Brief regering : Reactie op het advies van de Autoriteit persoonsgegevens over het ontwerpbesluit gegevensverwerking door samenwerkingsverbanden

Nr. 29
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 april 2024

1. Inleiding

Een dezer dagen ontvangt uw Kamer in het kader van de voorhangprocedure het ontwerpbesluit
tot uitvoering van de Wet gegevensverwerking door samenwerkingsverbanden (Besluit
gegevensverwerking door samenwerkingsverbanden, BGS) (Kamerstuk 35 447, nr. 28). Dat besluit geeft invulling aan de waarborgen uit het wetsvoorstel Wet gegevensverwerking
door samenwerkingsverbanden (WGS)1 en bevat een nadere afbakening van de toegestane gegevensverwerkingen.

De Autoriteit persoonsgegevens (AP) heeft op 3 november 2023 advies uitgebracht over
dit ontwerpbesluit.2 Het advies gaat niet alleen in op het ontwerpbesluit maar ook het wetsvoorstel WGS,
dat momenteel aanhangig is in de Eerste Kamer. Hierbij wil ik uw Kamer, mede namens
de Minister voor Rechtsbescherming, informeren over mijn reactie op het advies van
de AP. Deze volgt in paragraaf 2 en is ook te vinden in de nota van toelichting op
het ontwerpbesluit. Op verzoek van een aantal leden van de vaste commissie voor Justitie
en Veiligheid van de Eerste Kamer zend ik heden mijn reactie ook aan de Eerste Kamer.3

Mede gelet op de recente voorgeschiedenis, waarin vanuit uw Kamer is verzocht om een
reactie op nadere adviezen van de AP, informeer ik uw Kamer over mijn reactie op het
meest recente advies van de AP. De AP heeft drie eerdere adviezen uitgebracht over
de WGS. De AP heeft twee adviezen uitgebracht in 2019 in het kader van de consultatie.
Daarop is in 2020 gereageerd in de memorie van toelichting.4 In november 2021 hebben de AP en de Afdeling advisering van de Raad van State op
verzoek van de Eerste Kamer nadere adviezen uitgebracht, over de actuele versie van
de WGS. Mijn ambtsvoorganger heeft hierop in december 2021 gereageerd met een brief
aan beide Kamers, gelet op verzoeken van het lid Omtzigt en de commissie JenV van
de Eerste Kamer.5 In februari 2023 heb ik vragen van uw Kamer over deze reactie beantwoord.6 Nadat de AP op 3 november 2023 met haar advies op het concept-BGS kwam, heeft het
lid Van Nispen (SP) een reactie gevraagd op de aanbeveling over de rechterlijke toets.7

2. Advies van de Autoriteit persoonsgegevens op concept-BGS

De AP ziet veel betekenisvolle verbeteringen waardoor er gaandeweg een veel beter
doordacht geheel is ontstaan. Toetsbaarheid en transparantie zijn materieel in orde
gebracht. Veel zal volgens de AP echter afhangen van de striktheid waarmee de criteria
voor het mogen inschakelen van het samenwerkingsverband zullen worden bewaakt. Om
te komen tot rechtmatige gegevensdeling adviseert de AP om een preventieve rechterlijke
toets van de voorgenomen gegevensverwerkingen op te nemen in de WGS. Dit kan volgens
de AP geschieden via het op 13 november 2023 ingediende wetsvoorstel tot wijziging
van de WGS.8 In afwachting daarvan zou de Eerste Kamer de WGS nog niet moeten aannemen, aldus
de AP. Verder kan volgens de AP bij die gelegenheid ook de delegatiesystematiek van
de WGS worden gewijzigd (facultatieve delegatiegrondslagen vervangen door imperatieve
grondslagen).

Over het concept-BGS heeft de AP drie opmerkingen, voornamelijk van wetstechnische
aard. De laatstbedoelde drie opmerkingen van de AP zijn overgenomen.9

Vanwege de hierna volgende overwegingen bestaat er geen voornemen om een voorstel
tot wijziging van de WGS bij de Tweede Kamer in te dienen of om het voornoemde wetsvoorstel
tot wijziging van de WGS aan te passen.

2.1 Rechterlijke toets van gegevensverwerkingen

De AP adviseert om voor iedere voorgenomen verwerking van persoonsgegevens binnen
een samenwerkingsverband een onafhankelijke rechterlijke toetsing in te voeren in
de WGS, omdat dit volgens de AP een noodzakelijke en gebruikelijke waarborg is om
toetsing op de noodzaak van de verwerking voor elke deelnemer te garanderen en een
disbalans in de bescherming van de burger te voorkomen. Deze aanbeveling is nieuw
ten opzichte van de eerdere adviezen van de AP over de WGS. De AP vindt dat een burgemeester
of officier van justitie bij iedere voorgenomen gegevensverwerking aan een rechter-commissaris
moet verzoeken om bindend te toetsen of de voorgenomen gegevensverwerking voldoet
aan de wettelijke criteria, met welke deelnemers er informatie moet worden gedeeld
en welke informatie. De kern van de argumentatie van de AP is tweeledig:

1. De AP is bezorgd dat er onvoldoende op wordt toegezien dat er niet te veel gegevensdeling
plaatsvindt. De deelnemers aan een samenwerkingsverband hebben geen belang bij het
blokkeren van door één of meer deelnemers nuttig geachte gegevensverwerkingen. De
rechtmatigheidscommissie brengt geen onafhankelijk voorafgaand oordeel over de beoogde
verwerking en de inmenging in grondrechten.

2. De impact van de gegevensverwerking op betrokkenen (die nog geen verdachten zijn)
zonder hun medeweten is minimaal vergelijkbaar met de impact van de inzet van zware
opsporingsmiddelen, zoals de huiszoeking en de telefoontap.

Zoals de AP terecht opmerkt, moet worden voorkomen dat er ongecontroleerde en overmatige
gegevensdeling plaatsvindt. Een belangrijke waarborg daartegen bestaat evenwel al
met de Algemene verordening gegevensbescherming. Ingevolge de beginselen daarvan moet
elke verwerking van persoonsgegevens immers gebonden zijn aan specifieke doelen en
moet worden voldaan aan de eis van dataminimalisatie. De verwerkingsverantwoordelijke
moet kunnen aantonen dat daarvan sprake is. In aanvulling hierop wordt met de WGS
en het BGS voorzien in verdere voorwaarden en waarborgen voor een rechtmatige gegevensverwerking
in de betreffende samenwerkingsverbanden. Uit de Algemene verordening gegevensbescherming
of ander hoger recht volgt niet dat voor de samenwerkingsverbanden een voorafgaande
rechterlijke toets vereist is. De toevoeging aan deze waarborgen van een preventieve
rechterlijke toets zou voorts (1.) nauwelijks werkbaar zijn, (2.) niet in het systeem
voor de bescherming van persoonsgegevens passen en (3.) een breuk vormen met het stelsel
uit het Wetboek van Strafvordering.

Overigens heeft de AP in haar drie eerdere adviezen over de WGS geen aanbeveling opgenomen
over een preventieve rechterlijke toets.

Hierna wordt een en ander puntsgewijs toegelicht.

2.1.1 Werkbaarheid

Een vereiste dat inhoudt dat de rechter-commissaris vooraf toestemming moet geven
voor elke gegevensverwerking in een samenwerkingsverband, laat zich in de praktijk
nauwelijks realiseren en zou met zich brengen dat de rechter intensief wordt betrokken
bij een bestuurlijke afweging. En zoals hierna nader zal worden toegelicht, hoort
deze afweging in het systeem voor de bescherming van persoonsgegevens te worden gemaakt
door de (bevoegde en op hun handelen aan te spreken) deelnemers aan het samenwerkingsverband.10 De deelnemers zijn bij uitstek op de hoogte van de elementen die op hun specifieke
werkterreinen afgewogen moeten worden. Het werkveld van de rechter-commissaris verhoudt
zich hier bezwaarlijk toe. Dat is vooral gericht op de opsporing en vervolging van
strafbare feiten; zijn kennis en kunde bevindt zich dientengevolge op het domein van
strafrecht en strafvordering en niet op het meer bestuursrechtelijk georiënteerde
terrein van het gegevensbeschermingsrecht en de sectorale regelgeving die op de deelnemers
van toepassing is.

Dit klemt temeer daar het verlenen van toestemming voor iedere voorgenomen gegevensverwerking
een enorm beslag zal leggen op de personele capaciteit van de rechterlijke macht,
waarbij het daarenboven gaat om materie die vreemd is aan de gebruikelijke taken van
de rechter-commissaris. Dat capaciteitsbeslag zou ook gelden voor de officieren van
justitie onderscheidenlijk de burgemeesters, omdat zij in het voorstel van de AP degenen
zijn die voor de gegevensverwerkingen om toestemming zouden moeten vragen van de rechter-commissaris.

De Infobox Crimineel en Onverklaarbaar Vermogen (iCOV) telt nu circa 16.000 bevragingen
per jaar, de Regionale Informatie- en Expertisecentra (RIEC’s) werken aan circa 1.300
casus per jaar en bij het Financieel Expertisecentrum (FEC) vinden circa 80 verwerkingen
per jaar plaats. Naast de omvangrijke lasten die een dergelijke nieuwe taak voor de
toch al zwaar belaste kabinetten van rechters-commissarissen en voor de officieren
van justitie en burgemeesters met zich zou brengen, zou deze ook ernstig afbreuk doen
aan de beoogde verbetering van de slagkracht van de samenwerkingsverbanden. Daarmee
zou het doel van dit wetgevingstraject, te weten de verbetering van de gegevensdeling
voor het doel van de betrokken samenwerkingsverbanden, niet worden gerealiseerd.

Voornoemde bezwaren zouden ook opgaan indien niet de rechter-commissaris maar een
andere rechter de preventieve toets op alle gegevensverwerkingen doet: ook dat zou
voorbijgaan aan de benodigde specialistische kennis en expertise inzake de werking
van de samenwerkingsverbanden en de specifiek toepasselijke regelgeving, het enorme
beslag op de capaciteit van rechters, officieren van justitie en burgemeesters, en
de nadelige gevolgen voor de slagkracht.

2.1.2 Systeem gegevensbeschermingsrecht

Een preventieve rechterlijke toets – ongeacht welke rechter het betreft – past om
diverse redenen ook niet in het Unierechtelijke systeem voor de bescherming van persoonsgegevens:

– Een voorafgaande rechterlijke toets staat haaks op de rolverdeling uit de AVG. Die
rolverdeling is dat de verwerkingsverantwoordelijken – in dit geval de deelnemers aan het samenwerkingsverband – verantwoordelijk zijn
voor de naleving van de regels van het gegevensbeschermingsrecht. De deelnemers dragen
de gezamenlijke verwerkingsverantwoordelijkheid in de zin van artikel 26 van de AVG
voor de gezamenlijke gegevensverwerking in het samenwerkingsverband, zoals toegelicht
in het nader rapport inzake de WGS en de toelichting op artikel 1.4 WGS.11 Zij hebben een eigen verantwoordingsplicht op grond van de AVG (artikel 5, tweede
lid, AVG). Bij niet-naleving dragen zij – en niet de rechter – de verantwoordelijkheid
en kan de AP bestuursrechtelijke sancties opleggen.12 De AVG gaat dus uit van het nemen van verantwoordelijkheid, met achteraf de mogelijkheid
van toetsing door de AP dan wel de rechter.

– Met de voorgestelde toets door de rechter-commissaris zou de regelgeving ter bescherming
van persoonsgegevens, die voor de overheid meer bestuursrechtelijk georiënteerd is,
in een strafrechtelijke context worden geplaatst. Dit leidt echter tot complicaties,
zoals ook blijkt uit de door de AP voorgestane rol van de burgemeester en de officier
van justitie. De verantwoordelijkheid van deze gezagsdragers voor respectievelijk
de handhaving van de openbare orde13 en de strafrechtelijke handhaving van de rechtsorde14 zijn niet verenigbaar met de bestaande verantwoordelijkheden voor het functioneren
van de instanties die deelnemen aan een samenwerkingsverband. Daarmee worden de verantwoordelijkheden
juist diffuser. Dat de burgemeester of de officier van justitie aan de rechter om
toestemming zou moeten vragen voor een gegevensverwerking, verdraagt zich bovendien
niet goed met het feit dat ook de andere deelnemers het initiatief kunnen nemen voor
een gegevensverwerking. Dat hiermee het toezicht op de verwerking van persoonsgegevens
over meerdere partijen en fases (vooraf en achteraf) wordt verdeeld zal leiden tot
overlap en daarmee tot onduidelijkheid.

– Een toets door de rechter-commissaris zou tot rechtsonzekerheid kunnen leiden over
het toepasselijke gegevensbeschermingsrecht. Als een rechter-commissaris toestemming
geeft op verzoek van een officier van justitie, wekt dat de indruk dat het gaat om
de opsporing en vervolging van strafbare feiten en dat op de voorgenomen gegevensverwerking
dus niet de AVG, maar de richtlijn gegevensbescherming opsporing en vervolging toepasselijk
is,15 die in Nederland is geïmplementeerd in de Wet politiegegevens en de Wet justitiële
en strafvorderlijke gegevens. Vermenging van stelsels ware te voorkomen. Dat is niet
alleen van belang voor de deelnemers aan de samenwerkingsverbanden, die dan zouden
worden geconfronteerd met verschillende privacyregimes, maar ook voor de betrokkenen,
voor wie duidelijk moet zijn wat hun rechten zijn. Beoogd is dat alleen de AVG van
toepassing is op de samenwerkingsverbanden.

2.1.3 Stelsel Wetboek van Strafvordering

Een voorafgaande toets door de rechter-commissaris zou ook een breuk vormen met het
stelsel uit het Wetboek van Strafvordering. De rechter-commissaris houdt toezicht
op de voortgang en rechtmatigheid van het opsporingsonderzoek, dat onder leiding staat
van de officier van justitie, en kan toestemming geven om bepaalde opsporingsmethoden
in te zetten die een ernstige inbreuk op de persoonlijke levenssfeer met zich meebrengen.
Bij de gegevensverwerking door de samenwerkingsverbanden is echter meestal (nog) geen
sprake van een opsporingsonderzoek; het doel is immers te beoordelen welke aanpak
in de voorliggende situatie het beste is. Die aanpak zal doorgaans niet strafrechtelijk
zijn, maar zal dan bijvoorbeeld een bestuursrechtelijke of een sociale interventie
inhouden. De WGS gaat immers over een multidisciplinaire aanpak. De opmerking van
de AP, dat alle samenwerkingsverbanden in de kern in het teken staan van strafrechtelijke
handhaving en handhaving van de openbare orde, laat zich dan minder goed plaatsen.

De impact van gegevensverwerkingen op grond van de WGS rechtvaardigt evenmin dat de
toets van de rechter-commissaris uit het Wetboek van Strafvordering wordt overgenomen.
De impact van de WGS is bezwaarlijk te vergelijken met de impact van zware opsporingsmiddelen
zoals het doorzoeken van woningen, het zetten van telefoontaps en het vorderen van
telecomdata. De rechter-commissaris geeft dan toestemming voor de verkrijging van
nieuwe informatie met behulp van bepaalde ingrijpende opsporingsbevoegdheden en niet
voor het verder verwerken van informatie waarover men al rechtmatig beschikt, zoals
in de WGS. Overigens is de strafvorderlijke bevoegdheid tot het vorderen van gegevens
bij derden in beginsel toebedeeld aan de officier van justitie; de rechter-commissaris
is daarbij niet betrokken (artikelen 126nd/126ud Sv). Het komt vreemd voor wanneer
de officier van justitie toestemming nodig heeft van de rechter-commissaris voor de
verdere verwerking van gegevens tot de verkrijging waarvan hij zelfstandig bevoegd
is.

Dat betrokkenen volgens de AP onder de WGS vaak niet weten dat gegevens over hen worden
verwerkt en dat ook niet hoeven te verwachten, behoeft nuancering: de WGS laat de
informatieplicht uit de AVG onverlet. Het hangt van het geval af of er een uitzonderingsgrond
uit de AVG van toepassing is.16 Dat er uitzonderingen op de informatieplicht mogelijk zijn, wil nog niet zeggen dat
de impact te vergelijken is met die van zware opsporingsmiddelen. De impact verschilt
per samenwerkingsverband en per soort gegevensverwerking. In een Zorg- en Veiligheidshuis
worden zorg en sociale voorzieningen ingezet om recidive te voorkomen, in aanvulling
op reeds lopende straf- en bestuursrechtelijke maatregelen of om de inzet van deze
maatregelen zo mogelijk te voorkomen. Bij een iCOV-themarapportage kan de impact groter
zijn; daarom regelt het concept-BGS daarvoor diverse voorwaarden en waarborgen. De
WGS biedt in ieder geval geen basis voor het vergaren van nieuwe informatie; de deelnemers
aan een samenwerkingsverband mogen alleen gegevens uitwisselen waarover zij al rechtmatig
beschikken. De impact is bovendien in zoverre beperkt dat de WGS geen andere bevoegdheden regelt dan inzake gegevensverwerking.

2.1.4 Andere waarborgen

De AP wijst er terecht op dat het van belang is dat gegevensdeling binnen de perken
blijft, gelet op het uitgangspunt van dataminimalisatie dat aan de AVG ten grondslag
ligt. Om de risico’s te minimaliseren, bevatten de WGS en het BGS echter talrijke
waarborgen en vormen van toezicht en verantwoording in aanvulling op de AVG. Met de
getroffen waarborgen kan worden volstaan. Naast de rechtmatigheidsadviescommissies
gaat het dan om de onafhankelijke coördinerend functionaris voor de gegevensbescherming
(FG) voor het samenwerkingsverband (artikel 1.4, tweede lid, WGS). Deze houdt samen
met de FG’s van de deelnemers toezicht op de gegevensverwerking. Dit kunnen zij intensiveren
afhankelijk van onder meer de risico’s en de aard en omvang van de verwerking (artikel
39, tweede lid, AVG). Verder zijn onafhankelijke, periodieke privacy audits verplicht,
waarvan de resultaten aan de AP moeten worden gezonden (artikel 1.10 WGS). Ook de
AP houdt toezicht en kan handhaven, evenals de rechter die de rechtmatigheid kan toetsen.
De deelnemers aan de samenwerkingsverbanden hebben dan ook evident een belang bij
het tegengaan van onrechtmatige gegevensverwerkingen. Een voorafgaande rechterlijke
toets ligt, alles overziend, niet in de rede.

2.2 Delegatiesystematiek

Vanuit een oogpunt van wetgevingsarchitectuur en democratische legitimatie vindt de
AP dat wezenlijke bepalingen uit het concept-BGS in de WGS zouden kunnen worden opgenomen
en/of dat de betreffende delegatiegrondslagen zoveel mogelijk imperatief zouden kunnen
worden geformuleerd. De AP zou het vanuit rechtsstatelijk en democratisch oogpunt
bijvoorbeeld ook moeilijk voorstelbaar vinden indien het Wetboek van strafvordering
(de formele wet) aan opsporingsambtenaren een algemeen geformuleerde aanhoudingsbevoegdheid
verleent, met daarbij de bepaling dat bij amvb voorwaarden en beperkingen kunnen worden
gesteld.

Het belangrijkste aspect hierbij is welke rechtsbescherming het samenstel van wet
en amvb onder de streep bieden. Daarover kan worden vastgesteld dat de delegatiegrondslagen
uit de WGS in zeer uitgebreide mate worden ingevuld met het BGS, en dat elke gegevensverwerking
moet voldoen aan het gegevensbeschermingsrecht. Zoals de AP erkent, staat hoger recht
deze vorm van delegatie toe.

Hoe de verdeling over de wet en amvb is, hangt ervan af welke elementen volgens de
wetgever zo gewichtig zijn dat de volksvertegenwoordiging rechtstreeks bij de vaststelling
moet worden betrokken. De hoofdelementen van een regeling moeten in de wet worden
opgenomen. De hoofdelementen van de vier (clusters van) samenwerkingsverbanden zijn
in voldoende mate opgenomen in de WGS. Dit heeft de Afdeling advisering van de Raad
van State ook bevestigd in haar voorlichting.17 Voor een nadere toelichting op de redenen voor de delegatiesystematiek wordt verwezen
naar de memorie van antwoord.18 Zoals daarin is toegelicht maakt regeling van bepaalde aspecten bij amvb het mogelijk
om flexibeler te kunnen inspelen op actuele ontwikkelingen. Te denken valt aan de
criteria waar het startpunt van de gegevensverwerking aan moet voldoen. Die criteria
kunnen bijstelling behoeven door actuele ontwikkelingen in de georganiseerde criminaliteit.

De bevoegdheden onder de WGS zijn in zoverre anders dan onder het Wetboek van Strafvordering
dat de WGS geen bevoegdheden creëert om interventies te plegen, en vanwege de hierboven
genoemde redenen inzake de impact van de gegevensverwerking. Alleen gegevensverwerking
wordt geregeld. De gezamenlijke gegevensverwerking op grond van de WGS staat ten dienste
aan de uitoefening van bestaande wettelijke taken en bevoegdheden van de deelnemers.

2.3 Evaluatie

De evaluatie ingevolge artikel 5.1 van de WGS zal zich volgens de AP ook moeten richten
op de vraag of de samenwerkingsverbanden onverminderd noodzakelijk zijn en of de bescherming
van persoonsgegevens uiteindelijk op een voldoende niveau in de uitvoering voldoende
gestalte krijgt. De AP stelt dat de noodzaak in de toekomst een punt van aandacht
blijft, omdat er voor het aanpakken van min of meer dezelfde problematiek (witwassen,
ondermijning) vaak ook andere, eveneens ingrijpende wettelijke mogelijkheden zijn,
zodat stelsels kunnen gaan doubleren. Er moet dan een keuze worden gemaakt, op straffe
van verval van rechtmatigheid van een stelsel.

Volgens artikel 5.1 van de WGS richt de evaluatie zich op de doeltreffendheid en effecten
van deze wet in de praktijk. Formeel gezien is het niet een doel van de WGS om deze
samenwerkingsverbanden op te richten, aangezien ze al geruime tijd bestaan. Toch ligt
het in de rede om ook de doeltreffendheid en effecten van de samenwerkingsverbanden
te betrekken in de wetsevaluatie, voor zover deze verband houden met de doeltreffendheid
en effecten van de WGS.

Wat betreft de noodzaak van samenwerkingsverbanden in relatie tot doublures, bestaat
er enige overlap tussen de samenwerkingsverbanden FEC, iCOV en de RIEC’s, maar dat
laat onverlet dat de betreffende samenwerkingsverbanden meerwaarde hebben. Dit is
toegelicht in de Kamerbrief van de Minister van Justitie en Veiligheid van 17 december
2021.19 In die brief is ook beschreven dat de WGS niet overlapt met de wetgeving over witwassen.20

De vraag of de bescherming van persoonsgegevens in de uitvoering op een voldoende
niveau voldoende gestalte krijgt, zal onderdeel zijn van de wetsevaluatie. De WGS
is er immers bij uitstek op gericht om gegevensverwerkingen – in dit geval door samenwerkingsverbanden
– in goede en rechtmatige banen te leiden. De wetsevaluatie zal daarom ook betrekking
hebben op de doeltreffendheid en effecten van de waarborgen die de WGS en het BGS
bevatten om de bescherming van persoonsgegevens te versterken. De onafhankelijke privacy
audits kunnen voor de wetsevaluatie worden gebruikt als input.

De Minister van Justitie en Veiligheid,
D. Yeşilgöz-Zegerius