Bij zowel publieke als private organisaties bestaat er behoefte om gegevens uit te wisselen, bijvoorbeeld om fraude en ondermijning aan te pakken. Op basis van de privacyregelgeving (AVG) mag dat niet zomaar. De Wet gegevensverwerking door samenwerkingsverbanden (Wgs) gaat, in bepaalde gevallen, een mogelijkheid bieden voor gegevensverwerking door samenwerkingsverbanden die het doel hebben fraude, criminaliteit en/of ondermijning tegen te gaan.
In het vorige deel van de blogreeks gingen wij in op wat de Wgs regelt. In dit blog gaan wij verder in op de waarborgen die de Wgs geeft om te voorkomen dat er een onbeperkte gegevensuitwisseling plaatsvindt.
Zorgen over de Wgs
De gevolgen voor een individu, een ‘betrokkene’, waarvan op basis van de Wgs gegevens worden verwerkt, kunnen verstrekkend zijn. Dat is één van de redenen waarom het wetsvoorstel voor de Wgs tot een grote hoeveelheid reacties van bijvoorbeeld de Autoriteit Persoonsgegevens (AP), de Raad van State en het College voor de Rechten van de Mens heeft geleid. Critici vragen zich af of de Wgs binnen de randvoorwaarden van de AVG past. De AP adviseerde de Eerste Kamer zelfs om de Wgs niet aan te nemen. Om tegemoet te komen aan deze zorgen heeft de regering in de Wgs en het concept voor het Besluit gegevensverwerking door samenwerkingsverbanden (Bgs) een aantal belangrijke waarborgen opgenomen. Een deel van deze waarborgen volgt overigens al (impliciet) uit bestaande wetgeving zoals de AVG.
Waarborgen
De belangrijkste waarborgen uit de Wgs, die wij hierna zullen toelichten, zijn:
- Zwaarwegende redenen voor gegevensdeling;
- Rechtmatige verwerking;
- Aanwijzen contactpunt;
- Betrouwbaarheid geautoriseerde personen.
1. Zwaarwegende reden
De Wgs biedt mogelijkheden om gegevens binnen het samenwerkingsverband te delen. Dit onder de voorwaarde dat dit noodzakelijk is voor het doel van het samenwerkingsverband. Het doel van het samenwerkingsverband wordt bij AMvB aangewezen. Dit lijkt in bepaalde mate overeen te komen met de noodzakelijkheidseis die de AVG kent. Op grond van de AVG, en dit zal nog steeds gelden na inwerkingtreding van de Wgs, mag een verwerking van persoonsgegevens slechts plaatsvinden wanneer een passende grondslag kan worden ingeroepen. Artikel 6 AVG bevat een uitputtende lijst met grondslagen. Elke grondslag, behalve ‘toestemming’ (art. 6(1)(a) AVG), kent een expliciete noodzakelijkheidseis. Wil een partij een beroep doen op één van die grondslagen, dan moet dus worden beoordeeld of kan worden voldaan aan die eis. Dat doet men door te toetsen of de inbreuk op privacy in verhouding staat tot de doelen (proportionaliteit) en of er geen andere, minder ingrijpende werkwijze kan worden ingezet (subsidiariteit).
De Wgs regelt verder als waarborg dat als een deelnemer van mening is dat zwaarwegende redenen zich daartegen verzetten, er niet tot verstrekking dan wel verwerking wordt overgegaan (artikel 1.5 van de Wgs). Op basis van de huidige wettekst en toelichting wordt ons niet meteen duidelijk wat onder ‘zwaarwegende redenen’ moet worden verstaan en wie dit beoordeelt. Dit wordt namelijk niet in de Wgs gedefinieerd of toegelicht. Het is wat ons betreft dan ook relevant dat hier binnen het samenwerkingsverband duidelijke afspraken over worden gemaakt en dat deze worden vastgelegd in bijvoorbeeld een convenant.
