Bij zowel publieke als private organisaties bestaat er behoefte om gegevens uit te wisselen. Bijvoorbeeld om fraude en ondermijning aan te pakken. Op basis van de privacyregelgeving (bijvoorbeeld de AVG) mag dat niet zomaar. De Wet gegevensverwerking door samenwerkingsverbanden (Wgs) gaat een basis bieden voor gegevensverwerking door samenwerkingsverbanden die het doel hebben fraude, criminaliteit en/of ondermijning tegen te gaan.
Blogreeks Wgs
Voor welk probleem biedt de Wgs een oplossing? Waarvoor kan de Wgs worden gebruikt en waar moet je bij de inzet van de wet op letten? In een blogreeks informeren wij u over wat u over de Wgs moet weten. In dit deel van de blogreeks praten wij u bij waarvoor de Wgs een basis biedt.
Een lang wetgevingstraject
Het oorspronkelijke wetsvoorstel voor de Wgs werd in 2019 ingediend. Vervolgens heeft de Autoriteit Persoonsgegevens (AP) de Eerste Kamer geadviseerd om de Wgs niet aan te nemen, omdat de Wgs overheidsorganisaties en private partijen volgens haar (te) ruime bevoegdheden geeft om persoonsgegevens met elkaar te delen. Het wetsvoorstel kwam daardoor op losse schroeven te staan. Omdat het wetsvoorstel tussentijds ingrijpend wijzigde, zijn de AP, Raad van State (de Afdeling) en het College voor de Rechten van de Mens opnieuw verzocht om voorlichting te geven over de wet.
Naar aanleiding van het advies van de AP heeft de Eerste Kamer de Afdeling op een aantal aspecten om aanvullend advies gevraagd en zijn een aantal aanpassingen gedaan. In het aanvullend advies concludeert de Afdeling dat met de gemaakte aanpassingen in belangrijke mate tegemoet is gekomen aan de eisen.
De Eerste Kamer heeft het wetsvoorstel op 18 juni 2024 aangenomen. Kort daarna is de Wgs in het Staatsblad gepubliceerd. Het streven is dat de wet per 1 januari 2025, of zoveel eerder als mogelijk, in werking treedt.
Wat is het probleem?
Volgens de toelichting op de Wgs doet zich bij de huidige samenwerkingsverbanden een aantal knelpunten voor. Zo mist er een vaak een passende grondslag voor de verwerking van (persoons)gegevens door samenwerkingsverbanden, althans door de verschillende deelnemers binnen een dergelijk samenwerkingsverband. Dit komt veelal doordat de deelnemers actief zijn in verschillende sectoren en de sectorale wetgeving die in dat kader op elke afzonderlijke deelnemer van toepassing is. Een en ander leidt er bij deelnemers aan het samenwerkingsverband toe dat zij vaak niet goed weten wat er wel en niet mag. In het ene geval zoeken zij de grenzen op en verwerken mogelijk op onrechtmatige wijze om doelen in het kader van fraude, criminaliteit en/of ondermijning te kunnen bereiken, en in het andere geval zijn de deelnemers risicomijdend en worden helemaal geen persoonsgegevens verwerkt, terwijl dat wellicht als nodig wordt gezien. Dat vond de regering onwenselijk.
Wat zijn samenwerkingsverbanden?
De Wgs omschrijft een samenwerkingsverband als (artikel 1.1 Wgs):
“Een verband van deelnemers die gezamenlijk gegevens verwerken voor een bij of krachtens deze wet vastgestelde doelstelling van zwaarwegend algemeen belang.”
Het komt eigenlijk neer op een verzameling aan instanties die met elkaar samenwerken en voor hun doelstelling gegevens met elkaar, of met een aantal deelnemers, uitwisselen. Eén van deze partijen moet een overheidsinstantie zijn. De doelstelling van het samenwerkingsverband moet gericht zijn op de aanpak en bestrijding van ondermijnende criminaliteit en fraude.
Zowel overheidsorganisaties als private partijen kunnen aan zo’n samenwerkingsverband deelnemen (artikel 1.3 Wgs). Aanwijzing van een private partij als deelnemer aan een samenwerkingsverband kan alleen plaatsvinden indien het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partij en indien tevens overheidsinstanties of overheidsorganen deelnemen. De Wgs laat onverlet dat deelnemers van andere dan de in de Wgs genoemde samenwerkingsverbanden krachtens een andere wet onderling gegevens kunnen blijven verwerken, een en ander uiteraard zolang wordt voldaan aan (bijvoorbeeld) de AVG.
Wat kunnen deelnemers doen?
