gesteld aan het soort gegevens die private partijen kunnen ontvangen van het samenwerkingsverband. Graag ontvangen de aan het woord zijnde leden een reactie.
Gegevensverwerking binnen het kader van een samenwerkingsverband moet inderdaad worden beperkt tot wat noodzakelijk is. Terwijl het wetsvoorstel bij een overheidsinstantie of overheidsorgaan voor deelname vereist dat dit noodzakelijk is voor het doel van het samenwerkingsverband (artikel 1.3, tweede lid), is bij private partijen de drempel hoger: een private partij kan slechts deelnemen indien het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partij (artikel 1.3, derde lid). Een tweede vereiste voor aanwijzing van een private partij als deelnemer is bovendien dat er tevens overheidsinstanties of overheidsorganen deelnemen.
Het wetsvoorstel bevat daarnaast diverse andere beperkingen en begrenzingen ten aanzien van private partijen:
– Bij iCOV zijn er geen private partijen als deelnemer aangewezen omdat dit niet noodzakelijk is (voorgestelde artikel 2.11). Bovendien is het niet mogelijk om private partijen bij of krachtens amvb als deelnemer aan te wijzen (artikel 2.11, onder j).
– Bij de RIEC’s zijn er evenmin private partijen als deelnemer aangewezen, maar is het wel mogelijk om deze aan te wijzen bij of krachtens amvb (artikel 2.19, derde lid), onder de condities van artikel 1.3, derde lid. Deze mogelijkheid is opgenomen op voorstel van de RIEC’s met het oog op het potentiële belang van publiek-private samenwerking (PPS) in het kader van de aanpak van ondermijning.
– Bij het FEC nemen aan bepaalde activiteiten ook private partijen deel. Het gaat dan om activiteiten waarbij het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partijen. De private deelnemers aan het FEC zullen op grond van het wetsvoorstel uitsluitend verantwoordelijk zijn voor zover het gaat om bij amvb beschreven specifieke verwerkingen of onderdelen daarvan. Concreet gaat het dan om twee Taskforces die onder de vlag van het FEC functioneren: de Taskforce Terrorismefinanciering en de Taskforce Serious Crime. Hierin werken deelnemers van het FEC samen met private partijen, te weten: de Nederlandse Vereniging van Banken, ING Bank, ABN Amro Bank, Rabobank, Volksbank en Aegon, in het belang van het gezamenlijk voorkomen en bestrijden van het gebruik van het financiële stelsel voor financieel-economische criminaliteit, zoals witwassen, en andere vormen van ernstige, met name ondermijnende criminaliteit alsmede terrorismefinanciering.
– Voor het doel van de Zorg- en Veiligheidshuizen is deelname van private partijen noodzakelijk, omdat zorgverlening, hulp en begeleiding in de praktijk vaak geschieden door partijen uit de private sector. Zoals nader toegelicht in paragraaf 3 van het nader rapport en in de artikelsgewijze toelichting bij artikel 2.27, wordt de gezamenlijke verwerkingsverantwoordelijkheid voor de gezamenlijke verwerking van gegevens bij de Zorg- en Veiligheidshuizen exclusief toegekend aan de publiekrechtelijke deelnemers. Hiermee berust de verantwoordelijkheid voor de persoonsgegevensverwerking in het kader van het samenwerkingsverband bij de publiekrechtelijke deelnemers en niet bij de private deelnemers.
Vraag 70 (GroenLinks)
De leden van de GroenLinks-fractie menen dat niet uit het oog mag worden verloren dat gegevensverwerking en -deling de autonomie en de menselijke waardigheid van burgers raakt en dat het vaak om informatie over onverdachte burgers gaat. Dat vraagt om duidelijke grenzen aan wettelijke bevoegdheden (bijvoorbeeld ten aanzien van het specifieke doel waarvoor informatie is verzameld en wie deze informatie mag gebruiken). Die noties moeten volgens deze leden onverkort worden gerespecteerd. Dat is eens te meer van belang nu dit wetsvoorstel het delen met private partijen beoogt. Op private partijen is het toezicht op het gebruik van informatie nog minder inzichtelijk voor de betrokken burger dan bij overheidsorganen. Dit is volgens voornoemde leden extra problematisch nu het er ook op lijkt dat bijzondere categorieën persoonsgegevens en van persoonsgegevens van strafrechtelijke aard met private partijen kunnen worden gedeeld (zie artikel 1.7, derde lid). Daarvoor moet naast een formele rechtsgrond vooral een duidelijk, onomstotelijk overtuigend doel bestaan en moeten maximale waarborgen rond het delen en gebruik gegeven worden. De aan het woord zijnde leden vragen de regering hierop te reflecteren.
De regering deelt de noties van de leden van de GroenLinks-fractie over de betrokkenheid van private partijen bij gezamenlijke gegevensverwerking in samenwerkingsverbanden. Naar aanleiding van het advies van de Afdeling advisering van de Raad van State heeft de regering het deelnemerschap en de mate van betrokkenheid van private partijen heroverwogen. Daarbij heeft de regering bezien: 1) of en zo ja, van welke partijen deelname noodzakelijk is om het doel van het samenwerkingsverband te realiseren; 2) hoe in dat geval de deelname kan worden beperkt tot hetgeen noodzakelijk is om het doel te realiseren alsmede hoe de bevoegdheden en verantwoordelijkheden ter zake van de gezamenlijke gegevensverwerking worden voorbehouden aan de publiekrechtelijke deelnemers of overheidsinstanties; 3) in hoeverre betrokkenheid van private partijen op een andere manier dan structurele deelname kan worden gerealiseerd, voor zover noodzakelijk.
Bij iCOV en RIEC’s is deelname van private partijen op dit moment niet noodzakelijk. Bij het FEC en de ZVH is deelname van en informatie-uitwisseling met private partijen wel noodzakelijk ter realisering van het doel van de samenwerkingsverbanden. Het FEC is een samenwerkingsverband van diverse overheidsorganisaties dat als doel heeft de integriteit van het financiële stelsel te versterken. Versterking van de integriteit van het financiële stelsel is niet alleen een zaak van de overheid, maar ook van het bedrijfsleven. Aan sommige activiteiten van het FEC nemen daarom ook private partijen uit deze sector deel. Risico’s van inbreuken op de integriteit van het financiële stelsel moeten worden tegengegaan. De deelnemers in het FEC treden gezamenlijk preventief op tegen risico’s ten aanzien van de integriteit van het financiële stelsel, houden toezicht op de naleving van de hiervoor relevante regelgeving of handhaven deze waar nodig. De deelnemers aan het FEC zijn toezichthouders of andere handhavende instanties ten opzichte van de partijen die onderdeel uitmaken van het financiële stelsel, of ze zijn informatieleverancier van voornoemde instanties. Daarnaast wordt door het samenwerkingsverband FEC ingezet op het gezamenlijk voorkomen en bestrijden van het gebruik van het financiële stelsel voor financieel-economische criminaliteit, zoals witwassen, en andere vormen van ernstige, met name ondermijnende criminaliteit alsmede terrorismefinanciering. Met het oog op dit laatste doel werken deelnemers aan het FEC ook al enige jaren samen met financiële instellingen, te weten: de Nederlandse Vereniging van Banken, ING Bank, ABN Amro Bank, Rabobank, Volksbank en Aegon. Dit gebeurt vanuit de visie dat de integriteit van het financiële stelsel niet slechts een zaak is van de overheid. Deze visie klinkt ook door in Wet ter voorkoming van witwassen en het financieren van terrorisme (Wwft), die op dit vlak verplichtingen aan banken en andere financiële ondernemingen oplegt.
Ook bij de Zorg- en Veiligheidshuizen is deelname van private partijen noodzakelijk, omdat zorgverlening, hulp en begeleiding bij complexe casuïstiek in de praktijk vaak geschiedt door partijen uit de private sector. In artikel 2.27, eerste lid, worden de publiekrechtelijke deelnemers of overheidsinstanties aangewezen die zijn belast met de uitoefening van wettelijke taken of bevoegdheden. In artikel 2.27, tweede lid, wordt een aantal privaatrechtelijke rechtspersonen als deelnemer aangewezen die bij of krachtens de wet taken of bevoegdheden uitoefenen of daartoe door een bestuursorgaan gemandateerd zijn, of daaraan gerelateerde noodzakelijke activiteiten verrichten, en die verband houden met het doel, bedoeld in artikel 2.25. Het gaat bij de private deelnemers onder andere om reclasseringsinstellingen, advies- en meldpunten huiselijk geweld en kindermishandeling, gecertificeerde instellingen op het terrein van de jeugdzorg en instellingen voor geestelijke gezondheidszorg.
Het is voor de deelnemers aan het FEC en de deelnemers aan de ZVH, gelet op hun onderscheidenlijke taken en activiteiten dan ook nodig om persoonsgegevens van strafrechtelijke aard, en voor de ZVH gezondheidsgegevens (bijzondere persoonsgegevens) te kunnen verwerken om een nuttige bijdrage te kunnen leveren aan het doel van het samenwerkingsverband. Indien deze partijen niet over strafrechtelijke persoonsgegevens zouden kunnen beschikken, zouden bijvoorbeeld bij het FEC voornoemde banken niet de juiste acties kunnen verrichten bij het tegengaan van integriteitsrisico’s in de financiële sector. Voor de behandeling van complexe casuïstiek in de ZVH, zou het niet kunnen betrekken van gezondheidsgegevens tot gevolg kunnen hebben dat een cliënt geen passende behandeling krijgt.
In dit wetsvoorstel heeft de regering diverse maatregelen genomen om ervoor te zorgen dat de betrokkenheid van private partijen beperkt is tot hetgeen strikt noodzakelijk is ter realisering van het doel van het samenwerkingsverband.
In de eerste plaats kunnen uitsluitend deelnemer zijn de private partijen die bij of krachtens deze wet als deelnemer zijn aangewezen; aanwijzing van een private partij kan alleen geschieden als het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partijen (het voorgestelde artikel 1.3, derde lid). De wetgever bepaalt dus welke private partijen deelnemer kunnen zijn. De private deelnemers aan het FEC zullen op grond van het wetsvoorstel uitsluitend kunnen meedoen aan de gezamenlijke gegevensverwerking voor zover het gaat om bij amvb beschreven specifieke verwerkingen of onderdelen daarvan (het voorgestelde artikel 2.3, aanhef, onderdeel h).
In de tweede plaats voorziet het wetsvoorstel, in combinatie met de in de amvb nader te stellen regels over de werkwijze en respectievelijke verantwoordelijkheden van de deelnemers, in een passende balans in de verantwoordelijkheidsverdeling tussen publieke en private deelnemers. Zoals zojuist toegelicht, nemen private deelnemers van het FEC slechts aan sommige activiteiten binnen het FEC deel, waardoor hun verantwoordelijkheid daartoe is beperkt. Verder wordt in het wetsvoorstel ter zake van de Zorg- en Veiligheidshuizen een tweedeling gemaakt tussen publiekrechtelijke deelnemers of overheidsinstanties enerzijds en privaatrechtelijke deelnemers anderzijds. Gelet op het doel van de Zorg- en Veiligheidshuizen is deelname van veel verschillende private partijen noodzakelijk, omdat zorgverlening, hulp en begeleiding in de praktijk vaak geschieden door de partijen uit de private sector. Om onduidelijkheid te voorkomen over de belegging van de verwerkingsverantwoordelijkheid, wordt in het voorgestelde artikel 2.27, derde lid, de gezamenlijke verwerkingsverantwoordelijkheid als bedoeld in artikel 26 van de AVG voor de gezamenlijke verwerking van persoonsgegevens exclusief toegekend aan de publiekrechtelijke deelnemers of overheidsinstanties. Dat ontslaat de private partijen nadrukkelijk niet van hun eigen zelfstandige verantwoordelijkheid om persoonsgegevens op rechtmatige wijze te verwerken. Zij zijn bij de uitoefening van hun taken en activiteiten immers gebonden aan de rechtstreeks werkende eisen uit de AVG. Voor de Zorg- en Veiligheidshuizen geldt dat, de publiekrechtelijke deelnemers of overheidsinstanties óók verantwoordelijk worden voor de rechtmatige gegevensverwerking door de deelnemende private partijen wanneer zij meedoen aan de gezamenlijke gegevensverwerking in het kader van het samenwerkingsverband.
In de derde plaats kent het wetsvoorstel specifieke waarborgen toegespitst op deelname van private partijen. Zo mogen private partijen ten behoeve van de inzet in het samenwerkingsverband slechts medewerkers aanwijzen die niet tevens worden belast met commerciële werkzaamheden voor die private partij (het voorgestelde artikel 1.3, derde lid). Verstrekking van resultaten van samenwerkingsverbanden aan een private deelnemer of private derde kan alleen ten behoeve van de behartiging van gerechtvaardigde belangen of uitvoering van wettelijke verplichtingen van een private partij of derde, wanneer deze belangen of verplichtingen verenigbaar zijn met het doel van het samenwerkingsverband. Verstrekking en gebruik van resultaten voor commerciële doeleinden is daarmee uitgesloten. Daarbij worden resultaten die mede zijn gebaseerd op gegevens van de rijksbelastingdienst niet aan private partijen verstrekt voor de behartiging van gerechtvaardigde belangen (het voorgestelde artikel 1.7, eerste, tweede en zesde lid). Uit de periodieke privacy-audit die het samenwerkingsverband moet verrichten, waarvan de controleresultaten aan de Autoriteit persoonsgegevens worden gezonden alsmede het jaarverslag zal blijken hoe samenwerkingsverbanden gevolg geven aan het voorgaande.
Vraag 71 (SP)
De leden van de SP-fractie vragen of verduidelijkt kan worden wanneer sprake is van «gezamenlijke verantwoordelijkheid» in de zin van de AVG ten aanzien van de deelnemers aan een publiek-privaat samenwerkingsverband. Klopt het dat in het wetsvoorstel met «gezamenlijke verantwoordelijkheid» wordt afgeweken van de gangbare verantwoordelijkheidsvorm in huidige samenwerkingsverbanden, namelijk «zelfstandige verantwoordelijkheid» bij het verwerken van gegevens? Zo ja, waarom denkt de regering hier goed aan te doen?
In het voorgestelde artikel 1.4, eerste lid, wordt bepaald dat de deelnemers van een samenwerkingsverband gezamenlijke verwerkingsverantwoordelijken zijn als bedoeld in artikel 26 van de AVG. Hiermee bedoelt de regering buiten twijfel te stellen dat alle deelnemers volledig verantwoordelijk zijn voor de verwerking van persoonsgegevens door en binnen het samenwerkingsverband. Aangezien de samenwerkingsverbanden geen zelfstandige entiteiten met rechtspersoonlijkheid vormen en als zodanig ook geen bestuursorgaan zijn, kan onduidelijkheid ontstaan over wie de verwerkingsverantwoordelijke is voor de verwerking van persoonsgegevens in het samenwerkingsverband. In het belang van de rechtszekerheid worden de deelnemers daarom als gezamenlijke verwerkingsverantwoordelijken aangewezen in het voorgestelde artikel 1.4, eerste lid. Met het voorgestelde artikel 1.4, eerste lid, wordt uitvoering gegeven aan artikel 4, zevende lid, tweede volzin, AVG: «wanneer de doelstellingen van en middelen voor deze verwerking in het (...) lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen». Het is uit een oogpunt van bescherming van persoonsgegevens van belang duidelijk vast te stellen wie met betrekking tot de gegevensverwerking als verwerkingsverantwoordelijken in de zin van de AVG zijn aan te merken. Op deze verantwoordelijken rusten immers verschillende verplichtingen, zoals de beveiligingsplicht en de verplichting betrokkenen gebruik te kunnen laten maken van hun inzage- en correctierecht. Op grond van artikel 82 AVG is in geval van gezamenlijke verwerkingsverantwoordelijken elke verwerkingsverantwoordelijke voor de gehele schade aansprakelijk die wordt veroorzaakt door een verwerking die inbreuk maakt op de AVG. Het grote voordeel voor de betrokkenen is dat zij iedere deelnemer voor het geheel kunnen aanspreken en niet eerst hoeven na te gaan welke deelnemer precies waarvoor verantwoordelijk is.
Voor de ZVH wordt een uitzondering gemaakt op de hoofdregel van artikel 1.4, eerste lid. Voor de ZVH is geregeld dat de primaire verantwoordelijkheid voor de persoonsgegevensverwerking bij de publiekrechtelijke deelnemers of overheidsinstanties berust en niet bij de private deelnemers (artikel 2.27, derde lid). De reden hiervoor is uiteengezet in het antwoord op vraag 70.
Vraag 72 (ChristenUnie)
De leden van de ChristenUnie-fractie zien de zorg vanuit bijvoorbeeld de Nederlandse Vereniging voor Banken dat niet wordt overgegaan tot regeling van publiek-private samenwerking per AMvB vanwege het tijdspad dat hieraan verbonden is. Daarmee zou voor private partijen dezelfde beperkingen en onzekerheid bestaan die er nu ook is. Is de regering van deze zorg op de hoogte? Hoe kan deze zorg worden ondervangen? Tevens vragen de voorgenoemde leden of kan worden gespecificeerd wat de grondslag is voor private partijen voor verstrekken van gegevens aan een samenwerkingsverband?
Zoals toegelicht in het antwoord op vraag 69, maakt het wetsvoorstel wel publiek-private samenwerking mogelijk bij drie van de vier samenwerkingsverbanden die het wetsvoorstel regelt, namelijk bij FEC, de RIEC’s en de Zorg- en Veiligheidshuizen. De grondslag voor de gegevensverstrekking door een private deelnemer aan het samenwerkingsverband is artikel 1.5.
Voor samenwerkingsverbanden die bij amvb worden aangewezen is eveneens publiek-private samenwerking mogelijk. Bij deze categorie samenwerkingsverbanden maakt het voorgestelde artikel 3.2, aanhef en onder b, het namelijk mogelijk om private partijen als deelnemer aan te wijzen indien het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partijen en indien tevens overheidsinstanties of overheidsorganen deelnemen. De grondslag voor de gegevensverstrekking door een private deelnemer aan het samenwerkingsverband is in dit geval eveneens artikel 1.5.
Vraag 73 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen de regering waarom zij überhaupt een wetsvoorstel opstelt waarmee publiek verzamelde gegevens op grote schaal gedeeld gaan worden met private instellingen. Deze leden achten dit zeer onwenselijk. Acht de regering het wenselijk dat gegevens die verzameld en beheerd worden voor publieke belangen gebruikt worden voor private doeleinden? Zo ja, waarom? Zo nee, hoe voorkomt zij dit dan? Kan de regering ook aangeven waarom zij het wenselijk acht dat databases die met publiek geld beheerd worden gedeeld met organisaties met een winstoogmerk?
Voor de beantwoording van de vraag van de leden van de Partij voor de Dieren-fractie over waarom en met welk oogmerk de regering dit wetsvoorstel opstelt waarmee deelname van private partijen aan samenwerkingsverbanden mogelijk wordt, verwijst de regering naar de beantwoording van de vragen van de leden van de GroenLinks-fractie over dit onderwerp (vraag 70). Daarbij hecht de regering eraan twee zaken te benadrukken. Ten eerste mogen private partijen uitsluitend gezamenlijk gegevens verwerken in samenwerkingsverbanden met het oog op het publieke doel dat een samenwerkingsverband nastreeft, bijvoorbeeld het tegengaan van inbreuken op het financiële stelsel. Private partijen mogen de daarbij verkregen gegevens niet gebruiken voor commerciële doeleinden en andere niet-verenigbare doeleinden. Zij mogen die gegevens alleen maar gebruiken in het kader van de behartiging van gerechtvaardigde belangen of voor de uitvoering van wettelijke verplichtingen, voor zover dat doel verenigbaar is met het doel van het samenwerkingsverband, bijvoorbeeld om te voorkomen dat criminele handelingen worden gefaciliteerd of voor het kunnen verlenen van adequate zorg aan een betrokkene ten aanzien van wie strafrechtelijke maatregelen lopen of worden voorbereid. Ten tweede heeft de regering – naast alle algemeen geldende waarborgen – diverse specifieke waarborgen gesteld om tegen te gaan dat private partijen gegevens gebruiken voor commerciële doeleinden. Zo mogen private partijen ten behoeve van de inzet in het samenwerkingsverband slechts medewerkers aanwijzen die niet tevens worden belast met commerciële werkzaamheden voor die private partij (het voorgestelde artikel 1.3, derde lid).
Vraag 74 (CDA)
De leden van de CDA-fractie delen in lijn met de opmerkingen van de WeCo van de Nederlandse Vereniging voor Rechtspraak (NVvR) dat de uitkomst van een data-analyse op zichzelf geen redelijk vermoeden zal opleveren dat een strafbaar feit is gepleegd of wordt voorbereid of beraamd. Deze leden vragen daarom aan de regering hoe het proces verloopt van geautomatiseerde data-analyse en het komen tot een individuele verdenking of het aanmerken tot verdachte, uiteengezet in de verschillende stappen die moeten worden doorlopen en de rollen van de betrokken partijen binnen een samenwerkingsverband zoals het FEC, de iCOV of een RIEC. Welke partij of partijen hebben hierin een uiteindelijk beslissende rol als het gaat om het aanmerken van individuele personen als verdachte? Ook vragen zij aan de regering of daarbij kan worden aangegeven welke waarborgen een rol spelen.
Vooropgesteld wordt dat de regering, zoals ook opgemerkt in de memorie van toelichting, de stelling van de NVvR onderschrijft dat de uitkomst van een data-analyse pas na beoordeling door de verantwoordelijke autoriteiten (m.n. het OM) een verdenking oplevert. Zoals toegelicht in paragraaf 3.3.4 van de memorie van toelichting wordt er nadrukkelijk op gewezen dat de uitkomst van een analyse binnen een samenwerkingsverband waaraan opsporingsdiensten of het OM deelnemen, onder de voorgestelde WGS nog geen verdenking oplevert. De opsporingsdiensten of het OM kunnen de uitkomst van een analyse meewegen bij de beslissing over het al dan niet starten van het strafrechtelijk onderzoek.16
Vraag 75 (VVD)
De leden van de VVD-fractie vragen de regering naar de exacte rol, taken en bevoegdheden van de in te stellen rechtmatigheidsadviescommissie. Moet de rechtmatigheidsadviescommissie vooraf bij elke wijziging van gegevensverwerking worden geraadpleegd? Hoe ziet de regering de rol van deze commissie in de context van de fluïde en organische criminele netwerken, wanneer snel handelen bij nieuwe gegevensverwerking noodzakelijk is voor het aanpakken, ontmantelen en voorkomen van de georganiseerde criminaliteit?
De regering verwacht niet dat een commissie snel handelen bij nieuwe gegevensverwerking in de weg behoeft te staan, mits de commissie bijtijds bij nieuwe ontwikkelingen of behoeftes wordt betrokken. Bij iCOV en het FEC, waar al vormen van een rechtmatigheidsadviescommissie functioneren, is daar althans niets van gebleken.
De in te stellen rechtmatigheidsadviescommissie zal ingevolge artikel 1.8, zesde lid, van het wetsvoorstel tot taak krijgen de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden op te lossen. Zoals in de toelichting op artikel 1.8 is vermeld kan een rechtmatigheidsadviescommissie meer specifiek bijvoorbeeld de volgende taken hebben, die kunnen worden vastgelegd in een amvb als bedoeld in artikel 1.8, zesde lid, tweede volzin:
• Het voeren van structureel overleg over privacy met alle deelnemers;
• Het toetsen van gegevensbeschermingseffectbeoordelingen (PIA’s), het – voor zover noodzakelijk – begeleiden bij de uitvoering daarvan en het uitbrengen van advies daarover aan de functionarissen voor gegevensbescherming en de gezamenlijke verwerkingsverantwoordelijken;
• Het in beeld brengen van de privacyissues die er zijn en het doen van voorstellen voor mitigerende maatregelen aan de deelnemers;
• Het door middel van interne controlemechanismen, zoals de beoordeling van gegevensuitwisselingen door de rechtmatigheidsadviescommissie, contractuele afspraken alsook door het stimuleren van bewustzijn onder medewerkers en technische beheersmaatregelen, waarborgen dat de verzamelde gegevens enkel voor de vooraf vastgestelde doeleinden worden verwerkt;
• Bij concrete verwerkingen vooraf een rechtmatigheidsbeoordeling verrichten, opdat bij de verstrekking van het resultaat een aanduiding van de toepasselijke rechtmatigheidsbeoordeling kan worden gegeven.17
Bij de uitvoering van taken als deze gaat het om een adviserende rol aan de bestuurders van de deelnemers die gezamenlijke verwerkingsverantwoordelijkheid dragen binnen het samenwerkingsverband. Dat impliceert dat de commissie niet zelf kan beslissen om bijvoorbeeld een bepaalde verwerking niet te starten. Die beslissing is aan de gezamenlijke verwerkingsverantwoordelijken, die deze beslissing zullen moeten nemen binnen de kaders die daarvoor worden gesteld in de AVG, de UAVG, de WGS en eventueel andere relevante regelgeving, zoals de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens.
De rechtmatigheidsadviescommissie hoeft niet bij elke wijziging van gegevensverwerking per se vooraf te worden geraadpleegd. Zeker als de wijziging van ondergeschikte aard is, lijkt dat niet nodig en zou dat om die reden ook niet te rechtvaardigen uitvoeringslasten geven. De in de WGS omschreven taak brengt mee dat de commissie te allen tijde wel naderhand alsnog advies kan uitbrengen.
Vraag 76 (CDA)
De leden van de CDA-fractie vragen, in het licht van geconstateerde uitgebleven beveiligingsmaatregelen van digitale systemen, bijvoorbeeld zoals laatst aan het licht is gekomen bij de grensbewakingssystemen op Schiphol en de informatiebeveiliging van het Ministerie van Buitenlandse Zaken, hoe erop wordt toegezien dat de waarborgen die per AMvB worden gesteld, zoals bepaald in artikel 1.8 en 1.9 van het wetsvoorstel, worden nageleefd en dat daadwerkelijk een systeem van autorisaties komt dat voldoende geaccrediteerd is. Ook vragen de aan het woord zijnde leden hoe wordt omgegaan met het uitvoeren van beveiligingsupdates en het laten uitvoeren van reguliere audits teneinde te controleren dat de systematiek van autorisaties actueel en veilig blijft. Kan daarbij ook worden aangegeven hoe de regering wil borgen dat bijvoorbeeld personen die toegang hadden tot de systemen, geen toegang meer zullen hebben nadat zij niet meer geautoriseerd zijn.
De controle op de naleving van de waarborgen, zoals vast te stellen bij amvb op basis van de artikelen 1.8 en 1.9, zal, voor zover het om informatiebeveiliging en – als onderdeel daarvan – het invoeren van een geaccrediteerd systeem van autorisaties gaat, moeten worden ingericht volgens de daarop betrekking hebbende richtlijnen van de Minister van BZK. Het gaat daarbij om de Baseline Informatiebeveiliging Overheid (BIO), die de ministerraad op 14 december 2018 heeft vastgesteld voor het Rijk en in het interbestuurlijk verkeer met het Rijk. Dit impliceert voor het toezicht onder meer dat er regelmatig audits dienen plaats te vinden, waarbij extra aandacht dient te worden besteed aan onderdelen waar substantiële risico’s worden gelopen op inbreuken op de privacy. Voor zover het bij de hier bedoelde waarborgen om de bescherming van persoonsgegevens gaat, zal daarnaast ook de Autoriteit persoonsgegevens op grond van haar in artikel 57 AVG vastgelegde taken op de naleving van deze waarborgen toezien.
De BIO bevat ook richtlijnen voor het uitvoeren van beveiligingsupdates en het laten uitvoeren van reguliere audits teneinde te controleren dat de systematiek van autorisaties actueel en veilig blijft. Deze borgen ook dat bijvoorbeeld personen die toegang hadden tot de systemen, geen toegang meer zullen hebben nadat zij niet meer geautoriseerd zijn.
Vraag 77 (CDA)
Voornoemde leden delen het uitgangspunt van een rechtmatige en behoorlijke verwerking van persoonsgegevens, zoals dat ook in onderhavig wetsvoorstel wordt weergegeven. Deze leden wijzen erop dat bij gebruik van data en daarbij vaak ook geautomatiseerde systemen die deze data analyseren, al gauw het gevaar van onwenselijke vormen van profiling op de loer ligt. In dit verband verwijzen de leden van de CDA-fractie ook naar de problematiek bij de Belastingdienst, waar mogelijk een tweede nationaliteit werd bijgehouden en dit mogelijk werd gebruikt bij de beoordeling van aanvragen. De aan het woord zijnde leden vragen de regering welke waarborgen in het leven worden geroepen om ervoor te zorgen dat personen op basis van hun gegevens niet in bepaalde profielen worden geplaatst met alle gevolgen van dien.
Voor profilering geldt in algemene zin dat zij kan bijdragen aan de effectiviteit en efficiency van de taakuitvoering door overheidsorganisaties. Zo kan profilering helpen bij het inschatten van bepaalde risico’s en daarmee aan het zo adequaat mogelijk inzetten van mensen en middelen om deze risico’s te beperken. In zoverre kan profilering ook samenwerkingsverbanden helpen hun doelstellingen te bereiken. Ook de Afdeling advisering van de Raad van State onderkent dat er situaties kunnen zijn waarin profilering een duidelijke meerwaarde heeft.18 Maar profilering brengt, zoals de Afdeling eveneens aangeeft, ook risico’s mee. Deze risico’s kunnen gelegen zijn in de analysemethoden, als daaraan bepaalde vooroordelen ten grondslag liggen, of in de gebrekkige kwaliteit van de data die in de analyse worden betrokken. Een en ander kan tot gevolg hebben dat iemand in een bepaald profiel wordt geplaatst waarin hij op de keper beschouwd niet thuishoort. Daarom bevat het wetsvoorstel in artikel 1.9 een aantal waarborgen in geval van een gezamenlijke geautomatiseerde gegevensanalyse die dergelijke risico’s beperken. Deze waarborgen zijn ook van belang als een dergelijke analyse het karakter van profilering heeft. Voor profilering veronderstelt artikel 4, onderdeel 4, AVG immers dat er een geautomatiseerde verwerking van persoonsgegevens met een analytisch of voorspellend karakter plaatsvindt.
De waarborgen betreffen, voor zover in dit verband relevant:19
– de verplichting zorg te dragen voor adequate en uniforme technische en organisatorische maatregelen in verband met de bevordering van de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse alsmede ter bevordering van de juistheid en de volledigheid van de gegevens die daarbij worden verwerkt;
– de plicht tot menselijke tussenkomst bij de verstrekking van een resultaat van geautomatiseerde gegevensanalyse, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen;
– de verplichting om op een voor het publiek toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica, voor zover volgens een deelnemer zwaarwegende redenen zich daartegen niet verzetten, zoals de bescherming van de opsporingsstrategie en het opsporingsbelang;
– de verplichting tot terugmelding van onjuistheden in bronbestanden.
Overigens wijst de regering er in dit verband nog op dat zij bezig is richtlijnen te ontwikkelen voor het uitvoeren van data-analyses met behulp van algoritmes door overheden, die eveneens waarborgen tegen risico’s daarvan bevatten.20 Deze richtlijnen, die begin 2021 gereed zijn, zullen ook relevant zijn voor het uitvoeren van geautomatiseerde gegevensanalyses door samenwerkingsverbanden.
Vraag 78 (D66)
De leden van de D66-fractie lezen in het wetsvoorstel dat een aantal waarborgen zijn ingebouwd met het oog op rechtmatige en behoorlijke verwerking van persoonsgegevens. Zij zijn daarmee ingenomen, maar hebben nog wel een aantal vragen over deze waarborgen. Deze leden begrijpen dat het voor de samenwerkingsverbanden eenvoudiger wordt om informatie te delen. Zij zijn daarbij benieuwd naar de interne waarborgen om bijvoorbeeld te voorkomen dat medewerkers om de verkeerde redenen informatie opvragen. Welke waarborgen zijn hiervoor? Komen er interne autorisaties, of is er bijvoorbeeld toezicht vanuit het openbaar ministerie (OM) op verzoeken vanuit de politie? Op welk niveau worden deze waarborgen geregeld? Komen zij in de AMvB? Voornoemde leden vragen de regering ook nader in te gaan op het verstrekken van informatieproducten aan het OM en opsporingsdiensten uit een samenwerkingsverband. Welke waarborgen gelden bij deze verstrekking? Hoe kan worden voorkomen dat al te lichtvaardig opsporingsonderzoeken worden opgestart?
De redenen op grond waarvan de deelnemers aan een samenwerkingsverband gezamenlijk gegevens verwerken, moeten passen binnen de doelstelling van het samenwerkingsverband. De deelnemers aan het samenwerkingsverband zijn op grond van artikel 1.3 als gezamenlijke verwerkingsverantwoordelijken ervoor verantwoordelijk dat het verzoek om informatie aan dat vereiste voldoet en de informatie dus niet om verkeerde redenen wordt opgevraagd. Zij zullen zich op dat punt moeten laten adviseren door de rechtmatigheidsadviescommissie als bedoeld in artikel 1.8, zesde lid. De samenwerkingsverbanden zullen op grond van artikel 1.8, tweede lid, inderdaad uitsluitend geautoriseerde personen toegang mogen geven tot de systemen waarin de deelnemers gezamenlijk persoonsgegevens verwerken. Op grond van de tweede volzin, onderdeel a, van dat artikellid geldt dat de autorisaties slechts betrekking mogen hebben op de uitvoering van de gegevensverwerking voor de doelen van het samenwerkingsverband. Ingevolge het vierde lid van artikel 1.8 zullen bepaalde verwerkingen moeten worden gelogd, zodat aan de hand daarvan kan worden gecontroleerd of verwerkingen binnen de doelstellingen van het verband passen. Verder schrijft artikel 1.8, vijfde lid, voor dat de deelnemers passende organisatorische maatregelen treffen om te waarborgen dat per geval de gegevens enkel voor het vooraf vastgestelde doel worden verwerkt. Daarbij valt denken aan het oormerken van de gegevens die voor een bepaald doel wordt verwerkt, en de monitoring van de concrete uitwisseling van gegevens. Tot slot wordt erop gewezen dat ook door middel van privacy audits als bedoeld in artikel 1.10 zal worden gecontroleerd of verwerkingen van informatie binnen de doelstellingen van het samenwerkingsverband hebben gepast. De hier genoemde waarborgen zijn op hoofdlijnen in de WGS zelf opgenomen, maar zullen deels ook bij amvb nader worden geregeld.
