35447 Advies Afdeling advisering Raad van State inzake regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden)
Regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden)
Advies Afdeling advisering Raad van State
Nummer: 2020D16449, datum: 2020-04-24, bijgewerkt: 2024-02-19 10:56, versie: 1
Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.
Gerelateerde personen:- Eerste ondertekenaar: Th.C. de Graaf, vicepresident van de Raad van State
Onderdeel van zaak 2020Z07668:
- Indiener: F.B.J. Grapperhaus, minister van Justitie en Veiligheid
- Medeindiener: S. Dekker, minister voor Rechtsbescherming
- Voortouwcommissie: vaste commissie voor Justitie en Veiligheid
- 2020-05-07 22:10: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2020-05-11 10:45: Procedures en brieven (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
- 2020-05-27 14:00: Wet gegevensverwerking door samenwerkingsverbanden (35447) (Inbreng verslag (wetsvoorstel)), vaste commissie voor Justitie en Veiligheid
- 2020-11-04 14:30: Procedures en brieven (via videoverbinding) (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
- 2020-12-07 14:00: Wet gegevensverwerking door samenwerkingsverbanden (35447) (Wetgevingsoverleg), vaste commissie voor Justitie en Veiligheid
- 2020-12-17 18:00: Stemmingen (Stemmingen), TK
Preview document (🔗 origineel)
No.W16.19.0159/II 's-Gravenhage, 21 november 2019
...................................................................................
Bij Kabinetsmissive van 21 juni 2019, no.2019001220, heeft Uwe Majesteit, op voordracht van de Minister van Justitie en Veiligheid, mede namens de Minister voor Rechtsbescherming, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van Wet gegevensverwerking door samenwerkingsverbanden (WGS), met memorie van toelichting.
Samenvatting van het voorstel
Het voorstel beoogt een juridische basis te bieden voor de verwerking van persoonsgegevens door samenwerkingsverbanden. Samenwerkingsverbanden zijn, volgens het voorstel, verbanden van bestuursorganen en private partijen die gezamenlijk gegevens verwerken voor zwaarwegende algemene belangen, zoals de bestrijding van fraude en de georganiseerde criminaliteit. Het voorstel is vormgegeven als een kaderwet met een aantal algemene regels over de taak van het samenwerkingsverband, de inrichting en het functioneren daarvan. Het voorziet in een juridische grondslag om persoonsgegevens systematisch te delen en te verwerken, waaronder door profilering. Bij algemene maatregel van bestuur (amvb) wordt bepaald welke samenwerkingsverbanden onder deze kaderwet zullen vallen. Dan vindt ook de aanwijzing van de deelnemende partijen plaats, de concretisering van het zwaarwegende algemene belang waarvoor persoonsgegevens mogen worden verwerkt en de werkwijze van het samenwerkingsverband.
Op 9 oktober 2019 heeft een delegatie van de Afdeling Advisering van de Raad van State op de voet van artikel 24 van de Wet op de Raad van State met de Minister van Justitie en Veiligheid beraadslaagd over het wetsvoorstel.
Kernboodschap van de Afdeling
De overheid moet ernstige en ondermijnende criminaliteit kunnen voorkomen, opsporen en bestrijden. Bestuursorganen die gegevens hebben over zulke criminaliteit moeten die gegevens kunnen uitwisselen met elkaar en ook met private partijen, zodat zij effectief kunnen optreden. Het uitwisselen van zulke gegevens maakt echter een inbreuk op het grondwettelijk recht op bescherming van de persoonlijke levenssfeer. Voor die inbreuk ontbreekt een specifieke wettelijke grondslag. Daardoor is er in veel opzichten onduidelijkheid bij samenwerkingsverbanden over de bestaande juridische mogelijkheden. De Afdeling onderschrijft dan ook nut en noodzaak van een wettelijke regeling.
De Afdeling acht de nu voorliggende kaderwet echter niet effectief. In de eerste plaats heeft het wetsvoorstel betrekking op allerlei zeer uiteenlopende soorten samenwerkingsverbanden. De voorgestelde regels hebben mede daardoor een te ruime reikwijdte en zijn te weinig specifiek. De verantwoordelijkheid voor de gegevensverwerking komt te liggen bij alle deelnemers aan het samenwerkingsverband gezamenlijk en is daardoor niet duidelijk belegd. Bovendien kunnen samenwerkingsverbanden er zelf voor kiezen of zij onder dit voorstel willen worden gebracht. Het voorstel draagt daarmee maar in beperkte mate bij aan de met het wetsvoorstel beoogde regulering en harmonisering van samenwerkingsverbanden.
In de tweede plaats neemt het voorstel de juridische onzekerheid over de toelaatbaarheid van de gegevensuitwisseling door samenwerkingsverbanden op de voorgestelde wijze niet weg. Omdat het voorstel vergaande beperkingen van het recht op bescherming van de persoonlijke levenssfeer mogelijk wil maken en tegelijkertijd niet de wezenlijke elementen en begrenzingen bevat, voldoet het in deze vorm niet aan de eisen van artikel 10 Grondwet. Dat artikel beschermt het recht op eerbiediging van de persoonlijke levenssfeer. Hierdoor biedt het wetsvoorstel een onvoldoende juridische grondslag en daarmee onvoldoende zekerheid voor de beoogde, vergaande, verwerking en uitwisseling van gegevens. Concretisering van wezenlijke elementen bij lagere regelgeving, zoals deze kaderwet beoogt, neemt deze bezwaren niet weg en zet het parlement als medewetgever te zeer op afstand.
De Afdeling merkt op dat, juist vanwege het belang van bestrijding van ernstige en ondermijnende criminaliteit, beter gekozen kan worden voor een alternatieve benadering waarmee de voorgaande bezwaren in elk geval grotendeels kunnen worden weggenomen. Deze benadering gaat uit van wetgeving toegespitst op een (samenhangend cluster van) samenwerkingsverband(en). Daarin zouden de concrete doelen van de gegevensuitwisseling en -verwerking, de deelnemende partijen en hun bevoegdheden en verantwoordelijkheden, en de waarborgen met het oog op de bescherming van de persoonlijke levenssfeer veel specifieker moeten worden bepaald. In die alternatieve benadering is veel minder delegatie naar lagere regelgeving nodig.
De Afdeling adviseert het voorstel niet bij de Tweede Kamer der Staten-Generaal in te dienen, tenzij het is aangepast.
Leeswijzer
In dit advies gaat de Afdeling eerst in op de achtergrond en de inhoud van het voorstel (1). Daarna wordt een beoordeling gemaakt van de effectiviteit van het voorstel, gelet enerzijds op de ruime en weinig specifieke regels en anderzijds de vrijblijvendheid van het voorstel (2). Vervolgens worden vier problemen die het voorstel bevat in het licht van de effectiviteit nader toegelicht: de vrijwel onbegrensde mogelijkheid voor de deelname van private partijen (3); de gezamenlijke verwerkingsverantwoordelijkheid voor de deelnemers van het samenwerkingsverband (4); de bevoegdheid om persoonsgegevens systematisch te verwerken (inclusief profilering) (5); en de verhouding met het doelbindingsbeginsel (6). Daarna wordt stilgestaan bij de ruime delegatiegrondslagen waarin het voorstel voorziet, en wordt een beoordeling daarvan gemaakt in het licht van artikel 10 van de Grondwet (7). De Afdeling schetst tot slot een mogelijkheid voor een alternatieve benadering, waarin een groot deel van de gesignaleerde problemen zich niet zal voordoen (8).