De deelnemers van een samenwerkingsverband zijn gezamenlijke verwerkingsverantwoordelijken als bedoeld in de AVG (artikel 1.4 Wgs). Dat wil zeggen dat wordt aangenomen dat de deelnemers – in bepaalde mate – gezamenlijk invloed hebben op de doelen en de middelen van de verwerkingen die plaatsvinden. Als gevolg van deze kwalificatie moet ex artikel 26 AVG een regeling worden opgesteld. In deze regeling moet onder andere worden afgesproken hoe de deelnemers uitvoering geven aan de rechten die betrokkenen (natuurlijke personen op wie de te verwerken persoonsgegevens betrekking hebben) hebben op grond van de AVG, bijvoorbeeld het inzagerecht. De kern van deze regeling moet aan de betrokkenen kenbaar worden gemaakt, bijvoorbeeld via een externe privacyverklaring. De “artikel 26-regeling” kan (ook) worden vervat in een samenwerkingsovereenkomst of convenant.
Deelnemers van een samenwerkingsverband kunnen bepaalde gegevens die zij volgens hun wettelijke taak verwerken aan het samenwerkingsverband verstrekken (artikel 1.5 Wgs), een en ander wel enkel voor zover dit noodzakelijk is voor het doel van het samenwerkingsverband. Vervolgens kunnen de resultaten van verwerking voor bepaalde doeleinden binnen het samenwerkingsverband of, onder voorwaarden, aan derden worden verstrekt (artikel 1.7 Wgs).
Welke samenwerkingsverbanden wijst de Wgs aan?
De Wgs geeft een basis voor vier specifieke samenwerkingsverbanden:
- Het Financieel Expertisecentrum (FEC);
- De Infobox Crimineel en Onverklaarbaar Vermogen (iCOV);
- De Regionale Informatie- en Expertisecentra (RIEC’s) en;
- De Zorg- en Veiligheidshuizen.
Niet elk willekeurig samenwerkingsverband dat stelt te voldoen aan de hierboven genoemde definitie mag op basis van de Wgs persoonsgegevens verwerken. Samenwerkingsverbanden mogen op basis van de Wgs slechts in het leven worden geroepen voor drie doelstellingen, namelijk het voorkomen en bestrijden van criminaliteit, onrechtmatig gebruik van overheidsgelden en ontduiking van wettelijke verplichtingen. Uitgangspunt is dat de samenwerkingsverbanden in de Wgs worden aangewezen. Het doorlopen van zo’n wetgevingstraject kost tijd. Daarom is er een mogelijkheid om deelnemers in geval van spoed bij Algemene Maatregel van Bestuur (AMvB) aan te wijzen. Het toevoegen van een samenwerkingsverband is op toezegging van de minister enkel mogelijk ter overbrugging van de benodigde tijd om dit uiteindelijk in de Wgs zelf te regelen.
Tijdens de parlementaire behandeling is door de Tweede Kamer een amendement aangenomen dat de eis stelt dat er een voorhangprocedure wordt gevolgd voor de toevoeging van nieuwe samenwerkingsverbanden bij AMvB, gekoppeld aan een voorafgaande goedkeuring door het parlement. Zo is het dus uiteindelijk aan het parlement om te bepalen of er een ‘zwaarwegend algemeen belang’ bestaat dat het aanwijzen van een samenwerkingsverband rechtvaardigt (artikel 1.1 Wgs).
Besluit gegevensverwerking door samenwerkingsverbanden
De Wgs is een zogenoemde “kaderwet”. Dat houdt in dat de wet de basis vormt om een groot aantal zaken bij AMvB uit te werken. Dit is gebeurd in het Besluit gegevensverwerking door samenwerkingsverbanden (Bgs). Het concept voor de Bgs ligt nu voor advies bij de Raad van State. Er was volgens de regering en de Eerste Kamer geen bezwaar om de Wgs in afwachting hiervan aan te nemen. Het concept-Bgs regelt in grote lijnen het volgende:
- Omlijning van wat welke samenwerkingsverbanden precies mogen doen. Zo zijn in het concept-Bgs de grondslagen om gegevens te kunnen delen verder verduidelijkt en worden meer waarborgen ingebouwd voor bescherming van persoonsgegevens;
- Ook krijgen in het concept-Bgs een aantal zorgpunten een plaats die geadresseerd zijn door het parlement, de Raad van State en de Autoriteit Persoonsgegevens, in de vorm van waarborgen en begrenzingen van de gegevensverwerkingen door samenwerkingsverbanden;
- Regels over de werkwijze bij inzage- of rectificatieverzoeken van betrokkenen;
- Concretisering van de aan de RIEC’s te verstrekken categorieën gegevens.
Tot slot
In dit deel van de blogreeks praatten wij u bij over wat de Wgs mogelijk gaat maken. In de volgende blogs van de reeks zetten wij de waarborgen die de Wgs geeft uiteen en gaan wij in op in op de regeling voor de RIEC’s en Zorg- en Veiligheidshuizen.
Bij zowel publieke als private organisaties bestaat er behoefte om gegevens uit te wisselen. Bijvoorbeeld om fraude en ondermijning aan te pakken. Op basis van de privacyregelgeving (bijvoorbeeld de AVG) mag dat niet zomaar. De Wet gegevensverwerking door samenwerkingsverbanden (Wgs) gaat een basis bieden voor gegevensverwerking door samenwerkingsverbanden die het doel hebben fraude, criminaliteit en/of ondermijning tegen te gaan.
Blogreeks Wgs
Voor welk probleem biedt de Wgs een oplossing? Waarvoor kan de Wgs worden gebruikt en waar moet je bij de inzet van de wet op letten? In een blogreeks informeren wij u over wat u over de Wgs moet weten. In dit deel van de blogreeks praten wij u bij waarvoor de Wgs een basis biedt.
Een lang wetgevingstraject
Het oorspronkelijke wetsvoorstel voor de Wgs werd in 2019 ingediend. Vervolgens heeft de Autoriteit Persoonsgegevens (AP) de Eerste Kamer geadviseerd om de Wgs niet aan te nemen, omdat de Wgs overheidsorganisaties en private partijen volgens haar (te) ruime bevoegdheden geeft om persoonsgegevens met elkaar te delen. Het wetsvoorstel kwam daardoor op losse schroeven te staan. Omdat het wetsvoorstel tussentijds ingrijpend wijzigde, zijn de AP, Raad van State (de Afdeling) en het College voor de Rechten van de Mens opnieuw verzocht om voorlichting te geven over de wet.
Naar aanleiding van het advies van de AP heeft de Eerste Kamer de Afdeling op een aantal aspecten om aanvullend advies gevraagd en zijn een aantal aanpassingen gedaan. In het aanvullend advies concludeert de Afdeling dat met de gemaakte aanpassingen in belangrijke mate tegemoet is gekomen aan de eisen.
De Eerste Kamer heeft het wetsvoorstel op 18 juni 2024 aangenomen. Kort daarna is de Wgs in het Staatsblad gepubliceerd. Het streven is dat de wet per 1 januari 2025, of zoveel eerder als mogelijk, in werking treedt.
Wat is het probleem?
Volgens de toelichting op de Wgs doet zich bij de huidige samenwerkingsverbanden een aantal knelpunten voor. Zo mist er een vaak een passende grondslag voor de verwerking van (persoons)gegevens door samenwerkingsverbanden, althans door de verschillende deelnemers binnen een dergelijk samenwerkingsverband. Dit komt veelal doordat de deelnemers actief zijn in verschillende sectoren en de sectorale wetgeving die in dat kader op elke afzonderlijke deelnemer van toepassing is. Een en ander leidt er bij deelnemers aan het samenwerkingsverband toe dat zij vaak niet goed weten wat er wel en niet mag. In het ene geval zoeken zij de grenzen op en verwerken mogelijk op onrechtmatige wijze om doelen in het kader van fraude, criminaliteit en/of ondermijning te kunnen bereiken, en in het andere geval zijn de deelnemers risicomijdend en worden helemaal geen persoonsgegevens verwerkt, terwijl dat wellicht als nodig wordt gezien. Dat vond de regering onwenselijk.
Wat zijn samenwerkingsverbanden?
De Wgs omschrijft een samenwerkingsverband als (artikel 1.1 Wgs):
“Een verband van deelnemers die gezamenlijk gegevens verwerken voor een bij of krachtens deze wet vastgestelde doelstelling van zwaarwegend algemeen belang.”
Het komt eigenlijk neer op een verzameling aan instanties die met elkaar samenwerken en voor hun doelstelling gegevens met elkaar, of met een aantal deelnemers, uitwisselen. Eén van deze partijen moet een overheidsinstantie zijn. De doelstelling van het samenwerkingsverband moet gericht zijn op de aanpak en bestrijding van ondermijnende criminaliteit en fraude.
Zowel overheidsorganisaties als private partijen kunnen aan zo’n samenwerkingsverband deelnemen (artikel 1.3 Wgs). Aanwijzing van een private partij als deelnemer aan een samenwerkingsverband kan alleen plaatsvinden indien het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt zonder deelname van deze private partij en indien tevens overheidsinstanties of overheidsorganen deelnemen. De Wgs laat onverlet dat deelnemers van andere dan de in de Wgs genoemde samenwerkingsverbanden krachtens een andere wet onderling gegevens kunnen blijven verwerken, een en ander uiteraard zolang wordt voldaan aan (bijvoorbeeld) de AVG.
Wat kunnen deelnemers doen?