Op verzoeken om informatieproducten uit het samenwerkingsverband waarbij de politie als deelnemer aan het verband een van de verzoekers is, vindt geen specifiek geregeld toezicht door het OM plaats. Dat laat onverlet dat de politie ook in dit opzicht onder het gezag van het OM opereert. Dat geldt ook voor bijzondere opsporingsdiensten, als zij deelnemer zijn.
Voor de verstrekking van informatieproducten vanuit een samenwerkingsverband aan het OM en opsporingsdiensten gelden in de eerste plaats, evenals voor andere deelnemers, de voorwaarden, zoals beschreven in artikel 1.7. Daarnaast geldt dat deze informatieproducten veelal het karakter hebben van sturingsinformatie, zoals gedefinieerd in artikel 1.1. Dergelijke informatie kan dan een eerste vermoeden opleveren dat er sprake zou kunnen zijn van een strafbaar feit of een andere onrechtmatige handeling. Voor het OM en de opsporingsdiensten geldt echter ook dat sturingsinformatie niet direct als bewijs kan worden gebruikt zonder dat er eerst nog nader opsporingsonderzoek plaatsvindt. Dat geldt in het bijzonder voor informatieproducten in de vorm van een risicotaxatie. Zeker in het geval dat zo’n taxatie louter correlatieve en geen causale verbanden laat zien, kan van een formele verdenking in de zin van artikel 27 van het Wetboek van Strafvordering (nog) geen sprake zijn. Daarvoor dienen in een nader onderzoek concrete feiten en omstandigheden op tafel te komen die erop wijzen dat iemand een bepaald strafbaar feit heeft begaan en die gebruikt kunnen worden voor de opbouw van een concreet dossier. Dit impliceert dat een verdenking en een daaruit voortvloeiend opsporingsonderzoek nooit op louter sturingsinformatie uit een samenwerkingsverband kunnen worden gebaseerd.
Vraag 79 (D66)
De aan het woord zijnde leden hebben kennisgenomen van de enkele waarborgen die in het voorstel aangaande gegevensdeling zijn opgenomen. Op sommige punten vinden zij de reikwijdte van het wetsvoorstel echter breed en weinig duidelijk omlijnd. De categorieën van gegevens die de vier samenwerkingsverbanden mogen verwerken zijn niet uitputtend opgesteld, deze kunnen worden uitgebreid middels AMvB. Hetzelfde geldt voor de deelnemers van die samenwerkingsverbanden, ook die lijst met deelnemers kan worden uitgebreid. Verder worden er geen categorieën van gegevens uitgesloten, ook geen gevoelige gegevens. Zelfs gegevens over seksueel gedrag en seksuele gerichtheid (artikel 2.21) kunnen worden verwerkt. Kan de regering toelichten waarom er niet voor gekozen is het wetsvoorstel strakker te omlijnen en zo in meer waarborgen te voorzien?
De keuze om de categorieën van gegevens die de samenwerkingsverbanden mogen verwerken weliswaar zoveel mogelijk maar niet uitputtend in de WGS zelf te benoemen, vloeit voort uit de behoefte aan enige flexibiliteit. Er kunnen zich immers nieuwe categorieën van relevante gegevens aandienen die nu nog niet voorzienbaar zijn, maar wel als noodzakelijk kunnen worden aangemerkt voor het doel van het desbetreffende samenwerkingsverband. Dit is met name denkbaar wanneer zich nieuwe wetenschappelijke meetpunten aandienen die eerder niet zichtbaar waren. Het zou dan de slagvaardigheid te zeer beperken om daarvoor steeds de procedure van wetgeving in formele zin te doorlopen. Daarbij is van belang dat een aanvulling met nieuwe categorieën van gegevens uitsluitend mogelijk is, voor zover dat noodzakelijk is voor het doel van het desbetreffende samenwerkingsverband. Nu een eventuele aanvulling niet bij wet in formele zin hoeft plaats te vinden, is evenzeer van belang dat voor de amvb waarmee de aanvulling plaatsvindt, een voorhangprocedure geldt, opdat de Staten-Generaal over de beoogde aanvulling een oordeel kan vellen, voordat deze wordt geëffectueerd.
Ook voor de verwerking van persoonsgegevens onder de WGS geldt dat de verwerking van bijzondere categorieën van persoonsgegevens, die uit hun aard gevoelig zijn, op grond van artikel 9, eerste lid, AVG in beginsel verboden is. Het is niet nodig – en op grond van EU-recht zelfs niet toegestaan – dat in de WGS te herhalen. De WGS bevat op dit beginsel slechts een beperkt aantal specifieke uitzonderingen, die voldoen aan de voorwaarden die het tweede lid van artikel 9 AVG daarvoor stelt. Deze uitzonderingen zijn te vinden in de artikelen 2.21 en 2.29 en de argumenten daarvoor in de artikelsgewijze toelichting. Met betrekking tot de verwerking van gegevens over seksueel gedrag en seksuele gerichtheid door de RIEC’s geldt meer in het bijzonder dat de verwerking daarvan noodzakelijk is met het oog op de bestrijding van mensenhandel en de onderzoeken in dat kader naar illegale prostitutie en uitbuiting.
De keuze om de deelnemers van de vier samenwerkingsverbanden weliswaar zoveel mogelijk maar niet uitputtend in de WGS zelf te benoemen, vloeit eveneens uit de behoefte aan enige flexibiliteit voort. De mogelijkheid om het deelnemersveld bij amvb uit te breiden is in de artikelen 2.3, onderdeel h, 2.11, onderdeel j, 2.19, derde lid, en 2.27, vijfde lid, wel steeds aan inhoudelijke criteria gebonden, waarbij de deelname soms ook kan worden beperkt tot specifieke verwerkingen of onderdelen daarvan.
Vraag 80 (D66)
De leden van de D66-fractie lezen in het nader rapport dat naar aanleiding van het advies van de Afdeling de term «profilering» is weggelaten. Deze leden vragen of profilering nu in het wetsvoorstel onmogelijk is gemaakt. Kan de regering dit uitsluiten? Biedt de wet hier nog steeds een grondslag voor, gezien er gesproken wordt over het vastleggen van risicoprofielen? Kan de regering toelichten welke waarborgen in het voorstel zijn opgenomen om specifiek discriminatie en fouten en vooroordelen in algoritmen tegen te gaan? Waarom vereist het wetsvoorstel geen effectbeoordeling waarin partijen vastleggen welke acties worden ondernomen om discriminatie of andere negatieve effecten te identificeren en weg te nemen?
Het weglaten van de term «profilering» is niet bedoeld om uit te sluiten dat de samenwerkingsverbanden onder de werking van de WGS profileren. Zoals hiervóór al is aangegeven, kan profilering immers een nuttige functie vervullen. Wel houdt het weglaten van deze term verband met de voorkeur die de regering geeft aan het bredere begrip «geautomatiseerde gegevensanalyse». Daaronder vallen niet alleen profilering, maar ook vormen van geautomatiseerde gegevensanalyse waarbij uitsluitend individuele kenmerken van de betrokken persoon in aanmerking worden genomen, bijvoorbeeld diens strafrechtelijke antecedenten. Daarin verschilt zo’n analyse van profilering, waarin ook groepskenmerken kunnen worden betrokken. Voor beide vormen van gegevensanalyse geldt echter dat vanwege het geautomatiseerde karakter daarvan, zich risico’s kunnen voordoen die om extra waarborgen vragen. Te denken valt aan risico’s door de invoer van onjuiste gegevens of het gebruik van een gebrekkige analysemethode. Om dergelijke risico’s te beperken, bevat artikel 1.9 van het wetsvoorstel bijzondere waarborgen voor het geval een samenwerkingsverband een gezamenlijke geautomatiseerde gegevensanalyse uitvoert. Met name de waarborgen in het eerste en tweede lid van dat artikel zijn mede bedoeld om – in lijn met overweging 71 bij de AVG – discriminatie en fouten en vooroordelen tegen te gaan in algoritmen die bij een dergelijke analyse worden gebruikt. Het betreft in de eerste plaats de verplichting voor de deelnemers om voor adequate en uniforme technische en organisatorische maatregelen zorg te dragen die de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse en de juistheid en de volledigheid van de te verwerken gegevens bevorderen. In de tweede plaats de verplichting om een resultaat van een gezamenlijke geautomatiseerde gegevensanalyse uitsluitend aan een deelnemer of derde te verstrekken na menselijke tussenkomst waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen.
Of een samenwerkingsverband geautomatiseerde gegevensanalyse mag uitvoeren, blijkt uit hoofdstuk 2 van het wetsvoorstel. Ingevolge artikel 2.13 mag iCOV geautomatiseerd gegevens analyseren en op basis daarvan ook profileren. Op basis van artikel 2.18, tweede lid, kunnen ook de RIEC’s geautomatiseerde gegevensanalyse, waaronder profilering, uitvoeren, doch slechts voor zover dat noodzakelijk is voor het doel van de RIEC’s en dat bij of krachtens amvb is aangewezen. Voor het FEC is een soortgelijke bepaling bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid).
Het wetsvoorstel bevat geen verplichting tot effectbeoordeling waarin partijen vastleggen welke acties worden ondernomen om discriminatie of andere negatieve effecten te identificeren en weg te nemen, omdat een dergelijke verplichting al ligt opgesloten in de in artikel 35 AVG geregelde gegevensbeschermingseffectbeoordeling en deze door de Autoriteit persoonsgegevens expliciet verplicht is gesteld voor gegevensuitwisseling door samenwerkingsverbanden.21
Vraag 81 (GroenLinks)
De leden van de GroenLinks-fractie lezen dat een samenwerkingsverband gezamenlijk gegevens kan verzamelen, delen en geautomatiseerd verwerken. Dit roept bij deze leden de vraag op hoe door de afzonderlijke deelnemers aan het samenwerkingsverband toezicht kan worden gehouden op de wijze waarop gegevens automatisch worden geanalyseerd. Worden eisen gesteld aan de toegepaste technologie (zoals (zelflerende) algoritmen)? Zo ja, welke? Hoe wordt hierbij het uitgangspunt van privacy by design toegepast? Wordt voorzien in onafhankelijk adequaat toezicht in het ontwerp en het toepassen van technologieën? Hoe wordt voorkomen dat door overheden en private partijen uitgewisselde informatie en automatisch gegenereerde analysen voor andere doeleinden worden gebruikt dan bedoeld in deze wet? Kan de regering aangeven welke lessen zijn getrokken uit de rechtszaak tegen SyRI?
Het toezicht op de gegevensverwerking, waaronder gezamenlijke geautomatiseerde gegevensanalyse – een methode die op dit moment uitsluitend door iCOV wordt gehanteerd – is op verschillende manieren geborgd in dit wetsvoorstel. Ingevolge het voorgestelde artikel 1.4, tweede lid, wordt één van de functionarissen voor gegevensbescherming van de deelnemende overheidsinstanties of overheidsorganen aangewezen die als coördinerend functionaris voor gegevensbescherming voor het samenwerkingsverband optreedt en uit dien hoofde krachtens artikel 39, eerste lid, onder b, AVG, ook toeziet op de naleving van de AVG en ander gegevensbeschermingsrecht door het samenwerkingsverband. Ook de in te stellen rechtmatigheidsadviescommissie zal ingevolge het voorgestelde artikel 1.8, zesde lid, van het wetsvoorstel tot taak krijgen de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden op te lossen. Verder dient op basis van artikel 1.10 periodiek een privacy-audit plaats te vinden. Uiteraard valt de verwerking van persoonsgegevens door het samenwerkingsverband ook onder het toezicht van de Autoriteit persoonsgegevens.
Voor de beantwoording van de vragen van de leden van de GroenLinks-fractie over eisen aan toegepaste technologie, zoals zelflerende algoritmen, het toezicht op het ontwerp en de toepassing daarvan en privacy by design verwijst de regering naar de beantwoording van vraag 85 van deze leden alsmede naar de beantwoording van de vragen van de leden van de CDA-fractie en de D66-fractie over deze onderwerpen (vragen 76, 77 en 143).
In reactie op de vragen van de leden van de GroenLinks-fractie over welke lessen zijn getrokken uit de zaak SyRI, verwijst de regering naar de beantwoording van de vragen van de leden van de VVD-fractie, de leden van de D66-fractie, de leden van de ChristenUnie-fractie en de leden van de Partij voor de Dieren-fractie (vragen 24 en 89, 139 en 142) over de betekenis en gevolgen van de SyRI-uitspraak voor dit wetsvoorstel.
Vraag 82 (GroenLinks)
Voornoemde leden vragen of het correct is dat ook bijzondere categorieën persoonsgegevens en persoonsgegevens van strafrechtelijke aard in het samenwerkingsverband kunnen worden gedeeld en verwerkt. Zo ja, welke extra zorgvuldigheidsvereisten worden voorgeschreven? Het gaat dan immers over persoonsgegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Hoe wordt voorkomen dat niet-relevante bijzondere persoonsgegevens worden vrijgegeven en/of (te) breed verspreid raken?
Het is correct dat dit wetsvoorstel een grondslag creëert voor de samenwerkingsverbanden om gezamenlijk persoonsgegevens van strafrechtelijke aard te kunnen verwerken voor hun onderscheidenlijke doelen. De vier in het wetsvoorstel opgenomen samenwerkingsverbanden zijn alle gericht op het tegengaan van verschillende vormen van criminaliteit. Persoonsgegevens van strafrechtelijke aard, politiegegevens in de zin van de Wet politiegegevens en justitiële en strafvorderlijke gegevens in de zin van de Wet justitiële en strafvorderlijke gegevens zijn daarvoor van essentieel belang. Politie en OM zijn vaste deelnemers aan alle vier samenwerkingsverbanden. Ingevolge artikel 10 van de AVG, in samenhang gelezen met paragraaf 3.2 van de UAVG, is de verwerking van persoonsgegevens van strafrechtelijke aard verboden, tenzij daarop een uitzondering is gemaakt bij lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van betrokkenen bieden. Deze uitzondering wordt geboden in de voorgestelde artikelen 1.5, 1.6 en 1.7 waarin voor alle samenwerkingsverbanden is geregeld dat persoonsgegevens van strafrechtelijke aard mogen worden verwerkt, zowel in de fase van verstrekking aan het samenwerkingsverband, verwerking binnen het samenwerkingsverband, als verstrekking van de resultaten door het samenwerkingsverband.
Duidelijkheidshalve merkt de regering op dat van de door leden van de GroenLinks-fractie genoemde bijzondere categorieën persoonsgegevens uitsluitend voor de RIEC’s een grondslag wordt gecreëerd voor de verwerking van persoonsgegevens over iemands seksueel gedrag of seksuele gerichtheid, en voor de ZVH een grondslag voor de verwerking van gegevens over gezondheid – in beide gevallen louter voor zover dat noodzakelijk is voor het doel van de RIEC’s respectievelijk de ZVH. Dit wetsvoorstel biedt geen grondslag voor samenwerkingsverbanden om persoonsgegevens te verwerken waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een persoon.
Het wetsvoorstel kent een hoog beschermingsniveau voor alle categorieën van persoonsgegevens en stelt een groot aantal waarborgen ter bescherming van de privacy van burgers. Zo geldt er op grond van het voorgestelde artikel 1.11 een geheimhoudingsplicht voor een ieder die betrokken is bij de werkzaamheden van het samenwerkingsverband. In de voorgestelde artikelen 1.8 en 1.9 worden waarborgen gesteld die onder meer tegengaan dat persoonsgegevens onrechtmatig worden verwerkt. Verder stelt het voorgestelde artikel 1.7 de eis dat de resultaten van de gezamenlijke verwerking uitsluitend aan deelnemers of derden worden verstrekt voor doelen die verenigbaar zijn met de doelen van het desbetreffende samenwerkingsverband. De verstrekking van bijzondere categorieën persoonsgegevens en persoonsgegevens van strafrechtelijke aard aan derden, vindt alleen plaats na instemming van de deelnemer die deze gegevens aan het samenwerkingsverband heeft verstrekt (het voorgestelde derde lid). Deze maatregelen voorkomen dat bijzondere categorieën persoonsgegevens en persoonsgegevens van strafrechtelijke aard in strijd met het doel van het desbetreffende samenwerkingsverband worden verwerkt, vrijgegeven of te breed verspreid raken.
Vraag 83 (GroenLinks)
Deelt de regering de mening van de aan het woord zijnde leden dat hoe meer partijen bij een samenwerkingsverband betrokken zijn, hoe groter de veiligheidsrisico’s zijn? Op welke wijze wordt hier rekening mee gehouden bij de uitbreiding van het aantal partners? Kan dit ook een reden zijn om organisaties niet toe te laten? Aan welk beveiligingsniveau moeten organisaties voldoen?
Voorop staat dat een nieuwe deelnemer uitsluitend kan worden toegevoegd, indien deelname noodzakelijk is voor het doel van het samenwerkingsverband. Dit limiteert op zichzelf al het aantal deelnemers dat zou passen binnen de doelstellingen van de samenwerkingsverbanden. Naarmate evenwel meer partijen bij een samenwerkingsverband zijn betrokken, kunnen de veiligheidsrisico’s inderdaad groter zijn. Voor zover de WGS uitbreiding van het aantal deelnemers toestaat, zal bij een beslissing over een eventuele uitbreiding met dergelijke risico’s rekening worden gehouden. Dit kan impliceren dat de overwogen uitbreiding niet doorgaat. Ook is mogelijk dat de uitbreiding wel doorgaat, maar in de amvb die dat regelt, op basis van artikel 1.8, eerste lid, aanvullende voorwaarden aan de verwerkingen worden gesteld die deze risico’s moeten beperken. De beveiliging moet op grond van het achtste lid van artikel 1.8 voldoen aan ten minste de door de Minister van Binnenlandse Zaken en Koninkrijksrelaties vastgestelde richtlijnen. Daarbij kan worden gedacht aan de Baseline Informatiebeveiliging Overheid (BIO), die de ministerraad op 14 december 2018 heeft vastgesteld voor het Rijk en in het interbestuurlijk verkeer met het Rijk.
Vraag 84 (GroenLinks)
Klopt de veronderstelling van de leden van de GroenLinks-fractie dat toezicht beperkt blijft tot een door deelnemers zelf ingestelde rechtmatigheidsadviescommissie (artikel 1.8, zesde lid)? In hoeverre is dan nog sprake van onafhankelijk en onbevooroordeeld toezicht? Moet, zo vragen deze leden, niet voor alle samenwerkingsverbanden waarop deze wet van toepassing zal zijn een overkoepelende onafhankelijke toezichthouder worden aangesteld?
Het toezicht blijft niet beperkt tot de rechtmatigheidsadviescommissie. Ingevolge artikel 1.4, tweede lid, wordt één van de functionarissen voor gegevensbescherming van de deelnemende overheidsinstanties of overheidsorganen aangewezen die als coördinerend functionaris voor gegevensbescherming voor het samenwerkingsverband optreedt en uit dien hoofde krachtens artikel 39, eerste lid, onder b, AVG, ook toeziet op de naleving van de AVG en ander gegevensbeschermingsrecht door het samenwerkingsverband. Verder dient op basis van artikel 1.10 periodiek een privacy-audit plaats te vinden. En uiteraard valt de verwerking van persoonsgegevens door het samenwerkingsverband ook onder het toezicht van de Autoriteit persoonsgegevens.
Overigens is nog van belang dat een rechtmatigheidsadviescommissie, zoals die nu al bij iCOV functioneert, uit inhoudelijke experts uit de hoek van de deelnemers bestaat die in de tweede lijn acteren en vanuit die optiek onafhankelijk adviseren ten opzichte van de eerste lijn.
Vraag 85 (GroenLinks)
Kan de regering voor de aan het woord zijnde leden per samenwerkingsverband aangeven hoe wordt omgesprongen met de toepassing van algoritmen? Wie bouwt de algoritmen? Zijn dit overheidsorganen en/of private partijen? Op welke wijze kan door burgers en maatschappelijke organisaties «onder de motorkap» worden gekeken? Wordt gebruik gemaakt van open-source? Zo nee, waarom niet? Heeft de overheid onder alle omstandigheden de bevoegdheid om de algoritmen te onderzoeken? Hoe wordt beoordeeld of de datasets van voldoende kwaliteit zijn? Op welke wijze wordt het systeem getest? Een auto gaat niet de weg op voordat het uitvoerig getest is. Hoe gaat dat hier, zo vragen voornoemde leden. In alle software zitten tekortkomingen. Hoe wordt daarop geacteerd? Wat is de toelaatbare foutenmarge bij algoritmen?
De WGS staat thans alleen voor iCOV gezamenlijke geautomatiseerde gegevensanalyse toe. Algoritmen worden voor dit doel op dit moment dan ook alleen gebruikt door iCOV. De bouw van algoritmen bij iCOV is afhankelijk van de behoefte en de werking van het desbetreffende algoritme. Alvorens algoritmes bij iCOV in gebruik worden genomen, worden deze getoetst aan de hand van richtlijnen en voorgelegd aan de rechtmatigheidsadviescommissie.22 Transparantie, validatie en controleerbaarheid van het werkende algoritme zijn voor iCOV van groot belang. Op deze aspecten vindt dan ook een grondige toetsing plaats. Indien een samenwerkingsverband een gezamenlijke geautomatiseerde gegevensanalyses verricht, moet het ingevolge artikel 1.9, derde lid, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten, aan het publiek op toegankelijke wijze uitleg geven over de gehanteerde patronen en indicatoren of andere onderliggende logica. Zo wordt burgers en maatschappelijke organisaties een blik «onder de motorkap» gegeven. Wat betreft open source onderzoek geldt, zoals toegelicht in het antwoord op vraag 61, dat het wetsvoorstel geen bevoegdheid regelt voor samenwerkingsverbanden om zelf (al dan niet openbare) gegevens te vergaren. Deelnemers kunnen wel gebruik maken van informatie uit open bronnen die door deelnemers wordt aangeleverd.
De Autoriteit persoonsgegevens heeft onder alle omstandigheden de bevoegdheid om van de algoritmen die samenwerkingsverbanden gebruiken, te onderzoeken of deze functioneren in overeenstemming met het gegevensbeschermingsrecht. Zij toetst daarbij op basis van de beginselen van «rechtmatigheid», «transparantie» en «behoorlijkheid», zoals vastgelegd in de AVG. Verder kijkt zij naar de wijze waarop de in de AVG vastgelegde verantwoordingsplicht wordt uitgevoerd. Een en ander heeft de Autoriteit persoonsgegevens uitgewerkt in een specifiek kader voor het toezicht op artificiële intelligentie en algoritmes.23
Voordat een samenwerkingsverband tot een nieuw type gezamenlijke geautomatiseerde gegevensanalyse overgaat, dient het een gegevensbeschermingseffectbeoordeling uit te voeren. Volgens het model dat daarvoor binnen de rijksdienst wordt gehanteerd, dient bij een Big Data toepassing ervoor gezorgd te worden dat:
• naarmate de mogelijkheden van patroonherkenning minder zijn, een goede validatie door experts op het desbetreffende vakgebied plaatsvindt om het risico van foutieve uitkomsten zoveel mogelijk te reduceren,
• de data zoveel als met een redelijke inspanning mogelijk is, up to date zijn, de te gebruiken datasets een zo gering mogelijke bias (afwijking) bevatten en dat de te gebruiken algoritmen en analysemethoden deugdelijk zijn, en
• rekening houdend met de potentiële impact van de toepassing, vooraf de foutmarge wordt bepaald die bij de toepassing mag optreden.24
Wanneer de risico’s die bij een dergelijke effectbeoordeling blijken onvoldoende kunnen worden weggenomen, is het samenwerkingsverband op grond van artikel 36 AVG verplicht voorafgaand aan de voorgenomen verwerking de Autoriteit persoonsgegevens te raadplegen. De Autoriteit persoonsgegevens zal dan advies over die voorgenomen verwerking uitbrengen.
iCOV beoordeelt de data die zij aangeleverd krijgt, waar mogelijk op juistheid en volledigheid. Controles op juistheid richten zich op het signaleren van logische onjuistheden, bijvoorbeeld de 32ste dag van een maand of een leesteken in een maand, letters in een numeriek veld etc. Controles op volledigheid zijn naar hun aard lastiger. Aangezien iCOV verschillende datasets al vaker heeft verkregen, is er een historisch beeld over de omvang van een dataset. Wanneer een dataset later weer geleverd wordt, kan worden beoordeeld of de omvang binnen een te verwachten bandbreedte valt. Deze logica is opgenomen in de software die iCOV gebruikt bij het inlezen van de data. ICOV gebruikt hiervoor het systeem Oracle Data Integrator (ODI). De logica is ingebouwd in de scripts die door ODI gebruikt worden bij het inlezen van de data. Wanneer iCOV harde fouten aantreft of twijfels heeft, neemt zij contact op met de bronhouder om uitleg te vragen of een verbeterde levering te vragen. ICOV gaat data niet zelf aanpassen. Dat zou ook onlogisch zijn, omdat de data anders een volgende keer weer met diezelfde fout geleverd worden.
Van een uniforme toelaatbare foutenmarge is geen sprake. Zoals in het kabinetsstandpunt op het WRR-rapport «Big Data in een vrije en veilige samenleving» al werd gesteld, kan de grootte van wat als toelaatbare foutmarges wordt gehanteerd, slechts per geval of categorieën van gevallen worden bepaald. Betrokken partijen dienen deze foutmarges wel zoveel mogelijk voor een ieder transparant en bespreekbaar te maken. Controle op die foutmarges, de gebruikte methodes en de consequentie daarvan is immers essentieel teneinde het risico van fouten en een ondeugdelijke interpretatie van een profiel jegens een persoon of groep zo klein mogelijk te laten zijn.25
Vraag 86 (SP)
De leden van de SP-fractie hebben reeds bij de wetsbehandeling van de AVG gewezen op de gevaren van profilering. Zo weten veel mensen vaak niet dat ze geprofileerd worden of onderhevig zijn aan geautomatiseerde besluitvorming. Persoonlijke omstandigheden worden doorgaans niet meegewogen bij automatische besluitvorming en het kan onmogelijk zijn fouten met terugwerkende kracht terug te draaien. Voornoemde leden waren dan ook tegen het invoeren van de mogelijkheid om profilering toe te staan in de AVG. Helaas is dit wel gebeurd.
De aan het woord zijnde leden zijn uiterst kritisch op de voornemens om te gaan werken met systematische gegevensverwerking, in het bijzonder profilering. Naar aanleiding van het kritische advies van de Afdeling is het voorstel weliswaar aangepast, maar het automatisch verwerken van gegevens met moderne technieken op basis van profielen en analyses is niet uit het voorstel verdwenen. Kan de regering duidelijker maken hoe dit er nu uit komt te zien? In welke gevallen wordt dit mogelijk? Op basis van welke patronen en profielen worden lijsten opgesteld? Gaat dit bijvoorbeeld ook om het criterium «dubbele nationaliteiten»? Hoe zijn de evidente risico’s van deze werkwijze gewogen? Hoe wordt bijvoorbeeld voorkomen dat dit instrument vooral wordt gericht op bepaalde wijken of categorieën personen, bijvoorbeeld met een lagere sociaaleconomische samenstelling of andere achtergrond? Erkent de regering het risico dat extra controle bij een bepaalde groep het beeld soms juist kan bevestigen dat er een probleem is bij die groep/leden van de groep met de betreffende kenmerken waarop gezocht is? Welke waarborgen zijn er om dit te voorkomen?
Of een samenwerkingsverband geautomatiseerde gegevensanalyse mag uitvoeren, blijkt, zoals eerder al aangegeven in antwoord op vragen van de leden van de D66-fractie, uit hoofdstuk 2 van het wetsvoorstel. Ingevolge artikel 2.13 mag iCOV geautomatiseerd gegevens analyseren en op basis daarvan ook profileren. Op basis van artikel 2.18, tweede lid, kunnen ook de RIEC’s geautomatiseerde gegevensanalyse, waaronder profilering, uitvoeren, voor zover dat noodzakelijk is voor het doel van de RIEC’s en dat bij of krachtens amvb is aangewezen. Voor het FEC is een soortgelijke bepaling bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid). De ZVH voeren geen geautomatiseerde gegevensanalyses uit en dus ook geen vormen van profilering in de zin van de AVG, omdat in de daarin gehanteerde definitie van profilering wordt uitgegaan van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd met als doel bijvoorbeeld persoonlijke voorkeuren of gedrag te analyseren of te voorspellen. Op basis van welke patronen en profielen lijsten worden opgesteld, laat zich niet in algemene zin beantwoorden. Het antwoord daarop hangt te zeer af van het concrete thema waarvoor de desbetreffende analyse verricht wordt. Verder is van belang dat, indien een samenwerkingsverband een geautomatiseerde gegevensanalyse verricht, het ingevolge artikel 1.9, derde lid, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten, aan het publiek op toegankelijke wijze uitleg dient te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica. Dit zal onder de WGS de door deze leden terecht gewenste transparantie geven over de dan te hanteren analysemethoden. Deze waarborg komt bovenop de in artikel 14 AVG vastgelegde informatieverplichtingen jegens de individuele betrokkenen.
Het criterium «dubbele nationaliteiten» mag bij profilering niet worden gebruikt, tenzij daarvoor een objectieve rechtvaardiging bestaat, bijvoorbeeld omdat de profilering betrekking heeft op de uitvoering van wetgeving waarbij nationaliteit relevant is voor de toepassing ervan. In dit verband wijst het de regering erop dat het in een brief van 8 oktober jl. aan de Tweede Kamer over «Waarborgen tegen risico’s van data-analyses door de overheid» heeft geopperd toe te staan dat bij de ontwikkeling van algoritmische modellen bijzondere persoonsgegevens worden verwerkt, voor zover nodig om discriminerende effecten tegen te gaan.26 Daarmee zou een extra instrument worden gecreëerd om discriminatie bij profilering tegen te gaan.
Eerder is in deze paragraaf in antwoord op vragen van de CDA-fractie al opgemerkt dat profilering kan bijdragen aan de effectiviteit en efficiency van de taakuitvoering door overheidsorganisaties, maar – de leden van de SP-fractie wijzen daar terecht op – ook risico’s meebrengt. Reden om profilering op zich niet uit te sluiten, maar in het wetsvoorstel wel extra waarborgen tegen deze risico’s op te nemen. Wij verwijzen naar de waarborgen die wij in het antwoord op eerder bedoelde vragen van de CDA-fractie hebben genoemd (vraag 77). Deze waarborgen dienen er mede toe om het risico van stigmatisering waarop deze leden doelen, te voorkomen. Dit impliceert in concreto dat men op basis van artikel 1.9, eerste lid, onder meer maatregelen zal moeten nemen die verhinderen dat er in analyses een zichzelf versterkend effect optreedt door algoritmes te hanteren die zichzelf automatisch, dit wil zeggen zonder menselijke controle, aanpassen aan eerder behaalde resultaten.
Vraag 87 (SP)
De leden van de SP-fractie wijzen erop dat risico’s die bij profilering kunnen optreden extra groot zijn bij het combineren en analyseren van data die van verschillende organisaties afkomstig zijn, zoals bij samenwerkingsverbanden het geval is. Profilering kan het risico geven dat de betrokken individuele persoon een generiek kenmerk van een groep wordt tegengeworpen, terwijl dat kenmerk op hem niet van toepassing is en daarmee voor hem een zogenoemde false positive oplevert. Gelet op de combinatie van voornoemde risico’s is het wenselijk voor een dergelijke vorm van gegevensverwerking door een samenwerkingsverband een extra waarborg in te bouwen, in de vorm van een toestemmingsvereiste. Is de regering bereid dit alsnog in de wet op te nemen? Discriminatie of andere mensenrechtenschendingen zouden te allen tijde moeten worden voorkomen. Toch bevat het wetsvoorstel bijvoorbeeld geen effectbeoordeling (impact assessment), waarin partijen vastleggen welke acties worden ondernomen om discriminatie of andere negatieve effecten op mensenrechten te identificeren en weg te nemen. Is de regering bereid dit alsnog in het wetsvoorstel op te nemen? Zo nee, waarom niet?
Meer in het algemeen nog zouden de leden van de SP-fractie willen vragen waarom de regering het toepassen van profilering noodzakelijk acht in de strijd tegen (ondermijnende) criminaliteit. Kan uitgebreid gemotiveerd worden waarom minder verstrekkende manieren om criminaliteit aan te pakken, niet afdoende zouden zijn en wat de meerwaarde van profilering zou zijn, mede ook afgezet tegenover de grove privacy inbreuken die profilering met zich mee zou brengen?
Voornoemde leden vragen voorts in hoeverre nu al gewerkt wordt in samenwerkingsverbanden met zogenaamde risicoprofielen om criminelen op te sporen en of de verwachting is dat met dit wetsvoorstel dit meer of juist minder zal gaan gebeuren. Kan hier zo uitgebreid mogelijk op gereflecteerd worden? Deelt de regering de mening dat het werken met risicoprofielen, en daaraan gekoppeld eventuele profilering, haaks staat op het onschuldbeginsel en vaak gepaard gaat met minder en zwakkere waarborgen dan onder het strafrecht gebruikelijk zijn? Zo ja, kan de regering garanderen dat de samenwerkingsverbanden die mogelijk gemaakt worden met dit wetsvoorstel deze zaken niet zullen gebruiken? Zo nee, kan uitgebreid worden gemotiveerd waarom niet?