1. Achtergrond en inhoud van het voorstel
a. Integrale gegevensuitwisseling: ervaren knelpunten
Samenwerkingsverbanden komen voort uit een behoefte om maatschappelijke problemen door een integrale aanpak effectiever te bestrijden.1 Geregeld blijken meerdere, publieke en private, partijen feiten of vermoedens te hebben over misstanden of ernstige maatschappelijke problemen. Zij proberen die problemen beter in kaart te brengen door georganiseerd gegevens uit te wisselen en te combineren.2 Bekende voorbeelden van bestaande samenwerkingsverbanden zijn het Financieel Expertise Centrum, dat zich richt op de versterking van de integriteit van de financiële sector; de Regionale Informatie- en Expertisecentra (RIEC’s), die signalen over de ondermijnende criminaliteit verzamelen, analyseren en uitwerken, en op basis daarvan interventieadviezen geven aan de deelnemers; en de Veiligheidshuizen, die overlast, huiselijk geweld en criminaliteit proberen terug te dringen.3
De Belastingdienst, het Openbaar Ministerie en de politie nemen vaak deel aan dergelijke samenwerkingsverbanden. Zij beschikken immers over informatie die van groot belang kan zijn om ernstige criminaliteit en opzettelijke, grootschalige fraude te bestrijden. Ook nemen banken, verzekeraars, energiemaatschappijen en woningcorporaties soms deel aan een samenwerkingsverband.4 Ook deze private organisaties beschikken vaak over belangrijke informatie, zoals signalen die kunnen aangeven dat er problemen spelen die aangepakt dienen te worden, of dat bepaalde problemen zich herhaaldelijk voordoen.
Deze samenwerkingsverbanden berusten niet op een wettelijke grondslag. Zij zijn gebaseerd op door henzelf opgestelde convenanten en privacyprotocollen. Daarin is neergelegd hoe zij functioneren en aan welke eisen het samenwerkingsverband dient te voldoen vanuit het gegevensbeschermingsrecht. Alleen het Systeem risico indicatie (SyRI), het samenwerkingsverband voor het bestrijden van fiscale en sociale fraude, is wettelijk geregeld.5 Een wettelijke regeling voor de bestrijding van zorgfraude is in voorbereiding.6
De bestaande samenwerkingsverbanden vormen geen zelfstandige entiteiten met beslissingsbevoegdheden. Zonder wettelijke grondslag is dat ook niet mogelijk. De deelnemende partijen schuiven bij het samenwerkingsverband aan vanuit de eigen doelen dan wel vanuit hun wettelijke taken en wisselen op grond daarvan gegevens uit.
Bij de verwerking van gegevens door deze samenwerkingsverbanden worden knelpunten ervaren.7 Bestaande sectorale wetgeving zou onvoldoende rekening houden met de integrale werkwijze van samenwerkingsverbanden. Per sector is immers wettelijk bepaald welke partijen over bepaalde gegevens mogen beschikken voor de daarop betrekking hebbende taken en verplichtingen. Er gelden in dat kader vaak geheimhoudingsplichten. Verder moet bij de verstrekking van persoonsgegevens aan een andere partij telkens worden bekeken of het doel waarvoor de gegevens worden verstrekt verenigbaar is met het doel waarvoor ze oorspronkelijk zijn verzameld. Als het doel niet verenigbaar is, moet worden nagegaan of er voor de verstrekking een wettelijke grondslag is.8 Samenwerkingsverbanden ervaren hierin juridische onzekerheid.
b. Inhoud en doelen van het voorstel
Het voorstel bevat een algemene wettelijke basis voor gegevensuitwisseling en -verwerking binnen samenwerkingsverbanden, en voor de verstrekking van de resultaten van die verwerking aan de deelnemende partijen en aan derden.9 Zowel publieke als private partijen kunnen volgens het voorstel aan zo’n samenwerkingsverband deelnemen. Bij deelname dienen gegevens in beginsel te worden verstrekt aan het samenwerkingsverband. Die gegevens worden dan binnen het samenwerkingsverband verder verwerkt en nader geanalyseerd. De resultaten van die gegevensverwerking worden daarna gedeeld met een of meer deelnemende partijen of met derden.10
De samenwerkingsverbanden worden ingesteld bij amvb. Ook worden bij amvb de deelnemers van het samenwerkingsverband aangewezen, en wordt nader bepaald voor welk doel van – zoals het voorstel het in algemene termen omschrijft – “zwaarwegend algemeen belang” het samenwerkingsverband wordt ingesteld. Het voorstel bevat enkele beperkingen en voorwaarden, maar bevat ook een algemene bepaling om bij amvb nadere voorwaarden en beperkingen te stellen aan de verwerkingen van de samenwerkingsverbanden.11
Het voorstel beoogt hiermee een integrale aanpak van samenwerkingsverbanden te ondersteunen en knelpunten in de gegevensuitwisseling weg te nemen: het geeft een juridisch kader waarbinnen de gegevensuitwisseling en -verwerking door de deelnemers van het samenwerkingsverband gemakkelijker kan plaatsvinden.12 Daarnaast beoogt het voorstel een zekere harmonisatie van de al bestaande samenwerkingsverbanden.13
2. Effectiviteit van het voorstel
a. Noodzaak regulering gegevensuitwisseling
De overheid moet ernstige en ondermijnende criminaliteit kunnen voorkomen, opsporen en bestrijden. Bestuursorganen die gegevens hebben over zulke criminaliteit moeten die gegevens kunnen uitwisselen met elkaar en ook met private partijen, zodat zij effectief kunnen optreden. Het uitwisselen van zulke gegevens maakt echter een inbreuk op het grondwettelijk recht op bescherming van de persoonlijke levenssfeer; voor die inbreuk ontbreekt een specifieke wettelijke grondslag. Daardoor is er in veel opzichten onduidelijkheid bij samenwerkingsverbanden over de bestaande juridische mogelijkheden. De Afdeling onderschrijft dan ook nut en noodzaak van een wettelijke regeling. De samenwerking zou ook doeltreffender kunnen worden de naast elkaar bestaande, mogelijk deels overlappende samenwerkingsverbanden zouden worden gestroomlijnd met op de praktijk toegespitste regels.
