Bij zowel publieke als private organisaties bestaat er behoefte om persoonsgegevens uit te wisselen. Bijvoorbeeld om fraude en ondermijning aan te pakken. Op basis van de privacyregelgeving (AVG) mag dat niet zomaar. De Wet gegevensverwerking door samenwerkingsverbanden (Wgs) gaat in bepaalde gevallen een basis bieden voor verwerking van persoonsgegevens door samenwerkingsverbanden die het doel hebben fraude, criminaliteit en/of ondermijning tegen te gaan.
In het vorige deel van de blogreeks gingen wij in op wat de Wgs regelt en de waarborgen die de Wgs regelt. In deze blogreeks gaan wij in op de regeling in de Wgs voor de Regionale Informatie- en Expertisecentra (RIEC's) en Zorg- en Veiligheidshuizen.
Regeling Wgs voor het RIEC
De Wgs bevat een wettelijke basis voor drie soorten samenwerkingsverbanden (paragraaf 2.3 Wgs). Eén daarvan zijn de RIEC’s (artikel 2.16 Wgs). In de Wgs worden al een aantal aspecten voor de RIEC’s geregeld:
- Artikel 2.17 Wgs bepaalt het doel van de verwerking door het RIEC: er mogen uitsluitend persoonsgegevens worden verwerkt voor zover dat noodzakelijk is voor de uitoefening van de wettelijke taken en bevoegdheden van de deelnemers op het terrein van strafrechtelijke, bestuursrechtelijke en fiscaalrechtelijke handhaving in het belang van de bestrijding van georganiseerde criminaliteit.
- In artikel 2.18 van de Wgs worden de activiteiten van het RIEC omschreven (het aanwijzen en analyseren van handhavingsknelpunten, voeren van casusoverleggen en verrichten van gebiedsscans). De Wgs biedt dus in beginsel alleen een opening voor verwerkingen in het kader van voornoemde activiteiten.
- Als deelnemers van het RIEC zijn onder meer aangewezen de politie, burgemeester en het provinciebestuur (artikel 2.19 van de Wgs).
Extra waarborgen in Bgs
Omdat de Wgs een kaderwet is, worden in het concept-Bgs een aantal zaken uitgewerkt, ook met betrekking tot de RIEC’s. Het concept-Bgs ligt nu voor ter internetconsultatie. De aspecten met betrekking tot de RIEC’s zijn te vinden in paragraaf 2.3 van het concept-Bgs:
- Zo bepaalt artikel 2.13 dat RIEC’s ervoor zorgdragen dat hun territoriale werkgebied door plaatsing op het internet bekend wordt gemaakt. Dit om betrokkenen zo goed mogelijk te kunnen informeren over de aanwezigheid van een RIEC.
- Artikel 2.15 concept-Bgs concretiseert welke persoonsgegevens er binnen een RIEC verstrekt mogen worden. Het gaat bijvoorbeeld om gegevens om een persoon te identificeren, gegevens over de verblijfsstatus en woonsituatie, alsmede voertuiggegevens als financiële gegevens. Artikel 2.15 concept-Bgs stelt hieraan de eis dat de verstrekking toereikend, ter zake dienend en niet bovenmatig mogen zijn. Dit komt overeen met een aantal beginselen uit de AVG: doelbinding, noodzakelijk en dataminimalisatie.
- Ook worden in artikel 2.16 van het concept-Bgs nadere criteria gesteld waar een signaal aan moet voldoen om in behandeling te kunnen worden genomen door een RIEC. Zo moet een gezamenlijke aanpak met meerdere deelnemers van het RIEC nodig zijn. Verder is één van de criteria dat het signaal gerelateerd moet zijn aan de aldaar opgesomde verschijningsvormen van georganiseerde criminaliteit. Hier worden onder meer mensenhandel, georganiseerde drugscriminaliteit en fraude genoemd. Signalen mogen dus niet op basis van de Wgs worden gedeeld voor andere doeleinden.