Het wetsvoorstel bevatte aanvankelijk het vereiste dat de Autoriteit persoonsgegevens toestemming zou moeten geven voor profilering door samenwerkingsverbanden. Naar aanleiding van het advies van de Afdeling advisering van de Raad van State is dat vereiste geschrapt. Met als voornaamste argument dat de Autoriteit persoonsgegevens anders intensief wordt betrokken bij een bestuurlijke afweging, die niet gemaakt zou moeten worden door de toezichthouder maar door het bevoegde en aanspreekbare bestuursorgaan.27 Dat laat onverlet dat een samenwerkingsverband de Autoriteit persoonsgegevens ingevolge artikel 36 AVG voorafgaand aan een voorgenomen verwerking van persoonsgegevens moet raadplegen wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling een hoog risico laat zien wanneer het samenwerkingsverband geen maatregelen neemt om het risico te beperken. Als de Autoriteit persoonsgegevens van oordeel is dat de voorgenomen verwerking niet aan de AVG zal voldoen, geeft zij een schriftelijk advies binnen acht weken na het verzoek om raadpleging. Het eventueel uitblijven van een reactie van de Autoriteit persoonsgegevens binnen die termijn staat er overigens niet aan in de weg dat de Autoriteit persoonsgegevens met betrekking tot de verwerking haar bevoegdheden uitoefent, met inbegrip van haar bevoegdheid om verwerkingen te verbieden.28
Tegenover het schrappen van dit toestemmingsvereiste staat dat het wetsvoorstel mede naar aanleiding van voornoemd advies van de Afdeling advisering in aanvulling op de waarborgen die het oorspronkelijke voorstel al bevatte, is uitgebreid met extra waarborgen tegen de risico’s van de gezamenlijke gegevensverwerking, met name ook die welke meegebracht kunnen worden door geautomatiseerde gegevensanalyse. Het betreft:
• een systeem van autorisaties (artikel 1.8, tweede lid);
• de mogelijkheid om regels te stellen omtrent de betrouwbaarheidsvereisten aan geautoriseerde personen (artikel 1.8, derde lid);
• de verplichting om door middel van «logging» bepaalde verwerkingen van persoonsgegevens in geautomatiseerde systemen vast te leggen (artikel 1.8, vierde lid);
• de verplichting om passende organisatorische maatregelen te treffen om te waarborgen dat gegevens enkel voor het vooraf vastgestelde doel worden verwerkt (artikel 1.8, vijfde lid);
• de instelling van een rechtmatigheidsadviescommissie (artikel 1.8, zesde lid);
• een uitgebreidere regeling van de vernietiging en anonimisering van verwerkte persoonsgegevens (artikel 1.8, zevende lid);
• een adequaat beveiligingsniveau, ten minste overeenkomstig richtlijnen van de Minister van Binnenlandse Zaken en Koninkrijksrelaties (artikel 1.8, achtste lid);
• de verplichting zorg te dragen voor adequate en uniforme technische en organisatorische maatregelen om de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse te bevorderen, alsmede de juistheid en de volledigheid van de gegevens die daarbij worden verwerkt (artikel 1.9, eerste lid);
• de plicht tot menselijke tussenkomst bij de verstrekking van een resultaat van geautomatiseerde gegevensanalyse, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen (artikel 1.9, tweede lid);
• de verplichting om op een voor het publiek toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9, derde lid);
• de verplichting tot terugmelding van onjuistheden in bronbestanden (artikel 1.9, vierde lid);
• de verplichting om ingeval van een geautomatiseerde gegevensanalyse in bepaalde fasen pseudonimisering toe te passen (artikel 1.9, vijfde lid);
• de verplichting tot een periodiek privacy audit (artikel 1.10);
• de verplichting om een jaarverslag uit te brengen (artikel 1.12);
• de verplichting voor ontvangers van resultaten van de gegevensverwerking van het samenwerkingsverband om ten minste jaarlijks terug te koppelen wat de effectiviteit en bruikbaarheid van de resultaten was (artikel 1.7, vierde lid); en
• de verplichting voor de deelnemers tot periodieke evaluatie op basis van deze terugkoppeling (artikel 1.7, vijfde lid).
Het wetsvoorstel bevat geen verplichting tot effectbeoordeling waarin partijen vastleggen welke acties worden ondernomen om discriminatie of andere negatieve effecten te identificeren en weg te nemen, omdat een dergelijke verplichting al voortvloeit uit artikel 35 AVG en door de Autoriteit persoonsgegevens expliciet verplicht is gesteld voor gegevensuitwisseling door samenwerkingsverbanden.
De meerwaarde van profilering op basis van geautomatiseerde gegevensanalyse door een samenwerkingsverband is gelegen in die situaties waarin aan de hand van een relatief grote hoeveelheid relevante data van de betrokken partijen analyses moeten worden verricht om bijvoorbeeld tot een risicoprofiel te komen en op basis daarvan personen in beeld te krijgen die aan dat profiel voldoen, zodat er voor deze partijen sturingsinformatie ontstaat op grond waarvan zij met de hen toegewezen taken en bevoegdheden verder onderzoek kunnen doen. Toepassing van een dergelijke methode kan vele malen sneller en beter tot de gewenste sturingsinformatie leiden dan mogelijk zou zijn in een situatie waarin partijen zonder geautomatiseerde gegevensanalyse moeten werken. Voor iCOV uit zich dit in de themascan. Door gevalideerde witwasindicatoren op een representatieve dataset los te laten ontstaan er inzichten die eerder bij de individuele deelnemers niet voorhanden waren. Deze inzichten zijn met name relevant voor de aanpak ondermijnende criminaliteit.
Op dit moment behoort het werken met zogenaamde risicoprofielen niet tot de mogelijkheden voor de RIEC’s, omdat de huidige protocollen daarin niet voorzien. Het wetsvoorstel biedt een grondslag om bij amvb te regelen dat de RIEC’s geautomatiseerde gegevensverwerking gaan toepassen, zodat zij in de toekomst met risicoprofielen kunnen gaan werken. De RIEC’s hebben de wens daartoe. Indien van deze mogelijkheid gebruik gemaakt wordt, zullen de RIEC’s zelf een opzet maken voor een protocol dat zij op basis van de amvb en de daarin te stellen voorwaarden bij het gebruik van risicoprofielen zullen gaan hanteren.
De regering ziet niet goed in waarom het werken met risicoprofielen en daaraan gekoppeld eventuele profilering op gespannen voet met de onschuldpresumptie zou staan. De uitkomst van de analyse kan leiden tot bijvoorbeeld een lijst waarop personen staan met kenmerken die op een verhoogd risico wijzen dat zij beroepsfraudeur zijn, maar die nog geen verdachte zijn. Omdat er veelal sprake is van correlatie en niet van causaliteit, kan immers van een formele verdenking (nog) geen sprake zijn. Daarvoor dienen concrete feiten en omstandigheden met betrekking tot de desbetreffende persoon op tafel te komen die op fraude wijzen en die getoetst moeten worden aan de vereisten uit het Wetboek van Strafvordering. De onschuldpresumptie is dan ook een strafvorderlijk beginsel dat personen, zolang het tegendeel niet is bewezen, voor onschuldig houdt, maar is geen beginsel dat aan het recht op bescherming van persoonsgegevens ten grondslag ligt.29 Overigens neemt een en ander niet weg dat juist met het oog op de risico’s die een gezamenlijke geautomatiseerde gegevensanalyse, waaronder profilering, kan meebrengen, het noodzakelijk is de nodige waarborgen te treffen. Uit de eerdere antwoorden moge blijken dat de regering meent die in voldoende mate te hebben getroffen.
Vraag 88 (ChristenUnie)
De leden van de ChristenUnie-fractie staan een grote terughoudendheid voor waar het gaat om het toekennen van bevoegdheden voor geautomatiseerde gegevensanalyse, zoals profilering. Zij maken zich dan ook zorgen over de toelichting bij artikel 2.18, tweede lid. Zij vragen de regering te onderbouwen aan welke vormen van profilering gedacht mag worden. Betekent dit dat iemand verdacht kan worden, niet op basis van feitelijke handelingen, maar op basis van het voldoen aan kenmerken die binnen een «risicoprofiel» passen?
Voor een antwoord op de vraag aan welke vormen van profilering wordt gedacht, verwijzen wij naar de antwoorden die wij hiervóór aan de leden van de SP-fractie hebben gegeven (vragen 86 en 87).
Vraag 89 (ChristenUnie)
Welke lessen die kunnen worden getrokken uit voormelde uitspraak van de rechtbank Den Haag over SyRI en de kinderopvangtoeslagenaffaire worden bij geautomatiseerde gegevensanalyse betrokken? Is overwogen de AP bij toekenning van bevoegdheden op basis van dit artikel een rol te geven?
Het wetsvoorstel voorziet in strenge waarborgen en in een grondslag om bij of krachtens amvb voorwaarden en beperkingen te stellen aan alle gegevensverwerkingen op grond van deze wet (artikel 1.8, eerste lid). Door naleving van deze kaders, in combinatie met de bepalingen van de AVG, wordt een herhaling van situaties als bij de toeslagenaffaire voorkomen. De regering heeft in dit wetsvoorstel op een aantal manieren rekening gehouden met de SyRI-uitspraak van de rechtbank Den Haag. Het belangrijkste punt is dat er naast de algemene waarborgen in het voorgestelde artikel 1.8 die gelden voor alle gegevensverwerking, in het voorgestelde artikel 1.9 specifieke waarborgen zijn opgenomen voor gezamenlijke geautomatiseerde gegevensanalyse. Voor zover dit wetsvoorstel geautomatiseerde gegevensanalyse en het gebruik van risicoprofielen in verband met de uitoefening van toezichthoudende taken nu of in de toekomst mogelijk maakt, geldt dat gebruik van deze methodes volgens de rechtbank Den Haag op zich niet verboden is, maar dat zij wel voldoende inzichtelijk en controleerbaar moeten zijn en met voldoende waarborgen moeten zijn omkleed om de toets aan artikel 8, tweede lid, van het EVRM te kunnen doorstaan.
In het belang van de transparantie van geautomatiseerde gegevensanalyse is in het voorgestelde artikel 1.9, derde lid, de verplichting gesteld om aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica. Anders dan in de onverbindend verklaarde SyRI-wetgeving zal bij het gebruik van risico-indicatoren en risicomodellen daarover zoveel mogelijk transparantie worden betracht zodat deze zoveel als mogelijk toetsbaar zijn. Deze verplichting is opgenomen naar aanleiding van voornoemde uitspraak. Uitzonderingen daarop moeten restrictief worden toegepast en er moet een zwaarwegende reden zijn. Of van dergelijke zwaarwegende redenen sprake is kan worden voorgelegd aan de coördinerende functionaris voor de gegevensbescherming van het samenwerkingsverband of aan de rechtmatigheidsadviescommissie van het samenwerkingsverband.
De inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse zullen nader worden geborgd in het voorgestelde artikel 2.14, eerste lid. Deze bepaling stelt ter zake van iCOV verplicht dat bij lagere regelgeving regels worden gesteld over de wijze van vaststelling van indicatoren, inclusief regels over de kwaliteit en de hypothese waarop deze zijn gebaseerd. Ook stelt het voorgestelde artikel 2.14, tweede lid, verplicht dat er nadere regels worden gesteld over de uitvoering van de gegevensanalyse, o.a. de wijze waarop de bescherming van de persoonlijke levenssfeer nader wordt gewaarborgd, de methoden van verwerking en de wijze waarop verbanden tussen gegevens zichtbaar worden gemaakt. Momenteel verrichten de RIEC’s geen geautomatiseerde gegevensanalyse, maar in het wetsvoorstel wordt wel de mogelijkheid gecreëerd om dat in de toekomst te gaan doen. Dezelfde regels zullen in dat geval ook gaan gelden voor de RIEC’s door deze op te nemen in de amvb waarin dat voor de RIEC’s wordt geregeld.
De privacy audits die samenwerkingsverbanden op grond van het voorgestelde artikel 1.10 moeten verrichten en waarvan de resultaten naar de Autoriteit persoonsgegevens worden gezonden, dienen eveneens de inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse. Gelet op het feit dat daarbij de uitvoering van de krachtens dit wetsvoorstel en de AVG gestelde regels wordt gecontroleerd, ligt in de rede dat de uitvoering van geautomatiseerde gegevensanalyse daarbij wordt betrokken. Daarnaast draagt het jaarverslag van de samenwerkingsverbanden dat op grond van het voorgestelde artikel 1.12 dient te worden opgesteld en op internet dient te worden geplaatst, eveneens de transparantie en controleerbaarheid van gehanteerde methodes.
Ook de overige bezwaren van de rechtbank Den Haag worden voldoende ondervangen in dit wetsvoorstel, in het bijzonder met betrekking tot het informeren van betrokkenen, vaststelling van het doel van het samenwerkingsverband en het verrichten van een noodzakelijkheidstoets van de gegevensverwerking door alle deelnemers. Zo stelt de aanwijzing van de deelnemers aan het samenwerkingsverband als gezamenlijke verwerkingsverantwoordelijken op grond van het voorgestelde artikel 1.4, eerste lid, veilig dat betrokkenen hun recht op grond van artikel 14 van de AVG om geïnformeerd te worden jegens elke verwerkingsverantwoordelijke kunnen uitoefenen (artikel 26, derde lid, van de AVG). De vaststelling van het doel van het samenwerkingsverband wordt bij wet vastgelegd en wordt dus niet ter bepaling overgelaten aan de deelnemers van het samenwerkingsverband zelf. Ook de verstrekking van de in het wetsvoorstel opgenomen categorieën van gegevens door deelnemers aan het samenwerkingsverband is op grond van het voorgestelde artikel 1.5, eerste lid, in beginsel verplicht voor zover dat noodzakelijk is voor het wettelijk bepaalde doel van het samenwerkingsverband. Hoewel de categorieën te verstrekken gegevens in het wetsvoorstel zijn opgesomd, heeft iedere deelnemer beoordelingsruimte bij de vraag of in concrete gevallen gegevensverstrekking aan het samenwerkingsverband noodzakelijk is voor het doel van dat samenwerkingsverband.
De Autoriteit persoonsgegevens is bevoegd toezicht te houden op de rechtmatigheid van alle gegevensverwerking door de samenwerkingsverbanden en kan in het geval van onrechtmatigheden optreden. Naar aanleiding van het advies van de Afdeling advisering van de Raad van State is het vereiste dat de Autoriteit persoonsgegevens toestemming zou moeten geven voor profilering door samenwerkingsverbanden geschrapt. De voornaamste reden daarvoor was dat de Autoriteit persoonsgegevens anders intensief wordt betrokken bij een bestuurlijke afweging, die niet gemaakt zou moeten worden door de toezichthouder maar door het bevoegde en aanspreekbare bestuursorgaan. Dat laat onverlet dat een samenwerkingsverband de Autoriteit persoonsgegevens ingevolge artikel 36 AVG voorafgaand aan een voorgenomen verwerking van persoonsgegevens moet raadplegen wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling een hoog risico laat zien wanneer het samenwerkingsverband geen maatregelen neemt om het risico te beperken. Als de Autoriteit persoonsgegevens van oordeel is dat de voorgenomen verwerking niet aan de AVG zal voldoen, geeft zij een schriftelijk advies binnen acht weken na het verzoek om raadpleging. Het eventueel uitblijven van een reactie van de Autoriteit persoonsgegevens binnen die termijn staat er overigens niet aan in de weg dat de Autoriteit persoonsgegevens met betrekking tot de verwerking haar bevoegdheden uitoefent, met inbegrip van haar bevoegdheid om verwerkingen te verbieden.
Vraag 90 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen of de regering kan aangeven op welke wijze en door wie de afweging gemaakt wordt tussen het uitwisselen van data, de daarmee voorgestelde inbreuk op grondrechten zoals privacy en het gewicht van het algemeen belang. Kan de regering aangeven op welke wijze controlerende instanties zoals de AP en het parlement toezicht kunnen houden op die afweging? Wordt bij elke afweging ook onderzocht of het algemene belang ook gediend kan worden door middel van een minder ingrijpende methode of beleidsinzet? Zo nee, waarom niet?
Het zijn primair de deelnemers aan een samenwerkingsverband die in hun rol van verwerkingsverantwoordelijken moeten afwegen of het uitwisselen van persoonsgegevens en de verdere verwerking in een bepaalde situatie noodzakelijk is voor het doel van dat verband. Dit noodzakelijkheidsvereiste brengt mee dat zij de uitwisseling en verdere verwerking moeten toetsen aan de eisen van proportionaliteit en subsidiariteit: de inbreuk die daarvan het gevolg is, moet evenredig zijn met de zwaarte van het belang waarvoor zij dient plaats te vinden, en dat belang kan niet op een minder ingrijpende wijze worden bereikt. De rechtmatigheidsadviescommissie heeft bij deze afwegingen een adviserende rol.
De Autoriteit persoonsgegevens houdt toezicht op de wijze waarop de deelnemers aan deze vereisten in de praktijk invulling geven. In dat verband wijzen wij erop dat de Autoriteit persoonsgegevens in haar strategie «Focus AP op 2020–2023» de uitwisseling van persoonsgegevens in samenwerkingsverbanden expliciet als aandachtsgebied voor de uitoefening van haar toezichtstaak en bevoegdheden heeft aangewezen.30
Het parlement kan Ministers ter verantwoording roepen over de wijze waarop deelnemers aan een samenwerkingsverband, voor zover die onder hun verantwoordelijkheid vallen, aan genoemde afweging invulling geven.
Vraag 91 (PvdD)
Voornoemde leden vragen op welke manier de regering garandeert dat het huidige beschermingsniveau voor bepaalde aparte categorieën data gewaarborgd blijft. Kan de regering toelichten hoe zij data die momenteel alleen door opsporingsambtenaren bekeken mogen worden wil gaan delen en tegelijkertijd de waarborg kan behouden dat alleen speciale opsporingsambtenaren deze data bekijken?
Bij data die momenteel alleen door opsporingsambtenaren mogen worden bekeken, doelen deze leden waarschijnlijk op politiegegevens. Op grond van artikel 7 van de Wet politiegegevens (Wpg) geldt daarvoor een geheimhoudingsplicht, behoudens voor zover – onder andere – een bij of krachtens de wet gegeven voorschrift tot verstrekking verplicht of de Wpg verstrekking toelaat. Dit impliceert dat nu al anderen dan opsporingsambtenaren van politiegegevens kennis mogen nemen, als de verstrekking daarvan op grond van de eerder bedoelde uitzonderingen mogelijk of zelfs verplicht is. Artikel 4.1 van het wetsvoorstel bevat een wijziging van artikel 20 Wpg die zo’n uitzondering schept. Deze wijziging impliceert dat, indien de politie of de Koninklijke marechaussee deelneemt aan een samenwerkingsverband als bedoeld in de WGS, de verwerkingsverantwoordelijke (korpschef c.q. Minister van Defensie), in overeenstemming met het bevoegd gezag (de officier van justitie), aan het samenwerkingsverband politiegegevens verstrekt, voor zover dit noodzakelijk is voor het doel van dat verband, tenzij naar het oordeel van de verwerkingsverantwoordelijke zwaarwegende redenen zich daartegen verzetten. Op basis van artikel 46 Wpg geldt dit ook voor deelname van bijzondere opsporingsdiensten en buitengewoon opsporingsambtenaren.
Bij zwaarwegende redenen om van verstrekking af te zien moet in ieder geval worden gedacht aan redenen die verband houden met opsporingsbelangen, een oordeel dat is voorbehouden aan de officier van justitie. Over de vraag of daarvan sprake is, hebben andere deelnemers in het samenwerkingsverband dan de deelnemer die de gegevens zou verstrekken, geen zeggenschap.
Verder bevat het gewijzigde artikel 20 Wpg de mogelijkheid om bij amvb aan verstrekkingen als hier bedoeld voorwaarden en beperkingen te stellen. Ook deze kunnen gelegen zijn in het beschermen van opsporingsbelangen.
Vraag 92 (PvdD)
Voorts willen de leden van de Partij voor de Dieren-fractie graag enige vragen stellen over het gebruik van profilering. Veel van de werkzaamheden in samenwerkingsverbanden lijken namelijk te draaien om het opstellen van risicoprofielen aan de hand waarvan risico-inschattingen gemaakt zouden kunnen worden. Kan de regering aangeven in hoeverre dit soort inschattingen nauwkeurig en vooral objectief zijn gebleken in de afgelopen jaren?
Wat heeft de regering gedaan met de terechte kritiek van Amnesty International dat beleid gebaseerd op risicoprofielen en het risico gestuurd werken een aantasting is van het onschuldbeginsel? Heeft de regering meer actie ondernomen dan alleen het toevoegen van enkele zwakke waarborgen en het schrappen van het woordje profilering?
Voor de aan het woord zijnde leden is niet te bevatten dat, gegeven het leed dat de overheid zelf veroorzaakt heeft met dit soort risicoprofielen bij de toeslagenaffaire, de regering namens diezelfde overheid nu inzet op het grootschalig gebruik van dit soort risicoprofielen. Zij vragen de regering hoe zij garandeert dat het voorliggend wetsvoorstel niet opnieuw tot zulke situaties gaat leiden. Deelt de regering de mening dat het feit dat het wetsvoorstel de kans op dit soort misstanden vergroot op zichzelf al reden genoeg is om het wetsvoorstel in zijn geheel terug te nemen? Zo nee, waarom neemt de regering bewust dit risico op herhaling?
Voornoemde leden lezen dat de Afdeling aangeeft dat de gegevensverwerking door middel van systematische verwerking en profilering niet noodzakelijk en niet proportioneel is. Daarnaast geeft de Afdeling aan dat profilering een methode is waar grote risico’s aan zijn verbonden. Toch zet de regering hier groots op in. Waarom is dit noodzakelijk en proportioneel? Wordt de AP betrokken bij elke vorm van profilering? Is het de rol van de AP om als toezichthouder dit soort afwegingen te maken?
Op de vraag in hoeverre inschattingen op basis van risicoprofielen nauwkeurig en vooral objectief zijn gebleken in de afgelopen jaren, wijst de regering graag op de praktijk bij iCOV. Zij doet dit door met menselijke tussenkomst de scores op de indicatoren te controleren op hun juistheid. Daarbij is gebleken dat uit de data ook personen en objecten scoren die al in beeld bij de aanvragende deelnemer waren. De data bevestigen hierbij wat er in de praktijk al wordt waargenomen.
Voor een antwoord op de vragen van deze leden met betrekking tot het onschuldbeginsel en de getroffen waarborgen verwijst de regering in de eerste plaats naar antwoorden op vergelijkbare vragen die leden van de SP-fractie in deze paragraaf hebben gesteld (vraag 87). Het wetsvoorstel voorziet in waarborgen en in een grondslag om bij of krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen op grond van deze wet te kunnen stellen (artikel 1.8, eerste lid). Door naleving van deze kaders, in combinatie met de bepalingen van de AVG, wordt een herhaling van situaties als bij de toeslagenaffaire voorkomen.
De Afdeling advisering van de Raad van State heeft over het haar voorgelegde wetsvoorstel opgemerkt dat niet vaststaat dat de daarin vastgelegde bevoegdheden tot gegevensverwerking (waaronder systematische verwerking en profilering) noodzakelijk en proportioneel zijn voor alle soorten samenwerkingsverbanden die onder het voorstel gebracht kunnen worden. Mede met het oog daarop heeft de regering de werking van het wetsvoorstel teruggebracht tot in eerste instantie vier samenwerkingsverbanden die een belangrijke functie vervullen bij onder meer de aanpak van ondermijnende criminaliteit en is de mogelijkheid van geautomatiseerde gegevensanalyse beperkt tot iCOV. Voor de redenen verwijzen wij naar de memorie van toelichting, par. 4.2 en de toelichting op artikel 2.13. Verder kunnen de RIEC’s geautomatiseerde gegevensanalyse, waaronder profilering, uitvoeren, voor zover dat noodzakelijk is voor het doel van de RIEC’s en dat bij of krachtens amvb is aangewezen. Voor het FEC is een soortgelijke bepaling bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid). De ZVH voeren geen geautomatiseerde gegevensanalyses uit en dus ook geen vormen van profilering.
De Autoriteit persoonsgegevens hoeft niet bij elke vorm van profilering te worden betrokken. Wel moet zij op grond van artikel 36 AVG vooraf worden geraadpleegd over een voorgenomen vorm van profilering, als de uitkomst van de gegevensbeschermingseffectbeoordeling een hoog risico laat zien wanneer het samenwerkingsverband geen maatregelen neemt om het risico te beperken. Zo’n beoordeling is bij een verwerking door een samenwerkingsverband verplicht. Zoals in reactie op een vraag van de SP-fractie al is opmerkt, bevatte het wetsvoorstel aanvankelijk het vereiste dat de Autoriteit persoonsgegevens toestemming zou moeten geven voor profilering door samenwerkingsverbanden, maar is dat vereiste naar aanleiding van het advies van de Afdeling advisering van de Raad van State geschrapt.
Vraag 93 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen hoe de regering voorkomt dat onderscheid gemaakt gaat worden in de risicoanalyses op basis van indicatoren waarvan onze Grondwet verbiedt dat onderscheid wordt gemaakt. Hoe voorkomt de regering dat, zoals in de toeslagenaffaire het geval bleek, er onderscheid gemaakt wordt op basis van nationaliteit?
Voor onderscheid naar nationaliteit kan een objectieve rechtvaardiging bestaan, als het om bijvoorbeeld de uitvoering van wetgeving gaat waarbij nationaliteit relevant is voor de toepassing ervan. Als risicoanalyses worden uitgevoerd op basis van indicatoren waarvoor geen objectieve rechtvaardiging kan worden gegeven, zijn deze onrechtmatig. Om onrechtmatig uitgevoerde analyses te voorkomen bevat het wetsvoorstel verschillende waarborgen. Artikel 1.9, eerste lid, verplicht de deelnemers aan het samenwerkingsverband zorg te dragen voor adequate en uniforme technische en organisatorische maatregelen in verband met onder meer de bevordering van de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse. Die verplichting houdt mede in dat maatregelen moeten worden getroffen ter voorkoming van vooringenomenheid bij het uitvoeren van de analyse, omdat dit een kwaliteitsaspect betreft. Daarnaast dienen de deelnemers op grond van artikel 1.8, vierde lid, van het wetsvoorstel zorg te dragen voor «logging» van bij amvb te beschrijven verwerkingen van persoonsgegevens voor de controle van onder meer de rechtmatigheid van de gegevensverwerking. Tot slot wijzen wij op het zesde lid van artikel 1.8, dat de deelnemers ertoe verplicht om een rechtmatigheidsadviescommissie in te stellen, die tot taak heeft de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden op te lossen.
Vraag 94 (PvdD)
De aan het woord zijnde leden vragen de regering of haar visie op het wetsvoorstel nog veranderd is aan de hand van de ontwikkelingen in het dossier van de toeslagenaffaire. Zeker nu bekend is geworden dat ook daar aan de hand van data-analyses risicogestuurd gewerkt werd en op basis van bijvoorbeeld nationaliteiten geselecteerd werd wie extra aandacht behoefde. Voor de leden van de Partij voor de Dieren-fractie heeft dit voorbeeld eens temeer duidelijk gemaakt dat het eeuwige streven naar harde efficiëntiewinst ten koste kan gaan van zachtere waarden. Het streven naar absurde niveaus van efficiëntie leidde ertoe dat data bepaalden wie schuldig was en wie niet. Het leidde ertoe dat elke vorm van menselijk contact uit het zicht verdween. Daarmee verdween ook de compassie die nodig was en de mogelijkheid om iemand aan te spreken op de misstanden. Het is het verdwijnen van dit soort zachtere waarden en het ongelimiteerde vertrouwen in data-analyses die het mogelijk maakte dat de toeslagenaffaire de proporties kon krijgen die ze uiteindelijk kreeg.
Uiteraard heeft de toeslagenaffaire tot reflectie op het onderhavige wetsvoorstel geleid. Het wetsvoorstel voorziet mede daarom in waarborgen en in een grondslag om bij of krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen op grond van deze wet te kunnen stellen (artikel 1.8, eerste lid). Door naleving van deze kaders, in combinatie met de bepalingen van de AVG, wordt een herhaling van situaties als bij de toeslagenaffaire voorkomen.
Vraag 95 (VVD)
De leden van de VVD-fractie lezen dat de AP een belangrijke toetsende rol zal gaan spelen met betrekking tot concrete gegevensverwerkingen in samenwerkingsverbanden. Overwegende dat de AP, naast haar toekomstige toetsende rol, ook een dagelijkse adviserende rol heeft, vragen deze leden in hoeverre de nieuwe toetsende rol kan worden uitgevoerd door de AP. Ook gegeven haar huidige capaciteiten, zowel bezien vanuit expertise als vanuit de uitvoering. Welke mogelijkheden zijn er om toch over te gaan tot gegevensverwerking in samenwerkingsverbanden als een voorgeschreven voorafgaande raadpleging van de AP niet kan worden afgewacht? Kan dan toetsing achteraf plaatsvinden? Welke waarborgen zijn getroffen in het wetsvoorstel om te voorkomen dat uitvoering van de wet de facto afhankelijk wordt van dit zelfstandig bestuursorgaan? De leden van de VVD-fractie wijzen op de lessen die kunnen worden getrokken naar aanleiding van de uitwisseling van informatie bij de Belastingdienst. Gezamenlijke uitwisseling van gegevens en data-analyse kan grote meerwaarde hebben bij de vervolging van criminelen en het voorkomen van criminaliteit, maar verkeerde inschattingen van deelnemers om gegevens te verwerken kunnen grote gevolgen hebben voor burgers. Voor gezamenlijke data-analyse is vooraf toestemming vereist van de AP. Kan de regering motiveren waarom is gekozen voor deze constructie? Gaat dit niet teveel ten koste van de effectiviteit van data-analyse? Is de AP toegerust om een afweging te maken tussen het belang van gegevensverwerking voor het belang van opsporing en criminaliteitsbestrijding enerzijds en privacy anderzijds? Wat zal de AP nu anders gaan doen bij het geven van toestemming dan dat ze nu al doet in haar rol als privacytoezichthouder? Krijgt de AP meer ruimte, zodat ze verwerkingen die nu nog niet mogen, als dat nodig is voor criminaliteitsbestrijding kunnen toestaan? Zijn er alternatieven overwogen, zoals een toets van een rechter-commissaris?
Voor het antwoord op deze vragen wordt verwezen naar het antwoord op vraag 39.
Vraag 96 (VVD)
Op welke wijze is in de samenwerkingsverbanden geborgd dat criminaliteitsbestrijding zo transparant en rechtvaardig mogelijk is? Graag ontvangen de leden van de VVD-fractie een reactie hierop van de regering.
Transparantie is het uitgangspunt, zoals toegelicht in paragraaf 3.4 van deze memorie van toelichting. Op grond van de AVG gelden informatieplichten jegens betrokkenen, maar hierop bestaan uitzonderingsgronden. Zo geldt onder meer een uitzondering indien het verstrekken van de informatie de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen (artikel 14, vijfde lid, onderdeel b, AVG). In aanvulling op paragraaf 3.4 merken wij op dat voorkomen moet worden dat potentiële criminelen een kijkje in de keuken hebben kunnen nemen en hun kennis over de informatiepositie en werkwijze van de handhavingsorganisaties kunnen uitbreiden. Als (volledig) bekend wordt wat de werkwijze is, is er het risico dat degenen op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid van bijvoorbeeld een profiel en de effectiviteit van het toezicht worden verminderd.
Het wetsvoorstel bevat specifieke transparantieverplichtingen binnen de grenzen van het mogelijke: indien een samenwerkingsverband gezamenlijke geautomatiseerde gegevensanalyse verricht, verschaft het, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten, op een voor het publiek toegankelijke wijze uitleg over de gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9, derde lid).
Het wetsvoorstel schrijft bovendien voor dat het samenwerkingsverband jaarlijks een jaarverslag opstelt waarin een verantwoording wordt gegeven van de effectiviteit en bruikbaarheid van de resultaten van de gegevensverwerking door het verband (artikel 1.12).
Vraag 97 (VVD)
Het verstrekken van belastinggegevens door de Belastingdienst aan de politie, in de fase waarin nog geen sprake is van een strafrechtelijke verdenking, zou kunnen helpen voor het slagvaardig optreden bij het aantreffen van onverklaarbaar vermogen en voor het acteren bij verdachte transacties. Welke ruimte ziet de regering tot dergelijke afspraken te komen?
Hierin is in beginsel voorzien door het wetsvoorstel. Het voorgestelde artikel 1.5, eerste lid, bevat een verplichting voor de deelnemers van het samenwerkingsverband om de aangewezen categorieën gegevens te verstrekken aan het samenwerkingsverband voor zover dat noodzakelijk is voor de vervulling van het doel van het samenwerkingsverband. Artikel 1.5, eerste lid, doorbreekt tevens geheimhoudingsbepalingen uit andere wetten, wanneer die de ruimte bevatten om bij wettelijk voorschrift van de geheimhoudingsplicht af te wijken. Het gaat dan onder meer om de geheimhoudingsplicht uit artikel 67 van de Algemene wet inzake rijksbelastingen. Dit betekent dat het wetsvoorstel ook verplicht tot gegevensverstrekking door de Belastingdienst (indien deze deelneemt aan een samenwerkingsverband). Als de politie eveneens deelneemt aan het samenwerkingsverband, kan zij de resultaten van de gezamenlijke gegevensverwerking ontvangen indien dit nodig is voor haar taak, wanneer deze taak verenigbaar is met het doel van het samenwerkingsverband (artikel 1.7, eerste lid). Wat betreft het door de leden van de VVD-fractie in deze vraag genoemde voorbeeld inzake slagvaardig optreden bij het aantreffen van onverklaarbaar vermogen geldt dat iCOV hierin een belangrijke rol vervult.