De Afdeling merkt echter op dat met de gekozen constructie in de nu voorliggende kaderwet de door de regering gestelde doelen, dat wil zeggen de regulering en harmonisatie van samenwerkingsverbanden, niet effectief zullen worden bereikt. Dat oordeel is met name gebaseerd op de brede reikwijdte, het facultatieve karakter en de geringe specificiteit van het voorstel. Hierna gaat de Afdeling op die aspecten in algemene zin nader in (onderdelen b tot en met d).
b. Brede reikwijdte
Het wetsvoorstel bevat zeer algemene en ruime regels. Dit blijkt allereerst uit de wettelijke taakomschrijving. Volgens artikel 2 van het voorstel kunnen de taken van samenwerkingsverbanden op de volgende terreinen liggen:
het voorkomen van fiscale en sociale fraude;
het toezien op de naleving van wettelijke voorschriften;
het handhaven van de openbare orde en veiligheid;
het voorkomen en opsporen van strafbare feiten.14
De Afdeling constateert dat het in wezen kan gaan om alle vormen van toezicht, handhaving en opsporing. Binnen dit brede werkterrein moet, volgens het voorstel, bij amvb een uitdrukkelijk welbepaald en gerechtvaardigd doel van zwaarwegend algemeen belang worden bepaald.15 Deze regeling geeft echter nauwelijks een nadere begrenzing. Het vereiste dat het doel uitdrukkelijk omschreven, welbepaald en gerechtvaardigd moet zijn, is letterlijk overgenomen uit de Algemene verordening gegevensverwerking (AVG) en geldt dus al.16 De eis van een “zwaarwegend algemeen belang” is voorts niet concreet genoeg om een wezenlijke afbakening van de taak van het samenwerkingsverband in te houden.17
Het wetsvoorstel beoogt binnen deze zeer ruime kaders ingrijpende gegevensverwerkingen mogelijk te maken. Gegevens kunnen op grond van het voorstel systematisch en met gebruik van geavanceerde technieken (bijvoorbeeld profilering) worden verwerkt voor zeer uiteenlopende doelen. Dergelijke verwerkingen vinden plaats in een potentieel breed en in het wetsvoorstel vrijwel onbegrensd verband van publieke en private deelnemers.18 De vraag is of een zodanig ingrijpend instrumentarium wel passend en geschikt is voor alle typen samenwerkingsverbanden op het ruime werkterrein waar het voorstel op ziet.
c. Facultatieve karakter
De deelnemers van het samenwerkingsverband worden op grond van het wetsvoorstel op hun verzoek of na hun instemming aangewezen bij amvb.19 Dit roept de vraag op wie er nu beslist of deze samenwerkingsverbanden onder het regime van het voorstel moeten worden gebracht.20 Uit de toelichting op het voorstel blijkt dat het voorstel in ieder geval niet tot doel heeft om een exclusief regime voor de gegevensverwerking door samenwerkingsverbanden te bieden. Met het oog daarop is het wetsvoorstel21 zo ingericht dat samenwerkingsverbanden zich vrijwillig aansluiten en daartoe op grond van deze wet niet verplicht kunnen worden.
De Afdeling merkt op dat het wetsvoorstel vanwege het geschetste facultatieve karakter onvoldoende bijdraagt aan de beoogde regulering en harmonisering van samenwerkingsverbanden. Het is immers onzeker of samenwerkingsverbanden op grond van het wetsvoorstel zullen besluiten om onder het regime van de wet te worden gebracht. Er kunnen allerlei overwegingen van bijvoorbeeld bestuurlijke en praktische aard zijn om dat niet te doen. In dat geval zullen de genoemde doelen van het voorstel niet of maar in beperkte mate worden bereikt. Voor bepaalde samenwerkingsverbanden zal dan bovendien de situatie kunnen gelden dat zij niet de ingrijpende bevoegdheden hebben die in het wetsvoorstel zijn geregeld en die gelet op het doel van het samenwerkingsverband in het algemeen belang noodzakelijk zouden kunnen zijn. Daarbij valt vooral te denken aan samenwerkingsverbanden die specifiek gericht zijn op de bestrijding van ernstige, de samenleving ontwrichtende vormen van georganiseerde criminaliteit.
Niet alleen draagt dit facultatieve karakter van het voorstel niet bij aan de effectiviteit van de noodzakelijke samenwerking. De Afdeling acht dit ook principieel onjuist. De wetgever dient zijn verantwoordelijkheid te nemen. Hij dient zélf te beslissen voor welke samenwerkingsverbanden wetgeving in het algemeen belang noodzakelijk is en welke regels in dat geval voor het betreffende samenwerkingsverband moeten gelden. Die beslissing dient, gelet op de zwaarwegende publieke belangen die in het geding zijn, niet afhankelijk te worden gesteld van het verzoek of de instemming van de samenwerkende partijen.22
d. Geringe specificiteit
Een belangrijke doelstelling van het wetsvoorstel is het wegnemen van in de praktijk ervaren knelpunten. Het wetsvoorstel zou rechtszekerheid moeten bieden zodat samenwerkingsverbanden weten in welke gevallen en onder welke voorwaarden zij gegevens mogen uitwisselen en in het samenwerkingsverband verder mogen verwerken. Rechtszekerheid is nodig om als samenwerkingsverband effectief te kunnen functioneren.
De Afdeling merkt op dat de wetgever de juridische onzekerheid over de toelaatbaarheid van de gegevensuitwisseling door samenwerkingsverbanden op de voorgestelde wijze niet of onvoldoende wegneemt. Het wetsvoorstel geldt voor ongelijksoortige samenwerkingsverbanden op een zeer breed terrein (zie hiervoor onder a) en is daardoor onvermijdelijk zeer algemeen van karakter. Het normeert nauwelijks en delegeert de dragende elementen van het specifieke samenwerkingsverband aan een amvb. Dat betreft onder meer het doel van het samenwerkingsverband, de partijen die deelnemen aan het samenwerkingsverband en hun onderscheiden verantwoordelijkheden, welke verwerkingen zijn toegestaan en onder welke voorwaarden en de waarborgen die het samenwerkingsverband en de deelnemende partijen moeten treffen. Daardoor is er ook onzekerheid over de proportionaliteit van het voorstel: het maakt vergaande bevoegdheden tot gegevensverwerking (waaronder systematische verwerking en profilering) mogelijk, terwijl niet vaststaat dat de bevoegdheden noodzakelijk en proportioneel zijn voor alle soorten samenwerkingsverbanden die onder het voorstel gebracht kunnen worden.
Omdat het wetsvoorstel vergaande beperkingen van het recht op bescherming van de persoonlijke levenssfeer mogelijk wil maken en tegelijkertijd niet de wezenlijke elementen en begrenzingen bevat, voldoet het voorstel in deze vorm niet aan de eisen van artikel 10 Grondwet. Dat artikel beschermt het recht op eerbiediging van de persoonlijke levenssfeer (zie hierna punt 7). Dat is niet alleen een principieel bezwaar. Door een onvoldoende juridische grondslag te bieden, geeft het wetsvoorstel ook onvoldoende zekerheid voor de beoogde, vergaande, gegevensverwerking en -uitwisseling. Concretisering van wezenlijke elementen bij lagere regelgeving, zoals deze kaderwet beoogt, neemt deze bezwaren niet of onvoldoende weg en zet het parlement als medewetgever te zeer op afstand.
Op grond van de voorgaande elementen tezamen (b tot en met d) meent de Afdeling dat de gerechtvaardigde doelstellingen van het wetsvoorstel niet effectief zullen worden bereikt. Hieronder gaat zij, mede in het licht van de effectiviteit, dieper in op een aantal belangrijke onderdelen van het wetsvoorstel (paragraaf 3 tot en met 6).
3. Deelname van private partijen
Private partijen kunnen op grond van het wetsvoorstel deelnemen aan een samenwerkingsverband op dezelfde basis, met dezelfde rechten, plichten en verantwoordelijkheden, als publieke deelnemers.23 Als zij als deelnemers zijn aangewezen, kunnen private partijen volgens het voorstel op dezelfde wijze als deelnemende overheidsorganisaties meebeslissen over de verwerking van gegevens binnen het samenwerkingsverband en over de verstrekking van die gegevens aan publieke of private deelnemers of aan derden. Het kan gaan om allerlei soorten gegevens; het voorstel regelt expliciet dat strafrechtelijke gegevens aan een samenwerkingsverband kunnen worden verstrekt.24
De positie van de deelnemers binnen een samenwerkingsverband is echter wezenlijk verschillend.