- Daarnaast mag het RIEC in bepaalde gevallen signalen delen met een ander samenwerkingsverband. Die verstrekking moet wel noodzakelijk zijn en de deelnemers mogen er geen bezwaar tegen hebben. In artikel 1.10 van het concept-Bgs worden vier situaties uitgewerkt waarin gegevensuitwisseling tussen twee samenwerkingsverbanden kan plaatsvinden. Eén van die situaties is wanneer de betrokkene bij twee samenwerkingsverbanden bekend is. Ook mogen een RIEC en een Zorg- en Veiligheidshuis gegevens met elkaar uitwisselen die noodzakelijk zijn om interventies van de deelnemers in beide samenwerkingsverbanden op elkaar af te stemmen.
Regeling Wgs voor Zorg- en Veiligheidshuizen
De Wgs bevat ook een wettelijke basis voor Zorg- en Veiligheidshuizen (artikel 2.24 Wgs). De Raad van State heeft in haar aanvullend advies geadviseerd om, vanwege het doelbindingsvereiste, de positie van de Zorg- en Veiligheidshuizen te heroverwegen. De regering heeft daarin geen aanleiding gezien om de Zorg- en Veiligheidshuizen uit de Wgs te schrappen. In de Wgs worden al een aantal aspecten voor de ’Zorg- en Veiligheidshuizen geregeld:
- In artikel 2.25 Wgs wordt het doel van de verwerking van persoonsgegevens door Zorg- en Veiligheidshuizen geregeld. De Zorg- en Veiligheidshuizen mogen bij de behandeling van complexe casuïstiek uitsluitend persoonsgegevens verwerken ten aanzien van een betrokkene voor zover dat noodzakelijk is voor de uitoefening, afstemming en coördinatie van de inzet van de wettelijke taken en bevoegdheden waarmee de deelnemers zijn belast. Ook mogen verwerkingen plaatsvinden voor noodzakelijke werkzaamheden op het terrein van strafrechtelijke en bestuursrechtelijke handhaving alsmede begeleiding en zorg- en hulpverlening in het belang van het voorkomen, verminderen en bestrijden van criminaliteit en ernstige overlast en het voorkomen en verminderen van onveilige situaties voor personen of binnen een gebied.
- Artikel 2.26 Wgs weergeeft de activiteiten van de Zorg- en Veiligheidshuizen. Hieronder vallen het voeren van casusoverleggen en het vaststellen van lijsten met geprioriteerde casussen.
- In artikel 2.27 Wgs worden de deelnemers van de Zorg- en Veiligheidshuizen omschreven. Dit zijn bijvoorbeeld de Raad voor Kinderbescherming, politie en burgemeester van de betrokken gemeente.
Aanvullende regeling Bgs
In paragraaf 2.4 van het concept-Bgs zijn specifieke eisen gesteld aan het samenwerkingsverband van Zorg- en Veiligheidshuizen.
- Net als voor het RIEC bepaalt artikel 2.18 van het concept-Bgs dat het territoriale werkgebied van een Zorg- en Veiligheidshuis op het internet geplaatst wordt.
- Artikel 2.19 van het concept-Bgs bepaalt dat binnen een Zorg- en Veiligheidshuis enkel persoonsgegevens gedeeld mogen worden over personen die een gezinslid of ander direct sociaal contact zijn van een betrokkene die binnen het Zorg- en Veiligheidshuis is aangemeld.
- Artikel 2.20 concept-Bgs stelt criteria aan het behandelen van een casus door het Zorg- en Veiligheidshuis.