Vraag 98 (CDA)
De leden van de CDA-fractie lezen dat op grond van artikel 36, vierde lid, van de AVG de AP een toetsende rol vooraf heeft met betrekking tot concrete gegevensverwerkingen in samenwerkingsverbanden. Zij vragen de regering hoe een dergelijke toetsing in de praktijk eruit ziet? Heeft de AP op dit moment in andere gevallen een dergelijke toetsende rol vooraf? Ook vragen deze leden aan de regering of een dergelijke toetsende rol vooraf niet tot onnodige verstarring en bureaucratie gaat leiden. Welke gevolgen heeft het als de AP na toetsing een negatief advies uitbrengt?
Voor het antwoord op deze vragen wordt verwezen naar het antwoord op vraag 39.
Vraag 99 (D66)
De leden van de D66-fractie verwijzen naar de SyRI uitspraak waarin wordt gesproken (r.o. 6.97–6.99) over een integrale toets vooraf door een onafhankelijke derde wanneer sprake is van op grote schaal systematisch analyseren van gegevens. Die noodzakelijkheidstoets raakt zowel het doelbindingsbeginsel als het dataminimalisatiebeginsel. Voornoemde leden vragen hoe deze noodzakelijkheidstoets is vormgegeven in dit wetsvoorstel. Zij vernemen dat er een voorafgaande toetsende rol is van de AP, maar alleen wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling is dat sprake is van een hoog risico wanneer het samenwerkingsverband geen maatregelen neemt om het risico te beperken. Waarom is er niet voor gekozen de AP altijd vooraf te laten adviseren over het systematisch analyseren van data? Is nu de voorgestelde toetsende rol van de AP bindend? Wat gebeurt er wanneer de AP negatief adviseert?
Voor het antwoord op deze vragen wordt verwezen naar het antwoord op vraag 39.
Vraag 100 (D66)
Is de regering van mening dat op dit punt deze wetgeving de «SyRI-toets» doorstaat?
Ja, de regering is van mening dat dit wetsvoorstel de «SyRI-toets» doorstaat. Voor de onderbouwing verwijst de regering de leden van de D66-fractie naar de beantwoording van de vragen van de leden van de ChristenUnie-fractie en de leden van de Partij voor de Dieren-fractie (vragen 24 en 89).
Vraag 101 (GroenLinks)
De leden van de GroenLinks-fractie vragen welke praktische gevolgen dit wetsvoorstel zal hebben voor de betrokkenheid van de Uitvoeringswet AVG in het algemeen en de positie van de AP in het bijzonder. Welke rol heeft de AP precies in het voorafgaande toezicht op de samenwerkingsverbanden en is de AP in staat om deze rol ook adequaat te vervullen? Hoe bindend is de uitkomst van de raadpleging van de AP voor samenwerkingsverbanden? Kan een oordeel van de AP terzijde worden geschoven? Graag ontvangen deze leden een toelichting hierop.
Voor het antwoord op deze vragen wordt verwezen naar het antwoord op vraag 39.
Vraag 102 (VVD)
De leden van de VVD-fractie vragen op welke wijze is gewaarborgd dat samenwerkingsverbanden en deelnemende partijen afzonderlijk effectief aanspreekbaar zijn voor degenen die politieke verantwoordelijkheid dragen voor de deelnemende partijen? De Afdeling heeft in dit kader ook zorgen geuit over de verantwoordelijkheid voor de gegevensverwerking. Op welke wijze is het samenwerkingsverband als geheel effectief aanspreekbaar voor degene die politieke verantwoordelijkheid draagt? Kan de regering per samenwerkingsverband aangeven wie politiek verantwoordelijk en aanspreekbaar is en ook hoe verantwoording wordt afgelegd?
Op de vragen van de leden van de VVD-fractie over de politieke verantwoordelijkheid voor de samenwerkingsverbanden, kan de regering aangeven dat de bestuursorganen die momenteel politiek verantwoordelijk zijn voor de deelnemende partijen en de beleidsterreinen waarop zij opereren, dat onverkort blijven onder dit wetsvoorstel. Door aanwijzing van de samenwerkingsverbanden, de vaststelling van het doel en de aanwijzing van deelnemers, meent de regering tegemoet te zijn gekomen aan het bezwaar van de Afdeling dat de verantwoordelijkheid voor de gezamenlijke gegevensverwerking onduidelijk was belegd. De regering acht het van belang dat de deelnemers aan een samenwerkingsverband de gezamenlijke verwerkingsverantwoordelijkheid als bedoeld in artikel 26 van de AVG voor de gezamenlijke gegevensverwerking in het samenwerkingsverband dragen. Gelet op het feit dat dit wetsvoorstel geen nieuwe juridische entiteiten creëert, geen nieuwe taken en bevoegdheden aan de deelnemers toekent en evenmin nieuwe taken en bevoegdheden aan het samenwerkingsverband als zodanig toekent, wordt daarmee aangesloten bij de bestaande situatie waarin elke deelnemer aan een samenwerkingsverband deelneemt vanuit de verantwoordelijkheid voor de eigen taken en bevoegdheden en ook volledig verantwoordelijk is en blijft voor de uitoefening daarvan. Met dit uitgangspunt verdraagt zich niet dat één of enkele deelnemers verantwoordelijk zouden worden voor de gegevensverwerking ten behoeve van de uitoefening van taken en bevoegdheden van een andere partij.
Als gevolg van deze keuze kan de politieke verantwoordelijkheid voor een samenwerkingsverband bij meerdere bestuursorganen berusten waaronder de deelnemers ressorteren. Zo zullen bij het FEC de verantwoordelijke bewindspersonen van het Ministerie van Financiën en Justitie en Veiligheid door het parlement aanspreekbaar zijn; bij iCOV de verantwoordelijke bewindspersonen van de Ministeries van Justitie en Veiligheid en van Financiën, Sociale Zaken en Werkgelegenheid, Infrastructuur en Waterstaat en Economische Zaken en Klimaat door het parlement; bij de RIEC’s de verantwoordelijke bewindspersonen van de Ministeries van Justitie en Veiligheid, Financiën, Sociale Zaken en Werkgelegenheid, Economische Zaken en Klimaat en Defensie, alsmede de burgemeester en het college van burgemeester en wethouders door de gemeenteraad en het provinciebestuur door provinciale staten; bij de ZVH de verantwoordelijke bewindspersonen van de Ministeries van Justitie en Veiligheid en Volksgezondheid, Welzijn en Sport, alsmede de burgemeester en het college van burgemeester en wethouders door de gemeenteraad. Het parlement en de gemeenteraad kunnen hun wettelijke controlebevoegdheden uitoefenen om de voornoemde bestuursorganen aan te spreken op de gezamenlijke gegevensverwerking door samenwerkingsverbanden.
Vraag 103 (VVD)
Daarnaast is het zo dat intergemeentelijke informatie uitwisseling nog steeds niet mogelijk is vanwege beperkingen in sectorale wetgeving waar gemeenten aan gehouden zijn. Wat voor oplossing ziet de regering hiervoor?
De regering begrijpt de vraag van de leden van de VVD-fractie aldus dat deze betrekking heeft op de mogelijkheden voor informatie-uitwisseling binnen een gemeente bij de aanpak van ondermijnende criminaliteit. Een adequate informatiepositie voor gemeenten is volgens de regering van groot belang voor een optimale bestuurlijke bijdrage van gemeenten aan de aanpak van ondermijning. Bij brieven van 6 juni 2019 en 11 november 2019 (Kamerstukken II 2019/20, 29 911, nr. 244 en nr. 259) heb ik uw Kamer geïnformeerd over de Voorlichting die de Afdeling advisering van de Raad van State heeft uitgebracht naar aanleiding van de wens van gemeenten om de mogelijkheid te krijgen om dwarsverbanden te leggen tussen de informatie waarover zij beschikken op grond van diverse taken en om meer te kunnen doen met signalen van ondermijning. In mijn voornoemde brief van 6 juni 2019 heb ik uw Kamer laten weten dat ik de aanbevelingen van de Afdeling stapsgewijs opvolg. Aan de eerste stap is reeds gevolg gegeven: bij brief van 20 februari 2020 (Kamerstukken II 2019/20, 29 911, nr. 272) heb ik uw Kamer het model privacy protocol «Handleiding binnengemeentelijke gegevensuitwisseling ten behoeve van de bestrijding van ondermijning» gezonden.
Het modelprivacyprotocol maakt inzichtelijk op welke wijze de informatiedeling binnen een gemeente kan worden ingericht. Het beschrijft aan de hand van een stappenplan welke mogelijkheden gemeenten hebben om dat op een rechtmatige manier te doen, waarbij rekening wordt gehouden met de grenzen van de AVG en geldende wetgeving om informatie binnengemeentelijk te kunnen delen. Bij het opstellen van het model privacy protocol is in kaart gebracht welke (sectorale) wetten een basis bieden voor het verder verwerken van gegevens die onder sectorale wetgeving zijn verkregen. De komende tijd vinden er diverse bijeenkomsten plaats om het modelprotocol aan gemeenten toe te lichten. Dat biedt gemeenten tevens de mogelijkheid om concrete casuïstiek te bespreken, waardoor voorbeelden en knelpunten kunnen worden opgehaald die als versteviging kunnen worden toegevoegd aan het modelprivacyprotocol. Mochten in de praktijk ervaren knelpunten niet weggenomen kunnen worden met het modelprivacyprotocol, dan zal als tweede stap (die de Afdeling advisering van de Raad van State voorstelt) worden bezien welke andere oplossingen mogelijk zijn. Daarbij kan ook wijziging van sectorale wetgeving aan de orde zijn.
De WGS kan gemeenten ook meer mogelijkheden bieden in de integrale en bestuurlijke aanpak van ondermijning. Burgemeesters en colleges van burgemeester en wethouders worden namelijk als vaste deelnemers aangewezen aan de RIEC’s. Als deelnemers aan de RIEC’s kunnen zij met het oog op de bestrijding van georganiseerde criminaliteit met andere deelnemers gezamenlijk gegevens verwerken voor zover dat noodzakelijk is voor de uitoefening van hun wettelijke taken en bevoegdheden op het terrein van bestuursrechtelijke en fiscaalrechtelijke handhaving. Burgemeesters en colleges van burgemeester en wethouders kunnen ten behoeve van het aanwijzen en analyseren van handhavingsknelpunten alsmede het voeren van casusoverleggen, gegevens inbrengen in de RIEC’s die afkomstig zijn van verschillende onderdelen van een gemeente wanneer er signalen zijn van ondermijning en georganiseerde criminaliteit en gegevens daarover uitwisselen met andere deelnemers. Daarbij kunnen zij – bij de verwerking van (persoons)gegevens in RIEC-verband – gebruik maken van de grondslagen die de WGS biedt voor verstrekking aan het samenwerkingsverband alsmede voor de verwerking van persoonsgegevens van strafrechtelijke aard en bijzondere categorieën van persoonsgegevens alsmede van uitzonderingen op geheimhoudingsplichten in bestaande sectorale wetgeving. Hoewel de WGS als zodanig geen voorziening biedt voor de binnengemeentelijke informatie-uitwisseling ter bestrijding van ondermijning, kan de WGS op het terrein van de RIEC’s dus wel een meerwaarde hebben voor gemeenten in dit verband. Bij het bezien welke andere oplossingen mogelijk zijn voor knelpunten die niet met het modelprivacyprocotol kunnen worden opgelost, wordt ook bekeken in hoeverre de regeling voor de RIEC’s in de WGS tegemoet kan komen aan de wens van gemeenten om meer mogelijkheden te hebben voor informatie-uitwisseling in het kader van de aanpak van ondermijning en georganiseerde criminaliteit.
Vraag 104 (CDA)
De leden van de CDA-fractie constateren dat onderhavig wetsvoorstel aan vier samenwerkingsverbanden een wettelijke basis geeft en daarmee ook een basis geeft voor onderlinge gegevensverwerking. Deze leden vragen de regering of onderhavig wetsvoorstel ook een oplossing kan bieden voor informatiedeling binnen een organisatie, bijvoorbeeld een gemeente. Deze leden signaleren dat op dit moment informatiedeling binnen de gemeentelijke organisatie vaak niet (goed) mogelijk is, bijvoorbeeld tussen de domeinen zorg en veiligheid.
De voorgenoemde leden vragen de regering wat er geregeld wordt voor informatiedeling tussen de vier genoemde samenwerkingsverbanden, in het bijzonder informatiedeling tussen de RIEC’s en de Zorg- en Veiligheidshuizen. De aan het woord zijnde leden signaleren dat de aanpak van jeugdigen en het voorkomen van verdere recidive bij specifieke jeugdigen op het grensvlak van beide samenwerkingsverbanden ligt, waardoor informatiedeling op dat terrein van meerwaarde kan zijn. Hoe ziet de regering dat?
Dit wetsvoorstel biedt een wettelijke basis voor de gezamenlijke gegevensverwerking van samenwerkingsverbanden, die in de regel bestaan uit deelnemers van verschillende organisaties. Het wetsvoorstel biedt in beginsel geen regeling voor informatiedeling binnen een organisatie, zoals een gemeente. Wel kan de WGS meerwaarde hebben voor gemeenten doordat de burgemeester en het college van burgemeester en wethouders als vaste deelnemers worden aangewezen van zowel de RIEC’s als de ZVH. Over de meerwaarde die de WGS voor gemeenten als deelnemer aan de RIEC’s kan hebben bij de informatie-uitwisseling in het kader van de integrale en bestuurlijke aanpak van ondermijning en georganiseerde criminaliteit, is hiervoor ingegaan (vraag 103). Daarnaast kan de WGS van toegevoegde waarde zijn voor informatiedeling voor gemeenten op het terrein van zorg en veiligheid. Burgemeesters en colleges van burgemeester en wethouders worden namelijk als vaste deelnemers aangewezen aan de ZVH. Als deelnemers aan de ZVH kunnen zij met het oog op de behandeling van complexe casuïstiek op het snijvlak van zorg en veiligheid met andere deelnemers gezamenlijk gegevens verwerken voor zover dat noodzakelijk is voor de uitoefening, afstemming, coördinatie en inzet van de wettelijke taken en bevoegdheden waarmee de deelnemers zijn belast en daaraan gerelateerde noodzakelijke werkzaamheden op het terrein van strafrechtelijke en bestuursrechtelijke handhaving alsmede begeleiding en zorg- en hulpverlening in het belang van het voorkomen van verminderen en bestrijden van criminaliteit, en ernstige overlast en het voorkomen en verminderen van onveilige situaties voor personen binnen een gebied. Burgemeesters en colleges van burgemeester en wethouders kunnen ten behoeve van het voeren van casusoverleggen gegevens inbrengen in de ZVH die afkomstig zijn van verschillende onderdelen van een gemeente wanneer er sprake is van complexe casuïstiek op het snijvlak van zorg en veiligheid en dan kunnen zij gegevens daarover uitwisselen met andere deelnemers. Daarbij kunnen zij in het kader van de ZVH gebruikmaken van de grondslagen die de WGS biedt voor verstrekking aan het samenwerkingsverband alsmede voor de verwerking van persoonsgegevens van strafrechtelijke aard en bijzondere categorieën van persoonsgegevens, namelijk gezondheidsgegevens, alsmede van uitzonderingen op geheimhoudingsplichten in bestaande sectorale wetgeving.
Dit wetsvoorstel behelst geen regeling voor informatiedeling tussen de vier genoemde samenwerkingsverbanden. Dit wetsvoorstel regelt de gezamenlijke gegevensverwerking voor vier samenwerkingsverbanden. Het doel, de werkwijze, en de aard van de gegevens die aan de orde kunnen zijn bij de verschillende samenwerkingsverbanden is soms fundamenteel verschillend. Dit speelt met name bij de ZVH ten opzichte van de andere drie samenwerkingsverbanden. De doelen en werkwijzen van de samenwerkingsverbanden liggen te ver uit elkaar om hiervoor een generieke regeling te treffen die voldoet aan de eisen die AVG en de Grondwet stellen, en waarop de Afdeling advisering van de Raad van State ook wijst. In specifieke gevallen kan de verwerking van bepaalde gegevens bijvoorbeeld zowel binnen de doelstelling van een RIEC als binnen de doelstelling van een Zorg- en Veiligheidshuis passen. Omdat het wetsvoorstel niet voorziet in de mogelijkheid om tussen de vier samenwerkingsverbanden gegevens te delen, zal dit moeten worden opgelost door zowel binnen het RIEC als binnen het Zorg- en Veiligheidshuis dezelfde informatievraag met betrekking tot een bepaalde casus in te brengen. Dit wetsvoorstel regelt wel de mogelijkheid om gegevens uit te wisselen tussen Zorg- en Veiligheidshuizen onderling en de RIEC’s onderling, als dit noodzakelijk is gelet op het doel van de Zorg- en Veiligheidshuizen, respectievelijk het doel van de RIEC’s.
Vraag 105 (CDA)
De aan het woord zijnde leden willen weten hoe de regering een mogelijkheid van een samenwerkingsverband met enkel notarissen beoordeeld. Een dergelijk samenwerkingsverband zou onder het huidige wetsvoorstel niet mogelijk zijn omdat het verband dan enkel uit private partijen bestaat, maar het zou wel van meerwaarde zijn als notarissen elkaar van informatie kunnen voorzien waar het gaat om twijfelachtige transacties of personen. De leden van de CDA-fractie vragen een reactie van de regering hierop.
Zoals op 18 juni jl. gemeld in de Kamerbrief «Uitwerking breed offensief tegen georganiseerde ondermijnende criminaliteit»31, is bezien of het notariaat onderling meer gegevens over cliënten kan delen. Dit is reeds mogelijk onder de vigerende wetgeving met een vergunning van de Autoriteit persoonsgegevens. Het is primair aan de beroepsgroep om een vergunningaanvraag in te dienen. De KNB heeft aangegeven de beoordeling van de Autoriteit persoonsgegevens met betrekking tot een soortgelijke aanvraag van de banken met belangstelling te volgen. Over andere mogelijkheden voor samenwerking wordt het overleg voortgezet.
Vraag 106 (GroenLinks)
De leden van de GroenLinks-fractie vragen hoe dit wetsvoorstel zich verhoudt tot reeds bestaande overheidsbevoegdheden en samenwerkingsverbanden. De Belastingdienst bijvoorbeeld heeft convenanten met heel veel samenwerkingsverbanden. Kan via de Belastingdienst informatie van het ene samenwerkingsverband bij het andere samenwerkingsverband landen? Zo nee, hoe wordt dat dan in de praktijk voorkomen? De leden vragen zich verder af wat de rol van de inlichtingen- en veiligheidsdiensten precies is. Krijgen zij toegang tot de door samenwerkingsverbanden gedeelde en verwerkte persoonsgegevens? Zo ja, geldt hiervoor een notificatieverplichting?
Dit wetsvoorstel creëert grondslagen voor de verstrekking van gegevens aan samenwerkingsverbanden die onder dit wetsvoorstel vallen, de verwerking van gegevens door of binnen deze samenwerkingsverbanden en de verstrekking van resultaten vanuit deze samenwerkingsverbanden aan deelnemers en derden. Dit wetsvoorstel laat bestaande wettelijke grondslagen voor informatieverstrekking en -uitwisseling door afzonderlijke deelnemers (zoals de rijksbelastingdienst) van samenwerkingsverbanden intact. De WGS heeft niet tot doel een exclusief regime voor gegevensverwerking door samenwerkingsverbanden te creëren. Zij heeft dan ook geen implicaties voor de talloze bestaande samenwerkingsverbanden die binnen de grenzen van het huidige recht voldoende ruimte hebben om op de door hen gewenste wijze persoonsgegevens te verwerken. Voor zover de rijksbelastingdienst nu op grond van convenanten die zijn gebaseerd op bestaande wettelijke grondslagen gegevens inbrengt in verschillende samenwerkingsverbanden die niet onder dit wetsvoorstel vallen, blijft dat mogelijk. Artikel 1.2, tweede lid, stelt dat buiten twijfel: «Deze wet laat onverlet dat deelnemers van een samenwerkingsverband onderling gegevens kunnen blijven verwerken bij of krachtens een andere dan deze wet.»
Voor de gezamenlijke gegevensverwerking door het FEC, iCOV en RIEC, waaraan de rijksbelastingdienst deelneemt, regelt dit wetsvoorstel voor welke doelen, voor de uitoefening van welke taken en bevoegdheden de rijksbelastingdienst welke gegevens mag verstrekken en verwerken (de voorgestelde artikelen 2.4, 2.12 en 2.24) en aan wie onder welke voorwaarden de resultaten van de gezamenlijke verwerking mogen worden doorverstrekt. Wanneer de rijksbelastingdienst gezamenlijk gegevens verwerkt in het kader van het FEC, iCOV en RIEC stelt dit wetsvoorstel daar dus duidelijke begrenzingen aan.
Naast de rechtstreeks werkende eisen van de AVG ter zake van rechtmatige persoonsgegevensverwerking waaraan deelnemers zich moeten houden, stelt de WGS waarborgen die deelnemers aan de onder dit wetsvoorstel vallende samenwerkingsverbanden dwingen deze begrenzingen in acht te nemen. Zo bevat het voorgestelde artikel 1.8 termijnen voor de verwerking van gegevens en de verplichting persoonsgegevens na afloop van die termijn te vernietigen of te anonimiseren (zevende lid). Daarnaast dient het samenwerkingsverband ingevolge het voorgestelde artikel 1.10 periodieke privacy audits te verrichten waarbij de uitvoering van de regels van dit wetsvoorstel en de AVG worden gecontroleerd. Een afschrift van de resultaten van de controle-resultaten moeten aan de Autoriteit persoonsgegevens worden gezonden. Er geldt een geheimhoudingsplicht voor eenieder die betrokken is bij het samenwerkingsverband (het voorgestelde artikel 1.11). Ook dienen de samenwerkingsverbanden een jaarverslag op te stellen en in dit verslag op internet te plaatsen (het voorgestelde artikel 1.12). In het geval van onregelmatigheden is de Autoriteit persoonsgegevens bevoegd om op te treden.
Dit wetsvoorstel kent geen nieuwe taken of bevoegdheden of een speciale rol toe aan de inlichtingen- en veiligheidsdiensten. De wettelijke taken en bevoegdheden van de AIVD en MIVD zijn geregeld in de Wet op de inlichtingen- en veiligheidsdiensten. Dit wetsvoorstel brengt daar geen wijzigingen in aan.
Vraag 107 (SP)
De leden van de SP-fractie vragen wat de reactie van de regering is op de oproep van de Koninklijke Notariële Beroepsorganisatie (KNB) om de geheimhoudingsplicht voor notarissen in stand te houden en in het wetsvoorstel dus een uitzondering op te nemen voor gegevens van cliënten die onder de geheimhoudingsplicht van de notaris vallen en het daaraan gekoppelde wettelijke verschoningsrecht. Ziet de regering een rol voor notarissen in het verstrekken van gegevens in samenwerkingsverband? Zo ja, hoe ziet zij die rol dan precies?
Het aanwijzen van notarissen als deelnemer is niet aan de orde.
Vraag 108 (SP)
Klopt het, zo vragen de aan het woord zijnde leden voorts, dat deze wet ten aanzien van binnengemeentelijke informatiedeling geen oplossing biedt?
Voor de beantwoording van deze vraag, verwijst de regering naar de beantwoording van de vragen van de leden van de VVD-fractie en de leden van de CDA-fractie over dit onderwerp (vragen 103 en 104).
Vraag 109 (ChristenUnie)
De leden van de ChristenUnie-fractie constateren dat gemeenten en samenwerkingsverbanden niet alleen problemen in de gegevensdeling onderling kennen, maar ook binnen de eigen organisatie. Een bekend voorbeeld hiervan is de re-integratie van tbs’ers waarbij de gemeentelijke schuldhulpverlening en zorginstanties geholpen kunnen zijn bij informatiedeling. Zij vragen of de wet hiertoe ook mogelijkheden biedt? Voorts vragen zij of door de regering afdoende gebruik wordt gemaakt van de mogelijkheid die artikel 18a, zesde lid, van de Wet straffen en beschermen biedt voor gegevensdeling bij re-integratie.
Voor de beantwoording van de vragen van de leden van de ChristenUnie-fractie over de mogelijkheden voor informatiedeling binnen gemeenten en binnen de eigen organisatie van andere deelnemers van samenwerkingsverbanden, verwijst de regering naar de beantwoording van de vragen van de leden van de VVD-fractie en de leden van de CDA-fractie over dit onderwerp (vragen 103 en 104).
Dit wetsvoorstel is niet specifiek gericht op informatiedeling bij re-integratie van tbs’ers.
Het door deze leden genoemde artikel 18a, zesde lid, van de Penitentiaire beginselenwet (Pbw) dat is opgenomen in de Wet straffen en beschermen ziet evenmin op tbs’ers. Het heeft uitsluitend betrekking op gedetineerden in de zin van de Pbw. Het gaat om een grondslag voor gegevensverstrekking tussen DJI, gemeente en reclassering met het oog op nazorg. Het biedt daarmee geen grondslag voor gegevensverstrekking aan andere partijen of voor andere doelen. De inwerkingtreding van de Wet straffen en beschermen is voorzien voor 1 mei 2021. Na de inwerkingtreding zal deze grondslag worden benut om gegevens tussen voornoemde instanties uit te wisselen met het oog op het op orde krijgen van de vijf basisvoorwaarden voor een delictvrij bestaan en de continuïteit van interventies en zorgtrajecten.
Van de gegevensverwerking op grond van artikel 18a, zesde lid, Pbw, moet worden onderscheiden de mogelijkheid waarin onderhavig wetsvoorstel voorziet om in Zorg- en Veiligheidshuizen gezamenlijk gegevens te verwerken waar dat noodzakelijk is voor de behandeling van complexe casuïstiek op het snijvlak van zorg en veiligheid. Naast DJI, gemeente en reclassering, zijn ook andere instanties betrokken bij het Zorg- en Veiligheidshuis en kunnen ook gegevens over andere doelgroepen dan gedetineerden (zoals tbs’ers), in het Zorg- en Veiligheidshuis worden verwerkt.
Vraag 110 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen of de regering kan ingaan op de juridische status van de samenwerkingsverbanden. Waarom is er niet voor gekozen de samenwerkingsverbanden een juridische entiteit te laten worden en tegelijk de verantwoordelijkheden zoals die nu belegd zijn bij de deelnemers te behouden? In hoeverre is vol te houden dat deze samenwerkingsverbanden geen juridische entiteiten zijn als de samenwerkingsverbanden wel gemandateerde beslissingsbevoegdheden kunnen krijgen? De regering geeft aan dat regelingen getroffen moeten worden voor de huisvesting, ICT-voorzieningen, ondersteuning en personeel. Is dan vol te houden dat er geen sprake is van een juridische entiteit?
De aanwijzing van de samenwerkingsverbanden in de zin van dit wetsvoorstel heeft inderdaad nadrukkelijk niet tot gevolg dat er een juridische entiteit ontstaat waaraan nieuwe eigenstandige taken en bevoegdheden – bijvoorbeeld op het terrein van de bestrijding van georganiseerde criminaliteit – worden toebedeeld. De WGS maakt gezamenlijke gegevensverwerking mogelijk bij de uitoefening van de bestaande taken en bevoegdheden van de deelnemers. Deze gezamenlijke gegevensverwerking op grond van deze wet staat dus ten dienste aan de bestaande taken en bevoegdheden van de deelnemers. De reden is dat aan dit wetsvoorstel de maatschappelijke behoefte ten grondslag ligt aan meer mogelijkheden voor bestaande organisaties om in samenwerkingsverbanden informatie te kunnen uitwisselen en gegevens gezamenlijk te kunnen verwerken teneinde de integrale aanpak van verschillende vormen van criminaliteit te versterken. In het wetsvoorstel is daarom, zoals gezegd, het uitgangspunt dat de gezamenlijke verwerking van persoonsgegevens en andere relevante gegevens ten dienste staat aan de uitoefening van de bestaande wettelijke taken en bevoegdheden van de bestaande organisaties of juridische entiteiten die deelnemen aan de samenwerkingsverbanden, zoals de politie, het OM en gemeentelijke bestuursorganen. Voor zover dit wetsvoorstel regels bevat over de juridische verhoudingen tussen de deelnemers, hebben die uitsluitend betrekking op de nadere uitwerking van de eisen die de AVG stelt ter zake van de gezamenlijke verwerking, zoals de gezamenlijke verwerkingsverantwoordelijkheid. Bovendien biedt het wetsvoorstel de mogelijkheid om – onder voorwaarden – geautomatiseerde gegevensanalyses uit te voeren met het oog op de uitoefening van de bestaande wettelijke taken en bevoegdheden van de afzonderlijke deelnemers.
De regeling van de organisatie, inrichting, positionering en het beheer van het samenwerkingsverband is, voor zover daar behoefte aan is en het wetsvoorstel er niet in voorziet, voorbehouden aan de deelnemers. Een samenwerkingsverband vraagt inderdaad om ondersteuning in de vorm van huisvesting, ICT-voorzieningen, ondersteuning en personeel. Daar zijn verschillende modaliteiten voor denkbaar die niet vereisen dat het samenwerkingsverband als zodanig een juridische entiteit met eigen bevoegdheden wordt.
Deelnemers kunnen hun eigen voorzieningen aan elkaar ter beschikking stellen of afspraken maken over gezamenlijk gebruik van deze voorzieningen en elkaar daarbij mandaat of volmacht verlenen, met inachtneming van de regels van de Algemene wet bestuursrecht en het Burgerlijk Wetboek. Mandaat of volmacht wordt dus in voorkomende gevallen verleend aan de deelnemers en niet aan het samenwerkingsverband als zodanig.
Vraag 111 (VVD)
De leden van de VVD-fractie constateren dat aan het FEC, als één van de voorgestelde samenwerkingsverbanden, ook het programma FEC terrorismefinanciering verbonden. Van de deelnemende partijen zoals de Immigratie- en Naturalisatiedienst (IND), de Koninklijke marechaussee, het Bureau Financieel Toezicht (BFT) en de Algemene Inlichtingen- en Veiligheidsdiensten (AIVD) beperkt hun deelname zich tot het verstrekken van gegevens en het verkrijgen van informatieproducten uit het programma. Hoe verhoudt deze taakverdeling zich tot het takenpakket van andere deelnemers van het programma FEC terrorismefinanciering zoals het OM, de politie, de Financial Intelligence Unit-Nederland, de Belastingdienst, de Fiscale Inlichtingen- en Opsporingsdienst (FIOD), de Autoriteit Financiële markten en de Nederlandsche bank?
Overwegende dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) als taak heeft het risico op terroristische aanslagen in Nederland zoveel mogelijk te verkleinen, vragen deze leden waarom de NCTV geen onderdeel uitmaakt van het programma FEC terrorismefinanciering?
De NCTV beschikt niet over toezichthoudende of operationele bevoegdheden. Samenwerking tussen NCTV en het FEC is mogelijk – zonder persoonsgegevens te leveren – doordat ten aanzien van (niet subject-gerelateerde) trends en fenomenen informatie kan worden uitgewisseld.
Vraag 112 (D66)
De leden van de D66-fractie lezen dat, naast de in artikel 2.3 genoemde deelnemers aan het FEC, ook een aantal private partijen (banen en verzekeraars) samenwerken met het FEC. Deze leden vragen waarom deze private partijen niet zijn opgenomen als deelnemer. Dezelfde vraag geldt ten aanzien van de partijen die niet in artikel 2.3 zijn genoemd, maar wel deelnemen aan het programma FEC terrorismefinanciering. Voornoemde leden vragen zich voorts af waarom de door de regering genoemde waarborgen, zoals aanwijzing van een regisseur of vastlegging van het GAZO-principe niet in de wet zijn opgenomen. Deze leden ontvangen op dit punt graag een toelichting.
De genoemde partijen zijn niet opgenomen als deelnemer omdat het voornemen bestaat deze partijen op grond van het voorgestelde artikel 2.3, onderdeel h, bij amvb aan te wijzen als deelnemer, waarbij hun deelname wordt beperkt tot daarbij beschreven specifieke verwerkingen of onderdelen daarvan.
Het GAZO-principe (geen actie zonder overleg) houdt volgens artikel 4 van het Informatieprotocol FEC 201932 in dat er geen gebruik mag worden gemaakt van de ingebrachte persoonsgegevens zonder overleg met en instemming van de FEC-partner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn.
Uit het voorgestelde artikel 1.7, eerste lid, volgt dat de resultaten van de gegevensverwerking niet worden verstrekt als naar het oordeel van een of meer deelnemers op wier gegevens de resultaten zijn gebaseerd, zwaarwegende redenen zich tegen de verstrekking verzetten. De verstrekking van de resultaten aan een derde vindt niet plaats als een deelnemer bezwaar heeft (artikel 1.7, tweede lid). Deze bepalingen zijn vergelijkbaar met het GAZO-principe.
Vraag 113 (VVD)
De leden van de VVD-fractie lezen dat het samenwerkingsverband ICOV te maken had met knelpunten door bestaande geheimhoudingsplichten. Er wordt gesteld dat het wetsvoorstel een einde maakt aan dit knelpunt waardoor nu meer data van deelnemers aan het samenwerkingsverband gecombineerd kunnen worden. Kan worden toegelicht hoe de geheimhoudingsplichten van de deelnemende partijen van het ICOV eruit zien in het wetsvoorstel en hoe deze plicht zich verhoudt tot de bestaande geheimhoudingsplichten?