De deelnemers van een samenwerkingsverband zijn gezamenlijke verwerkingsverantwoordelijken als bedoeld in de AVG (artikel 1.4 Wgs). Dat wil zeggen dat wordt aangenomen dat de deelnemers – in bepaalde mate – gezamenlijk invloed hebben op de doelen en de middelen van de verwerkingen die plaatsvinden. Als gevolg van deze kwalificatie moet ex artikel 26 AVG een regeling worden opgesteld. In deze regeling moet onder andere worden afgesproken hoe de deelnemers uitvoering geven aan de rechten die betrokkenen (natuurlijke personen op wie de te verwerken persoonsgegevens betrekking hebben) hebben op grond van de AVG, bijvoorbeeld het inzagerecht. De kern van deze regeling moet aan de betrokkenen kenbaar worden gemaakt, bijvoorbeeld via een externe privacyverklaring. De “artikel 26-regeling” kan (ook) worden vervat in een samenwerkingsovereenkomst of convenant.
Deelnemers van een samenwerkingsverband kunnen bepaalde gegevens die zij volgens hun wettelijke taak verwerken aan het samenwerkingsverband verstrekken (artikel 1.5 Wgs), een en ander wel enkel voor zover dit noodzakelijk is voor het doel van het samenwerkingsverband. Vervolgens kunnen de resultaten van verwerking voor bepaalde doeleinden binnen het samenwerkingsverband of, onder voorwaarden, aan derden worden verstrekt (artikel 1.7 Wgs).
Welke samenwerkingsverbanden wijst de Wgs aan?
De Wgs geeft een basis voor vier specifieke samenwerkingsverbanden:
- Het Financieel Expertisecentrum (FEC);
- De Infobox Crimineel en Onverklaarbaar Vermogen (iCOV);
- De Regionale Informatie- en Expertisecentra (RIEC’s) en;
- De Zorg- en Veiligheidshuizen.
Niet elk willekeurig samenwerkingsverband dat stelt te voldoen aan de hierboven genoemde definitie mag op basis van de Wgs persoonsgegevens verwerken. Samenwerkingsverbanden mogen op basis van de Wgs slechts in het leven worden geroepen voor drie doelstellingen, namelijk het voorkomen en bestrijden van criminaliteit, onrechtmatig gebruik van overheidsgelden en ontduiking van wettelijke verplichtingen. Uitgangspunt is dat de samenwerkingsverbanden in de Wgs worden aangewezen. Het doorlopen van zo’n wetgevingstraject kost tijd. Daarom is er een mogelijkheid om deelnemers in geval van spoed bij Algemene Maatregel van Bestuur (AMvB) aan te wijzen. Het toevoegen van een samenwerkingsverband is op toezegging van de minister enkel mogelijk ter overbrugging van de benodigde tijd om dit uiteindelijk in de Wgs zelf te regelen.
Tijdens de parlementaire behandeling is door de Tweede Kamer een amendement aangenomen dat de eis stelt dat er een voorhangprocedure wordt gevolgd voor de toevoeging van nieuwe samenwerkingsverbanden bij AMvB, gekoppeld aan een voorafgaande goedkeuring door het parlement. Zo is het dus uiteindelijk aan het parlement om te bepalen of er een ‘zwaarwegend algemeen belang’ bestaat dat het aanwijzen van een samenwerkingsverband rechtvaardigt (artikel 1.1 Wgs).
Besluit gegevensverwerking door samenwerkingsverbanden
De Wgs is een zogenoemde “kaderwet”. Dat houdt in dat de wet de basis vormt om een groot aantal zaken bij AMvB uit te werken. Dit is gebeurd in het Besluit gegevensverwerking door samenwerkingsverbanden (Bgs). Het concept voor de Bgs ligt nu voor advies bij de Raad van State. Er was volgens de regering en de Eerste Kamer geen bezwaar om de Wgs in afwachting hiervan aan te nemen. Het concept-Bgs regelt in grote lijnen het volgende:
- Omlijning van wat welke samenwerkingsverbanden precies mogen doen. Zo zijn in het concept-Bgs de grondslagen om gegevens te kunnen delen verder verduidelijkt en worden meer waarborgen ingebouwd voor bescherming van persoonsgegevens;
- Ook krijgen in het concept-Bgs een aantal zorgpunten een plaats die geadresseerd zijn door het parlement, de Raad van State en de Autoriteit Persoonsgegevens, in de vorm van waarborgen en begrenzingen van de gegevensverwerkingen door samenwerkingsverbanden;
- Regels over de werkwijze bij inzage- of rectificatieverzoeken van betrokkenen;
- Concretisering van de aan de RIEC’s te verstrekken categorieën gegevens.
Tot slot
In dit deel van de blogreeks praatten wij u bij over wat de Wgs mogelijk gaat maken. In de volgende blogs van de reeks zetten wij de waarborgen die de Wgs geeft uiteen en gaan wij in op in op de regeling voor de RIEC’s en Zorg- en Veiligheidshuizen.