- In artikel 2.21 concept-Bgs zijn criteria voor incidentele deelname aan een casusoverleg van een Zorg- en Veiligheidshuis door derden. Dit is enkel toegestaan op incidentele basis en voor zover zij beschikken over de deskundigheid die voor de specifieke casus vereist is en zij gelet op hun onderscheidenlijk wettelijke of publieke taken en bevoegdheden een rol kunnen spelen bij het vervullen of opstellen, uitvoeren of evalueren van een plan van aanpak. Onder zo’n plan van aanpak wordt verstaan een plan dat invulling geeft aan de gezamenlijke strategie, bedoeld in artikel 2.26 van de Wgs, voor de uitoefening van de wettelijke taken en bevoegdheden waarmee de deelnemers zijn belast alsmede daaraan gerelateerde noodzakelijke werkzaamheden die worden verricht door de deelnemers. Een derde die aan een overleg deelneemt moet hiervoor eerst een geheimhoudingsverklaring tekenen. De derde mag niet rechtstreeks toegang krijgen tot de systemen van het samenwerkingsverband, maar onder voorwaarden kunnen er wel incidenteel persoonsgegevens aan deze derde worden verstrekt. De Wgs mag dus enkel worden ingeroepen voor standaard deelnemers binnen een Zorg- en Veiligheidshuis. Dit kan niet zonder meer worden uitgebreid.
Onderlinge afspraken
In alle gevallen, zowel ten aanzien van het RIEC als ten aanzien van het Zorg- en Veiligheidshuis, is aan te raden om onderlinge duidelijke afspraken te maken over de verwerking en dus de uitwisseling van persoonsgegevens. Ondanks dat de Wgs kaders biedt voor de uitwisseling van persoonsgegevens binnen deze samenwerkingsverbanden wil niet zeggen dat in gevallen die niet binnen de kaders van de Wgs vallen, niet mag worden uitgewisseld. Andere gevallen moeten worden beoordeeld onder het ‘reguliere’ privacyregime: de AVG. Dat zou ook onderdeel moeten maken van de afspraken tussen partijen.
Waar staan we nu?
Het streven is de Wgs per 1 januari 2025 in werking te laten treden. In andere delen van de blogreeks kunt u lezen over wat het wetsvoorstel precies inhoudt (deel 1) en wat de waarborgen zijn die de Wgs regelt (deel 2).
Bij zowel publieke als private organisaties bestaat er behoefte om persoonsgegevens uit te wisselen. Bijvoorbeeld om fraude en ondermijning aan te pakken. Op basis van de privacyregelgeving (AVG) mag dat niet zomaar. De Wet gegevensverwerking door samenwerkingsverbanden (Wgs) gaat in bepaalde gevallen een basis bieden voor verwerking van persoonsgegevens door samenwerkingsverbanden die het doel hebben fraude, criminaliteit en/of ondermijning tegen te gaan.
In het vorige deel van de blogreeks gingen wij in op wat de Wgs regelt en de waarborgen die de Wgs regelt. In deze blogreeks gaan wij in op de regeling in de Wgs voor de Regionale Informatie- en Expertisecentra (RIEC's) en Zorg- en Veiligheidshuizen.
Regeling Wgs voor het RIEC
De Wgs bevat een wettelijke basis voor drie soorten samenwerkingsverbanden (paragraaf 2.3 Wgs). Eén daarvan zijn de RIEC’s (artikel 2.16 Wgs). In de Wgs worden al een aantal aspecten voor de RIEC’s geregeld:
- Artikel 2.17 Wgs bepaalt het doel van de verwerking door het RIEC: er mogen uitsluitend persoonsgegevens worden verwerkt voor zover dat noodzakelijk is voor de uitoefening van de wettelijke taken en bevoegdheden van de deelnemers op het terrein van strafrechtelijke, bestuursrechtelijke en fiscaalrechtelijke handhaving in het belang van de bestrijding van georganiseerde criminaliteit.
- In artikel 2.18 van de Wgs worden de activiteiten van het RIEC omschreven (het aanwijzen en analyseren van handhavingsknelpunten, voeren van casusoverleggen en verrichten van gebiedsscans). De Wgs biedt dus in beginsel alleen een opening voor verwerkingen in het kader van voornoemde activiteiten.
- Als deelnemers van het RIEC zijn onder meer aangewezen de politie, burgemeester en het provinciebestuur (artikel 2.19 van de Wgs).
Extra waarborgen in Bgs
Omdat de Wgs een kaderwet is, worden in het concept-Bgs een aantal zaken uitgewerkt, ook met betrekking tot de RIEC’s. Het concept-Bgs ligt nu voor ter internetconsultatie. De aspecten met betrekking tot de RIEC’s zijn te vinden in paragraaf 2.3 van het concept-Bgs:
- Zo bepaalt artikel 2.13 dat RIEC’s ervoor zorgdragen dat hun territoriale werkgebied door plaatsing op het internet bekend wordt gemaakt. Dit om betrokkenen zo goed mogelijk te kunnen informeren over de aanwezigheid van een RIEC.
- Artikel 2.15 concept-Bgs concretiseert welke persoonsgegevens er binnen een RIEC verstrekt mogen worden. Het gaat bijvoorbeeld om gegevens om een persoon te identificeren, gegevens over de verblijfsstatus en woonsituatie, alsmede voertuiggegevens als financiële gegevens. Artikel 2.15 concept-Bgs stelt hieraan de eis dat de verstrekking toereikend, ter zake dienend en niet bovenmatig mogen zijn. Dit komt overeen met een aantal beginselen uit de AVG: doelbinding, noodzakelijk en dataminimalisatie.
- Ook worden in artikel 2.16 van het concept-Bgs nadere criteria gesteld waar een signaal aan moet voldoen om in behandeling te kunnen worden genomen door een RIEC. Zo moet een gezamenlijke aanpak met meerdere deelnemers van het RIEC nodig zijn. Verder is één van de criteria dat het signaal gerelateerd moet zijn aan de aldaar opgesomde verschijningsvormen van georganiseerde criminaliteit. Hier worden onder meer mensenhandel, georganiseerde drugscriminaliteit en fraude genoemd. Signalen mogen dus niet op basis van de Wgs worden gedeeld voor andere doeleinden.
- Daarnaast mag het RIEC in bepaalde gevallen signalen delen met een ander samenwerkingsverband. Die verstrekking moet wel noodzakelijk zijn en de deelnemers mogen er geen bezwaar tegen hebben. In artikel 1.10 van het concept-Bgs worden vier situaties uitgewerkt waarin gegevensuitwisseling tussen twee samenwerkingsverbanden kan plaatsvinden. Eén van die situaties is wanneer de betrokkene bij twee samenwerkingsverbanden bekend is. Ook mogen een RIEC en een Zorg- en Veiligheidshuis gegevens met elkaar uitwisselen die noodzakelijk zijn om interventies van de deelnemers in beide samenwerkingsverbanden op elkaar af te stemmen.
Regeling Wgs voor Zorg- en Veiligheidshuizen
De Wgs bevat ook een wettelijke basis voor Zorg- en Veiligheidshuizen (artikel 2.24 Wgs). De Raad van State heeft in haar aanvullend advies geadviseerd om, vanwege het doelbindingsvereiste, de positie van de Zorg- en Veiligheidshuizen te heroverwegen. De regering heeft daarin geen aanleiding gezien om de Zorg- en Veiligheidshuizen uit de Wgs te schrappen. In de Wgs worden al een aantal aspecten voor de ’Zorg- en Veiligheidshuizen geregeld:
- In artikel 2.25 Wgs wordt het doel van de verwerking van persoonsgegevens door Zorg- en Veiligheidshuizen geregeld. De Zorg- en Veiligheidshuizen mogen bij de behandeling van complexe casuïstiek uitsluitend persoonsgegevens verwerken ten aanzien van een betrokkene voor zover dat noodzakelijk is voor de uitoefening, afstemming en coördinatie van de inzet van de wettelijke taken en bevoegdheden waarmee de deelnemers zijn belast. Ook mogen verwerkingen plaatsvinden voor noodzakelijke werkzaamheden op het terrein van strafrechtelijke en bestuursrechtelijke handhaving alsmede begeleiding en zorg- en hulpverlening in het belang van het voorkomen, verminderen en bestrijden van criminaliteit en ernstige overlast en het voorkomen en verminderen van onveilige situaties voor personen of binnen een gebied.