Geheimhoudingsplichten gelden voor deelnemers van iCOV op grond van artikel 7 Wet politiegegevens, artikel 52 Wet justitiële en strafvorderlijke gegevens en artikel 1:89 Wet op het financieel toezicht. Deze geheimhoudingsbepalingen laten het niet toe dat een ander wettelijk voorschrift – namelijk de algemene verstrekkingsgrondslag uit artikel 1.5 van het wetsvoorstel – daarop een uitzondering maakt. Daarom voegt het wetsvoorstel uitzonderingen op die geheimhoudingsplichten toe in de voornoemde wetten. Voor de Belastingdienst geldt – waar het de uitvoering van de Belastingwetten betreft – de geheimhoudingsplicht op grond van artikel 67 van de Algemene wet inzake rijksbelastingen (Awr). Deze geheimhoudingsplicht laat het wel toe dat een ander wettelijk voorschrift daarop een uitzondering maakt. Dat betekent dat de algemene verstrekkingsgrondslag uit artikel 1.5 van het wetsvoorstel een uitzondering vormt op artikel 67 Awr.
Vraag 114 (CDA)
De leden van de CDA-fractie constateren dat binnen een samenwerkingsverband zoals het iCOV het mogelijk is door middel van rapportages inzichtelijk te maken waar het criminele of fiscale vermogen wordt verborgen en/of welke relaties een bevraagd persoon heeft. Deze leden begrijpen dat het iCOV alleen op verzoek werkt. Zij kunnen zich voorstellen dat er bij het uitvoeren van een rapportage nieuwe informatie tot stand komt, als resultaat van het met elkaar verbinden van afzonderlijke informatie. De voorgenoemde leden vragen de regering in hoeverre deze nieuwe informatie gedeeld mag worden binnen het samenwerkingsverband, bijvoorbeeld door een deelnemer te tippen met de informatie, zodat een deelnemer erop kan acteren. Zit daar flexibiliteit in, zodat ook onverwachte resultaten of informatie alsnog ingezet kan worden voor de uitvoering van het doel van iCOV?
Ja, hier zit enige flexibiliteit in. Als het resultaat van de gegevensverwerking bestaat uit sturingsinformatie in de zin van artikel 1.1, dan biedt artikel 1.7, eerste lid, onder a, in samenhang gelezen met artikel 2.8, eerste lid, een basis voor verstrekking van het resultaat aan een deelnemer voor zover de verstrekking noodzakelijk is voor de vervulling van een publiekrechtelijke taak die aan de deelnemer is opgedragen, wanneer deze taak verenigbaar is met het doel van het samenwerkingsverband. Dat de gegevensanalyse volgens artikel 2.7 alleen op verzoek van een of meerdere deelnemers plaatsvindt, sluit dus niet uit dat de resultaten aan een andere deelnemer dan de verzoeker(s) worden verstrekt, zolang wordt voldaan aan artikel 1.7, eerste lid, onder a, en artikel 2.8, eerste lid.
Vraag 115 (VVD)
Het derde samenwerkingsverband dat met dit wetsvoorstel wettelijk wordt verankerd betreffen de RIEC’s, zo merken de leden van de VVD-fractie op. Constaterende dat de bevoegdheden van de deelnemers van de RIEC’s berusten op bestaande convenanten en dat RIEC’s onderdeel zijn van de bestuurlijke aanpak georganiseerde misdaad en overwegende dat de dreiging van de georganiseerde misdaad in Nederland toeneemt, in hoeverre biedt het wetsvoorstel dan concreet mogelijkheden voor deelnemers aan de RIEC’s om meer gegevens te kunnen delen? Op welke wijze is gewaarborgd dat flexibiliteit is verzekerd voor de RIEC’s? Bij de aanpak van ondermijnende criminaliteit is het noodzakelijk om als één overheid tijdig en efficiënt te kunnen optreden, ook binnen het samenwerkingsverband van de RIEC’s. Het wetsvoorstel legt mogelijk een grote administratieve lastendruk op aan de RIEC’s onder andere door het instellen van een rechtmatigheidsadviescommissie, het opstellen van jaarplannen enzovoorts. Hier zal veel tijd mee gemoeid zijn wat mogelijk ten koste gaat van de aanpak. Kan de regering hierop reflecteren?
In het wetsvoorstel wordt de bestaande praktijk van de RIEC’s, die nu is gebaseerd op een convenant, gecodificeerd en toekomstbestendig gemaakt – binnen de grenzen die de Afdeling advisering van de Raad van State stelt. De WGS biedt daarmee een duidelijk juridisch kader voor de praktijk. Dit betekent dat de RIEC’s na inwerkingtreding van de WGS hun bestaande praktijk ongewijzigd kunnen voortzetten. Daarbij biedt de WGS juist het voordeel dat mogelijke onduidelijkheid over de rechtmatigheid van de huidige praktijk wordt weggenomen. De regering heeft de zorgen van de stuurgroepen RIEC’s over inflexibiliteit om in te spelen op toekomstige uitdagingen ter harte genomen en het oorspronkelijke wetsvoorstel naar aanleiding daarvan op belangrijke punten aangepast. Om de RIEC’s tegemoet te komen zijn in de WGS veel mogelijkheden gecreëerd voor innovatie en toekomstige ontwikkelingen. Zo kunnen er bij amvb en binnen de grenzen die de WGS daaraan stelt nieuwe deelnemers aan de RIEC’s worden toegevoegd en kunnen er nieuwe activiteiten worden aangewezen, waaronder profilering. Ook kunnen er binnen de kaders van de WGS nieuwe taken en bevoegdheden worden aangewezen waarvoor de deelnemers gegevens kunnen uitwisselen en kunnen er zelfs nieuwe soorten gegevens worden toegevoegd. Uiteraard zal de uitwerking samen met onder meer de RIEC’s moeten gebeuren en een zorgvuldig proces moeten doorlopen. Nieuwe mogelijkheden voor de RIEC’s zullen vanzelfsprekend ook aan de AVG moeten voldoen. Overigens is de genoemde verplichting tot het opstellen van een jaarplan uit het ontwerpwetsvoorstel geschrapt naar aanleiding van de reactie van de stuurgroepen RIEC’s.
De regering meent dat de WGS niet compleet is als er niet ook voldoende waarborgen worden geregeld ter bescherming van de privacy. Het regelen van waarborgen is ook een belangrijk eis die de Afdeling advisering van de Raad van State stelt aan een wettelijke regeling voor gezamenlijke verwerking door samenwerkingsverbanden. Om ook daarin de nodige flexibiliteit voor onder andere de RIEC’s te bereiken, voorziet het wetsvoorstel in de mogelijkheid om bij of krachtens amvb nadere voorwaarden en beperkingen aan de gegevensverwerking te stellen. Zorgen van de burgemeesters en de RIEC’s over de invulling van de waarborgen daarvan, kunnen daarom worden geadresseerd bij de voorbereiding van de amvb waarin de waarborgen nader worden uitgewerkt. Gelet op het voorgaande is de regering van mening dat het aangepaste wetsvoorstel een zorgvuldig proces heeft doorlopen, waarbij rekening is gehouden met de bestaande praktijk en de wensen van de RIEC’s.
Vraag 116 (VVD)
Is de regering het met deze leden eens dat het wenselijk kan zijn dit eerder te evalueren dan na vijf jaar?
Uitgangspunt is een termijn van vijf jaar (aanwijzing 5.58 Aanwijzingen voor de regelgeving). Bij een termijn van minder dan vijf jaar moet er rekening mee worden gehouden dat die termijn mogelijk te kort is voor een evaluatie, omdat er dan nog weinig ervaring met de wet in de praktijk zal zijn opgedaan. In het geval van dit wetsvoorstel is het vanwege de samenhang wenselijk om alle samenwerkingsverbanden die onder het bereik van het wetsvoorstel vallen, in één gezamenlijke evaluatie te beoordelen. Een periode die korter dan vijf jaar duurt, is derhalve te kort. Daarbij verdient opmerking dat de evaluatie feitelijk reeds na ongeveer vier jaar moet worden gestart om te kunnen voldoen aan artikel 5.1, dat ertoe verplicht om het verslag van de evaluatie «binnen vijf jaar na inwerkingtreding» aan het parlement te zenden.
Vraag 117 (D66)
De leden van de D66-fractie lezen dat de deelname van private partijen aan het RIEC mogelijk is bij AMvB. Deze leden vragen de regering te verduidelijken aan welke private partijen gedacht moet worden en onder welke voorwaarden informatie met private partijen kan worden gedeeld.
Het derde lid van het voorgestelde artikel 2.19 maakt het mogelijk om private partijen bij of krachtens amvb als deelnemer van een RIEC aan te wijzen voor zover dit noodzakelijk is voor het doel en het om daarbij beschreven specifieke verwerkingen of onderdelen daarvan gaat. Er zijn nog geen concrete situaties van private deelname in voorbereiding. Diverse RIEC’s hebben echter aangegeven deze mogelijkheid wenselijk te vinden om te kunnen inspelen op toekomstige ontwikkelingen in de integrale aanpak van georganiseerde criminaliteit. In dat verband kan bijvoorbeeld gedacht worden aan energiebedrijven, (lucht)havenbedrijven, banken of postbedrijven. Indien er in de toekomst voor wordt gekozen private partijen toe te voegen aan de RIEC’s, moet uiteraard wel worden aangetoond dat hun deelname noodzakelijk is voor het doel van de RIEC’s. Daarnaast zullen voor de gezamenlijke gegevensverwerking met hen de kaders en beperkingen van dit wetsvoorstel gaan gelden.
Vraag 118 (SP)
De leden van de SP-fractie vragen op welke manier deze wet ervoor zorgt dat er sprake zal zijn van goede informatie-uitwisseling tussen ZVH en RIEC’s. Zij vragen of de regering het eens is met de kritiek van de RIEC’s dat het wetsvoorstel bij aanvang al niet toekomstbestendig is en het wetsvoorstel niet gaat helpen om als overheid effectief te kunnen optreden tegen ondermijning.
Dit wetsvoorstel behelst geen regeling voor informatiedeling tussen de vier genoemde samenwerkingsverbanden. Dit wetsvoorstel regelt de gezamenlijke gegevensverwerking voor vier samenwerkingsverbanden. Het doel, de werkwijze, en de aard van de gegevens die aan de orde kunnen zijn bij de verschillende samenwerkingsverbanden is soms fundamenteel verschillend. Dit speelt met name bij de ZVH ten opzichte van de andere drie samenwerkingsverbanden. De doelen en werkwijzen van de samenwerkingsverbanden liggen te ver uit elkaar om hiervoor een generieke regeling te treffen die voldoet aan de eisen die de AVG en de Grondwet stellen, en waarop de Afdeling advisering van de Raad van State ook wijst. In dergelijke situaties zullen de mogelijkheden daartoe op basis van de inhoud van de casus en de mogelijkheden van de deelnemers aan beide samenwerkingsverbanden beoordeeld moeten worden. Het zal immers vaak voorkomen dat dezelfde deelnemers deelnemen aan meerdere samenwerkingsverbanden. Daarbij kan het aangewezen zijn dat deelnemers een casus bij zowel het RIEC als bij het Zorg- en Veiligheidshuis inbrengen. Bij twijfel kan daartoe een oordeel gevraagd worden aan de rechtmatigheidsadviescommissie. Wel regelt dit wetsvoorstel de mogelijkheid om gegevens uit te wisselen tussen Zorg- en Veiligheidshuizen onderling en de RIEC’s onderling, als dit noodzakelijk is gelet op het doel van de Zorg- en Veiligheidshuizen, respectievelijk het doel van de RIEC’s.
De regering is van mening dat het wetsvoorstel van grote toegevoegde waarde is voor de RIEC’s. Dit wetsvoorstel creëert grondslagen voor de verstrekking van gegevens aan de RIEC’s, de verwerking van gegevens door of binnen de RIEC’s en de verstrekking van resultaten vanuit de RIEC’s aan deelnemers en derden. Dit wetsvoorstel zorgt ervoor dat de RIEC’s voor een adequate gegevensuitwisseling niet meer afhankelijk zijn van enkel bestaande bilaterale grondslagen voor gegevensverstrekking. Daarnaast verkrijgen de RIEC’s met dit wetsvoorstel een deugdelijke grondslag voor de verwerking van een bijzondere categorie van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Ook worden uitzonderingen op een aantal sectorale geheimhoudingsbepalingen geregeld die ertoe dienen dat de RIEC’s meer relevante gegevens kunnen verwerken.
Vraag 119 (CDA)
De leden van de CDA-fractie begrijpen de keuze voor het opnemen van de ZVH als samenwerkingsverband in onderhavig wetsvoorstel. Deze leden constateren echter ook dat er ook regionale verschillen bestaan tussen de ZVH. Betekent de wettelijke vastlegging van de ZVH ook dat er een meer uniforme samenwerkingsvorm wordt gevraagd van de ZVH? Gaat dit in de praktijk gevolgen hebben voor de wijze waarop de verschillende ZVH zichzelf georganiseerd hebben? Kan de regering aangeven of de door de ZVH nog steeds gevraagde flexibiliteit geborgd is met onderhavig wetsvoorstel? Daarbij vragen deze leden of dat bij AMvB geregeld kan worden.
De afgelopen jaren hebben ZVH al geïnvesteerd in professionalisering en een meer eenduidige werkwijze, zonder dat dit ten koste is gegaan van de ruimte voor regionale flexibiliteit en het kiezen van regionale speerpunten. Zo volgen de medewerkers van de ZVH dezelfde training gegevensuitwisseling en privacy en is een gemeenschappelijke leergang voor procesregisseurs in ontwikkeling. Een eenduidige werkwijze wordt verder bevorderd door te werken met een gestandaardiseerd werkproces, modelconvenant en model privacy protocol. Voorts werken de 30 ZVH met een gemeenschappelijke meerjarenagenda. Met de WGS is herbevestigd dat de deelnemers onderling afspraken maken over de wijze waarop het samenwerkingsverband wordt ingericht, taken stelt, prioriteiten vaststelt en zorgdraagt voor financiering en beheer. Dat maakt een borging van deze flexibiliteit per amvb overbodig.
Vraag 120 (CDA)
Ten aanzien van de ZVH vragen zij ook hoe het onderwijs hierbij kan aansluiten. Deze leden menen namelijk dat onderwijs immers ook een belangrijke vindplaats is voor misstanden in de huiselijke sfeer. Voornoemde leden wijzen hierop, aangezien in artikel 2.27 onderwijs niet is aangehaakt.
Het klopt dat het onderwijs een belangrijke vindplaats is voor misstanden in de huiselijke sfeer. Voor die signaleringsfunctie is er al een wettelijke regeling, namelijk het AMHK/Veilig Thuis. Ook kan het onderwijs de gemeente inschakelen op grond van de Jeugdwet. Bijvoorbeeld als het vermoeden is dat er een Verzoek Tot Onderzoek bij de Raad voor de Kinderbescherming gedaan moet worden. Als er dan sprake blijkt van complexe casuïstiek zoals bedoeld in artikel 2.25 van de WGS kunnen gemeente (bijvoorbeeld in het kader van het toezicht op de Leerplichtwet), Veilig Thuis of de Raad de casus aanmelden bij het ZVH. In die gevallen waarin dat noodzakelijk is kan een ZVH de betrokken onderwijsinstelling(en) uitnodigen om deel te nemen aan de casusbehandeling als incidentele deelnemer op grond van artikel 2.31, negende lid, van de WGS.
Vraag 121 (D66)
De leden van de D66-fractie lezen dat de wettelijke taken van het OM in het kader van de Wet verplichte geestelijke gezondheidszorg, de Wet forensische zorg en de Wet zorg en dwang zijn opgenomen onder het regime van het wetsvoorstel. Deze leden begrijpen dat het de bedoeling is dat betrokkenen worden besproken in een casusoverleg. Voornoemde leden menen dat daarmee de strikte scheiding tussen het zorgdomein en het strafrechtdomein, zoals dat in de Wet verplichte geestelijke gezondheidszorg is neergelegd, komt te vervallen. Zij vragen de regering dat uitvoerig toe te lichten en te motiveren en daarbij ook in te gaan op (de gevolgen voor) het medisch beroepsgeheim.
De WGS beoogt met artikel 2.29, derde lid, het mogelijk te maken voor het OM, de burgemeester, het college van burgemeester en wethouders en de politie om Wvggz-gegevens in te brengen als dat noodzakelijk is voor de casus en om voorwaarden te stellen aan de verdere verwerking daarvan. Het gaat dan bijvoorbeeld over rechterlijke machtigingen die zijn aangevraagd of afgegeven in het kader van de Wvggz. Dat is noodzakelijk omdat bij relatief veel cliënten in het ZVH sprake is van psychische problematiek en/of problematiek die samenhangt met een licht verstandelijke beperking (LVB). Die komen via het ZVH in beeld. Bij het scherp krijgen van de problematiek en wat de juiste aanpak is, is informatie over eventuele eerdere of lopende Wvggz/WZD/Wfz trajecten cruciaal. Als die informatie niet bij elkaar komt gaan er wellicht trajecten lopen die elkaar tegenwerken. In een casusoverleg kan ook de conclusie zijn dat het OM de zaak oppakt in het kader van de Wvggz. Dan geldt als kader dat andere partijen geen inzage krijgen in de details van dat Wvggz-traject. Als echter het Wvggz-traject niet leidt tot een rechterlijke machtiging, is het van belang dat in het ZVH besproken kan worden welke andere aanpakken mogelijk zijn om de veiligheidsrisico’s of ernstige overlast te beperken.
Vraag 122 (D66)
Het valt de aan het woord zijnde leden verder op dat het doel van de ZVH, omschreven in artikel 2.25, zeer breed is. Dat heeft vanzelfsprekend ook gevolgen voor gegevensdeling. Deelt de regering de mening dat de doelstellingen «voorkomen, verminderen, en bestrijden van criminaliteit en ernstige overlast» en «het voorkomen en verminderen van onveilige situaties voor personen» zeer veelomvattend zijn? Waarom is er voor deze brede reikwijdte gekozen? Waarom is dit noodzakelijk? Wat wordt bijvoorbeeld bedoeld met «daaraan gerelateerde noodzakelijke werkzaamheden op het terrein van strafrechtelijke en bestuursrechtelijke handhaving»? Waarom is niet overwogen deze doelen verder te specificeren?
Het in artikel 2.25 omschreven doel van de ZVH is sinds jaren de gangbare praktijk die in januari 2013 is vastgelegd in het landelijk kader Veiligheidshuizen. Deze definitie blijft actueel ook na de ontwikkeling die Veiligheidshuizen hebben doorgemaakt naar Zorg- en Veiligheidshuizen. De Zorg- en Veiligheidshuizen behandelen complexe casussen waarbij problemen op het gebied van criminaliteit, overlastgevend gedrag en veiligheidsrisico’s mede hun oorzaak vinden in sociale en/of zorgproblematiek. Het zijn de meest ingewikkelde zaken waarop procesregie wordt gevoerd. Welke problemen in een specifieke casus relevant zijn om mee te nemen in de analyse van de casus en de daarop gebaseerde persoonsgerichte aanpak, zal per casus verschillen. Daarom is de behandeling van casussen in de Zorg- en Veiligheidshuizen altijd maatwerk, waarbij de aard van de problematiek van de persoon en de aard van de problemen die daar het gevolg van zijn, leidend dienen te zijn bij de persoonsgerichte aanpak en de te verwerken gegevens. Elke separate persoonsgegevensverwerking op grond van deze wet moet in overeenstemming zijn met het doel van de ZVH en daarnaast voldoen aan de eisen van de AVG, waaronder het beginsel van minimale gegevensverwerking (artikel 5, eerste lid, onderdeel c, van de AVG). Onderdeel daarvan is ook dat bij elke casus in het kader van de subsidiariteit en proportionaliteit steeds een afweging zal moeten worden gemaakt welke gegevens kunnen worden gedeeld en of dat noodzakelijk is voor het realiseren van het doel van het samenwerkingsverband alsmede welke deelnemers op welk moment betrokken moeten worden en dus in een concreet geval gerechtigd zijn gezamenlijk gegevens te verwerken. Dit betekent onder andere dat per casus steeds op basis van de aard van de problematiek bekeken zal moeten worden welke gegevens noodzakelijk zijn om te verstrekken aan het Zorg- en Veiligheidshuis in het kader van de activiteiten van de artikelen 2.26, 2.31 en 2.32, met het oog op het doel van artikel 2.25.
Vraag 123 (D66)
Het valt voornoemde leden tevens op dat de lijst met deelnemers aan de ZVH lang is. Ook worden onder artikel 2.27, tweede lid, een aantal private partijen aangewezen als deelnemer die bij of krachtens de wet taken of bevoegdheden uitoefenen of daartoe door een bestuursorgaan gemandateerd zijn. Echter, onder het vijfde lid wordt gesteld dat bij of krachtens AMvB nog andere overheidsorganen óf private partijen als deelnemer kunnen worden aangewezen, voor zover dat noodzakelijk is voor het doel, bedoeld in artikel 2.25. Dat doel is zeer breed. Waarom is deze delegatiebepaling noodzakelijk? Indien er verdere deelnemers verwacht worden, waarom is dit niet opgenomen in de wet?
De lijst met potentiële deelnemers is inderdaad lang. Echter via de procedure in artikel 2.31 is geborgd dat slechts die deelnemers bij een casus worden betrokken die ook noodzakelijk zijn gezien de aard van de problematiek. Elke casus is dus maatwerk. Partijen zijn niet standaard bij alle casussen betrokken. Dat bij amvb nog andere overheidsorganen óf private partijen als deelnemer kunnen worden aangewezen, is noodzakelijk voor het geval zich nieuwe organisaties aandienen bij het oplossen van complexe problematiek zoals destijds met de instelling van Veilig Thuis of uit de aard en omvang van de werkzaamheden blijkt dat een van de incidentele deelnemers structureel bij het samenwerkingsverband moet worden betrokken.
Vraag 124 (D66)
Waarom is deelname van private partijen niet verder geclausuleerd? Onder welke voorwaarden kan informatie worden gedeeld met deze private partijen?
De deelname van private partijen is reeds geclausuleerd. Private partijen zijn uitsluitend deelnemers die weliswaar privaat zijn georganiseerd maar werkzaam zijn in het publieke domein, en uitsluitend voor zover zij wettelijke taken uitoefenen in de keten van strafrecht, zorg of sociaal domein, die relevant zijn gezien het doel van de zorg- en veiligheidshuizen. Dat betreft onder meer de reclassering voor de reclasseringstaken en een gecertificeerde instelling voor de Jeugdbeschermingstaken. Beiden zijn private instellingen maar met eigen wettelijke taken. Met hen kunnen uitsluitend gegevens gedeeld worden indien het noodzakelijk is hen te betrekken bij de casus, en voor zover zij gegevens meennemen uit de casusbespreking is dat beperkt tot datgene wat noodzakelijk is voor hun eigen taak in relatie tot de casus.
Voor zover het gaat om taken die onder mandaat van een bestuursorgaan worden uitgeoefend vertegenwoordigt de private instelling de facto het betreffende bestuursorgaan. Dit geldt bijvoorbeeld voor een wijkteam dat de toeleiding naar jeugdhulp of schuldhulpverlening uitvoert namens het college van burgemeester en wethouders. De private instelling neemt dan uitsluitend deel voor de gemandateerde taken.
Het is de instelling niet toegestaan om de gegevens die zij in het kader van het Zorg- en Veiligheidshuis, en dus namens het bestuursorgaan ontvangen te gebruiken voor andere taken. Uit de AVG vloeit reeds voort dat private instellingen die naast gemandateerde taken ook andere taken uitvoeren in hun gegevenshuishouding een scheiding dienen aan te brengen in dossiers, om te voorkomen dat er vermenging optreedt van gegevenshuishoudingen en persoonsgegevens onrechtmatig gebruikt worden voor andere taken. Het is aan het mandaterende bestuursorgaan om erop toe te zien dat de betreffende partij deze scheiding ook effectueert en maatregelen neemt om het onrechtmatig gebruik van gegevens die in het kader van de gemandateerde taak zijn ontvangen te voorkomen.
De enige private instelling die ook deel kan nemen vanuit een andere dan een specifiek wettelijke of gemandateerde taak is de GGZ-instelling. Dit is noodzakelijk omdat er bij cliënten in het ZVH relatief vaak sprake is van psychische problematiek en het dan van belang is dat ook een GGZ-instelling betrokken kan worden, ook als betrokkene niet in verplichte zorg zit. Het beleid is er immers op gericht om dergelijke verplichte zorg te voorkomen. Daarom is samenwerking met de GGZ noodzakelijk. Daarbij laat de WGS het medisch beroepsgeheim en het beroepsgeheim van de jeugdhulpverlener ongemoeid (zie artikel 2.29, tweede lid).
Voor partijen als bijvoorbeeld een welzijnsstichting die de toeleiding sociaal domein doet namens het college en ook «semi-commerciële» activiteiten ontplooit, vereist artikel 1.4, derde lid, bovendien dat een private partij ten behoeve van de inzet in het samenwerkingsverband slechts personen aanwijst die niet tevens worden belast met commerciële werkzaamheden.
Vraag 125 (D66)
De leden van de D66-fractie merken op dat ditzelfde geldt voor de categorieën gegevens die gedeeld mogen worden, geëxpliciteerd in artikel 2.30: deze categorieën zijn zeer breed. Van identificerende en contactgegevens tot financiële gegevens en inkomensgegevens, tot gegevens over gezondheid en zorg tot persoonsgegevens van strafrechtelijke aard. Bovendien wordt hier aldus het doelbindingsprincipe losgelaten. Vele soorten gegevens kunnen binnen de ZVH gedeeld worden, en ook nog tussen deze huizen (artikel 2.28), voor zover het noodzakelijk is voor het (brede) doel. Kan de regering de noodzaak hiervan uitgebreid toelichten?
De Zorg- en Veiligheidshuizen behandelen met name casussen waarbij problemen op het gebied van criminaliteit, overlastgevend gedrag en veiligheidsrisico’s mede hun oorzaak vinden in sociale en/of zorgproblematiek. Welke problemen in een specifieke casus relevant zijn om mee te nemen in de analyse van de casus en de daarop gebaseerde persoonsgerichte aanpak, zal per casus verschillen. De behandeling van casussen in de Zorg- en Veiligheidshuizen is daarom altijd maatwerk, waarbij de aard van de problematiek van de persoon en de aard van de problemen die daar het gevolg van zijn, leidend dienen te zijn bij de persoonsgerichte aanpak en de te verwerken gegevens. Dit betekent dat de categorieën van persoonsgegevens die potentieel aan de orde kunnen zijn in het Zorg- en Veiligheidshuis noodgedwongen vrijwel alle leefdomeinen van een persoon kunnen omvatten. Inperking van deze categorieën gegevens kan ertoe leiden dat onbedoeld aspecten buiten beeld blijven die achteraf wel noodzakelijk blijken te zijn voor een succesvolle persoonsgerichte aanpak. Hierdoor bestaat het risico dat problemen onnodig lang voortduren, of verergeren met alle gevolgen en risico’s die daarmee gepaard kunnen gaan voor de persoon en de mensen in de omgeving waar hij woont, werkt en leeft. Elke separate persoonsgegevensverwerking op grond van deze wet moet in overeenstemming zijn met het doel van de ZVH en daarnaast voldoen aan de eisen van de AVG, waaronder het beginsel van minimale gegevensverwerking (artikel 5, eerste lid, onderdeel c, van de AVG). Onderdeel daarvan is ook dat bij elke casus in het kader van de subsidiariteit en proportionaliteit steeds een afweging zal moeten worden gemaakt welke gegevens kunnen worden gedeeld en of dat noodzakelijk is voor het realiseren van het doel van het samenwerkingsverband alsmede welke deelnemers op welk moment betrokken moeten worden en dus in een concreet geval gerechtigd zijn gezamenlijk gegevens te verwerken. Dit betekent dat per casus steeds op basis van de aard van de problematiek bekeken zal moeten worden welke gegevens noodzakelijk zijn om te verstrekken aan het Zorg- en Veiligheidshuis in het kader van de activiteiten van de artikelen 2.26, 2.31 en 2.32, met het oog op het doel van artikel 2.25. In artikel 2.31 van dit wetsvoorstel wordt reeds invulling gegeven aan zo’n zorgvuldige inrichting. Zo dient er, indien een casus door een deelnemer wordt aangemeld, altijd een beoordeling plaats te vinden of de aanmelding in overeenstemming is met het doel van artikel 2.25. Alleen als dat zo is, kan een casus in behandeling worden genomen en kan verdere informatieverzameling plaats vinden. Anders dan de aan het woord zijnde leden stellen, wordt het doelbindingsprincipe hier geenszins losgelaten.
Vraag 126 (D66)
Daar bovenop kunnen onder artikel 2.30, tweede lid, bij AMvB aanvullende categorieën van gegevens worden aangewezen, voor zover noodzakelijk voor het doel, bedoeld in artikel 2.25. Waarom is deze delegatiebepaling noodzakelijk?
Bij de totstandkoming van artikel 2.30 is zorgvuldig gekeken naar de gegevens die thans binnen ZVH noodzakelijk zijn voor de behandeling van complexe casuïstiek. Deze delegatiebepaling is nodig voor het geval er met het oog op het doel van artikel 2.25 in de toekomst dringend behoefte ontstaat aan een ander gegeven.
Vraag 127 (D66)
In de memorie van toelichting lezen de aan het woord zijnde leden dat aangaande de ZVH wordt gesproken over het streven naar een «maatwerkaanpak» en een «persoonsgerichte aanpak» in casusoverleg. Betekent dit dat door de ZVH geen geautomatiseerde gegevensanalyse plaats zal vinden? Zo ja, waarom is dit niet in de wet expliciet gesteld?
In ZVH-verband vindt gegevensuitwisseling plaats ten behoeve van overleg over casussen of de plaatsing van een casus op de lijst met geprioriteerde casussen. Bij nota van wijziging wordt geregeld dat bij amvb zal worden bepaald welke activiteiten van samenwerkingsverbanden als geautomatiseerde gegevensanalyse worden aangemerkt. De activiteiten van de ZVH, bedoeld in het voorgestelde artikel 2.26, vallen daar niet onder.
Vraag 128 (GroenLinks)
De leden van de GroenLinks-fractie lezen in de memorie van toelichting dat dit wetsvoorstel regels geeft voor de (verdere) verwerking om de persoonlijke levenssfeer van de betrokkene te beschermen. Deze leden benadrukken het belang van gezamenlijk casusoverleg in ZVH, maar zijn tevens beducht voor het delen van bijzondere categorieën persoonsgegevens, bijvoorbeeld ten aanzien van ras, afkomst, politieke opvattingen en gezondheidstoestand. Voornoemde leden vragen welke voorwaarden gesteld zullen worden om te voorkomen dat dergelijke gevoelige gegevens bijdragen aan oneigenlijke afwegingen zoals bijvoorbeeld bij de Belastingdienst hebben bijgedragen aan een soort etnische profilering bij de uitvoering van de Kindertoeslagen.
De WGS voorziet voor de ZVH niet in de verwerking van alle categorieën bijzondere persoonsgegevens, uitsluitend in gezondheidsgegevens en strafrechtelijke gegevens. Er worden dus geen gegevens verwerkt met betrekking tot ras, afkomst, religie, politieke opvattingen, of seksuele geaardheid. Er kunnen omstandigheden zijn waarbij dit wel noodzakelijk is, zoals bijvoorbeeld bij een vraagstuk van radicalisering.
Vraag 129 (VVD)
De leden van de VVD-fractie stellen dat een effectieve aanpak van ondermijning en criminaliteit vraagt om weerbaarheid, wendbaarheid en flexibiliteit. Criminelen passen zich immers snel aan, een trage overheid betekent, zoals het RIEC in het advies ook stelt, dat criminelen vrij spel kunnen krijgen. De limitering aan gegevens die verwerkt mogen worden en het feit dat nieuwe samenwerkingsverbanden bij AMvB aangewezen moeten worden, betekent dat de mogelijkheden om effectief op te treden beperkt worden. Kan de regering toelichten hoe rekening gehouden is met juist deze behoefte voor samenwerkingsverbanden om snel te kunnen handelen? In dit kader ontvangen de leden van de VVD-fractie graag ook een toelichting op de beperkte wijze waarop de werking van de gekozen samenwerkingsverbanden, zoals de RIEC’s, is vormgegeven en of dit inderdaad betekent dat reeds bestaande activiteiten van de genoemde samenwerkingsverbanden die niet in het wetsvoorstel zijn opgenomen, beëindigd zullen moeten worden. Ook is de vraag relevant of er hierdoor geen nieuwe bureaucratische processen opgezet kunnen worden? Waarom kiest de regering hier voor het vooraf precies uitschrijven van de activiteiten en werkprocessen met het risico dat er geen ruimte blijft voor innovatie en flexibiliteit? Kan de regering aangeven hoe de aanwijzing bij AMvB van nieuwe samenwerkingsverbanden in verhouding staat tot de benodigde flexibiliteit en wenbaarheid in de strijd tegen criminaliteit?
Dit wetsvoorstel kent de samenwerkingsverbanden alle nodige mogelijkheden toe om gezamenlijk gegevens te verwerken die tevens beantwoorden aan de eisen die AVG en de Grondwet stellen ter bescherming van de privacy van burgers. De WGS creëert namelijk grondslagen voor de verstrekking van gegevens aan samenwerkingsverbanden die onder dit wetsvoorstel vallen, de verwerking van gegevens door of binnen deze samenwerkingsverbanden en de verstrekking van resultaten vanuit deze samenwerkingsverbanden aan deelnemers en derden. De WGS maakt voor deze samenwerkingsverbanden mogelijk dat zij persoonsgegevens van strafrechtelijke aard, en in het geval van de RIEC’s, een bijzondere categorie van persoonsgegevens mogen verwerken. De WGS maakt voor samenwerkingsverbanden uitzonderingen op bestaande geheimhoudingsplichten uit sectorale wetgeving. Hiermee worden samenwerkingsverbanden optimale mogelijkheden geboden om snel en flexibel te handelen.