Bestuursorganen die als deelnemers worden aangewezen, zullen doorgaans een op de wet gebaseerde publieke taak hebben die verband houdt met het doel van het samenwerkingsverband.
Private partijen die worden aangewezen, zoals banken, verhuurders of makelaars, hebben particuliere doelstellingen en hebben in dat kader – binnen de grenzen van de wet – de vrijheid te handelen zoals zij willen. Zij streven in beginsel niet – en in elk geval niet primair – publieke doelen na.
Een tussencategorie zijn private rechtspersonen met een wettelijke taak, zoals woningcorporaties en zorginstellingen. Zij zijn in beginsel niet gehouden om publieke taken uit te voeren, behalve als het gaat om hun eigen wettelijke taak. Die taak is meestal gericht op dienstverlening aan burgers, niet op toezicht of handhaving.
Het is in bepaalde gevallen essentieel dat overheidsinstanties en private partijen op voet van gelijkwaardigheid maar rekening houdend met hun onderscheiden verantwoordelijkheden met elkaar samenwerken en in dat kader gegevens uitwisselen. Dat betekent echter niet dat private partijen zoals nu voorgesteld ook op dezelfde manier als overheidsinstanties in wettelijk geregelde samenwerkingsverbanden zouden moeten deelnemen, en – als zij deelnemen – moeten meebeslissen over wat het samenwerkingsverband doet. Deelname in die zin ligt niet zonder meer voor de hand omdat het samenwerkingsverband een publiek doel dient waarvoor private partijen geen primaire verantwoordelijkheid dragen.
Het is dan ook de vraag of het niet wenselijk is om de deelname van private partijen aan samenwerkingsverbanden in de vergaande vorm waarvoor gekozen is in het wetsvoorstel, uit te sluiten. Ook als zij geen deelnemer zijn in de door het wetsvoorstel voorgestelde zin, is het mogelijk om samen te werken, te overleggen en gegevens uit te wisselen. Uit de toelichting blijkt niet of deze mogelijkheid is overwogen.
Ook als daar niet voor zou worden gekozen en deelname wel mogelijk wordt gemaakt is het van belang de positie van de betrokken private partij in het samenwerkingsverband afhankelijk van de omstandigheden nader te definiëren en te beperken tot wat voor de beoogde samenwerking noodzakelijk is. Er zouden bijvoorbeeld beperkingen kunnen worden gesteld aan de mate waarin private partijen inzage krijgen in gegevens en kunnen meebeslissen over het verstrekken van gegevens aan de deelnemers en aan derden. Ook zouden beperkingen kunnen worden gesteld aan het soort gegevens die private partijen kunnen ontvangen van het samenwerkingsverband, of aan de soorten doelen waarvoor ze die gegevens kunnen krijgen.
De Afdeling merkt op grond van het voorgaande op dat het wetsvoorstel te ruime mogelijkheden biedt voor deelname van private partijen. In de gekozen constructie van een kaderwet met een zeer brede reikwijdte (zie hiervoor punt 2b) kan de wetgever dit moeilijk oplossen, tenzij deelname van private partijen aan een samenwerkingsverband in absolute zin wordt uitgesloten. Ervan uitgaande dat de wetgever zélf hier de mogelijkheden en grenzen moet bepalen, is een meer specifiek gerichte wet geschikter.
4. Gezamenlijke verwerkingsverantwoordelijkheid
Het voorstel bepaalt dat de deelnemers aan het samenwerkingsverband gezamenlijk verwerkingsverantwoordelijke zijn. Aldus kan er, zo stelt de toelichting, geen onduidelijkheid over bestaan: iedere deelnemer aan het samenwerkingsverband is verantwoordelijk voor de verwerking van gegevens door het samenwerkingsverband.25 Bij amvb zal worden bepaald hoe deelnemende organisaties taken en verantwoordelijkheden onderling verdelen en wie als contactpunt en als functionaris voor gegevensbescherming wordt aangewezen.26
Hoewel gezamenlijke verwerkingsverantwoordelijkheid wordt toegestaan door de AVG vraagt de Afdeling zich af of zulks in de context van dit wetsvoorstel voldoende is afgewogen.27 Het risico van samenwerking op voet van gelijkwaardigheid is dat de verantwoordelijkheid voor de gezamenlijke werkzaamheden en resultaten in concrete gevallen zoek raakt. Als een burger een van de deelnemende partijen benadert omdat hij bijvoorbeeld inzage of correctie wil van zijn gegevens, bestaat de kans dat die terugverwijst naar het samenwerkingsverband waar de verwerking in feite heeft plaatsgevonden. Binnen dat samenwerkingsverband is vervolgens moeilijk te bepalen wie uiteindelijk voor welk aandeel aanspreekbaar is.
De vraag naar de aanspreekbaarheid zal zich niet alleen kunnen voordoen in de relatie met de burger maar ook in situaties waarin in brede zin publieke verantwoording moet worden afgelegd. Naarmate er meer partijen aan het samenwerkingsverband deelnemen en de doelen of taken van de deelnemers sterker uiteenlopen, zal moeilijker kunnen worden bepaald door wie en op welke wijze politieke verantwoordelijkheid kan worden gedragen. De toelichting op het wetsvoorstel gaat daar niet op in.
Het wetsvoorstel bevat geen concrete regels om te verzekeren dat het samenwerkingsverband en de deelnemende partijen voor de burger en voor degene die politiek verantwoordelijk is, effectief aanspreekbaar is. Dat probleem wordt versterkt doordat de medewerkers die namens hun organisatie binnen het samenwerkingsverband samenwerken, op grond van het wetsvoorstel in beginsel geheimhouding verschuldigd zijn aan hun eigen organisatie.28 Die geheimhoudingsplicht, hoewel uit een oogpunt van bescherming van persoonsgegevens begrijpelijk, kan het voor de deelnemende organisaties gecompliceerder maken om hun (gezamenlijke) verantwoordelijkheid voor de gegevensverwerking in de praktijk te effectueren omdat zij niet steeds over alle relevante informatie zullen kunnen beschikken.
De Afdeling wijst erop dat de in het wetsvoorstel gekozen constructie van de gezamenlijke verwerkingsverantwoordelijkheid vragen oproept en in verband daarmee niet voor alle samenwerkingsverbanden adequaat lijkt. Afhankelijk van de aard van het samenwerkingsverband en de verhouding tussen de daarin participerende partijen zijn andere constructies wellicht passender.29 Ook dat pleit voor meer specifiek (in)gerichte wetgeving.
5. Systematische gegevensverwerking, in het bijzonder profilering
a. Inhoud van het voorstel
Bij amvb kan worden bepaald dat het samenwerkingsverband gegevens systematisch kan verwerken. Het kan daarbij blijkens de voorgestelde wettekst gaan om het combineren, structureren, profileren en analyseren van gegevens om informatie af te leiden en vast te leggen voor het doel van het samenwerkingsverband.30 De vraag is wat er onder weinig specifieke begrippen als “systematisch verwerken”, “combineren”, “structureren” en “analyseren” moet worden verstaan; zij worden niet nader gedefinieerd.31 Wat er met de bepaling wordt bedoeld kan worden afgeleid uit de toelichting: daaruit blijkt dat er met name behoefte bestaat aan een wettelijke grondslag voor twee soorten gegevensverwerking, die worden omschreven als gezamenlijke casusanalyse en gezamenlijke data-analyse.
Gezamenlijke casusanalyses binnen samenwerkingsverbanden zijn met name van belang om ondermijnende criminaliteit effectief te kunnen bestrijden, zoals binnen de RIEC’s. De deelnemers aan zo’n samenwerkingsverband kunnen uiteenlopende signalen delen en combineren om het ondermijnende netwerk meer compleet in kaart te brengen en om te bepalen welke interventies het meest geschikt zijn.32
Bij een gezamenlijke data-analyse worden – zo stelt de toelichting – patronen blootgelegd of groepsprofielen opgesteld, om aan de hand daarvan een lijst te kunnen opstellen van personen, organisaties of bedrijven die met het oog op het doel van het samenwerkingsverband een verhoogd risico laten zien. Zulke analyses leveren – zo stelt de toelichting – doorgaans betere33 informatie op dan analyses die een individuele deelnemer aan het verband op grond van louter zijn eigen gegevens kan maken. De analyse kan een lijst opleveren van personen met een groot risico dat zij fraude plegen of nog gaan plegen. Zij zijn niet formeel verdachte, maar kunnen wel rekenen op “bijzondere aandacht”.34 Uit deze beschrijving van “gezamenlijke data-analyse” blijkt dat het opstellen van zo’n lijst in feite neerkomt op profilering, zoals dat begrip is omschreven in de AVG.35
b. Gezamenlijke data-analyse (profilering)
De Afdeling onderkent dat er situaties kunnen zijn waarin profilering een duidelijke meerwaarde heeft. Profilering is echter een methode waaraan grote risico’s zijn verbonden. Bij profilering kan – zo stelt de toelichting – aan een individuele persoon een generiek kenmerk van een groep worden tegengeworpen, terwijl dat kenmerk op hem niet van toepassing is en daarmee voor hem een zogenoemde false positive oplevert.36
De toelichting gaat echter niet nader in op de vraag wat dat concreet voor iemand kan betekenen. De gevolgen kunnen indringend zijn. Zo kan een risicomelding mede leiden tot het weigeren van een vergunning, overheidsopdracht of aanbesteding op basis van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (“Wet Bibob”).37 Daarnaast is voorstelbaar dat het instrument vooral wordt gericht op wijken of categorieën personen met een eenzijdige samenstelling (bijvoorbeeld arm of rijk, sociale of etnische opbouw). Daardoor kan een eenzijdig en onjuist beeld ontstaan van bijvoorbeeld de mate waarin fraude voorkomt onder bepaalde groepen. Dat kan stigmatiserend werken.
De bevoegdheid tot profileren dient dan ook met concrete waarborgen te zijn omgeven, als uitwerking van de algemene waarborgen die de AVG bevat.38 Het gaat met name om het beginsel van minimale gegevensverwerking,39 en om het voorkomen van discriminatie.40 In dat verband valt op dat het voorstel zelf geen materiële waarborgen bevat: die kunnen bij amvb worden geregeld. Wel bevat het twee andere, meer procedureel gerichte waarborgen.
De eerste waarborg houdt in dat de Autoriteit Persoonsgegevens (AP) vooraf toestemming moet geven voor profilering.41 Deze bepaling is weliswaar gebaseerd op de AVG maar is in de praktijk niet zonder problemen42: het houdt in dat de AP intensief wordt betrokken bij een bestuurlijke afweging, die niet gemaakt zou moeten worden door de toezichthouder maar door het bevoegde en aanspreekbare bestuursorgaan. Dat orgaan is bovendien beter op de hoogte van de elementen die op zijn eigen specifieke werkterrein afgewogen moeten worden dan de algemene toezichthouder. Daar komt bij dat het verlenen van toestemming gelet op de complexiteit van de materie en de verschillende belangen die in het geding zijn, een omvangrijk onderzoek noodzakelijk zal maken. Het is daarom begrijpelijk dat de AP tegen de achtergrond van de totaliteit van zijn takenpakket, in haar tweede advies heeft gevraagd wat de omvang van deze nieuwe taak is en hoe die zal worden bekostigd.43
De tweede in het wetsvoorstel neergelegde waarborg met het oog op profilering houdt in dat het samenwerkingsverband algemene gegevens over systematische gegevensverwerking toegankelijk moet maken; deze waarborg geeft uitwerking aan het beginsel van transparantie, dat burgers in staat moet stellen om na te gaan welke gegevens van hem verwerkt zouden kunnen worden.44 Het samenwerkingsverband hoeft echter geen gegevens over profilering toegankelijk te maken als een (publieke of private) deelnemer van oordeel is dat zwaarwegende redenen zich daartegen verzetten.45 De Afdeling acht het niet onaannemelijk dat deze uitzondering op het terrein dat door het wetsvoorstel wordt bestreken relatief vaak zal worden ingeroepen: bij SyRI, het systeem tegen sociale en fiscale fraude, is informatieverstrekking stelselmatig achterwege gebleven, om te voorkomen dat de “modus operandi” bekend wordt.46
In het licht van het voorgaande acht de Afdeling de voorgestelde procedurele waarborgen onvoldoende. In aanvulling daarop zijn concrete materiële criteria nodig om te bepalen wanneer profilering is toegestaan. Dat zal eenvoudiger te realiseren zijn als gekozen wordt voor wetgeving per (onderling samenhangende clusters van) samenwerkingsverband(en).
6. Afwijking van het doelbindingsbeginsel
Het voorstel voorziet erin dat persoonsgegevens zullen worden verzameld voor uiteenlopende doelen. Gegevens worden uitgewisseld door verschillende publieke en private partijen op een breed werkterrein die verschillende doelen en taken behartigen en over uiteenlopende soorten persoonsgegevens zullen beschikken. Persoonsgegevens die aanvankelijk zijn verzameld voor een specifieke wettelijke taak of een commercieel bedrijfsbelang, komen terecht bij het samenwerkingsverband en uiteindelijk bij een of meer andere deelnemende partijen of derden waar de gegevens mogelijk voor heel andere doelen zullen worden gebruikt: op grond van het voorstel kan het gaan om doelen die uiteen kunnen lopen en niet noodzakelijkerwijs verenigbaar zijn.
Als persoonsgegevens voor een bepaald doel worden verzameld hoeft de burger er in beginsel niet op bedacht te zijn dat zijn gegevens door een andere instantie dan waarmee hij contact heeft gehad, voor een heel ander doel worden gebruikt. Daarom is het doelbindingsbeginsel één van de kernbeginselen van het gegevensbeschermingsrecht. De AVG bepaalt met het oog daarop dat persoonsgegevens moeten worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en dat ze niet verder mogen worden verwerkt op een met die doeleinden onverenigbare wijze.47 Verdere verwerking van persoonsgegevens, ook voor onverenigbare doelen, is mogelijk als dit in het nationale recht is bepaald, mits aan bepaalde voorwaarden is voldaan.48 Uitzonderingen op het beginsel van doelbinding dienen strikt te worden geïnterpreteerd. Een te ruime uitleg zou deze voor de burger belangrijke waarborg kunnen ondermijnen.
De Afdeling merkt op dat het wetsvoorstel te veel ruimte biedt voor afwijking van het doelbindingsbeginsel. Weliswaar stelt de toelichting dat dit beginsel uitgangspunt blijft maar tegelijkertijd wordt er ruimte gecreëerd om in een amvb waarmee een samenwerkingsverband wordt ingesteld ‘een doel van zwaarwegend algemeen belang te formuleren dat niet op voorhand verenigbaar is met de doelen waarvoor de deelnemers de te verstrekken gegevens hebben verzameld’.49 Daarmee wordt vrijwel onbegrensd ruimte gelaten voor afwijking van het doelbindingsbeginsel en bestaat het risico dat in de uitwerking die afwijking in feite tot hoofdregel wordt verheven. Daarmee verliest de doelbinding zijn waarborgfunctie. Als wordt gekozen voor wetgeving per (cluster van) samenwerkingsverband(en), kan de spanning tussen de uiteenlopende doelen in ieder geval eenvoudiger worden opgelost.
7. Legaliteitsbeginsel en grondrechten
Het voorstel bevat, zoals eerder opgemerkt, grondslagen om op een groot aantal onderwerpen nadere regels te stellen bij amvb. Dat betreft onder meer de samenwerkingsverbanden die onder de wet zullen worden gebracht, het doel van het samenwerkingsverband, de partijen die deelnemen aan het samenwerkingsverband en hun onderscheiden verantwoordelijkheden, welke verwerkingen (inclusief systematische verwerking en profilering) zijn toegestaan en onder welke voorwaarden, en de waarborgen die het samenwerkingsverband en de deelnemende partijen moeten treffen. Het gevolg hiervan is dat een wezenlijk deel van het wettelijk regime niet op het niveau van de formele wet zal worden geregeld.
Het voorstel maakt het mogelijk dat persoonsgegevens op ruime schaal worden gedeeld. Ruime verwerking en uitwisseling van gegevens door en tussen overheidsinstanties en private partijen kan in het algemeen belang noodzakelijk zijn. Dit geldt zeker als het gaat om de bestrijding van ernstige, ondermijnende criminaliteit. Tegelijkertijd is het van belang te onderkennen dat persoonsgegevens raken aan de identiteit en het privéleven van individuele personen. Als persoonsgegevens op ruime schaal worden gedeeld en verspreid, kan dit grote consequenties hebben voor de betrokkene. Een ieder heeft dan ook recht op bescherming van zijn persoonsgegevens.50 Dit geldt te meer omdat technologische ontwikkelingen het steeds gemakkelijker maken om persoonsgegevens te verwerken en om een compleet beeld te vormen van de identiteit en het privéleven van bepaalde personen. Het wetsvoorstel biedt in dat verband een ruime basis voor verwerking van persoonsgegevens met behulp van het gebruik van moderne technieken, die uitmonden in “zachte” gegevens (risicomeldingen).51
Artikel 10 van de Grondwet bepaalt dat het recht op eerbiediging van de persoonlijke levenssfeer door de formele wetgever mag worden beperkt.52 De wetgever mag die bevoegdheid delegeren aan lagere regelgevers. Maar deze heeft hierin geen carte blanche. De beperkingen op het grondrecht moeten worden gespecificeerd en er dient, in elk geval op hoofdlijnen, een belangenafweging plaats te vinden in het licht van artikel 10 van de Grondwet op het niveau van de formele wet.
De Grondwet geeft aan de wetgever een belangrijke verantwoordelijkheid: deze moet beoordelen of de beperking van fundamentele rechten van burgers blijft binnen de grenzen die de Grondwet stelt en daarbij voldoet aan eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Aan deze verantwoordelijkheid wordt geen recht gedaan als de concrete invulling vrijwel geheel wordt overgelaten aan de amvb. De hoofdelementen die in algemene zin in ieder geval in de formele wet moeten worden neergelegd zijn de reikwijdte en de structurele elementen van een regeling.53
De Afdeling stelt vast dat het wetsvoorstel in deze vorm daaraan niet voldoet. Het bevat, samenvattend, weinig hoofdelementen:
het voorstel voorziet in de bevoegdheid om samenwerkingsverbanden in te stellen op een zeer breed terrein, maar de beoordeling en beslissing om in een concreet geval tot instelling over te gaan wordt gedelegeerd. De feitelijke reikwijdte van het voorstel wordt dus bij amvb bepaald;
de ruimte om partijen aan te wijzen die aan het samenwerkingsverband mogen deelnemen is vrijwel onbegrensd. Dat geldt ook voor private partijen: het voorstel geeft publieke en private partijen een gelijke positie (zie hiervoor punt 3);
het voorstel maakt het mogelijk om binnen samenwerkingsverbanden gegevens systematisch te verwerken, combineren, structureren en analyseren. Dit impliceert tevens gebruik van moderne technieken, met name profilering.54 Deze bevoegdheid wordt in het voorstel niet aan materiële regels gebonden (zie hiervoor punt 5);
de algemene doelen waarvoor de samenwerkingsverbanden gegevens mogen verwerken zijn niet nader bepaald of werkelijk begrensd. Dit betekent dat ook niet of nauwelijks grenzen worden gesteld aan gegevensverwerking voor onverenigbare doelen (zie hiervoor punt 6);
het voorstel bepaalt dat bij amvb nadere voorwaarden en beperkingen worden gesteld aan alle verwerkingen op grond van deze wet.55 Aan die bevoegdheid worden geen grenzen gesteld. Evenmin wordt in het wetsvoorstel bepaald aan wie (deelnemers en derden) gegevens vanuit het samenwerkingsverband mogen worden verstrekt en welke waarborgen in concrete zin voor de burger zullen gelden;
het voorstel bevat met name regels over persoonsgegevens, maar de reikwijdte is ruimer dan dat: het maakt verwerking mogelijk van gegevens in het algemeen. Zo kan het ook gaan om bedrijfsgegevens die niet noodzakelijkerwijs tot personen zijn te herleiden.56 Ook bedrijfsgegevens die niet onder de persoonsgegevens zijn te rekenen verdienen bescherming tegen verspreiding en gebruik, zoals blijkt uit de weigeringsgrond voor het verstrekken van bedrijfs- en fabricagegegevens in de Wet openbaarheid van bestuur.57 De meeste waarborgen in het voorstel hebben echter alleen betrekking op persoonsgegevens.
Het niet uitwerken van deze hoofdelementen in de wet zelf leidt ertoe dat het bereik en de proportionaliteit van de beperkingen in de zin van artikel 10 van de Grondwet onvoldoende in concreto door de wetgever worden bepaald. Het wetsvoorstel is een kaderwet die een vrijwel onbegrensde ruimte geeft om over belangrijke en voor de burger potentieel ingrijpende onderwerpen op een lager niveau te besluiten en nadere regels te stellen. Het voorstel voldoet in deze vorm daarmee niet aan de eisen die de Grondwet stelt.
8. Alternatieve benadering
Vanwege de brede reikwijdte acht de Afdeling het zeer onzeker of in de gekozen constructie de met het oog op de effectiviteit en de Grondwet noodzakelijke toespitsing kan worden gerealiseerd.
De Afdeling geeft daarom een alternatieve benadering in overweging waarin deze problemen beperkter en overzichtelijker worden. Die benadering zou kunnen inhouden dat voor enkele belangrijke samenwerkingsverbanden, of voor onderling samenhangende clusters van samenwerkingsverbanden die zich op hetzelfde te specificeren gebied bevinden, aparte wetten tot stand worden gebracht dan wel dat deze wet tot een dergelijk cluster wordt beperkt en dienovereenkomstig betekenisvol wordt aangepast. De noodzaak daartoe kan met name bestaan voor samenwerkingsverbanden die specifiek gericht zijn op de bestrijding van ernstige en grootschalige georganiseerde criminaliteit (“ondermijnende criminaliteit”). Juist op dit terrein zijn wellicht ook aanvullende bevoegdheden nodig die van een specifieke wettelijke grondslag moeten worden voorzien.
In deze benadering wordt het eenvoudiger om voor de betreffende samenwerkingsverbanden afzonderlijk na te gaan of de knelpunten die in de praktijk worden ondervonden bij het verwerken van persoonsgegevens zodanig zijn dat wetgeving nodig is en hoe deze toegespitst op het betreffende samenwerkingsverband moet worden ingericht. De onzekerheid over de rechtmatigheid van de gegevensverwerking kan dan beter worden weggenomen. Het wordt ook beter mogelijk om in concreto een evenwicht te vinden tussen het belang van een effectief overheidsoptreden en het belang van de bescherming van de persoonlijke levenssfeer.
Het wordt in een op de betreffende samenwerkingsverbanden gerichte benadering eenvoudiger om daarop toegespitst maatwerk te leveren. Zo wordt het gemakkelijker te beoordelen hoe de taken en doelen van de deelnemers zich tot elkaar verhouden, welke problemen zich voordoen als die doelen minder goed of niet verenigbaar zijn en of – en zo ja, onder welke voorwaarden – het gelet op het doel van het betreffende samenwerkingsverband gerechtvaardigd is om de doelbinding te doorbreken. De verantwoordelijkheid voor de gegevensverwerking kan scherper worden omschreven, met nadere bepaling van de rol van iedere deelnemer. De rol van de private partijen binnen het samenwerkingsverband kan nauwkeurig, per geval, worden uitgewerkt. Specifieke wetgeving kan bovendien meer concrete sturing geven bij de keus om binnen het samenwerkingsverband te kiezen voor gezamenlijke casusanalyses en profilering. Ook kan concreter worden bepaald welke waarborgen met het oog op een zorgvuldige gegevensverwerking moeten gelden. Ten slotte kan nader worden bepaald of ook bedrijfsgegevens die niet tot personen herleidbaar zijn verwerkt moeten worden en, zo ja, welke voorwaarden en beperkingen daarbij moeten gelden.
De Afdeling merkt op dat een dergelijke meer op specifieke samenwerking gerichte benadering ook elders ingang vindt. Gewezen kan worden op het hiervoor al genoemde Systeem risico indicatie (SyRI) waarvoor – daargelaten of de betreffende wet aan de grondrechtelijke eisen voldoet58 – een specifiek daarop gerichte wettelijke regeling tot stand is gebracht.59 Verder zijn er wetsvoorstellen in voorbereiding voor de gegevensverwerking ter bestrijding van zorgfraude60 en in het kader van de gegevensuitwisseling in het sociale domein.61 Ook kan inspiratie worden geput uit wat op dit moment al bij convenant of protocol voor bestaande samenwerkingsverbanden is geregeld. Onderzocht zou kunnen worden in hoeverre onderdelen hiervan zich lenen voor regeling op het niveau van de formele wet.
Met een dergelijke, meer op de (een) concre(e)t(e) samenwerkingsverband(en) gerichte benadering neemt de wetgever (regering en parlement) zelf verantwoordelijkheid voor de wezenlijke beleidskeuzes die nu grotendeels worden voorbehouden aan het niveau van de amvb. Dergelijke meer toegespitste wetgeving is niet alleen effectiever maar doet tevens meer recht aan eveneens benodigde waarborgen voor de bescherming van de persoonlijke levenssfeer. De spanning die zich voordoet met artikel 10 van de Grondwet kan met het oog daarop langs die weg worden opgeheven.
9. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.
De Afdeling advisering van de Raad van State heeft een aantal
bezwaren bij het voorstel en adviseert het voorstel niet bij de Tweede
Kamer der Staten-Generaal in te dienen, tenzij het is aangepast.
De vice-president van de Raad van State,
Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W16.19.0159/II
Artikel 7, eerste lid, aanhef, in de bedrijvende vorm redigeren (aanwijzing 4.49, eerste lid, toelichting, van de Aanwijzingen voor de regelgeving).
In artikel 9, eerste en tweede lid, in de zinsnede die begint met “behoudens”, verduidelijken wat hier bedoeld is: dat het wettelijk voorschrift voorziet in de bevoegdheid om gegevens te verstrekken of in de verplichting.
Toelichting, Algemeen deel, paragraaf 1 (Inleiding).↩︎
Rapport van de Werkgroep Verkenning kaderwet gegevensuitwisseling, Kennis delen geeft kracht: Naar een betere én zorgvuldigere gegevensuitwisseling in samenwerkingsverbanden, Den Haag 5 december 2014, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79. Er is geen actueler systematisch overzicht van het aantal samenwerkingsverbanden.↩︎
Over deze samenwerkingsverbanden is meer informatie te vinden op de respectievelijke websites: <https://:www.fec-partners.nl>, <https://www.riec.nl> en https://www.veiligheidshuizen.nl>.↩︎
Aan zowel het FEC als de RIEC’s nemen de Belastingdienst, het OM en de politie deel. Het landelijk meldpunt internetoplichting is een voorbeeld van een verband waaraan banken deelnemen. In het geval van de Regionale hennep convenanten nemen energiemaatschappijen en woningbouwcorporaties deel.↩︎
Het is geregeld in de Wet structuur uitvoeringsorganisatie werk en inkomen.↩︎
Wetsvoorstel bevordering samenwerking en rechtmatige zorg. De internetconsultatie is gesloten op 5 juli 2018.↩︎
Rapport van de Werkgroep Verkenning kaderwet gegevensuitwisseling, opgenomen als bijlage bij Kamerstukken II 2014/15, 32761, nr. 79.↩︎
De toets die hiervoor eerder in de Wet bescherming persoonsgegevens en nu in de Algemene Verordening Gegevensbescherming (AVG) is aangelegd wordt in de praktijk als lastig ervaren, en zet daardoor een rem op de gegevensverstrekking, blijkt uit het rapport van de Werkgroep Verkenning kaderwet gegevensuitwisseling (bijlage bij Kamerstukken II 2014/15, 32761, nr. 79). Zie artikel 6, vierde lid, van de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 94/46/EG, PbEU 2016, L 119 (AVG).↩︎
Voorgesteld artikel 5 en 6.↩︎
Voorgesteld artikel 6 en 7.↩︎
Voorgesteld artikel 8.↩︎
Toelichting, Algemeen deel, paragrafen 1 (Inleiding) en 2 (Aanleiding).↩︎
Toelichting, Algemeen deel, paragraaf 8.2 (Aanvullende advies), punt 1.↩︎
Voorgesteld artikel 2.↩︎
Voorgesteld artikel 2, aanhef.↩︎
Artikel 5, eerste lid, onderdeel b, AVG.↩︎
De term kan bovendien verwarrend werken, omdat die ook in de AVG voorkomt, maar daar in een andere betekenis wordt gebruikt (artikel 9, tweede lid, onderdeel g, AVG).↩︎
Voorgesteld artikel 4.↩︎
Voorgesteld artikel 3, eerste lid.↩︎
Toelichting, Algemeen deel, paragraaf 3.2.1 (Instelling of aanwijzing bij amvb).↩︎
Voorgesteld artikel 3, eerste lid.↩︎
Advies van 10 september 2018 over de Wet ruimte voor duurzaamheidsinitiatieven, W18.18.0064, Kamerstukken II 2018/19, 35247, nr. 4. Jaarverslag 2018 Raad van State, p. 19.↩︎
Behalve op één punt: tenminste één deelnemer moet bestuursorgaan zijn.↩︎
Alleen bijzondere categorieën van persoonsgegevens worden buiten het bestek van het voorstel gelaten, zie Toelichting, Algemeen deel, paragraaf 9 (Overige consultatiereacties), punt 14.↩︎
Toelichting, Algemeen deel, paragraaf 3.4 (Waarborgen).↩︎
Voorgesteld artikel 4.↩︎
Artikel 26 AVG.↩︎
Voorgesteld artikel 9.↩︎
Eén zo’n constructie zou kunnen zijn dat alleen de twee of drie organisaties die de kern vormen van een samenwerkingsverband gezamenlijk verwerkingsverantwoordelijke zijn. De taken, bevoegdheden en verantwoordelijkheden van de andere deelnemers zouden dan beperkter zijn en zouden apart geregeld kunnen worden.↩︎
Voorgesteld artikel 6, derde en vierde lid.↩︎
Dat geldt niet voor het begrip ‘profilering’. Het wetsvoorstel verwijst naar dat begrip zoals het is gedefinieerd in artikel 4, onderdeel 4, van de AVG: “elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.”↩︎
In de voorlichting van 20 maart 2019 heeft de Afdeling geconcludeerd dat de noodzaak van wetswijziging met het oog op binnengemeentelijke gegevensuitwisseling ten behoeve van de RIEC’s nog onvoldoende was aangetoond. Zie Kamerstukken II 2018/19, 29911, nr. 223. In zijn reactie onderschreef de minister deze conclusie. Zie Kamerstukken II 2019/20, 29911, nr. 254, bijlage, p. 7.↩︎
Het gaat in de eerste plaats om meer informatie. Of die meerdere informatie ook beter is, van goede kwaliteit, wordt door de regering zelf ook gerelativeerd.↩︎
Toelichting, paragrafen 3.3.2 (Verwerking van gegevens binnen een samenwerkingsverband), 4 (Verhouding tot bestaande en nieuwe samenwerkingsverbanden), en 9 (Overige consultatiereacties), onder vraag 9.↩︎
Dit wordt ook duidelijk op één plaats in de toelichting, waar de nieuwe werkwijze wordt toegepast op de infobox Crimineel en Onverklaarbaar Vermogen (iCOV) (toelichting, paragraaf 3.6 (Voorbeeld van een uitwerking voor een specifiek samenwerkingsverband)).↩︎
Toelichting, paragraaf 3.5 (Voorafgaande toetsende rol van de Autoriteit persoonsgegevens), onder “Voorafgaande toestemming AP”.↩︎
Dit is mogelijk als het samenwerkingsverband gegevens verstrekt aan een deelnemer of een derde (voorgesteld artikel 7) die op zijn beurt informatiebron is voor het Landelijk Bureau Bibob, zoals de belastingdienst, de Justitiële informatiedienst, het Meldpunt ongebruikelijke transacties, het openbaar ministerie en verschillende rijksinspecties (artikel 27 Wet Bibob).↩︎
Artikel 22 AVG.↩︎
Artikel 5, eerste lid, AVG.↩︎
Considerans 71 AVG.↩︎
Voorgesteld artikel 6, vierde lid.↩︎
Artikel 36 AVG.↩︎
Aanvullend advies van de AP van 19 april 2019, p. 7. In de toelichting wordt geantwoord dat de kosten nu nog niet zijn in te schatten: dat hangt af van het aantal samenwerkingsverbanden dat onder de wet wordt gebracht (toelichting, paragraaf 8.2 (Aanvullend advies), onder vraag 12.↩︎
Artikelen 12 tot en met 15 AVG.↩︎
Voorgesteld artikel 8, vierde lid.↩︎
Kamerstukken II 2017/18, 32761, nr. 122.↩︎
Artikel 5, eerste lid, onder b, AVG.↩︎
Artikel 6, vierde lid, onder a t/m e, AVG, zijn criteria opgenomen voor de beoordeling van de verenigbaarheid van de verwerking voor een ander doel dan waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Artikel 6, vierde lid, aanhef, verwijst naar de mogelijkheid dat verdere verwerking voor niet-verenigbare doelen bij nationaal recht kan worden bepaald, onder verwijzing naar de doelstellingen die zijn opgenomen in artikel 23, eerste lid, AVG.↩︎
Toelichting, paragraaf 3.3.1, slot.↩︎
Ook andere grondrechten kunnen overigens in het geding zijn, zoals het non-discriminatiebeginsel. Dat zal met name risico’s op kunnen leveren bij de uitvoering, namelijk wanneer het samenwerkingsverband profilering en algoritmes toepast.↩︎
Voorgesteld artikel 6 lid 3. Zie hiervoor punt 5.↩︎
Verwerking van persoonsgegevens vormt daarnaast een beperking van het recht op bescherming van de persoonlijke levenssfeer dat wordt beschermd door artikel 8 van het Europees Verdrag tot bescherming van de Rechten van de Mens en de fundamentele vrijheden (EVRM) en de artikelen 7 en 8 van het Handvest van de grondrechten van de EU. De AVG geeft hieraan een nadere uitwerking.↩︎
Zie aanwijzing 2.19 van de Aanwijzingen voor de regelgeving. In het Jaarverslag 2018 van de Raad van State, onder “De Raad in de staat”, wordt een en ander opgemerkt over taak en rol van de wetgever en in het bijzonder over de risico’s en problemen bij kaderwetgeving.↩︎
De bevoegdheid tot profilering is gebonden aan voorafgaande toestemming van de Autoriteit persoonsgegevens. Zie het voorgestelde artikel 6 lid 4.↩︎
Artikel 8.↩︎
Voorgesteld artikel 1, tweede lid, definitie van “gegevens”. Toelichting, paragraaf 3.4 (Waarborgen).↩︎
Artikel 10, eerste lid, onderdeel c, van de Wet openbaarheid van bestuur.↩︎
Zie het advies van de Afdeling advisering van de Raad van State van 14 december 2012, W12.12.0403, Kamerstukken II 2012/13, 33579, nr. 4. Ook van belang is het advies van 15 mei 2014, W12.14.0102, over het Besluit SyRI, Staatscourant 2014, nr. 26306, www.raadvanstate.nl/adviezen.↩︎
Van belang is dat in een op een specifiek samenwerkingsverband gerichte wet, die vraag door de wetgever na een publiek in Tweede en Eerste Kamer gevoerd debat kan en moet worden beantwoord.↩︎
Wetsvoorstel bevordering samenwerking en rechtmatige zorg. De internetconsultatie is gesloten op 5 juli 2018.↩︎
Zie de recente brief van 27 september 2019 van de minister van Binnenlandse Zaken en Koninkrijksrelaties, Kamerstukken II 2019/20, 34477, nr. 66.↩︎