- Artikel 2.26 Wgs weergeeft de activiteiten van de Zorg- en Veiligheidshuizen. Hieronder vallen het voeren van casusoverleggen en het vaststellen van lijsten met geprioriteerde casussen.
- In artikel 2.27 Wgs worden de deelnemers van de Zorg- en Veiligheidshuizen omschreven. Dit zijn bijvoorbeeld de Raad voor Kinderbescherming, politie en burgemeester van de betrokken gemeente.
Aanvullende regeling Bgs
In paragraaf 2.4 van het concept-Bgs zijn specifieke eisen gesteld aan het samenwerkingsverband van Zorg- en Veiligheidshuizen.
- Net als voor het RIEC bepaalt artikel 2.18 van het concept-Bgs dat het territoriale werkgebied van een Zorg- en Veiligheidshuis op het internet geplaatst wordt.
- Artikel 2.19 van het concept-Bgs bepaalt dat binnen een Zorg- en Veiligheidshuis enkel persoonsgegevens gedeeld mogen worden over personen die een gezinslid of ander direct sociaal contact zijn van een betrokkene die binnen het Zorg- en Veiligheidshuis is aangemeld.
- Artikel 2.20 concept-Bgs stelt criteria aan het behandelen van een casus door het Zorg- en Veiligheidshuis.
- In artikel 2.21 concept-Bgs zijn criteria voor incidentele deelname aan een casusoverleg van een Zorg- en Veiligheidshuis door derden. Dit is enkel toegestaan op incidentele basis en voor zover zij beschikken over de deskundigheid die voor de specifieke casus vereist is en zij gelet op hun onderscheidenlijk wettelijke of publieke taken en bevoegdheden een rol kunnen spelen bij het vervullen of opstellen, uitvoeren of evalueren van een plan van aanpak. Onder zo’n plan van aanpak wordt verstaan een plan dat invulling geeft aan de gezamenlijke strategie, bedoeld in artikel 2.26 van de Wgs, voor de uitoefening van de wettelijke taken en bevoegdheden waarmee de deelnemers zijn belast alsmede daaraan gerelateerde noodzakelijke werkzaamheden die worden verricht door de deelnemers. Een derde die aan een overleg deelneemt moet hiervoor eerst een geheimhoudingsverklaring tekenen. De derde mag niet rechtstreeks toegang krijgen tot de systemen van het samenwerkingsverband, maar onder voorwaarden kunnen er wel incidenteel persoonsgegevens aan deze derde worden verstrekt. De Wgs mag dus enkel worden ingeroepen voor standaard deelnemers binnen een Zorg- en Veiligheidshuis. Dit kan niet zonder meer worden uitgebreid.
Onderlinge afspraken
In alle gevallen, zowel ten aanzien van het RIEC als ten aanzien van het Zorg- en Veiligheidshuis, is aan te raden om onderlinge duidelijke afspraken te maken over de verwerking en dus de uitwisseling van persoonsgegevens. Ondanks dat de Wgs kaders biedt voor de uitwisseling van persoonsgegevens binnen deze samenwerkingsverbanden wil niet zeggen dat in gevallen die niet binnen de kaders van de Wgs vallen, niet mag worden uitgewisseld. Andere gevallen moeten worden beoordeeld onder het ‘reguliere’ privacyregime: de AVG. Dat zou ook onderdeel moeten maken van de afspraken tussen partijen.
Waar staan we nu?
Het streven is de Wgs per 1 januari 2025 in werking te laten treden. In andere delen van de blogreeks kunt u lezen over wat het wetsvoorstel precies inhoudt (deel 1) en wat de waarborgen zijn die de Wgs regelt (deel 2).