Op de vragen van de leden van de VVD-fractie over de volgens deze leden beperkte wijze waarop de werking van de samenwerkingsverbanden is vormgegeven, kan de regering aangeven dat nieuwe of verdergaande mogelijkheden tot gegevensverwerking alleen rechtmatig zijn voor zover deze duidelijk zijn begrensd en omkleed zijn met waarborgen ter bescherming van de privacy van burgers. Bij het voorstellen van nieuwe wetgeving waarin grondslagen worden opgenomen voor de verwerking van persoonsgegevens, is de Nederlandse wetgever gebonden aan de AVG, het EVRM en de Grondwet. Belangrijke eisen die de AVG aan wetgeving van een lidstaat stelt zijn o.a. de eis dat verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant moet zijn, dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen mogen worden verwerkt, en dat de gegevens toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doelen waarvoor gegevens worden verwerkt moeten zijn. Door de doelen, activiteiten en werkprocessen op te nemen, voldoen de verwerkingsgrondslagen die dit wetsvoorstel voor samenwerkingsverbanden creëert, aan deze eisen. Daarbij is aangesloten bij de bestaande praktijk en bestaande activiteiten van de samenwerkingsverbanden zoals die nu zijn neergelegd in convenanten en protocollen. De bedoeling van de WGS is dan ook dat de RIEC’s hun bestaande praktijk kunnen voortzetten op een manier die in overeenstemming is met de AVG en de Grondwet. Uiteraard zullen de samenwerkingsverbanden zich bij de toepassing van de WGS in concrete gevallen óók aan de eisen uit de AVG moeten houden.
De regering heeft de zorgen van de stuurgroepen RIEC’s over inflexibiliteit om in te spelen op toekomstige uitdagingen ter harte genomen en het wetsvoorstel naar aanleiding daarvan op belangrijke punten aangepast. Om met name de RIEC’s tegemoet te komen, is de WGS zodanig vormgegeven dat deze niet onnodig in weg staat aan innovatie en rekening houdt met mogelijke toekomstige ontwikkelingen. Zo kunnen er bij amvb nieuwe deelnemers aan de RIEC’s worden toegevoegd en kunnen er nieuwe activiteiten worden aangewezen, waaronder profilering. Ook kunnen er nieuwe taken en bevoegdheden worden aangewezen waarvoor de deelnemers gegevens kunnen uitwisselen en kunnen er zelfs nieuwe soorten gegevens worden toegevoegd. Uiteraard zal de uitwerking samen met onder meer de RIEC’s moeten gebeuren en een zorgvuldig proces moeten doorlopen. Nieuwe mogelijkheden voor de RIEC’s zullen uiteraard ook aan de eisen van de AVG moeten voldoen.
Op de vraag van de leden van de VVD-fractie hoe de aanwijzing bij amvb van nieuwe samenwerkingsverbanden in verhouding staat tot de benodigde flexibiliteit en wendbaarheid in de strijd tegen criminaliteit, kan de regering aangeven dat deze amvb-mogelijkheid daar juist voor is bedoeld. De Afdeling advisering van de Raad van State heeft in haar advies bij dit wetsvoorstel aangegeven dat de hoofdelementen van gezamenlijke gegevensverwerking door samenwerkingsverbanden bij wet in formele zin moeten worden geregeld. Dit wetsvoorstel geeft daar uitvoering aan voor het FEC, iCOV, RIEC en ZVH. Om voldoende flexibiliteit te houden voor het aanwijzen van andere of nieuwe samenwerkingsverbanden, wordt met hoofdstuk 3 een delegatiegrondslag voorgesteld op basis waarvan een nieuw samenwerkingsverband bij amvb kan worden aangewezen. Daarbij wordt een bijzondere nahangprocedure voorgesteld om het parlement ook bij de aanwijzing en regeling van dit nieuwe verband te betrekken.
Vraag 130 (D66)
De leden van de D66-fractie merken op dat het wetsvoorstel «niet tot doel heeft een exclusief regime voor gegevensverwerking door samenwerkingsverbanden te creëren.» Voor zover er samenwerkingsverbanden zijn die gemeenschappelijke casusanalyses of data-analyses willen verrichten waarvoor thans geen of hooguit een suboptimale grondslag bestaat, kan worden overwogen deze tot een samenwerkingsverband om te vormen dat bij of krachtens het wetsvoorstel wordt aangewezen. Dat hoeft dus niet. Ook de AP en de Afdeling spreken over het facultatieve karakter van dit wetsvoorstel dat niet leidt tot regulering en harmonisatie van de gegroeide praktijk aan samenwerkingsverbanden. «Het is immers onzeker of samenwerkingsverbanden op grond van het wetsvoorstel zullen besluiten om onder het regime van de wet te worden gebracht. Er kunnen allerlei overwegingen van bijvoorbeeld bestuurlijke en praktische aard zijn om dat niet te doen. In dat geval zullen de genoemde doelen van het voorstel niet of maar in beperkte mate worden bereikt,» zo schrijft de Afdeling. Naast de vier bestaande samenwerkingsverbanden die wel onder de wet komen te vallen, lezen de aan het woord zijnde leden in hoofdstuk 5 van de memorie van toelichting dat andere samenwerkingsverbanden zelf mogen beoordelen of zij «onder de werking van de WGS willen gaan vallen». Waarom worden bestaande samenwerkingsverbanden waarbij geen grondslag voor dataverwerking bestaat niet formeel wettelijk onder het wetsvoorstel gebracht? Graag ontvangen voornoemde leden een reactie.
Een exclusief regime is niet opportuun gelet op de verscheidenheid aan samenwerkingsverbanden. Het is bovendien niet nodig om samenwerkingsverbanden onder de reikwijdte van dit wetsvoorstel te brengen wanneer die ook kunnen volstaan met de bestaande regels, bijvoorbeeld omdat zij geen persoonsgegevens verwerken of, als zij dat wel doen, kunnen volstaan met bestaande wettelijke grondslagen, omdat zij persoonsgegevens slechts verwerken voor doeleinden die verenigbaar zijn met de oorspronkelijke doeleinden van de gegevensverwerking en er geen geheimhoudingsplichten aan de samenwerking in de weg staan. Sommige samenwerkingsverbanden kunnen bovendien volstaan met de bestaande mogelijkheid om persoonsgegevens verder te verwerken voor wetenschappelijk onderzoek en statistiek. Op grond van artikel 5, onder b, AVG wordt immers de verdere verwerking van gegevens voor wetenschappelijke en statistische doeleinden als niet onverenigbaar beschouwd met het oorspronkelijke doel waarvoor de desbetreffende gegevens zijn verzameld, mits wordt voldaan aan de waarborgen van artikel 89 AVG. Uitsluitend wanneer bestaande samenwerkingsverbanden binnen de grenzen van het huidige recht onvoldoende ruimte hebben om op de benodigde wijze persoonsgegevens te verwerken en wanneer zij een zwaarwegend algemeen belang dienen, is er aanleiding om te overwegen deze onder het bereik van het wetsvoorstel te brengen.
Vraag 131 (D66)
In dit verband vragen de aan het woord zijnde leden ook waarom de nieuwe Multidisciplinair Interventieteams (MIT) niet zijn opgenomen in het wetsvoorstel.
Op dit moment wordt verkend wat er op het terrein van de gezamenlijke gegevensverwerking voor het MIT noodzakelijk is om effectief te kunnen opereren. Mocht het noodzakelijk blijken de gezamenlijke verwerking van gegevens door het MIT onder de WGS te brengen, dan zou dat mogelijk zijn op basis van de delegatiegrondslag in het voorgestelde hoofdstuk 3. Op grond daarvan kan de gezamenlijke gegevensverwerking bij amvb worden geregeld voor andere of nieuwe samenwerkingsverbanden. Daarbij wordt een bijzondere nahangprocedure voorgesteld om het parlement ook bij de aanwijzing en regeling van dit nieuwe verband te betrekken.
Vraag 132 (GroenLinks)
Er is kans dat criminelen hun gedrag aanpassen in reactie op observatiepraktijken, zo constateren de leden van de GroenLinks-fractie. Het is daarom van belang om de uitkomsten van big data-analyses voortdurend te analyseren en periodiek de gebruikte indicatoren te herzien. Wordt dit ook gedaan? Op welke wijze kan de Kamer hierover geïnformeerd worden? Een effectiviteitstoets van big data is methodologisch moeilijk. Hoe gaat de regering dit toch aanpakken?
De regering onderschrijft het belang van het doorlopend analyseren van de uitkomsten van gegevensanalyses. Dat geldt niet alleen voor big data-analyses, maar ook voor andere gegevensanalyses. Daarom is in artikel 1.7, vierde lid, een verplichting opgenomen voor degenen die de resultaten van de gegevensverwerking door het samenwerkingsverband ontvangen, om ten minste jaarlijks de effectiviteit en de bruikbaarheid aan het samenwerkingsverband terug te koppelen, en, indien de ontvangst van de resultaten niet tot vervolgacties heeft geleid, de redenen hiervan. Daarnaast verplicht artikel 1.7, vijfde lid, de deelnemers om periodiek de gehanteerde werkwijze te evalueren en, indien van toepassing, tevens gehanteerde patronen en indicatoren te evalueren aan de hand van de ontvangen terugkoppelingen, ten behoeve van de verbetering van die patronen en indicatoren.
In het belang van de transparantie verplicht het wetsvoorstel een samenwerkingsverband om bij gezamenlijke geautomatiseerde gegevensanalyse aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9, derde lid). Ook is een jaarverslag verplicht, waarin de effectiviteit en de bruikbaarheid van de resultaten aan bod komen (artikel 1.12). Het jaarverslag moet worden bekendgemaakt door plaatsing op internet (artikel 1.12, tweede lid).
Vraag 133 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen of de regering de stelling deelt dat een inbreuk op de privacy alleen gemaakt zou kunnen worden middels een wet in materiële zin die voldoende specifieke waarborgen kent zoals artikel 8 van het EVRM dat vereist. Klopt het dat ook de AP aangaf dat het eerbiedigen van de persoonlijke levenssfeer zich vertaalt in een opdracht aan de wetgever om beperkingen van en inbreuken op dat recht in nauwkeurig geformuleerde wetgeving neer te leggen? Waarom voldoet de regering daar niet aan?
Het College voor de Rechten van de Mens stelt verder nog dat er een aantal wettelijke vereisten zijn waaraan een dergelijke wet minimaal moet voldoen om niet strijdig te zijn met het EVRM. Kan de regering voor elk van de door het College genoemde punten aangeven op welke wijze dit in het wetsvoorstel verwerkt is? Kan de regering aangeven waarom zij van mening is dat deze oplossingen en daarmee de wet stand zullen houden bij de (Europese) rechter?
Verder lezen de aan het woord zijnde leden dat de regering in de memorie van toelichting regelmatig verwijst naar artikel 6 van de AVG. Daarin staat omschreven wanneer verwerking rechtmatig is. Een artikel waarvan bekend is dat Nederland er in Europa op aangestuurd heeft om daarin een «loophole» op te nemen. Deelt de regering de stelling van Privacy First dat het gebruik van artikel 6 zoals voorgesteld in het voorliggend wetsvoorstel in strijd is met het EVRM en het Handvest van de grondrechten van de Europese Unie, wetgeving die van een hoger niveau is dan die zoals vastgelegd in de AVG of in het voorliggende wetsvoorstel? Zo nee, waarom niet? Graag ontvangen voornoemde leden een uitvoerige uitleg.
De regering onderschrijft de stelling van de Partij voor de Dieren-fractie dat een inbreuk op de privacy alleen gemaakt kan worden door een wet in materiële zin die voldoende specifieke waarborgen kent zoals artikel 8 van het EVRM vereist. De WGS voldoet daaraan. De regering deelt niet de stelling dat het gebruik van artikel 6 van de AVG zoals voorgesteld in dit wetsvoorstel in strijd is met het EVRM en het Handvest van de grondrechten van de Europese Unie. Naar aanleiding van het advies van de Afdeling advisering van de Raad van State en de adviezen van de Autoriteit persoonsgegevens en onder andere Privacy First bij het oorspronkelijke wetsvoorstel, is de aansluiting van dit wetsvoorstel op voornoemde regelgeving op belangrijke punten verbeterd. Daarbij zijn alle door de Afdeling advisering genoemde hoofdelementen van de gezamenlijke gegevensverwerking in het wetsvoorstel opgenomen voor de vier samenwerkingsverbanden FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen. Het gaat daarbij onder meer om het doel van het samenwerkingsverband, welke partijen deelnemen met het oog op de opgesomde taken en bevoegdheden, de activiteiten die zij verrichten, welke gegevens zij daarbij mogen verwerken (waaronder soms bijzondere persoonsgegevens), onder welke randvoorwaarden en welke waarborgen voor de gezamenlijke gegevensverwerking gelden. Aan de hand van deze elementen creëert het wetsvoorstel in overeenstemming met artikel 6 van de AVG grondslagen voor de verstrekking van gegevens aan samenwerkingsverbanden die onder dit wetsvoorstel vallen, de verwerking van gegevens door of binnen deze samenwerkingsverbanden en de verstrekking van resultaten vanuit deze samenwerkingsverbanden aan deelnemers en derden.
Voor een nadere toelichting op de wijze waarop dit wetsvoorstel invulling geeft aan artikel 6 van de AVG, verwijst de regering naar de beantwoording van vraag 57.
Naast het creëren van deze mogelijkheden, stelt het wetsvoorstel een groot aantal waarborgen ter bescherming van de privacy van burgers. Zo geldt er op grond van het voorgestelde artikel 1.11 een geheimhoudingsplicht voor een ieder die betrokken is bij de werkzaamheden van het samenwerkingsverband. In de voorgestelde artikelen 1.8 en 1.9 worden waarborgen gesteld die onder meer tegengaan dat persoonsgegevens onrechtmatig worden verwerkt. Verder dient het samenwerkingsverband ingevolge het voorgestelde artikel 1.10 periodieke privacy audits te verrichten waarbij de uitvoering van de regels van dit wetsvoorstel en de AVG worden gecontroleerd. Een afschrift van de resultaten van de controle-resultaten moeten aan de Autoriteit persoonsgegevens worden gezonden. Indien uit de controle-resultaten blijkt dat niet wordt voldaan aan het bij of krachtens dit wetsvoorstel bepaalde, dient het samenwerkingsverband maatregelen te nemen en binnen een jaar een hercontrole uit te voeren. Ook die hercontrole-resultaten moeten aan de Autoriteit persoonsgegevens worden gezonden. In het geval van onregelmatigheden is de Autoriteit persoonsgegevens bevoegd om op te treden. Daarnaast dienen de samenwerkingsverbanden een jaarverslag op te stellen en in dit verslag op internet te plaatsen (het voorgestelde artikel 1.12). De regering is van mening met dit wetsvoorstel een evenwichtig kader te hebben gecreëerd voor de gezamenlijke gegevensverwerking door samenwerkingsverbanden dat in overeenstemming is met het EVRM, het Handvest van de Grondrechten van de Europese Unie, de AVG en de Grondwet.
Vraag 134 (VVD)
De leden van de VVD-fractie merken op dat de regering stelt dat het wetsvoorstel, voor zover het bestaande verwerkingsactiviteiten van de vier samenwerkingsverbanden codificeert, geen administratieve lasten of bestuurslasten zijn. Toch heeft de VNG onlangs nog gewaarschuwd voor een stapeling van administratieve waarborgen en verplichtingen, met name door het opstellen van privacy jaarplannen en jaarverslagen en het verplicht delen van de audits met de AP. De uitvoering van de wet wordt hierdoor te complex, dubbelgeregeld en kostbaar om hieraan te voldoen, zo waarschuwt de VNG. Graag ontvangen de leden van de VVD-fractie een reactie van de regering hierop.
De genoemde verplichting tot het opstellen van een jaarplan is uit het ontwerpwetsvoorstel geschrapt. Wat betreft de verplichting om een jaarverslag uit te brengen (artikel 1.12) is bij nota van wijziging de mogelijkheid toegevoegd dat een cluster van samenwerkingsverbanden (RIEC’s of Zorg- en Veiligheidshuizen) kan beslissen om één gezamenlijk jaarverslag uit te brengen. Hiermee kunnen de krachten worden gebundeld en uitvoeringslasten worden beperkt.
Het wetsvoorstel biedt mogelijkheden tot gegevensverwerking die naast kansen voor de aanpak van bijvoorbeeld de ondermijnende criminaliteit, ook risico’s oplevert. Het voorstel bevat daarom, mede naar aanleiding van het advies van de Afdeling advisering van de Raad van State, een aantal waarborgen om die risico’s weg te nemen of te beperken. Daarbij hebben we ons uiteraard rekenschap gegeven van het feit dat deze waarborgen mogelijk uitvoeringslasten zullen meebrengen, met dien verstande dat een deel van deze waarborgen kan worden aangemerkt als waarborgen ter nadere invulling van voorschriften die ook al uit de AVG voortvloeien. Een voorbeeld daarvan is het registreren van bepaalde onderdelen van de verwerkingen met het oog op controle en toezicht op de naleving van de verplichtingen die op de samenwerkingsverbanden rusten bij het verwerken van persoonsgegevens (artikel 1.8, vierde lid). Niettemin zal ook bij de verdere vormgeving van de waarborgen bij of krachtens amvb terdege op de uitvoeringslasten worden gelet.
Vraag 135 (CDA)
De leden van de CDA-fractie constateren dat verschillende organisaties in de consultatieronde hebben aangekaart dat er een gebrek is aan transparantie en dat de rechtsbescherming ontbreekt. Er wordt onder meer gesteld dat als iemand niet weet op welke lijstjes hij voorkomt, hij daartegen ook geen verweer kan voeren. De reactie op deze punten gaan niet in op het punt dat iemand niet altijd kan weten op welke lijstjes hij voorkomt, zo constateren deze leden. Zij vragen de regering welke waarborgen voor dat punt in de wet zijn opgenomen. In andere woorden vragen deze leden wat de regering van mensen verwacht ten aanzien van het bewaken van hun eigen gegevens. In hoeverre kan van mensen verwacht worden dat zij een besef zullen hebben van wat er met hun gegevens gebeurt?
Het wetsvoorstel bevat geen specifieke waarborgen om iemand te laten weten of hij op een bepaald lijstje van een samenwerkingsverband voorkomt. Die zijn niet nodig, omdat in beginsel ook voor samenwerkingsverbanden de informatieverplichting op grond van artikel 14 AVG geldt, die deze verbanden, kortweg, verplicht om betrokkenen bepaalde informatie te verschaffen over de verwerking van hen betreffende persoonsgegevens. In par. 3.4. van de memorie van toelichting is vermeld dat er echter ook verscheidene uitzonderingen op deze verplichting bestaan die in die paragraaf zijn beschreven. Zo geldt onder meer een uitzondering indien het verstrekken van de informatie de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen (artikel 14, vijfde lid, onderdeel b, AVG). In het geval van de samenwerkingsverbanden waarvoor de WGS is bedoeld, kan van zo’n uitzondering zeer wel sprake zijn. Of daarvan daadwerkelijk sprake is, hangt af van de concrete omstandigheden van het geval. Dat laat onverlet dat het wetsvoorstel wel een waarborg bevat om voor transparantie in meer algemene zin te zorgen. Artikel 1.9, derde lid, bepaalt dat, indien een samenwerkingsverband gezamenlijke geautomatiseerde gegevensanalyse verricht, het, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten, op een voor het publiek toegankelijke wijze uitleg geeft over de gehanteerde patronen en indicatoren of andere onderliggende logica. Verder kan een betrokkene een beroep doen op de rechten die de AVG hem al geeft, zoals het recht op inzage, het recht op rectificatie, het recht op gegevenswissing en het recht op beperking van de verwerking (artt. 15–18 AVG). Zo kan betrokkene desgewenst grip op de hem betreffende persoonsgegevens houden.
Vraag 136 (SP)
De leden van de SP-fractie horen graag hoe wordt gereageerd op de kritiek van de Nederlandse vereniging van Banken (NVB), dat het wettelijk regelen van de samenwerkingsverbanden in een AMvB tijdrovend zal zijn en dat men alsnog besluit om minder efficiënt samen te werken door samenwerkingen aan te gaan buiten het wetsvoorstel. Ziet de regering het gevaar dat, omwille van de tijd en efficiëntie, men straks kiest om een samenwerkingsverband alsnog buiten een AMvB om op te zetten en het beoogde harmoniserend effect dus alsnog zal worden ondermijnd? Zo nee, waarom niet? Zo ja, wat wordt gedaan om dit te voorkomen? De NVB wijst erop dat het wetsvoorstel niet in de weg lijkt te staan aan bestaande publiek-private samenwerkingsverbanden, samenwerkingsverbanden waarvoor de banken nu convenanten hebben gesloten en die niet onder het wetsvoorstel vallen. Klopt dat? Zo ja, wat voegt het wetsvoorstel nu precies toe aan het palet aan mogelijkheden dat reeds nu bestaat in het kader van samenwerkingsverbanden waarbij gegevens worden gedeeld?
Zoals blijkt uit het antwoord op vraag 130, is het geen doel op zich om een samenwerkingsverband onder de reikwijdte van dit wetsvoorstel te brengen, als het ook kan volstaan met de bestaande regels, bijvoorbeeld omdat dat verband geen persoonsgegevens verwerkt of wel persoonsgegevens verwerkt, maar uitsluitend voor doeleinden die verenigbaar zijn met de oorspronkelijke doeleinden van de gegevensverwerking, en zonder dat een geheimhoudingsplicht aan de samenwerking in de weg staat. Het wetsvoorstel voegt daaraan toe dat de in antwoord op vraag 18 samengevatte juridische knelpunten worden opgelost in die gevallen waarin deze knelpunten in de weg staan aan een optimale, nog effectievere samenwerking in het kader van een zwaarwegend algemeen belang. In paragraaf 3.3 van de memorie van toelichting is dit nader toegelicht. In de gevallen waarin deze knelpunten zich voordoen en een oplossing behoeven in de vorm van wetgeving, is het inderdaad wenselijk dat hiervoor een relatief snelle procedure voorhanden is. Zoals toegelicht in antwoord op vraag 30 is dit één van de redenen waarom de mogelijkheid om bij amvb samenwerkingsverbanden te kunnen aanwijzen, wordt voorgesteld.
Vraag 137 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen welke input geleverd is door het bedrijfsleven, wat voor overleg gevoerd is met het bedrijfsleven en wat de uitkomst daarvan was. Zij willen daarover graag alle stukken en een uitvoerig verslag dat teruggaat tot het eerste moment dat over een soortelijke wet gesproken werd. De reden dat deze leden om deze informatie vragen (waar zij grondwettelijk gezien recht op hebben) is omdat het Ministerie van Justitie en Veiligheid in 2016 nog een zeer zorgwekkend convenant over gegevensuitwisseling met het bedrijfsleven achterhield voor de Kamer en de Minister van Justitie en Veiligheid weigert de daarover gestelde schriftelijke vragen (2020Z06848) binnen de termijn te beantwoorden. De rapportage daarover in de Groene Amsterdammer vonden deze leden erg zorgwekkend.33 Deelt de regering de mening dat het waarborgen van publieke belangen een publieke taak is?
Er is geen input geleverd door het bedrijfsleven of overleg gevoerd met het bedrijfsleven over dit wetsvoorstel. Wel zijn consultatiereacties ontvangen van de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars. Deze reacties zijn als bijlagen bij de memorie van toelichting meegezonden aan uw Kamer bij de indiening van dit wetsvoorstel. De consultatiereacties zijn behandeld in paragraaf 10 van de memorie van toelichting.
De aangehaalde schriftelijke vragen van het lid Van Raak (SP) met kenmerk 2020Z06848 zijn inmiddels beantwoord.34 Er is geen sprake geweest van een convenant, maar van een intentieverklaring, zoals toegelicht in de antwoorden op de vragen van de leden Van Dam (CDA) en Verhoeven (D66).35 Deze intentieverklaring had betrekking op informatie-uitwisseling van met sensoren verkregen informatie tussen de politie en de beveiligingsbranche. Het wetsvoorstel gaat daar niet over. Daarom heeft het onderwerp uit het aangehaalde artikel uit de Groene Amsterdammer geen raakvlak met het onderhavige wetsvoorstel.
Zoals opgemerkt in de antwoorden op voornoemde Kamervragen van het lid Van Raak, is veiligheid een belangrijke taak van de overheid, maar ook een gedeelde verantwoordelijkheid van alle burgers in Nederland. Ik acht het dan ook waardevol dat de overheid samen kan werken met andere partijen, waaronder bedrijven, om binnen de kaders van de wet samen te werken aan een veilig Nederland.
Vraag 138 (PvdD)
De aan het woord zijnde leden lezen in de memorie van toelichting dat belangenorganisaties tevreden zijn over de wijze waarop het medisch beroepsgeheim wordt gerespecteerd. Kan de regering aangeven in welke mate het relevant is vanuit het perspectief van de burger en het waarborgen van zijn rechten dat brancheorganisaties of instellingen vinden dat het beroepsgeheim voldoende gewaarborgd is? Heeft de regering deze vraag ook aan burgerrechten- en privacy-organisaties gesteld? Zijn zij ook van mening dat het medisch beroepsgeheim met het voorliggende wetsvoorstel nog voldoende geborgd is? Is de regering bereid hen deze vraag voor te leggen? Zo nee, waarom niet?
De regering acht het relevant dat geraadpleegde brancheorganisaties onderschrijven dat het medisch beroepsgeheim voldoende gewaarborgd is in dit wetsvoorstel. De regering heeft er namelijk bewust voor gekozen in het wetsvoorstel op te nemen dat het medisch beroepsgeheim onverkort blijft gelden voor deelnemers aan de ZVH waarop het wettelijk medisch beroepsgeheim van toepassing is op grond van artikel 457 van Boek 7 van het Burgerlijk Wetboek, artikel 88 van de Wet op de beroepen in de individuele gezondheidszorg of artikel 7.3.11 van de Jeugdwet bij het beoordelen van de verstrekking op grond van het voorgestelde artikel 1.5, eerste lid, van gegevens over onder andere gezondheid. Het gaat hier om een uitzondering op de verplichting tot verstrekking van gegevens, bedoeld in artikel 1.5, eerste lid. Dat betekent dat deze deelnemers gegevens over een betrokkene die zij in het kader van een behandeling hebben verkregen, uitsluitend aan een ZVH verstrekken indien zij daarvoor uitdrukkelijke toestemming hebben verkregen van de betrokkene, behoudens de gevallen waarin enig wettelijk voorschrift een deelnemer verplicht gegevens te verstrekken of enig wettelijk voorschrift toestaat gegevens zonder uitdrukkelijke toestemming van betrokkene te verstrekken of deze verstrekking noodzakelijk is uit het oogpunt van goed hulpverlenerschap. Dit laatste verwijst naar het conflict van plichten zoals dat nader is uitgewerkt in beroepscodes, in het bijzonder in de richtlijn van de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG).36
Gelet op het feit dat dit wetsvoorstel de huidige reikwijdte van het medisch beroepsgeheim en het beroepsgeheim van de jeugdhulpverlener niet wijzigt of aantast, ziet de regering geen aanleiding om burgerrechten- of privacy-organisaties om hun standpunt hierover te vragen. De regering sluit op dit punt immers volledig aan bij de bestaande, geldende regels. Wanneer de regering wel voornemens zou zijn geweest een wijziging door te voeren, zou het uiteraard in de rede hebben gelegen deze wijziging uitdrukkelijk aan het medisch veld en andere belanghebbenden voor te leggen. Daarvan is hier echter geen sprake.
Vraag 139 (VVD)
De leden van de VVD-fractie constateren dat de regering heeft besloten geen hoger beroep aan te tekenen tegen de uitspraak van de rechtbank Den Haag van 5 februari 2020 (ECLI:NL:RBDHA:2020:1878) waarin de SyRI-wetgeving onverbindend is verklaard. Welke waarborgen zijn getroffen om te voorkomen dat onderhavig wetsvoorstel onverbindend wordt verklaard op basis van de criteria die de rechter in die uitspraak heeft geformuleerd? Deelt de regering de mening van voornoemde leden dat het onaanvaardbaar is voor de veiligheid van Nederlanders als één of meerdere samenwerkingsverbanden in het geheel geen gegevens meer zou kunnen verwerken? Deelt de regering voorts de mening dat de onverbindend verklaring rechtstreeks ten koste zou gaan van de inzet die door verschillende organisaties wordt gepleegd om ondermijnende criminaliteit aan te pakken?
Zolang de verplichtingen van de AVG en de strenge waarborgen uit dit wetsvoorstel in acht worden genomen, is er geen reden om een herhaling van de genoemde situaties te verwachten. De regering heeft in dit wetsvoorstel namelijk verschillende waarborgen getroffen, rekening houdend met de SyRI-uitspraak van de rechtbank Den Haag. Belangrijk is dat in het voorgestelde artikel 1.9 specifieke waarborgen zijn opgenomen voor gezamenlijke geautomatiseerde gegevensanalyse, naast de algemene waarborgen uit het voorgestelde artikel 1.8 die gelden voor alle gegevensverwerkingen. Voor zover dit wetsvoorstel geautomatiseerde gegevensanalyse en het gebruik van risicoprofielen in verband met de uitoefening van toezichthoudende taken nu of in de toekomst mogelijk maakt, geldt dat gebruik van deze methodes volgens de rechtbank Den Haag op zich niet verboden is, maar dat zij wel voldoende inzichtelijk en controleerbaar moeten zijn en met voldoende waarborgen moeten zijn omkleed om de toets aan artikel 8, tweede lid, van het EVRM te kunnen doorstaan.
In het belang van de transparantie van een gezamenlijke geautomatiseerde gegevensanalyse is daarom in het voorgestelde artikel 1.9, derde lid, de verplichting gesteld om aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica. Anders dan in de onverbindend verklaarde SyRI-wetgeving zal bij het gebruik van risico-indicatoren en risicomodellen daarover zoveel mogelijk transparantie worden betracht zodat deze zoveel als mogelijk toetsbaar zijn. Deze verplichting is opgenomen naar aanleiding van voornoemde uitspraak. Uitzonderingen daarop moeten restrictief worden toegepast en er moet een zwaarwegende reden voor zijn. Of van dergelijke zwaarwegende redenen sprake is kan worden voorgelegd aan de coördinerende functionaris voor de gegevensbescherming van het samenwerkingsverband of aan de rechtmatigheidsadviescommissie van het samenwerkingsverband.
De inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse zullen nader worden geborgd in het voorgestelde artikel 2.14, eerste lid. Deze bepaling stelt ter zake van iCOV (het enige samenwerkingsverband dat op dit moment geautomatiseerde gegevensanalyse uitvoert) verplicht dat bij lagere regelgeving regels worden gesteld over de wijze van vaststelling van indicatoren, inclusief regels over de kwaliteit en de hypothese waarop deze zijn gebaseerd. Ook stelt het voorgestelde artikel 2.14, tweede lid, verplicht dat er nadere regels worden gesteld over de uitvoering van de gegevensanalyse, o.a. de wijze waarop de bescherming van de persoonlijke levenssfeer nader wordt gewaarborgd, de methoden van verwerking en de wijze waarop verbanden tussen gegevens zichtbaar worden gemaakt. Momenteel verrichten de RIEC’s geen geautomatiseerde gegevensanalyse, maar in het wetsvoorstel wordt hiertoe wel de mogelijkheid gecreëerd om dat in de toekomst te gaan doen. Dezelfde regels zullen in dat geval ook gaan gelden voor de RIEC’s door deze op te nemen in de amvb waarin dat voor de RIEC’s wordt geregeld.
De privacy audits die samenwerkingsverbanden op grond van het voorgestelde artikel 1.10 moeten verrichten en waarvan de resultaten naar de Autoriteit persoonsgegevens worden gezonden, dienen eveneens de inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse. Gelet op het feit dat daarbij de uitvoering van de krachtens dit wetsvoorstel en de AVG gestelde regels wordt gecontroleerd, ligt in de rede dat de uitvoering van geautomatiseerde gegevensanalyse daarbij wordt betrokken. Daarnaast draagt het jaarverslag van de samenwerkingsverbanden dat op grond van het voorgestelde artikel 1.12 dient te worden opgesteld en op internet dient te worden geplaatst eveneens de transparantie en controleerbaarheid van gehanteerde methodes.
Voor een toelichting op hoe de regering in dit wetsvoorstel verder rekening houdt met de SyRI-uitspraak, verwijst de regering de leden van de VVD-fractie naar de beantwoording van de vragen van de leden van de ChristenUnie-fractie en de leden van de Partij voor de Dieren-fractie (vragen 24 en 89).
De regering acht het versterken van de informatiepositie van samenwerkingsverbanden in het belang van de veiligheid van groot belang. Daarom creëert de regering een integraal kader waarin mogelijkheden voor gegevensuitwisseling gepaard gaan met sterke waarborgen. Naar de mening van de regering biedt dit wetsvoorstel samenwerkingsverbanden een heldere basis om in overeenstemming met de AVG (persoons)gegevens te kunnen verwerken.