2. Rechtmatige verwerking
Artikel 1.5 van het concept-Bgs vereist dat deelnemers alleen gegevens mogen verstrekken aan een samenwerkingsverband ter rechtmatige verwerking. Daarnaast garanderen de artikelen 1.6 en 1.8 van het concept-Bgs dat een deelnemer uitsluitend een signaal, verzoek of casus bij een samenwerkingsverband mag aanmelden nadat deze feitelijk op de juistheid en kwaliteit van de te verstrekken gegevens is getoetst. Een en ander is in lijn met rechtmatigheidsbeginsel (art. 5(1)(a) AVG) en het juistheidsbeginsel (art. 5(1)(d) AVG). De deelnemer die de gegevens aanmeldt is hiervoor verantwoordelijk. Ook in dit kader wordt aangeraden afspraken te maken, bijvoorbeeld wat een dergelijke kwaliteitstoets zou moeten behelzen.
Tijdens de behandeling van de Wgs is ook uitgebreid stilgestaan bij onbedoelde effecten van geautomatiseerde verwerking van persoonsgegevens, zoals bijvoorbeeld discriminatie. Kunstmatige intelligentie, waaronder zelflerende algoritmes, zijn op basis van de Wgs niet toegestaan. Geautomatiseerde verwerking van persoonsgegevens is onder de Wgs alleen toegestaan ten aanzien van de iCOV-themarapportages die het mogelijk maken een ontwikkeling of trend weer te geven op het gebied van witwassen. Verder bevatten de Wgs en het concept-Bgs de volgende extra waarborgen op dit gebied:
- Artikel 1.9, zesde lid, van de Wgs bepaalt dat alleen algoritmes mogen worden gebruikt voor zover de uitkomsten navolgbaar en controleerbaar zijn. Aangeraden wordt om hier actieve controle op toe te passen, bijvoorbeeld door een multidisciplinair team;
- Artikel 1.9 concept-Bgs regelt dat ook geen gegevens over nationaliteit mogen worden verwerkt, tenzij dit voor de identificatie van betrokkene onvermijdelijk is;
- Binnen ieder samenwerkingsverband wordt een rechtmatigheidsadviescommissie in het leven geroepen waarin aandacht moet zijn voor het tegengaan van risico’s op ongelijke behandeling en discriminatie (artikel 1.13 concept-Bgs). Een rechtmatigheidscommissie adviseert een samenwerkingsverband over bijvoorbeeld nieuwe verwerkingswijzen en wijzigingen daarvan;
- Medewerkers die ingezet worden in het samenwerkingsverband moeten opleidingen krijgen ter bevordering van hun kennis en vaardigheden op het gebied van een zorgvuldige omgang met persoonsgegevens en data-ethiek (artikel 1.17 concept-Bgs). Het tegengaan van discriminatie vormt hierin een verplicht onderwerp;
- Daarnaast dient een samenwerkingsverband iedere twee jaar een audit te laten uitvoeren naar in hoeverre er wordt voldaan aan de geldende wet- en regelgeving waaronder de AVG (‘privacy audit’) (artikel 1.18 concept-Bgs).
3. Aanwijzen contactpunt
Artikel 1.1 van de Bgs regelt dat ieder samenwerkingsverband een contactpunt moet hebben waar een betrokkene bijvoorbeeld een inzageverzoek aan kan richten. Zo regelt artikel 1.1 dat de burgemeester van een deelnemende gemeente optreedt als contactpunt binnen het RIEC. Binnen een Zorg- en Veiligheidshuis treedt het college van burgemeester en wethouders van de betrokken gemeente als contactpunt op. Een verzoek aan een contactpunt moet worden aangemerkt als een verzoek tot alle verwerkingsverantwoordelijken binnen het samenwerkingsverband, een en ander voor zover sprake is van gezamenlijke verantwoordelijkheid en tenzij niet anders gespecificeerd. Een AVG-verzoek van een betrokkene hoeft niet door het contactpunt zelf te worden afgedaan. Indien een andere deelnemer daartoe beter in staat is, deze deelnemer ermee instemt om de behandeling over te nemen en het contactpunt deze overname mededeelt aan de betrokkene (artikel 1.2, vierde lid, concept-Bgs). Het is van belang dat dit onderling goed wordt vastgelegd en dat de betrokkenen daarover worden geïnformeerd op grond van artikelen 13 en 14 AVG.
Overigens heeft te gelden dat een betrokkene op grond van de AVG in beginsel gerechtigd is een AVG-verzoek te doen aan elke gezamenlijke verantwoordelijke, ondanks dat partijen onderling een andere rolverdeling kunnen afspreken. Met andere woorden, dat – bijvoorbeeld – het college is aangewezen als contactpunt neemt niet weg dat de betrokkene haar verzoek niet kan richten aan een andere partij binnen het samenwerkingsverband.
4. Betrouwbaarheid geautoriseerde personen
In artikel 1.11 van het concept-Bgs worden tevens eisen gesteld aan de betrouwbaarheid van geautoriseerde personen die toegang hebben tot gegevens binnen een samenwerkingsverband. Zij moeten bijvoorbeeld in het bezit zijn van een Verklaring Omtrent Gedrag (VOG) en worden gescreend. Ook worden er eisen gesteld aan de opleiding en training van medewerkers (artikel 1.17 concept-Bgs). Ook regelt de Wgs een geheimhoudingsplicht voor deelnemers uit het samenwerkingsverband. Zij zijn verplicht tot geheimhouding over de gegevens die binnen de samenwerkingsverbanden worden verwerkt en de resultaten die daaruit worden verkregen. Daarbij valt het ons op dat er momenteel geen sancties staan op het niet nakomen van de geheimhoudingsplicht.
Waar staan we nu?
Het streven is de Wgs per 1 januari 2025 in werking te laten treden. Heeft u de andere delen van de blogreeks al gelezen over wat de Wgs precies inhoudt (deel 1)? In het volgende deel van de blogreeks praten wij u bij over hoe de regeling van RIEC’s en Zorg- en Veiligheidshuizen er precies uit komt te zien.
Bij zowel publieke als private organisaties bestaat er behoefte om gegevens uit te wisselen, bijvoorbeeld om fraude en ondermijning aan te pakken. Op basis van de privacyregelgeving (AVG) mag dat niet zomaar. De Wet gegevensverwerking door samenwerkingsverbanden (Wgs) gaat, in bepaalde gevallen, een mogelijkheid bieden voor gegevensverwerking door samenwerkingsverbanden die het doel hebben fraude, criminaliteit en/of ondermijning tegen te gaan.
In het vorige deel van de blogreeks gingen wij in op wat de Wgs regelt. In dit blog gaan wij verder in op de waarborgen die de Wgs geeft om te voorkomen dat er een onbeperkte gegevensuitwisseling plaatsvindt.
Zorgen over de Wgs
De gevolgen voor een individu, een ‘betrokkene’, waarvan op basis van de Wgs gegevens worden verwerkt, kunnen verstrekkend zijn. Dat is één van de redenen waarom het wetsvoorstel voor de Wgs tot een grote hoeveelheid reacties van bijvoorbeeld de Autoriteit Persoonsgegevens (AP), de Raad van State en het College voor de Rechten van de Mens heeft geleid. Critici vragen zich af of de Wgs binnen de randvoorwaarden van de AVG past. De AP adviseerde de Eerste Kamer zelfs om de Wgs niet aan te nemen. Om tegemoet te komen aan deze zorgen heeft de regering in de Wgs en het concept voor het Besluit gegevensverwerking door samenwerkingsverbanden (Bgs) een aantal belangrijke waarborgen opgenomen. Een deel van deze waarborgen volgt overigens al (impliciet) uit bestaande wetgeving zoals de AVG.
Waarborgen
De belangrijkste waarborgen uit de Wgs, die wij hierna zullen toelichten, zijn:
- Zwaarwegende redenen voor gegevensdeling;
- Rechtmatige verwerking;
- Aanwijzen contactpunt;
- Betrouwbaarheid geautoriseerde personen.
1. Zwaarwegende reden
De Wgs biedt mogelijkheden om gegevens binnen het samenwerkingsverband te delen. Dit onder de voorwaarde dat dit noodzakelijk is voor het doel van het samenwerkingsverband. Het doel van het samenwerkingsverband wordt bij AMvB aangewezen. Dit lijkt in bepaalde mate overeen te komen met de noodzakelijkheidseis die de AVG kent. Op grond van de AVG, en dit zal nog steeds gelden na inwerkingtreding van de Wgs, mag een verwerking van persoonsgegevens slechts plaatsvinden wanneer een passende grondslag kan worden ingeroepen. Artikel 6 AVG bevat een uitputtende lijst met grondslagen. Elke grondslag, behalve ‘toestemming’ (art. 6(1)(a) AVG), kent een expliciete noodzakelijkheidseis. Wil een partij een beroep doen op één van die grondslagen, dan moet dus worden beoordeeld of kan worden voldaan aan die eis. Dat doet men door te toetsen of de inbreuk op privacy in verhouding staat tot de doelen (proportionaliteit) en of er geen andere, minder ingrijpende werkwijze kan worden ingezet (subsidiariteit).
De Wgs regelt verder als waarborg dat als een deelnemer van mening is dat zwaarwegende redenen zich daartegen verzetten, er niet tot verstrekking dan wel verwerking wordt overgegaan (artikel 1.5 van de Wgs). Op basis van de huidige wettekst en toelichting wordt ons niet meteen duidelijk wat onder ‘zwaarwegende redenen’ moet worden verstaan en wie dit beoordeelt. Dit wordt namelijk niet in de Wgs gedefinieerd of toegelicht. Het is wat ons betreft dan ook relevant dat hier binnen het samenwerkingsverband duidelijke afspraken over worden gemaakt en dat deze worden vastgelegd in bijvoorbeeld een convenant.
2. Rechtmatige verwerking
Artikel 1.5 van het concept-Bgs vereist dat deelnemers alleen gegevens mogen verstrekken aan een samenwerkingsverband ter rechtmatige verwerking. Daarnaast garanderen de artikelen 1.6 en 1.8 van het concept-Bgs dat een deelnemer uitsluitend een signaal, verzoek of casus bij een samenwerkingsverband mag aanmelden nadat deze feitelijk op de juistheid en kwaliteit van de te verstrekken gegevens is getoetst. Een en ander is in lijn met rechtmatigheidsbeginsel (art. 5(1)(a) AVG) en het juistheidsbeginsel (art. 5(1)(d) AVG). De deelnemer die de gegevens aanmeldt is hiervoor verantwoordelijk. Ook in dit kader wordt aangeraden afspraken te maken, bijvoorbeeld wat een dergelijke kwaliteitstoets zou moeten behelzen.
Tijdens de behandeling van de Wgs is ook uitgebreid stilgestaan bij onbedoelde effecten van geautomatiseerde verwerking van persoonsgegevens, zoals bijvoorbeeld discriminatie. Kunstmatige intelligentie, waaronder zelflerende algoritmes, zijn op basis van de Wgs niet toegestaan. Geautomatiseerde verwerking van persoonsgegevens is onder de Wgs alleen toegestaan ten aanzien van de iCOV-themarapportages die het mogelijk maken een ontwikkeling of trend weer te geven op het gebied van witwassen. Verder bevatten de Wgs en het concept-Bgs de volgende extra waarborgen op dit gebied:
- Artikel 1.9, zesde lid, van de Wgs bepaalt dat alleen algoritmes mogen worden gebruikt voor zover de uitkomsten navolgbaar en controleerbaar zijn. Aangeraden wordt om hier actieve controle op toe te passen, bijvoorbeeld door een multidisciplinair team;
- Artikel 1.9 concept-Bgs regelt dat ook geen gegevens over nationaliteit mogen worden verwerkt, tenzij dit voor de identificatie van betrokkene onvermijdelijk is;
- Binnen ieder samenwerkingsverband wordt een rechtmatigheidsadviescommissie in het leven geroepen waarin aandacht moet zijn voor het tegengaan van risico’s op ongelijke behandeling en discriminatie (artikel 1.13 concept-Bgs). Een rechtmatigheidscommissie adviseert een samenwerkingsverband over bijvoorbeeld nieuwe verwerkingswijzen en wijzigingen daarvan;
- Medewerkers die ingezet worden in het samenwerkingsverband moeten opleidingen krijgen ter bevordering van hun kennis en vaardigheden op het gebied van een zorgvuldige omgang met persoonsgegevens en data-ethiek (artikel 1.17 concept-Bgs). Het tegengaan van discriminatie vormt hierin een verplicht onderwerp;
- Daarnaast dient een samenwerkingsverband iedere twee jaar een audit te laten uitvoeren naar in hoeverre er wordt voldaan aan de geldende wet- en regelgeving waaronder de AVG (‘privacy audit’) (artikel 1.18 concept-Bgs).
3. Aanwijzen contactpunt
Artikel 1.1 van de Bgs regelt dat ieder samenwerkingsverband een contactpunt moet hebben waar een betrokkene bijvoorbeeld een inzageverzoek aan kan richten. Zo regelt artikel 1.1 dat de burgemeester van een deelnemende gemeente optreedt als contactpunt binnen het RIEC. Binnen een Zorg- en Veiligheidshuis treedt het college van burgemeester en wethouders van de betrokken gemeente als contactpunt op. Een verzoek aan een contactpunt moet worden aangemerkt als een verzoek tot alle verwerkingsverantwoordelijken binnen het samenwerkingsverband, een en ander voor zover sprake is van gezamenlijke verantwoordelijkheid en tenzij niet anders gespecificeerd. Een AVG-verzoek van een betrokkene hoeft niet door het contactpunt zelf te worden afgedaan. Indien een andere deelnemer daartoe beter in staat is, deze deelnemer ermee instemt om de behandeling over te nemen en het contactpunt deze overname mededeelt aan de betrokkene (artikel 1.2, vierde lid, concept-Bgs). Het is van belang dat dit onderling goed wordt vastgelegd en dat de betrokkenen daarover worden geïnformeerd op grond van artikelen 13 en 14 AVG.
Overigens heeft te gelden dat een betrokkene op grond van de AVG in beginsel gerechtigd is een AVG-verzoek te doen aan elke gezamenlijke verantwoordelijke, ondanks dat partijen onderling een andere rolverdeling kunnen afspreken. Met andere woorden, dat – bijvoorbeeld – het college is aangewezen als contactpunt neemt niet weg dat de betrokkene haar verzoek niet kan richten aan een andere partij binnen het samenwerkingsverband.
4. Betrouwbaarheid geautoriseerde personen
In artikel 1.11 van het concept-Bgs worden tevens eisen gesteld aan de betrouwbaarheid van geautoriseerde personen die toegang hebben tot gegevens binnen een samenwerkingsverband. Zij moeten bijvoorbeeld in het bezit zijn van een Verklaring Omtrent Gedrag (VOG) en worden gescreend. Ook worden er eisen gesteld aan de opleiding en training van medewerkers (artikel 1.17 concept-Bgs). Ook regelt de Wgs een geheimhoudingsplicht voor deelnemers uit het samenwerkingsverband. Zij zijn verplicht tot geheimhouding over de gegevens die binnen de samenwerkingsverbanden worden verwerkt en de resultaten die daaruit worden verkregen. Daarbij valt het ons op dat er momenteel geen sancties staan op het niet nakomen van de geheimhoudingsplicht.
Waar staan we nu?
Het streven is de Wgs per 1 januari 2025 in werking te laten treden. Heeft u de andere delen van de blogreeks al gelezen over wat de Wgs precies inhoudt (deel 1)? In het volgende deel van de blogreeks praten wij u bij over hoe de regeling van RIEC’s en Zorg- en Veiligheidshuizen er precies uit komt te zien.