Vraag 140 (VVD)
Voornoemde leden constateren dat in dit wetsvoorstel nauwelijks wordt gesproken over de verwerking van bijzondere persoonsgegevens (bijvoorbeeld religie), terwijl de verwerking van deze gegevens in sommige situaties zeer wenselijk is, met name in het kader van terrorismefinanciering van jihadistische aard. Overwegende dat dit wetsvoorstel niet voorziet in een wettelijke uitzondering voor de verwerking van eerdergenoemde gegevens, kan de regering toelichten waarom dit wetsvoorstel niet voorziet in een dergelijke wettelijke uitzondering?
Het wetsvoorstel heeft in beginsel op bijzondere categorieën van persoonsgegevens geen betrekking. Uit de AVG en UAVG vloeit namelijk voort dat de verwerking van bijzondere categorieën van persoonsgegevens verboden is, tenzij is voldaan aan de voorwaarden van een van de uitzonderingsgronden, genoemd in artikel 9, tweede lid, AVG. De AVG bevat een aantal rechtstreeks werkende uitzonderingsgronden. Daarnaast bevat de UAVG een aantal nationaalrechtelijke uitzonderingen op het verbod om bijzondere categorieën van persoonsgegevens te verwerken, die zijn gebaseerd op artikel 9, tweede lid, AVG. Een relevante uitzondering is het bestaande artikel 23, onder c, UAVG. Daarin is geregeld dat het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing is, indien «de verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt». Het gaat hierbij om de situatie waarin persoonsgegevens van strafrechtelijke aard mogen worden verwerkt, én dat deze gegevens tevens betrekking hebben op een bijzonder persoonsgegeven. Voor zover daarbij bijzondere persoonsgegevens moeten worden vastgelegd, laat het bestaande artikel 23, onder c, UAVG dat toe.
In het geval van gegevens over terrorismefinanciering gaat het om persoonsgegevens van strafrechtelijke aard. Het onderhavige wetsvoorstel regelt dat persoonsgegevens van strafrechtelijke aard mogen worden verwerkt (artikel 1.5, derde lid, artikel 1.6, tweede lid, artikel 1.7, zevende lid). Op grond van artikel 23, onder c, UAVG mogen in dit voorbeeld ook bijzondere categorieën van persoonsgegevens worden verwerkt, indien de verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt. Indien het samenwerkingsverband zich mede richt op de aanpak van terrorismefinanciering geldt aldus een afgeleide uitzondering op het verbod om bijzondere categorieën van persoonsgegevens te verwerken. Dit is de reden dat voor terrorismefinanciering geen separate uitzondering is opgenomen op het verbod om bijzondere categorieën van persoonsgegevens te verwerken. Voor de verstrekking van gegevens door de politie, een bijzondere opsporingsorganisatie of het OM op grond van de Wpg onderscheidenlijk Wjsg geldt het voorgaande mutatis mutandis (op grond van de artikelen 5 Wpg en 39c, derde lid, Wjsg in samenhang gelezen met de bepalingen die de verstrekking aan het samenwerkingsverband regelen).
Vraag 141 (CDA)
De leden van de CDA-fractie lezen dat de aanleiding van het wetsvoorstel de aanpak van fraude is. Onder meer om het wetsvoorstel voldoende reikwijdte te geven is gekozen voor een grondslag die verder strekt dan enkel de aanpak van fraude. Een samenwerkingsverband mag gezamenlijk gegevens verwerken voor zover dat noodzakelijk is voor een bij of krachtens deze wet vastgesteld doel van zwaarwegend algemeen belang. De aan het woord zijnde leden wijzen hierbij op voormelde uitspraak van de rechtbank Den Haag waar onder meer gesproken wordt over het belang van het bereiken van een «fair balance» waarbij de mogelijke inbreuk op privéleven noodzakelijk, evenredig en proportioneel dient te zijn in verhouding tot de doelen in de wet. Vanzelfsprekend zijn goede waarborgen, een duidelijke wettelijke basis en inzichtelijkheid in de processen daarbij van belang, zo constateren deze leden. Zij vragen de regering of zij het ook van belang acht dat, in het kader van het transparantiebeginsel, er ofwel in de wet ofwel in de AMvB aangetoond moet kunnen worden waarom bepaalde gegevens tot de conclusie kunnen leiden dat sprake is van een verhoogd risico. De leden van de CDA-fractie menen dat het van belang is dat onderbouwd wordt dat gegevensverstrekking en -verwerking überhaupt leidt tot betere bereiken van de doelen van de samenwerkingsverbanden. Hoe ziet de regering dit? Kunnen de samenwerkingsverbanden aangeven waarom bepaalde gegevensverzameling of -deling daadwerkelijk nodig is om risico’s te kunnen signaleren en in kaart te brengen, zonder daarbij geheel inzichtelijk te maken hoe deze verbanden te werk gaan?
Het wetsvoorstel bevat in aanvulling op al bestaande waarborgen in de AVG verscheidene waarborgen die invulling geven aan het transparantiebeginsel, zoals de al eerder genoemde verplichting voor een samenwerkingsverband dat gezamenlijke geautomatiseerde gegevensanalyse verricht, om, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten, op een voor het publiek toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica. Dit impliceert dat bijvoorbeeld in geval van een analyse om vastgoedfraude tegen te gaan, variabelen bekend dienen te worden gemaakt die in een dergelijke analyse gehanteerd worden. Te denken valt aan het aantal hypotheken op één naam, omdat een groot aantal hypotheken op één naam, naast andere indicatoren, kan wijzen op een zogenoemde katvangerconstructie. De drempelwaarden die men daarbij gebruikt in de vorm van het minimum aantal hypotheken op één naam, zullen echter niet bekend worden gemaakt. Als die wel bekend zouden worden gemaakt, zou dat onder fraudeurs tot calculerend gedrag kunnen leiden. Dat kan als een zwaarwegende reden worden gezien die zich tegen openbaarmaking verzet. Het is niet wenselijk om dergelijke patronen en indicatoren of andere logica in de wet of een amvb op te nemen, omdat het hier om zaken gaat die op basis van nieuwe inzichten veelvuldig kunnen veranderen, zodat vastlegging daarvan bij wet of amvb te weinig flexibiliteit zou geven.
De regering is met de leden van deze fractie van oordeel dat het van belang is dat onderbouwd wordt dat de gegevensverwerking onder de WGS ertoe leidt dat de doelen van de samenwerkingsverbanden beter bereikt worden. Daarom dient een samenwerkingsverband op grond van artikel 1.12 van het wetsvoorstel jaarlijks een jaarverslag op te stellen, waarin het de verplichte terugkoppelingen van de effectiviteit en de bruikbaarheid van de resultaten beschrijft, voor zover de bekendmaking van deze gegevens de verwezenlijking van de doeleinden van het samenwerkingsverband niet onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Dat jaarverslag moet worden bekendgemaakt door plaatsing op internet.
Vraag 142 (D66)
De leden van de D66-fractie herinneren de regering aan de discussie over het systeem SyRi, een wettelijk instrument dat de overheid gebruikte voor de bestrijding van fraude op bijvoorbeeld het terrein van uitkeringen, toeslagen en belastingen, en de daarover gevoerde rechtszaak. Zij vragen de regering uitvoerig in te gaan op die discussie en daarbij specifiek aan te geven welke waarborgen het onderhavige wetsvoorstel kent om een herhaling van de problemen te voorkomen.
In het bijzonder hebben de aan het woord zijnde leden nog enkele vragen over voormelde uitspraak van de rechtbank Den Haag betreffende SyRI. Is de regering van mening dat aan de voorwaarden die in de uitspraak geschetst worden voor het gebruik van systematische gegevensanalyse door de overheid in dit wetsvoorstel is gedaan? De rechtbank stelt dat op grond van artikel 8 EVRM op Nederland als lidstaat bij de toepassing van nieuwe technologieën een bijzondere verantwoordelijkheid rust. Daarbij gaat het om de juiste balans in de weging van enerzijds de voordelen die aan het gebruik van die technologieën verbonden zijn tegenover anderzijds de inmenging die dat gebruik op het recht op respect voor het privéleven kan maken. Kan de regering toelichten hoe zij deze bijzondere verantwoordelijkheid invult?
In reactie op de vragen van de leden van de D66-fractie om uitvoerig in te gaan op de discussie omtrent het systeem SyRI en om specifiek aan te geven welke waarborgen het wetsvoorstel kent om een herhaling van problemen te voorkomen, kan de regering aangegeven dat het onderhavige wetsvoorstel volgens de regering om de volgende redenen in overeenstemming is met de SyRI-uitspraak.
In de eerste plaats verschilt de WGS in fundamentele zin van de in de voormelde uitspraak onverbindend verklaarde wetgeving ter zake van de inzet van het systeem SyRI. Dit wetsvoorstel regelt weliswaar gezamenlijke gegevensverwerking door samenwerkingsverbanden, maar stelt geen systeem zoals SyRI in dat aan de hand van niet-toetsbare risico-modellen en indicatoren grote hoeveelheden bestandsgegevens aan elkaar koppelt en analyseert met het oog op risico-meldingen zonder de betrokkene daarover te informeren. De kritiek van de rechtbank Den Haag heeft betrekking op de inzet van het systeem SyRI en niet op de gegevensuitwisseling in het samenwerkingsverband als zodanig.
De regering hecht eraan te benadrukken dat de rechtbank Den Haag in voormelde uitspraak heeft geoordeeld dat de gegevensuitwisseling als zodanig ten behoeve van een samenwerkingsverband met het oog op het voorkomen en bestrijden van onrechtmatig gebruik van o.a. sociale zekerheidsvoorzieningen verenigbaar is met het EVRM (artikel 8, tweede lid). De WGS heeft ten doel de gezamenlijke verwerking van gegevens door samenwerkingsverbanden te regelen ten behoeve van het voorkomen en bestrijden van verschillende vormen van criminaliteit, of op het snijvlak van zorg en veiligheid. Voormelde uitspraak bevestigt het standpunt van de regering dat de WGS daarmee een legitiem doel dient, zoals artikel 8, tweede lid, van het EVRM vereist.
In de tweede plaats volgt uit de uitspraak dat geautomatiseerde gegevensanalyse en het gebruik van risicoprofielen in verband met de uitoefening van toezichthoudende taken op zich niet verboden is, maar dat dergelijke methodes wel voldoende inzichtelijk en controleerbaar moeten zijn en met voldoende waarborgen moeten zijn omkleed om de toets aan artikel 8, tweede lid, van het EVRM te kunnen doorstaan. Voor zover dit wetsvoorstel gezamenlijke geautomatiseerde gegevensanalyse nu of in de toekomst mogelijk maakt, in het bijzonder voor ICOV, worden daaraan specifieke waarborgen verbonden in het voorgestelde artikel 1.9. Daarbij wordt in het belang van de transparantie in het bijzonder de verplichting gesteld om aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica. Anders dan in de onverbindend verklaarde SyRI-wetgeving zal bij het gebruik van risico-indicatoren en risicomodellen daarover zoveel mogelijk transparantie worden betracht zodat deze toetsbaar zijn. Deze verplichting is opgenomen naar aanleiding van voornoemde uitspraak.
De uitzondering op deze verplichting die inhoudt dat van deze uitleg kan worden afgezien voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen verzetten, moet volgens de regering restrictief worden uitgelegd. Bij deze zwaarwegende redenen moet in ieder geval worden gedacht aan de situatie waarin het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, of dat de informatieverstrekking de verwezenlijking van de doeleinden van de gegevensverwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Als door het geven van voor het publiek toegankelijke wijze informatie bijvoorbeeld (volledig) bekend wordt hoe een profiel werkt, is er het risico dat degenen op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid van het profiel en de effectiviteit van het toezicht worden verminderd.
Daarnaast geldt dat met het gebruik van de woorden «voor zover» is beoogd te regelen dat de informatieverstrekking minder specifiek kan zijn als er zwaarwegende redenen zijn. Nadrukkelijk is niet beoogd dat dan geen informatieverstrekking plaatsvindt.
Of van dergelijke zwaarwegende redenen sprake is kan worden voorgelegd aan de coördinerende functionaris voor de gegevensbescherming van het samenwerkingsverband of aan de rechtmatigheidsadviescommissie van het samenwerkingsverband.
De inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse zullen nader worden geborgd in het voorgestelde artikel 2.14, eerste lid. Deze bepaling stelt ter zake van iCOV verplicht dat bij lagere regelgeving regels worden gesteld over de wijze van vaststelling van indicatoren, inclusief regels over de kwaliteit en de hypothese waarop deze zijn gebaseerd. Ook stelt het voorgestelde artikel 2.14, tweede lid, verplicht dat er nadere regels worden gesteld over de uitvoering van de gegevensanalyse, o.a. de wijze waarop de bescherming van de persoonlijke levenssfeer nader wordt gewaarborgd, de methoden van verwerking en de wijze waarop verbanden tussen gegevens zichtbaar worden gemaakt. Momenteel verrichten de RIEC’s geen geautomatiseerde gegevensanalyse, maar in het wetsvoorstel wordt hiertoe wel de mogelijkheid gecreëerd om dat in de toekomst te gaan doen. Dezelfde regels zullen in dat geval ook gaan gelden voor de RIEC’s, door deze op te nemen in de amvb waarin dat voor de RIEC’s wordt geregeld.
De privacy audits die samenwerkingsverbanden op grond van het voorgestelde artikel 1.10 moeten verrichten en waarvan de resultaten naar de Autoriteit persoonsgegevens worden gezonden, dienen eveneens de inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse. Gelet op het feit dat daarbij de uitvoering van de krachtens dit wetsvoorstel en de AVG gestelde regels wordt gecontroleerd, ligt in de rede dat de uitvoering van geautomatiseerde gegevensanalyse daarbij wordt betrokken. Daarnaast draagt het jaarverslag van de samenwerkingsverbanden dat op grond van het voorgestelde artikel 1.12 dient te worden opgesteld en op internet dient te worden geplaatst, eveneens de transparantie en controleerbaarheid van gehanteerde methodes.
Ook de overige bezwaren van de rechtbank Den Haag worden voldoende ondervangen in dit wetsvoorstel, in het bijzonder met betrekking tot het informeren van betrokkenen, vaststelling van het doel van het samenwerkingsverband en het verrichten van een noodzakelijkheidstoets van de gegevensverwerking door alle deelnemers. Zo stelt de aanwijzing van de deelnemers aan het samenwerkingsverband als gezamenlijke verwerkingsverantwoordelijken op grond van het voorgestelde artikel 1.4, eerste lid, veilig dat betrokkenen hun recht op grond van artikel 14 van de AVG om geïnformeerd te worden jegens elke verwerkingsverantwoordelijke kunnen uitoefenen (artikel 26, derde lid, van de AVG). De vaststelling van het doel van het samenwerkingsverband wordt bij wet vastgelegd en wordt dus niet ter bepaling overgelaten aan de deelnemers zelf. Ook de verstrekking van de in het wetsvoorstel opgenomen categorieën van gegevens door deelnemers aan het samenwerkingsverband is op grond van het voorgestelde artikel 1.5, eerste lid, in beginsel verplicht voor zover dat noodzakelijk is voor het wettelijk bepaalde doel van het samenwerkingsverband. Hoewel de categorieën te verstrekken gegevens in het wetsvoorstel zijn opgesomd, heeft iedere deelnemer beoordelingsruimte bij de vraag of in concrete gevallen gegevensverstrekking aan het samenwerkingsverband noodzakelijk is voor het doel van dat samenwerkingsverband.
De regering onderschrijft het standpunt van de rechtbank Den Haag in de SyRI-uitspraak dat op grond van artikel 8 EVRM op Nederland als lidstaat bij de toepassing van nieuwe technologieën een bijzondere verantwoordelijkheid rust. Daarom past de regering in dit wetsvoorstel geautomatiseerde gegevensanalyse uitsluitend toe waar dat strikt noodzakelijk is gebleken. Daarbij worden algemene en specifieke waarborgen gesteld ter bescherming van de persoonlijke levenssfeer, in het bijzonder een transparantieverplichting ter zake van het gebruik van risico-indicatoren en risicomodellen. Ook is er intern toezicht in de vorm van de coördinerende functionaris voor de gegevensbescherming en de rechtmatigheidsadviescommissie.
Vraag 143 (D66)
Kan zij hierbij tevens ingaan op het «Ongevraagd advies over de effecten van de digitalisering voor de rechtstatelijke verhoudingen» dat de Afdeling aan het kabinet heeft uitgebracht waarin wordt ingegaan op profileren? Verder vragen deze leden of onder het wetsvoorstel het gebruik van deep learning (zelflerende systemen) mogelijk is? Kan de regering ingaan op de bezwaren die de Afdeling in het ongevraagd advies uit over het gebruik van zelflerende systemen door de overheid, namelijk dat een bestuursorgaan daardoor slecht zijn optreden kan verantwoorden omdat de menselijke gebruiker vaak niet begrijpt waarom een zelflerend systeem een verband ziet?
De Afdeling advisering van de Raad van State wijst in genoemd advies er onder meer op dat de burger geconfronteerd kan worden met besluiten die berusten op profilering en statistische verbanden. Er is dan niet aangetoond dat de burger verwijtbaar heeft gehandeld; er is alleen een vermoeden op basis van algemene kenmerken. Tegen de achtergrond van deze overweging en overwegingen die op andere vormen van digitaal overheidsoptreden betrekking hebben, adviseert de Afdeling om de beginselen van behoorlijk bestuur, en in het bijzonder het motiveringsbeginsel en het zorgvuldigheidsbeginsel, verscherpt te interpreteren in de context van digitalisering. Dat betekent onder meer dat in een besluit moet worden toegelicht welke beslisregels (algoritmen) zijn gebruikt en welke gegevens zijn overgenomen van andere bestuursorganen.37
Van belang is dat de resultaten van de gegevensverwerking door samenwerkingsverbanden niet als besluiten in de zin van de Algemene wet bestuursrecht kunnen worden aangemerkt. Deze verbanden zijn immers geen bestuursorgaan en nemen dan ook geen besluiten. Wel leveren die resultaten sturingsinformatie op die de deelnemers aan een verband naast andere informatie kunnen gebruiken om op basis van de hen toebedeelde bevoegdheden zo nodig besluiten te nemen. Dergelijke besluiten dienen uiteraard aan de door de Afdeling genoemde beginselen van behoorlijk bestuur te voldoen, waarbij de regering de door de Afdeling genoemde noodzaak onderschrijft deze beginselen in de context van digitalisering op de door haar beschreven wijze verscherpt te interpreteren. Dit impliceert dat besluiten nimmer op louter sturingsinformatie gebaseerd kunnen worden, omdat deze informatie berust op profilering en correlaties, waarbij een rechtsgeldige causaliteit ontbreekt.
Het wetsvoorstel sluit het gebruik van deep learning (zelflerende systemen) niet uit. Wel wijst de Afdeling advisering er in haar advies terecht op dat het bij deep learning om algoritmen gaat die niets anders doen dan statistische verbanden zoeken. Zo’n statistisch verband of correlatie wijst slechts op een verhoogde waarschijnlijkheid dat er ook feitelijk een verband is. Om die reden kan ook deep learning niet meer dan sturingsinformatie opleveren. En, zoals gezegd, zal een besluit van een deelnemer nimmer op louter sturingsinformatie kunnen worden gebaseerd, omdat voor een besluit een rechtsgeldige causaliteit moet worden aangetoond. Voor zover een deelnemer meent een besluit behalve op causale verbanden mede op sturingsinformatie te moeten baseren, zal hij dat alleen kunnen doen, als hij de logica achter deze informatie kan uitleggen. Controleerbaarheid impliceert uitlegbaarheid. Daarbij gaat het erom dat de uitkomsten van data-analyses en hoe deze tot stand zijn gekomen, in begrijpelijke taal moeten kunnen worden verklaard aan betrokkenen. Gedacht kan worden aan maatregelen die duidelijkheid geven over het toegepaste model of algoritme, het doel dat daarmee wordt nagestreefd, de procedures die door het algoritme worden gevolgd, de gebruikte datasets inclusief de kwaliteit en herkomst daarvan en de variabelen en/of beoordelingscriteria die doorslaggevend zijn geweest voor de uitkomst. Zoals de regering in een brief van 8 oktober 2019 aan uw Kamer heeft laten weten, zou in het verlengde hiervan als uitgangspunt moeten gelden dat overheidsorganisaties geen algoritmes mogen hanteren die te complex zijn om redelijkerwijs te kunnen worden uitgelegd.38
Vraag 144 (GroenLinks)
De leden van de GroenLinks-fractie constateren dat de plannen om grootschalige gegevensuitwisseling mogelijk te maken niet nieuw zijn. Ook de voorgangers van deze regering hebben er werk van gemaakt. In 2015 heeft de Kamer een tussenrapportage ontvangen waarin informatiestromen binnen het Rijk in beeld zijn gebracht. Is daar inmiddels een eindrapportage van?
Voornoemde leden wijzen voorts op het gevaar van function creep. In het rapport «Big Data in een vrije en veilige samenleving» (2016) stelt de WRR: «function creep zorgt ervoor dat we via allerlei incrementele en op zichzelf te verdedigen keuzes over het toevoegen van functies, data, koppelingen en deelnemers eindigen met systemen die als geheel, en in één keer, waarschijnlijk nooit goedgekeurd waren» (pag. 88). Hoe kan de Kamer nu volledig overzicht hebben over de wijze waarop burgers worden gemonitord, en zo helpen voorkomen dat het totaalplaatje een te grote inbreuk vormt op het recht op privacy?
De eindrapportage over informatiestromen binnen het Rijk is uw Kamer toegezonden bij brief van 1 oktober 2015 van de toenmalige Minister van Veiligheid en Justitie.39
Voor zover de leden van deze fractie met monitoring van burgers doelen op de verwerking van gegevens over burgers door samenwerkingsverbanden, kan de Kamer een overzicht daarvan hebben in de vorm van de jaarverslagen die deze verbanden op grond van artikel 1.12 van het wetsvoorstel dienen op te stellen en op internet bekend te maken.
Vraag 145 (GroenLinks)
De aan het woord zijnde leden vragen hoe de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur en de datadeling met het oog op het aanpakken van de georganiseerde misdaad zich tot elkaar verhouden.
De Wet Bibob werpt een barrière op voor criminele organisaties om voor hun criminele activiteiten gebruik te maken van legale structuren en beoogt daarmee bij te dragen aan het tegengaan van vermenging van de boven- en onderwereld. Het Bibob-instrument is nadrukkelijk niet bedoeld om criminele activiteiten op te sporen of te vervolgen. Dat is immers niet een taak van bestuursorganen; het beschermen van de eigen integriteit tegen het ongewild faciliteren van criminele activiteiten wel. De Wet Bibob vormt aldus een bijzondere vorm van preventie40 in aanvulling op de integrale aanpak van ondermijnende criminaliteit. Het Bibob-instrumentarium werkt door middel van screening van personen met wie de overheid zaken doet in criminaliteitsgevoelige omstandigheden, om te voorkomen dat de overheid onbedoeld besluiten neemt die de criminele activiteiten van de onderwereld faciliteren.
Als de leden van de GroenLinks-fractie doelen op de verhouding tussen het onderhavige wetsvoorstel en het wetsvoorstel tweede tranche Bibob, kan ik daarover het volgende opmerken. Beide wetsvoorstellen verruimen de mogelijkheden voor informatiedeling in geval van ondermijnende criminaliteit. De doelstelling van de Wet Bibob is echter anders dan de doelstellingen van de samenwerkingsverbanden. Het wetsvoorstel tweede tranche Bibob verruimt de bevoegdheden tot informatiedeling tussen het Landelijk Bureau Bibob en bestuursorganen die de Wet Bibob mogen toepassen, en tussen deze bestuursorganen onderling. Anders dan bij de WGS gaat het bij de Wet Bibob niet om gezamenlijke, multilaterale gegevensverwerking in samenwerkingsverbanden, maar gaat het om een centrale administratie bij het Landelijk Bureau Bibob die kan worden bevraagd door bestuursorganen en om bilaterale gegevensuitwisseling tussen twee bestuursorganen onderling. Het wetsvoorstel tweede tranche Bibob regelt ook andere onderwerpen dan informatiedeling, zoals de uitbreiding van de reikwijdte van de Wet Bibob.
Vraag 146 (GroenLinks)
Is het mogelijk dat een vergunning geweigerd wordt op basis van informatie uit het samenwerkingsverband zonder dat getoetst is of die informatie naar alle verwachting klopt?
Op welke gronden en op basis van welke informatie een vergunning kan worden geweigerd, is afhankelijk van de regels die op het betreffende vergunningstelsel van toepassing zijn. Dit maakt deze vraag lastig te beantwoorden in zijn algemeenheid. Van belang is dat een bestuursorgaan op grond van artikel 3:2 Awb verplicht is om alvorens een besluit te nemen – over bijvoorbeeld een vergunning – de nodige kennis omtrent de relevante feiten en de af te wegen belangen te vergaren. Bij het zorgvuldigheidsbeginsel hoort een zorgvuldig onderzoek naar de feiten en belangen. Daarbij past de nuancering dat de vergunningaanvrager in beginsel verantwoordelijk is voor de juistheid van de gegevens en bescheiden die hij op grond van artikel 4:2, tweede lid, Awb verschaft voor de beoordeling van de vergunningaanvraag. Niettemin verplichten het zorgvuldigheidsbeginsel en het evenredigheidsbeginsel bestuursorganen om een kritische blik te waarborgen op de verzamelde gegevens en op de uitkomsten van eventuele algoritmes, teneinde te overwegen of het voorgenomen bestuurshandelen tot een onvoorzien en onredelijk benadelend gevolg zou kunnen leiden voor de betreffende burger of onderneming. Verder is relevant dat het bestuursorgaan voorafgaand aan het nemen van een (belastend) besluit in beginsel verplicht is om de belanghebbende in staat te stellen om te reageren op het voornemen om een besluit te nemen of op de onderliggende gegevens (artikel 4:7 en 4:8 Awb). Voorts wordt verwezen naar het antwoord op vraag 143 ten aanzien van het verscherpt interpreteren van de algemene beginselen van behoorlijk bestuur in de context van digitalisering.
Vraag 147 (SP)
De leden van de SP-fractie zijn op de hoogte van voormelde uitspraak van de rechtbank Den Haag dat SyRI in strijd was met het recht op privacy, omdat SyRi onvoldoende was begrensd en geen effectieve waarborgen bood tegen misbruik en willekeur. Waarom denkt de regering dat verwerking van gegevens onder het wetsvoorstel wel stand houdt bij de rechter, terwijl het wetsvoorstel niet meer is dan een kaderwet en samenwerkingsverbanden zijn opgenomen die formeel wettelijk niet begrensd zijn? Kan dit uitgebreid worden gemotiveerd?
De regering begrijpt de vragen van de leden van de SP-fractie aldus dat deze betrekking hebben op het oorspronkelijke wetsvoorstel zoals dat is voorgelegd aan de Afdeling advisering van de Raad van State en de Autoriteit persoonsgegevens. Het oorspronkelijke wetsvoorstel was inderdaad vormgegeven als kaderwet. Naar aanleiding van het advies van de Afdeling en de adviezen van de Autoriteit persoonsgegevens bij het oorspronkelijke wetsvoorstel, is het wetsvoorstel ingrijpend aangepast en zijn alle door de Afdeling genoemde hoofdelementen van de gezamenlijke gegevensverwerking in het wetsvoorstel opgenomen voor de vier samenwerkingsverbanden FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen. Het gaat daarbij onder meer om het doel van het samenwerkingsverband, welke partijen deelnemen met het oog op de opgesomde taken en bevoegdheden, de activiteiten die zij verrichten, welke gegevens zij daarbij mogen verwerken (waaronder soms bijzondere persoonsgegevens), onder welke randvoorwaarden, en welke waarborgen voor de gezamenlijke gegevensverwerking gelden. Het aangepaste wetsvoorstel bevat een omvattende regeling voor de gezamenlijke gegevensverwerking door de vier genoemde samenwerkingsverbanden en niet meer slechts een kader daarvoor. De regering is van mening daarmee een heldere juridische basis te hebben gecreëerd voor de vier samenwerkingsverbanden.
De regering kan niet vooruitlopen op uitspraken van de rechter over de toepassing van dit wetsvoorstel, maar meent dat dit wetsvoorstel in overeenstemming is met de uitspraak van de rechtbank Den Haag in de zaak SyRI. Voor een uitvoerige onderbouwing van de redenen daarvoor verwijst de regering de leden van de SP-fractie naar de beantwoording van de vragen van de leden van de VVD-fractie, de leden van de D66-fractie, de leden van de ChristenUnie-fractie en de leden van de Partij voor de Dieren-fractie (vragen 24 en 89, 139 en 142) over de betekenis van de SyRI-uitspraak voor dit wetsvoorstel.
Vraag 148 (SP en ChristenUnie)
Voornoemde leden vragen voorts hoe de regering staat tegenover een evaluatie van de wet na één jaar, om dan al te kijken naar de werkbaarheid en uitvoerbaarheid van de wet in de praktijk?
Zoals gezegd begrijpen de leden van de ChristenUnie-fractie ook de zorgen over de uitvoerbaarheid van onder andere gemeenten. Zij vragen derhalve of gezien de vragen die er nog zijn over de uitwerking van de wet in de praktijk, een evaluatiebepaling van minder dan vijf jaar niet voor de hand ligt.
Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 116.
Vraag 149 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen in hoeverre de regering zich genoodzaakt ziet het wetsvoorstel aan te passen naar aanleiding van de uitspraak van de rechtbank Den Haag inzake SyRi. De rechtbank heeft in die uitspraak nadrukkelijk geoordeeld dat de fair-balance tussen de nagestreefde publieke belangen en de daarvoor benodigde inbreuk op het privéleven niet gerechtvaardigd is. De rechter oordeelde verder dat de werkwijze en inzet onvoldoende inzichtelijk en controleerbaar waren. Hoe kan de regering van mening zijn dat met het wetsvoorstel voldoende zicht en controle op de gegevensuitwisseling en de gevolgen van die gegevensuitwisseling bestaat? Op welke wijze geeft de regering invulling aan de bijzondere verantwoordelijkheid die lidstaten wordt opgelegd bij het toepassen van nieuwe technologieën? De aan het woord zijnde leden verwachten dat het begrip «nieuwe technologieën», waar de rechter SyRi ook onder schaarde, ook zal gelden voor nieuwe samenwerkingsverbanden.
Om herhaling te voorkomen verwijst de regering de leden van de Partij voor de Dieren-fractie naar de naar de beantwoording van de vragen van de leden van de VVD-fractie, de leden van de D66-fractie, de leden van de ChristenUnie-fractie en de leden van de Partij voor de Dieren-fractie (vragen 24 en 89, 139 en 142) over de betekenis en gevolgen van de SyRI-uitspraak voor dit wetsvoorstel.
Vraag 150 (PvdD)
Net als in de memorie van toelichting staat, zo stelde de Staat in de rechtbank dat de SyRi wetgeving en werkwijze uitging van objectieve criteria en procedurele en materiële waarborgen bevatte, zo constateren de aan het woord zijnde leden. De regering moet ervan op de hoogte zijn dat de rechter hier niet in meeging. Welke aanleiding heeft de regering dan nog om op dit moment te concluderen dat het wetsvoorstel voldoende waarborgen bevat?
Kan de regering ook ingaan op het punt van controleerbaarheid? In de rechtbank voerde de Staat namelijk aan dat inzage in de werkwijze van SyRi niet aan de orde kon zijn omdat burgers hun gedrag daarop aan zouden kunnen passen. Kan de regering aangeven op welke wijze Kamerleden (of andere toezichthouders) hun controlerende taak zouden moeten kunnen uitvoeren als dit soort informatie niet openbaar mag worden?
In reactie op de vragen van de leden van de Partij voor de Dieren-fractie over of het wetsvoorstel nog voldoende waarborgen bevat na de SyRI-uitspraak en de controleerbaarheid van geautomatiseerde gegevensanalyse, verwijst de regering de leden van de Partij voor de Dieren-fractie naar de beantwoording van de vragen van de leden van de VVD-fractie, de leden van de D66-fractie, de leden van de ChristenUnie-fractie en de leden van de Partij voor de Dieren-fractie (vragen 24 en 89, 139 en 142) over de betekenis en gevolgen van de SyRI-uitspraak voor dit wetsvoorstel.
Ter zake van de controleerbaarheid van gehanteerde methodes door Kamerleden en de Autoriteit persoonsgegevens, kan de regering daar nog aan toevoegen dat de informatieverstrekking over de samenwerkingsverbanden valt onder de inlichtingenplicht van de bewindspersonen die verantwoordelijk zijn voor een bepaald samenwerkingsverband. Uw Kamer kan de verantwoordelijke bewindspersonen daarop aanspreken. De Autoriteit persoonsgegevens kan gebruikmaken van haar toezichthoudende bevoegdheden, bijvoorbeeld de bevoegdheid om inlichtingen te vorderen wanneer de Autoriteit persoonsgegevens beslist onderzoek te doen naar geautomatiseerde gegevensanalyse in het samenwerkingsverband.
Vraag 151 (PvdD)
De leden van de Partij voor de Dieren-fractie vragen de regering of zij in de voorbereiding van het wetsvoorstel heeft stilgestaan bij de publieke discussie die is gevoerd rondom de invoering van de Wet op de inlichtingen- en veiligheidsdiensten 2017. Daarin is uitvoerig stilgestaan bij de mate waarin burgers het wenselijk vinden dat hun data ten behoeve van het algemeen belang verzameld en gedeeld worden. De weerstand daartegen was groot en bij meerderheid adviseerde de bevolking de regering ook om dat wetsvoorstel niet aan te nemen.
Kan de regering aangeven op basis van welke informatie zij tot de conclusie is gekomen dat in het geval van het wetsvoorstel de burgers het wel wenselijk achten dat, ondanks dat zij onschuldig zijn aan enig misdrijf, hun data verzameld en gedeeld gaat worden? Voornoemde leden zien in de beide wetten een grote overeenkomst.
Op grond van het onderhavige wetsvoorstel worden, anders dan in de Wet op de inlichtingen- en veiligheidsdiensten 2017, geen bevoegdheden voorgesteld om gegevens te kunnen vergaren. Dit wetsvoorstel gaat uitsluitend over het gezamenlijk verwerken van gegevens waarover deelnemers van een samenwerkingsverband reeds beschikken. De WGS gaat dus niet over initiële gegevensverzameling, maar over verdere verwerking. Analoge toepassing van de minimumvereisten voor heimelijke surveillance en toezicht zoals in de Wet op de inlichtingen- en veiligheidsdiensten 2017 is daarom niet aan de orde.
Vraag 152 (PvdD)
De aan het woord zijnde leden doen vanwege alle bovenstaande argumenten dan ook de oproep aan de regering om het wetsvoorstel in te trekken. Wederom lijkt de regering van mening dat burgerrechten opgegeven dienen te worden ten behoeve van de openbare orde en veiligheid. Een valse tegenstelling die de leden van de Partij voor de Dieren-fractie verre van zich werpen. Wederom komt de regering met een wet die iedereen verdachte maakt zonder dat daar aanleiding voor is. Wederom komt de regering met een inperking van klassieke grondrechten. Wederom acht de regering het waarschijnlijk dat het verzamelen van zoveel mogelijk data de oplossing is terwijl daar weinig tot geen bewijs voor is. Dit wetsvoorstel moet van tafel, een verdere behandeling is dan ook zonde van de tijd.
Het moge uit de beantwoording van de gestelde vragen duidelijk zijn dat de regering het volstrekt oneens is met het standpunt van de leden van de Partij voor de Dieren-fractie betreffende het wetsvoorstel.
ARTIKELSGEWIJZE TOELICHTING
Artikel 1.1 (Definities)
Vraag 153 (CDA en D66)
De leden van de CDA-fractie lezen in het advies van de KNB dat zij ingaat op mogelijke deelname aan een samenwerkingsverband. Mede omdat de KNB een publiekrechtelijke beroepsorganisatie is en openbaar lichaam, maar de notaris zelf als private partij wordt aangemerkt, ontstaat in het wetsvoorstel onduidelijkheid zo menen deze leden. Zij vragen de regering of de definities «overheidsorgaan», «overheidsinstantie» en «private partij» in de zin van onderhavig wetsvoorstel gedefinieerd kunnen worden.
De leden van de D66-fractie stellen vast dat de definitiebepaling geen omschrijving kent van de begrippen «overheidsorgaan», «overheidsinstantie» en «private partij». Deze leden vragen de regering waarom er niet voor is gekozen deze begrippen te definiëren. Zij vragen de regering voorts toe te lichten wat zij onder deze begrippen verstaat.
De term overheidsinstantie is opgenomen om aan te sluiten bij de AVG, die de termen overheidsorgaan en overheidsinstantie naast elkaar gebruikt. De AVG definieert deze termen niet. Omdat met het wetsvoorstel niet wordt beoogd om het begrip overheidsinstantie of overheidsorgaan op nationaal niveau een andere invulling te geven dan krachtens de AVG, zijn geen definities opgenomen. Dat laat onverlet dat een gebruikelijke definitie van overheidsorgaan is: organen van krachtens publiekrecht ingestelde rechtspersonen, alsmede andere met enig openbaar gezag beklede personen of colleges.41
De term overheidsinstantie uit dit wetsvoorstel heeft aanvullende waarde ten opzichte van de term overheidsorgaan, omdat hierdoor ook overheidsdiensten kunnen worden begrepen, zoals de Immigratie- en Naturalisatiedienst, de Dienst Justitiële Inrichtingen en gemeentelijke gezondheidsdiensten.
Onder private partij moeten in de regel privaatrechtelijke rechtspersonen worden begrepen. Omdat bij sommige samenwerkingsverbanden, zoals de Zorg- en Veiligheidshuizen, ook natuurlijke personen moeten kunnen deelnemen, is geen beperking aangebracht tot rechtspersonen. Het gaat daarbij om derden die op incidentele basis deelnemen aan het casusoverleg, namelijk partijen die actief zijn op uiteenlopende gebieden zoals huisvesting, zorg, maatschappelijke opvang, jeugdhulp, crisisopvang, woonbegeleiding, beschermd wonen, begeleiding bij geestelijke of licht verstandelijke beperkingenproblematiek, maatschappelijk werk, slachtofferzorg en huisartsenzorg, alsmede curatoren, bewindvoerders of mentoren.
Vraag 154 (D66)
Voornoemde leden menen dat het begrip sturingsinformatie belangrijk is. Zij begrijpen dat het hierbij niet gaat om een verdenking in de zin van artikel 27 van het Wetboek van Strafvordering. Kan de regering dat bevestigen?
Ja, de regering kan dit bevestigen. Bij sturingsinformatie zoals gedefinieerd in artikel 1.1 van dit wetsvoorstel gaat het niet om een verdenking in de zin van artikel 27 van het Wetboek van Strafvordering. De definitie van sturingsinformatie bevat om deze reden de formulering «een eerste vermoeden dat sprake is van onrechtmatige activiteiten, of voornemens daartoe». Artikel 27 Sv vereist daarentegen een «redelijk vermoeden van schuld», wat impliceert dat het vermoeden sterker is. De sturingsinformatie levert derhalve nog geen verdenking op, maar kan als uitkomst van de analyse binnen een samenwerkingsverband meewegen bij de beslissing van OM of politie om al dan niet een strafrechtelijk onderzoek te starten. Voor de opsporingsdiensten en het OM geldt ook dat sturingsinformatie niet direct als bewijs kan worden gebruikt zonder dat er eerst nog nader opsporingsonderzoek plaatsvindt. Van een verdenking in de zin van artikel 27 van het Wetboek van Strafvordering is sprake indien in het strafrechtelijk onderzoek door politie en OM concrete feiten en omstandigheden met betrekking tot de desbetreffende persoon op tafel komen die op een strafbaar feit wijzen.
Vraag 155 (D66)
Kan de regering ook nader ingaan op het begrip sturingsinformatie, en daarbij betrekken dat in de artikelen 2.8 en 2.15 expliciet wordt gesteld dat het resultaat van verwerkingen sturingsinformatie oplevert, maar dat ten aanzien van de RIEC’s, de ZVH en eventueel bij AMvB aan te wijzen samenwerkingsverbanden een dergelijke clausule ontbreekt. Deze leden menen dat, bij samenwerkingsverbanden hoofdzakelijk bestaande uit private partijen, moet worden voorkomen dat te eenvoudig in allerlei gegevens wordt gesnuffeld om maar te bezien of er tot sturingsinformatie kan worden gekomen.
De voorgestelde artikelen 2.8 en 2.15 bepalen dat sturingsinformatie het resultaat is van de gegevensverwerking door het FEC en door iCOV. Deze bepalingen die het resultaat definiëren, zijn bedoeld als beperking, omdat op grond van artikel 1.7 alleen resultaten mogen worden verstrekt vanuit het samenwerkingsverband. Bij de RIEC’s, de Zorg- en Veiligheidshuizen en bij amvb aangewezen samenwerkingsverbanden is sprake van de volgende resultaten van de gezamenlijke gegevensverwerking:
– Bij de RIEC’s kan de gezamenlijke gegevensverwerking volgens artikel 2.23, zevende lid, resulteren in een interventieadvies. Deze bepaling definieert daarmee het resultaat, bedoeld in artikel 1.7. Zoals toegelicht in de artikelsgewijze toelichting bij artikel 2.23, zevende lid, stelt een interventieadvies de betrokken deelnemers in staat hun wettelijke taken en bevoegdheden uit te oefenen. Het advies kan worden gebruikt om te bepalen of interventie wenselijk en noodzakelijk is, of deze in afstemming tussen bepaalde deelnemers moet gebeuren en welke deelnemers betrokken moeten zijn alsmede welke deelnemer verantwoordelijk is voor de gezamenlijk te verrichten interventie of interventies. Zoals toegelicht in de artikelsgewijze toelichting bij artikel 2.23, achtste lid, bevat het advies slechts die gegevens die nodig zijn om het gegeven advies te onderbouwen en een gedegen afweging van de mogelijke interventies te maken.
– Bij de Zorg- en Veiligheidshuizen bestaat het resultaat van de gegevensverwerking uit de uitkomsten van casusoverleggen. Deze geven een beeld van wie welke interventie gaat plegen en welke casus als prioriteit worden behandeld.
– Voor wat betreft samenwerkingsverbanden die bij amvb worden aangewezen, geldt dat het in de rede ligt om bij die amvb de resultaten van de gegevensverwerking te definiëren. Artikel 1.8, eerste lid, biedt daarvoor een grondslag.
Artikel 1.3 (Deelnemers)
Vraag 156 (D66)
De leden van de D66-fractie lezen dat aanwijzing van een overheidsinstantie of overheidsorgaan kan plaatsvinden, indien die deelname noodzakelijk is. Deze leden vragen wie beoordeelt of aan dat criterium is voldaan en op basis van welke criteria dit gebeurt.
In geval van aanwijzing van de deelnemer bij formele wet is dit primair aan de wetgever ter beoordeling en in geval van aanwijzing bij amvb is dit aan de regering ter beoordeling, met dien verstande dat het parlement hierover vervolgens in de voorgestelde nahangprocedure kan oordelen. Voor aanwijzing van een overheidsinstantie of overheidsorgaan als deelnemer is vereist dat de deelname noodzakelijk is voor het doel van het samenwerkingsverband. Dit wordt, afhankelijk van het type samenwerkingsverband, beoordeeld aan de hand van de vraag of de overheidsinstantie of het overheidsorgaan beschikt over gegevens die het samenwerkingsverband in staat stellen om zijn doel te vervullen en die noodzakelijk zijn voor het doel, dan wel of sprake is van wettelijke bevoegdheden en taken die op elkaar moeten worden afgestemd om een integrale aanpak te bereiken van de doelstelling waarop het samenwerkingsverband zich richt.
Vraag 157 (D66)
Voornoemde leden lezen eveneens dat een private partij kan worden aangewezen als deelnemer, indien er tevens overheidsinstanties of overheidsorganen deelnemen. De aan het woord zijnde leden vragen of dit de mogelijkheid in zich heeft dat een samenwerkingsverband bestaat uit meer private partijen dan overheidsinstanties en vragen de regering in te gaan op de wenselijkheid daarvan.
Bevordering van de veiligheid is een belangrijke taak van de overheid, maar ook een gedeelde verantwoordelijkheid van alle burgers in Nederland. Ik acht het dan ook waardevol dat de overheid samen kan werken met andere partijen, waaronder bedrijven, om binnen de kaders van de wet samen te werken aan een veilig Nederland. Dat laat onverlet dat het wetsvoorstel niet bedoeld is voor samenwerkingsverbanden die overwegend uit private partijen bestaan, aangezien het hier gaat om zwaarwegende algemene belangen. Het is overigens lastig om dit aan wettelijke criteria te verbinden, omdat het niet alleen gaat om de getalsmatige verhouding tussen publieke en private partijen, maar ook om de aard van hun rol in het samenwerkingsverband. Bij de aanwijzing van de deelnemers zal ervoor worden gewaakt dat een samenwerkingsverband niet overwegend uit private partijen bestaat.
Artikel 1.4 (Gezamenlijke verwerkingsverantwoordelijkheid)
Vraag 158 (D66)
De leden van de D66-fractie lezen dat een private partij slechts personen aan mag wijzen die niet tevens zijn belast met commerciële werkzaamheden. Dat lijkt deze leden wijs, maar zij vragen wel wie en op welke wijze hierop wordt toegezien en wat de consequenties zijn als aan deze voorwaarde niet is voldaan, dan wel er discussie ontstaat over het al dan niet vervuld zijn van deze eis. Graag krijgen zij van de regering een toelichting op dit punt.
Een van de waarborgen ter bescherming van de privacy van burgers die in het wetsvoorstel is opgenomen, is het voorgestelde artikel 1.4, derde lid. Deze bepaling strekt ertoe dat een private deelnemer ten behoeve van de inzet in het samenwerkingsverband slechts personen aanwijst die niet tevens worden belast met commerciële werkzaamheden voor die private partij. Hoe een deelnemer gevolg geeft aan deze eis zal afhangen van de wijze waarop zijn organisatie is ingericht. Bij de private partijen die uitsluitend publieke doelen nastreven, kan in beginsel elke medewerker in aanmerking komen. Deelnemende private partijen kunnen hun deelname aan een samenwerkingsverband alleen effectueren wanneer de organisatie medewerkers in dienst hebben die voldoen aan deze norm. Het is in eerste plaats aan de organisatie zelf, en aan de coördinerende functionaris voor de gegevensbescherming van het samenwerkingsverband (het voorgestelde artikel 1.4, tweede lid), om erop toe te zien dat alleen in aanmerking komende personen worden ingezet ten behoeve van het samenwerkingsverband.
Daarnaast bevat het wetsvoorstel een aantal waarborgen die er mede toe dienen de werkwijze van samenwerkingsverbanden, onder andere op dit punt, inzichtelijk te maken. Zo dient het samenwerkingsverband ingevolge het voorgestelde artikel 1.10 periodieke privacy audits te verrichten waarbij de uitvoering van de regels van dit wetsvoorstel en de AVG worden gecontroleerd. Een afschrift van de controle-resultaten moet aan de Autoriteit persoonsgegevens worden gezonden. Ook dienen de samenwerkingsverbanden een jaarverslag op te stellen en in dit verslag op internet te plaatsen (het voorgestelde artikel 1.12). De rechtmatigheidsadviescommissie die op grond van het voorgestelde artikel 1.8, zesde lid, wordt ingesteld, heeft tot taak de rechtmatigheid te beoordelen en kan uit dien hoofde bij discussies daarover om advies worden gevraagd. De rechtmatigheidsadviescommissie kan ook voorstellen aan het samenwerkingsverband doen om onrechtmatigheden op te lossen. De Autoriteit persoonsgegevens houdt toezicht op de gezamenlijke gegevensverwerking door samenwerkingsverbanden en is bevoegd om op te treden wanneer er in strijd met dit wetsvoorstel toch personen met commerciële taken zouden worden ingezet ten behoeve van het samenwerkingsverband.
Artikel 1.7 (Verstrekking van de resultaten aan deelnemers en derden)
Vraag 159 (D66)
De leden van de D66-fractie lezen dat de resultaten van gegevensverwerking kunnen worden verstrekt aan een private deelnemer indien de «behartiging van gerechtvaardigde belangen (...) verenigbaar zijn met het doel van het samenwerkingsverband.» Dat criterium komt deze leden vrij ruim voor. Deelt de regering de mening dat gegevens alleen zouden moeten worden verstrekt indien het gaat om een publiek belang dat de private deelnemer behartigt?
De regering bevestigt dat van een verdere verwerking voor gerechtvaardigde belangen in de gevallen van de samenwerkingsverbanden doorgaans uitsluitend sprake is indien de private partij een publiek belang behartigt. Wat onder de voorgestelde wet zou kunnen, is publiek-private samenwerking binnen het FEC, of – via een toekomstige amvb – een samenwerkingsverband tussen politie, OM en bedrijven ter bestrijding van ernstige vormen van criminaliteit. In dergelijke gevallen valt het private gerechtvaardigde belang grotendeels samen met het publieke belang om dergelijke criminaliteit aan te pakken. Het wetsvoorstel beoogt dergelijke publiek-private samenwerking voor een zwaarwegend algemeen belang mogelijk te maken. Relevant is verder dat de resultaten van de gezamenlijke gegevensverwerking op grond van het voorgestelde artikel 1.7, eerste lid, uitsluitend aan een (al dan niet private) deelnemer worden verstrekt voor een doel dat verenigbaar is met het doel van het samenwerkingsverband. De mogelijkheid van verdere verwerking is daardoor gelimiteerd. Voor wat betreft de toetsing van de vraag of het doel van de gegevensverwerking door de private deelnemer verenigbaar is met het doel van het samenwerkingsverband, kan worden aangesloten bij de criteria die artikel 6, vierde lid, onder a tot en met e, AVG, geeft voor de afweging of er sprake is van verdere verwerking voor een verenigbaar doel.
Artikel 1.8 (waarborgen)
Zevende lid
Vraag 160 (CDA)
De leden van de CDA-fractie vragen de regering hoe geregeld zal worden dat gegevens na de verstreken termijn daadwerkelijk vernietigd zullen worden? Hoe wordt toezicht gehouden op de daadwerkelijke vernietiging van deze gegevens?
Informatiesystemen kunnen met toepassing van het in artikel 25 AVG vastgelegde principe van «Privacy by Design» zo worden ingericht dat gegevens uiterlijk vijf jaar na de datum van eerste verwerking automatisch worden vernietigd. Ook kunnen er andere technische en organisatorische maatregelen worden getroffen om gegevens niet langer te bewaren dan is voorgeschreven. Wel zal daarbij op grond van de laatste volzin van dit artikellid rekening moeten worden gehouden met de mogelijkheid om in bijzondere gevallen en voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband persoonsgegevens die worden bewaard, in opdracht van de deelnemers, na verkregen instemming van de deelnemer die de betreffende persoonsgegevens heeft verstrekt, ter beschikking te stellen voor hernieuwde verwerking.
Het toezicht op de daadwerkelijke vernietiging vindt in eerste instantie plaats door middel van de privacy audits die in artikel 1.10 van het wetsvoorstel zijn voorgeschreven. Verder kan ook de Autoriteit persoonsgegevens onderzoek naar de naleving van de voorschriften over de vernietiging van de verwerkte persoonsgegevens doen.
Artikel 1.9 (Bijzondere waarborgen inzake geautomatiseerde gegevensanalyse)
Vraag 161 (D66)
De leden van de D66-fractie lezen dat in artikel 1.9, tweede lid menselijke tussenkomst gewaarborgd is bij het verstrekken van het resultaat van de geautomatiseerde gegevensverwerking, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen. In principe zijn voornoemde leden van mening dat dit een positieve toevoeging is aan het wetsvoorstel. Zij vragen zich echter wel af of deze beoordeling mogelijk is bij systemen die gebruik maken van deep learning?
Voor een reactie op deze vraag verwijzen wij naar ons antwoord op vragen over deep learning die deze leden in par. 9 hebben gesteld (vraag 143).
Vraag 162 (D66)
Voorts vragen de aan het woord zijnde leden naar de openbaarheid en transparantie van geautomatiseerde gegevensanalyse. Een belangrijke waarborg met het oog op discriminatie en misbruik is dat het samenwerkingsverband algemene gegevens over systematische gegevensverwerking toegankelijk moet maken; deze waarborg geeft uitwerking aan het beginsel van transparantie. Het samenwerkingsverband hoeft echter geen gegevens over geautomatiseerde gegevensanalyse toegankelijk te maken als een (publieke of private) deelnemer van oordeel is dat zwaarwegende redenen zich daartegen verzetten. Dit staat in artikel 1.9, derde lid. Wat voor «zwaarwegende reden» kan dit zijn? Hoe definieert de regering deze? Verwacht de regering dat dit vaak zal worden ingeroepen? De Afdeling acht het niet onaannemelijk dat deze uitzondering op het terrein dat door het wetsvoorstel wordt bestreken relatief vaak zal worden ingeroepen. Bij SyRI, het systeem tegen sociale en fiscale fraude, is informatieverstrekking stelselmatig achterwege gebleven, om te voorkomen dat de «modus operandi» bekend wordt. In hoeverre is deze bepaling dan effectief en is er sprake van daadwerkelijke transparantie? Ook in de artikelsgewijze toelichting bij artikel 1.9 wordt hier niet op ingegaan, zo constateren de aan het woord zijnde leden.
Bij deze zwaarwegende redenen moet in ieder geval worden gedacht aan de situatie waarin het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, of dat de informatieverstrekking de verwezenlijking van de doeleinden van de gegevensverwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Als door het geven van voor het publiek toegankelijke wijze informatie bijvoorbeeld (volledig) bekend wordt hoe een profiel werkt, is er het risico dat degenen op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid van het profiel en de effectiviteit van het toezicht worden verminderd.
Van belang is overigens dat artikel 1.9, derde lid, transparantie over de gehanteerde patronen en indicatoren of andere onderliggende logica voorschrijft «voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten». Met het gebruik van de woorden «voor zover» is beoogd te regelen dat de informatieverstrekking minder specifiek kan zijn als er zwaarwegende redenen zijn. Niet beoogd is dat dan geen informatieverstrekking plaatsvindt.
Vraag 163 (SP)
De leden van de SP-fractie constateren dat in artikel 1.9 de verplichting is opgenomen om aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende logica als een samenwerkingsverband geautomatiseerde gegevensanalyse verricht. Wat betekent «op toegankelijke wijze»? Waarom wordt niet gewoon gekozen dit geheel openbaar te maken? Wat zou daarop tegen zijn? Voorts geldt hier de beperking «voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten». Betekent dit nu dat een deelnemer deze transparantie kan tegenhouden? Wanneer geldt iets als zwaarwegende reden? Wie bepaalt dat en hoe wordt dat getoetst?
«Op toegankelijke wijze» wil zeggen dat men weinig moeite hoeft te doen om toegang tot de informatie te krijgen. Opneming daarvan in een privacystatement op de eigen website met een duidelijke link op de homepage kan daaraan bijdragen.42
Er is niet voor gekozen om de informatie waar het hier om gaat, te allen tijde geheel openbaar te doen zijn. Bij het betrachten van transparantie zal immers rekening moeten worden gehouden met het risico van «gaming the system»: wanneer (veel) inzicht in methoden en data wordt gegeven kunnen kwaadwillenden hier misbruik van maken. Zo kan het wenselijk zijn dat een overheidsdienst in haar privacystatement wel informatie verschaft over variabelen die zij in haar analyses hanteert, maar niet over drempelwaarden.43 In antwoord op vraag 141 van de CDA-fractie is daarvan een voorbeeld gegeven in een situatie dat een samenwerkingsverband vastgoedfraude bestrijdt. Het tegengaan van «gaming the system» kan inderdaad een zwaarwegende reden opleveren op grond waarvan een deelnemer van oordeel kan zijn dat over bepaalde aspecten, bijvoorbeeld de gehanteerde drempelwaarden, geen uitleg wordt gegeven. Het is aan de Autoriteit persoonsgegevens en uiteindelijk de rechter om, zo nodig, te toetsen of die reden zwaarwegend genoeg is.
Een en ander laat onverlet dat samenwerkingsverbanden bij verwerking van persoonsgegevens in een data-analyse op grond van artikel 14 AVG een betrokken burger individueel over verwerking van hem betreffende persoonsgegevens moeten informeren, maar ook dat zij deze verplichting op grond van artikel 41 van de Uitvoeringswet AVG in individuele zaken buiten toepassing kunnen laten.44
Artikel 2.2 (Doel)
Vraag 164 (D66)
De leden van de D66-fractie vragen de regering toe te lichten wat zij verstaat onder financieel-economische criminaliteit.
Financieel-economische criminaliteit werd door de toenmalige Minister van Justitie in 2001 aangeduid als «een verzamelbegrip voor een groot aantal verschijningsvormen van criminaliteit, die in de volksmond vaak worden aangeduid als «fraude»».45
De term «fraude» omvat de meer klassieke vormen van financieel-economische criminaliteit, zoals valsheid in geschrifte, oplichting, bedrog, verduistering, (bedrieglijke) bankbreuk en corruptie.
Onder financieel-economische criminaliteit vallen ook andere varianten, die niet zozeer zijn aan te merken als fraude, zoals witwassen, overtreding van handels- en financiële sancties, handel met voorwetenschap, marktmanipulatie en de financiering van terrorisme.46
Dit kan gepaard gaan met het misbruiken van het financiële stelsel voor oneigenlijke of criminele doelen.
Financieel-economische criminaliteit is geen statisch begrip en is daarom niet goed te definiëren in dit wetsvoorstel. Door de jaren heen komen nieuwe verschijningsvormen aan de oppervlakte. Voorbeelden hiervan zijn de manipulatie van financiële benchmarks (LIBOR-fraude) en cybercrime.
Met de term financieel-economische criminaliteit wordt in dit wetsvoorstel niet alleen gedoeld op strafrechtelijke gedragingen. De bestrijding van criminaliteit is immers al lang niet meer voorbehouden aan alleen het strafrecht. Zoals blijkt uit de opsomming van de wetten ten behoeve van de uitvoering waarvan de deelnemers van het FEC worden aangewezen (artikel 2.3), gaat het bij financieel-economische criminaliteit in dit wetsvoorstel eveneens over niet-naleving van bepaalde bestuursrechtelijke wetten en prudentiële wetgeving.
Artikel 2.21 (verwerking bijzondere categorieën van persoonsgegevens en burgerservicenummer)
Vraag 165 (ChristenUnie)
De leden van de ChristenUnie-fractie lezen in artikel 2.21 dat in het kader van onderzoeken naar illegale prostitutie en mensenhandel registratie van bijzondere persoonsgegevens mogelijk is. Moeten hiervoor harde signalen van mensenhandel zijn, of hebben RIEC’s ook de mogelijkheid bij vermoedens van mensenhandel en/of gedwongen prostitutie tot registratie en verwerking over te gaan? Biedt dit artikel ook een mogelijkheid voor het vervolgens delen van deze informatie met het oog op opsporing van illegale prostitutie en mensenhandel? Biedt dit artikel ook de grondslag voor gemeentelijke toezichthouders informatie aan de politie door te geven bij signalen van dwang en misbruik voor de bestrijding van misbruik en mensenhandel in de prostitutie?
Ook een vermoeden kan leiden tot het voeren van een casusoverleg. Opsporing van strafbare feiten kan plaatsvinden op basis van informatie verkregen uit een analyse.
Onder artikel 2.17 is opgenomen dat de RIEC’s uitsluitend gegevens verwerken voor zover dat noodzakelijk is voor de uitoefening van de wettelijke taken en bevoegdheden van de deelnemers op het terrein van strafrechtelijke, bestuursrechtelijke en fiscaalrechtelijke handhaving in het belang van de bestrijding van georganiseerde criminaliteit. In het artikelsgewijze deel van de memorie van toelichting is hierbij ook opgenomen dat, om een nadere focus aan te brengen binnen deze doelen, een aantal verschijningsvormen is benoemd waar de samenwerkende deelnemers specifiek aandacht aan besteden. Een van deze verschijningsvormen is mensenhandel. Mensenhandel is strafbaar gesteld in artikel 273f van het Wetboek van Strafrecht. Artikel 2.21 ziet slechts specifiek op het verwerken van persoonsgegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Artikelen 2.22 en 2.23 bieden de grondslag voor de verstrekking van gegevens aan respectievelijk de verwerking van gegevens binnen de RIEC’s.
Artikel 2.22 (verstrekking van gegevens aan het samenwerkingsverband)
Vraag 166 (CDA)
De leden van de CDA-fractie constateren dat in de lijst van categorieën gegevens die verstrekt mogen worden aan het RIEC ook de gegevens over het seksueel gedrag of seksuele gerichtheid van een persoon zijn opgenomen. Kan de regering de noodzaak toelichten voor het mogelijk maken van verstrekking van dergelijke gegevens?
Voor het doel van de RIEC’s is het noodzakelijk om bijzondere persoonsgegevens over het seksueel gedrag of seksuele gerichtheid te kunnen verwerken. Bij de aanpak van mensenhandel vinden in RIEC-verband namelijk ook onderzoeken plaats naar illegale prostitutie en uitbuiting, waarbij gegevens over seksueel gedrag en seksuele gerichtheid verwerkt (moeten) worden.
Artikel 2.27 (deelnemers)
Vraag 167 (VVD)
De leden van de VVD-fractie vinden het belangrijk dat gegevensdeling met woningcorporaties makkelijker verloopt, zodat zij beter de woonoverlast kunnen bestrijden. Deze leden lezen in artikel 2.27 dat de woningcorporaties niet tot de ZVH’s behoren. Welke mogelijkheden ziet de regering om deze aansluiting beter te regelen, zoals bijvoorbeeld de woningcorporaties ofwel tot de ZVH’s te laten behoren ofwel aan te wijzen voor een samenwerkingsverband bij AMvB?
De leden van de VVD-fractie hebben ook een vraag met betrekking tot woonfraude. Welke mogelijkheden biedt deze wet om gegevens uit de Basisregistratie Personen te kunnen delen met verhuurders?
Niet alle vormen van woonoverlast komen in aanmerking voor behandeling in de ZVH. Dat kan wel het geval zijn bij een complexe casuïstiek waar woonoverlast een belangrijk onderdeel van uitmaakt. Er is voor gekozen om uitsluitend bestuursorganen, private partijen met een eigen wettelijke taak, of private partijen die een wettelijke taak uitvoeren onder mandaat van een bestuursorgaan als deelnemer te benoemen. De enige uitzondering is de GGZ als behandelaar, aangezien er relatief vaak sprake is van GGZ-problematiek bij de doelgroep van de ZVH. De woningcorporaties hebben geen eigenstandige wettelijke taak waarop hun bemoeienis met het behandelen van individuele casuïstiek gebaseerd kan worden. Zij hebben ook geen grondslag om bijvoorbeeld gezondheidsgegevens of strafrechtelijke gegevens te verwerken. Waar het noodzakelijk is om een woningcorporatie bij de beeldvorming en de aanpak te betrekken hebben de ZVH de mogelijkheid deze uit te nodigen om deel te nemen aan een casusoverleg als incidentele deelnemer op grond van artikel 2.31, negende lid.
De WGS stelt de ZVH in staat grondiger complexe casuïstiek te behandelen op uiteenlopende terreinen. De WGS voorziet niet in de mogelijkheid om daarbuiten ten behoeve van de aanpak van woonfraude structureel informatie te delen uit de Basisregistratie Personen met verhuurders.
Artikel 3.1 (Aanwijzing samenwerkingsverbanden bij amvb)
Vraag 168 (D66)
De leden van de D66-fractie vragen de regering toe te lichten wat precies wordt verstaan onder de onder a tot en met c opgenomen doelstellingen van zwaarwegend algemeen belang.
Voor het antwoord op deze vraag wordt voor wat betreft de term «zwaarwegend algemeen belang» verwezen naar het antwoord op vraag 46. Voor wat betreft de betekenis van de onderdelen a tot en met c van artikel 3.1 kan daaraan het volgende worden toegevoegd.
Onder «het voorkomen en bestrijden van ernstige vormen van criminaliteit» in de zin van artikel 3.1, onderdeel a, moet in ieder geval worden verstaan het voorkomen en bestrijden van «misdrijven die een ernstige inbreuk op de rechtsorde opleveren». Dergelijke formules komen voor in artikel 10 Wpg, diverse artikelen uit het Wetboek van Strafvordering en artikel 3.22 Telecommunicatiewet. Aangezien het in dit wetsvoorstel niet alleen gaat om misdrijven, maar ook om bestuurlijk beboetbare feiten, is gekozen voor de bredere term «criminaliteit» in plaats van «misdrijven».
In de memorie van toelichting47 bij de invoering van dit criterium in het Wetboek van Strafvordering is dat als volgt toegelicht: «De concrete feiten en omstandigheden dienen meegewogen te worden bij de beoordeling of sprake is van een ernstige inbreuk op de rechtsorde. Het kan gaan om misdrijven als moord, handel in drugs, mensenhandel, omvangrijke milieudelicten, wapenhandel maar ook ernstige financiële misdrijven, zoals omvangrijke ernstige fraude, bijvoorbeeld een BTW-carrousel. Dergelijke misdrijven schokken de rechtsorde ernstig door hun gewelddadige karakter of door hun omvang en gevolgen voor de samenleving. Ook minder ernstige misdrijven kunnen een ernstige inbreuk maken op de rechtsorde, doordat zij in combinatie met andere misdrijven worden gepleegd, bijvoorbeeld valsheid in geschrifte in combinatie met omkoping van ambtenaren met het oog op verkrijging van vergunningen voor bedrijven, of kleine fraudes waarvan, gelet op de aard, kan worden vermoed dat deze deel uitmaken van een omvangrijke en ernstige vorm van fraude.» Verderop in die memorie van toelichting is ook witwassen als voorbeeld genoemd.48
Deze voorbeelden moeten omwille van de toekomstbestendigheid en flexibiliteit overigens niet uitputtend worden opgevat, maar zij geven een indicatie van de ernst van de criminaliteit in de zin van het voorgestelde artikel 3.1, onderdeel a, van het onderhavige wetsvoorstel.
De onderdelen b en c van artikel 3.1 dienen mutatis mutandis op dezelfde wijze als onderdeel a te worden gelezen voor wat betreft het vereiste grootschalige of systematische karakter van de in onderdelen b en c bedoelde vormen van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen of van ontduiking van wettelijke verplichtingen tot betaling van belastingen, retributies en rechten bij in- en uitvoer.
Artikel 3.2 (Delegatiegrondslag)
Vraag 169 (D66)
De leden van de D66-fractie vragen de regering te bevestigen dat het niet de bedoeling is te komen tot een samenwerkingsverband dat uitsluitend en hoofdzakelijk bestaat uit private partijen. Zo ja, kan dit niet beter worden geclausuleerd dan nu is gedaan?
Het voorgestelde artikel 1.3, derde lid, bepaalt dat aanwijzing van een private partij als deelnemer slechts mogelijk is indien – voor zover hier relevant – «tevens overheidsinstanties of overheidsorganen deelnemen». Daarmee is uitgesloten dat een samenwerkingsverband onder dit wetsvoorstel of in een amvb op grond van dit wetsvoorstel bestaat uit uitsluitend private partijen.
Voor het antwoord op de vraag of het mogelijk is om uit te sluiten dat een samenwerkingsverband «hoofdzakelijk» uit private partijen bestaat, verwijs ik naar het antwoord op vraag 157.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus