Advies Afdeling advisering Raad van State en Nader rapport : Advies Afdeling advisering Raad van State en Nader rapport

Nr. 4
ADVIES AFDELING ADVISERING RAAD VAN STATE EN NADER RAPPORT1

Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State
d.d. 21 november 2019 en het nader rapport d.d. 21 april 2020, aangeboden aan de Koning
door de Minister van Justitie en Veiligheid
, mede namens de Minister voor Rechtsbescherming. Het advies van de Afdeling advisering
van de Raad van State is cursief afgedrukt.

Blijkens de mededeling van de Directeur van uw kabinet van 21 juni 2019, nr. 2019001220,
machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake
het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies,
gedateerd 21 november 2019, nr. W16.19.0159/II bied ik u hierbij aan.

Het advies is ook integraal opgenomen in dit nader rapport en cursief gedrukt. Hieronder
ga ik, mede namens mijn ambtsgenoot voor Rechtsbescherming, in op het advies van de
Afdeling advisering van de Raad van State (hierna: de Afdeling).

Bij Kabinetsmissive van 21 juni 2019, no.2019001220, heeft Uwe Majesteit, op voordracht
van de Minister van Justitie en Veiligheid, mede namens de Minister voor Rechtsbescherming,
bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt
het voorstel van wet gegevensverwerking door samenwerkingsverbanden (WGS), met memorie
van toelichting.

Samenvatting van het voorstel

Het voorstel beoogt een juridische basis te bieden voor de verwerking van persoonsgegevens
door samenwerkingsverbanden. Samenwerkingsverbanden zijn, volgens het voorstel, verbanden
van bestuursorganen en private partijen die gezamenlijk gegevens verwerken voor zwaarwegende
algemene belangen, zoals de bestrijding van fraude en de georganiseerde criminaliteit.
Het voorstel is vormgegeven als een kaderwet met een aantal algemene regels over de
taak van het samenwerkingsverband, de inrichting en het functioneren daarvan. Het
voorziet in een juridische grondslag om persoonsgegevens systematisch te delen en
te verwerken, waaronder door profilering. Bij algemene maatregel van bestuur (amvb)
wordt bepaald welke samenwerkingsverbanden onder deze kaderwet zullen vallen. Dan
vindt ook de aanwijzing van de deelnemende partijen plaats, de concretisering van
het zwaarwegende algemene belang waarvoor persoonsgegevens mogen worden verwerkt en
de werkwijze van het samenwerkingsverband.

Op 9 oktober 2019 heeft een delegatie van de Afdeling Advisering van de Raad van State
op de voet van artikel 24 van de Wet op de Raad van State met de Minister van Justitie
en Veiligheid beraadslaagd over het wetsvoorstel.

Kernboodschap van de Afdeling

De overheid moet ernstige en ondermijnende criminaliteit kunnen voorkomen, opsporen
en bestrijden. Bestuursorganen die gegevens hebben over zulke criminaliteit moeten
die gegevens kunnen uitwisselen met elkaar en ook met private partijen, zodat zij
effectief kunnen optreden. Het uitwisselen van zulke gegevens maakt echter een inbreuk
op het grondwettelijk recht op bescherming van de persoonlijke levenssfeer. Voor die
inbreuk ontbreekt een specifieke wettelijke grondslag. Daardoor is er in veel opzichten
onduidelijkheid bij samenwerkingsverbanden over de bestaande juridische mogelijkheden.
De Afdeling onderschrijft dan ook nut en noodzaak van een wettelijke regeling.

De Afdeling acht de nu voorliggende kaderwet echter niet effectief. In de eerste plaats
heeft het wetsvoorstel betrekking op allerlei zeer uiteenlopende soorten samenwerkingsverbanden.
De voorgestelde regels hebben mede daardoor een te ruime reikwijdte en zijn te weinig
specifiek. De verantwoordelijkheid voor de gegevensverwerking komt te liggen bij alle
deelnemers aan het samenwerkingsverband gezamenlijk en is daardoor niet duidelijk
belegd. Bovendien kunnen samenwerkingsverbanden er zelf voor kiezen of zij onder dit
voorstel willen worden gebracht. Het voorstel draagt daarmee maar in beperkte mate
bij aan de met het wetsvoorstel beoogde regulering en harmonisering van samenwerkingsverbanden.

In de tweede plaats neemt het voorstel de juridische onzekerheid over de toelaatbaarheid
van de gegevensuitwisseling door samenwerkingsverbanden op de voorgestelde wijze niet
weg. Omdat het voorstel vergaande beperkingen van het recht op bescherming van de
persoonlijke levenssfeer mogelijk wil maken en tegelijkertijd niet de wezenlijke elementen
en begrenzingen bevat, voldoet het in deze vorm niet aan de eisen van artikel 10 Grondwet.
Dat artikel beschermt het recht op eerbiediging van de persoonlijke levenssfeer. Hierdoor
biedt het wetsvoorstel een onvoldoende juridische grondslag en daarmee onvoldoende
zekerheid voor de beoogde, vergaande, verwerking en uitwisseling van gegevens. Concretisering
van wezenlijke elementen bij lagere regelgeving, zoals deze kaderwet beoogt, neemt
deze bezwaren niet weg en zet het parlement als medewetgever te zeer op afstand.

De Afdeling merkt op dat, juist vanwege het belang van bestrijding van ernstige en
ondermijnende criminaliteit, beter gekozen kan worden voor een alternatieve benadering
waarmee de voorgaande bezwaren in elk geval grotendeels kunnen worden weggenomen.
Deze benadering gaat uit van wetgeving toegespitst op een (samenhangend cluster van)
samenwerkingsverband(en). Daarin zouden de concrete doelen van de gegevensuitwisseling
en -verwerking, de deelnemende partijen en hun bevoegdheden en verantwoordelijkheden,
en de waarborgen met het oog op de bescherming van de persoonlijke levenssfeer veel
specifieker moeten worden bepaald. In die alternatieve benadering is veel minder delegatie
naar lagere regelgeving nodig.

De Afdeling adviseert het voorstel niet bij de Tweede Kamer der Staten-Generaal in
te dienen, tenzij het is aangepast.

Leeswijzer

In dit advies gaat de Afdeling eerst in op de achtergrond en de inhoud van het voorstel
(1). Daarna wordt een beoordeling gemaakt van de effectiviteit van het voorstel, gelet
enerzijds op de ruime en weinig specifieke regels en anderzijds de vrijblijvendheid
van het voorstel (2). Vervolgens worden vier problemen die het voorstel bevat in het
licht van de effectiviteit nader toegelicht: de vrijwel onbegrensde mogelijkheid voor
de deelname van private partijen (3); de gezamenlijke verwerkingsverantwoordelijkheid
voor de deelnemers van het samenwerkingsverband (4); de bevoegdheid om persoonsgegevens
systematisch te verwerken (inclusief profilering) (5); en de verhouding met het doelbindingsbeginsel
(6). Daarna wordt stilgestaan bij de ruime delegatiegrondslagen waarin het voorstel
voorziet, en wordt een beoordeling daarvan gemaakt in het licht van artikel 10 van
de Grondwet (7). De Afdeling schetst tot slot een mogelijkheid voor een alternatieve
benadering, waarin een groot deel van de gesignaleerde problemen zich niet zal voordoen
(8).

1. Achtergrond en inhoud van het voorstel

a. Integrale gegevensuitwisseling: ervaren knelpunten

Samenwerkingsverbanden komen voort uit een behoefte om maatschappelijke problemen
door een integrale aanpak effectiever te bestrijden.2 Geregeld blijken meerdere, publieke en private, partijen feiten of vermoedens te
hebben over misstanden of ernstige maatschappelijke problemen. Zij proberen die problemen
beter in kaart te brengen door georganiseerd gegevens uit te wisselen en te combineren.3 Bekende voorbeelden van bestaande samenwerkingsverbanden zijn het Financieel Expertise
Centrum, dat zich richt op de versterking van de integriteit van de financiële sector;
de Regionale Informatie- en Expertisecentra (RIEC’s), die signalen over de ondermijnende
criminaliteit verzamelen, analyseren en uitwerken, en op basis daarvan interventieadviezen
geven aan de deelnemers; en de Veiligheidshuizen, die overlast, huiselijk geweld en
criminaliteit proberen terug te dringen.4

De Belastingdienst, het Openbaar Ministerie en de politie nemen vaak deel aan dergelijke
samenwerkingsverbanden. Zij beschikken immers over informatie die van groot belang
kan zijn om ernstige criminaliteit en opzettelijke, grootschalige fraude te bestrijden.
Ook nemen banken, verzekeraars, energiemaatschappijen en woningcorporaties soms deel
aan een samenwerkingsverband.5 Ook deze private organisaties beschikken vaak over belangrijke informatie, zoals
signalen die kunnen aangeven dat er problemen spelen die aangepakt dienen te worden,
of dat bepaalde problemen zich herhaaldelijk voordoen.

Deze samenwerkingsverbanden berusten niet op een wettelijke grondslag. Zij zijn gebaseerd
op door henzelf opgestelde convenanten en privacyprotocollen. Daarin is neergelegd
hoe zij functioneren en aan welke eisen het samenwerkingsverband dient te voldoen
vanuit het gegevensbeschermingsrecht. Alleen het Systeem risico indicatie (SyRI),
het samenwerkingsverband voor het bestrijden van fiscale en sociale fraude, is wettelijk
geregeld.6 Een wettelijke regeling voor de bestrijding van zorgfraude is in voorbereiding.7

De bestaande samenwerkingsverbanden vormen geen zelfstandige entiteiten met beslissingsbevoegdheden.
Zonder wettelijke grondslag is dat ook niet mogelijk. De deelnemende partijen schuiven
bij het samenwerkingsverband aan vanuit de eigen doelen dan wel vanuit hun wettelijke
taken en wisselen op grond daarvan gegevens uit.

Bij de verwerking van gegevens door deze samenwerkingsverbanden worden knelpunten
ervaren.8 Bestaande sectorale wetgeving zou onvoldoende rekening houden met de integrale werkwijze
van samenwerkingsverbanden. Per sector is immers wettelijk bepaald welke partijen
over bepaalde gegevens mogen beschikken voor de daarop betrekking hebbende taken en
verplichtingen. Er gelden in dat kader vaak geheimhoudingsplichten. Verder moet bij
de verstrekking van persoonsgegevens aan een andere partij telkens worden bekeken
of het doel waarvoor de gegevens worden verstrekt verenigbaar is met het doel waarvoor
ze oorspronkelijk zijn verzameld. Als het doel niet verenigbaar is, moet worden nagegaan
of er voor de verstrekking een wettelijke grondslag is.9 Samenwerkingsverbanden ervaren hierin juridische onzekerheid.

b. Inhoud en doelen van het voorstel

Het voorstel bevat een algemene wettelijke basis voor gegevensuitwisseling en -verwerking
binnen samenwerkingsverbanden, en voor de verstrekking van de resultaten van die verwerking
aan de deelnemende partijen en aan derden.10 Zowel publieke als private partijen kunnen volgens het voorstel aan zo’n samenwerkingsverband
deelnemen. Bij deelname dienen gegevens in beginsel te worden verstrekt aan het samenwerkingsverband.
Die gegevens worden dan binnen het samenwerkingsverband verder verwerkt en nader geanalyseerd.
De resultaten van die gegevensverwerking worden daarna gedeeld met een of meer deelnemende
partijen of met derden.11

De samenwerkingsverbanden worden ingesteld bij amvb. Ook worden bij amvb de deelnemers
van het samenwerkingsverband aangewezen, en wordt nader bepaald voor welk doel van
– zoals het voorstel het in algemene termen omschrijft – «zwaarwegend algemeen belang»
het samenwerkingsverband wordt ingesteld. Het voorstel bevat enkele beperkingen en
voorwaarden, maar bevat ook een algemene bepaling om bij amvb nadere voorwaarden en
beperkingen te stellen aan de verwerkingen van de samenwerkingsverbanden.12

Het voorstel beoogt hiermee een integrale aanpak van samenwerkingsverbanden te ondersteunen
en knelpunten in de gegevensuitwisseling weg te nemen: het geeft een juridisch kader
waarbinnen de gegevensuitwisseling en -verwerking door de deelnemers van het samenwerkingsverband
gemakkelijker kan plaatsvinden.13 Daarnaast beoogt het voorstel een zekere harmonisatie van de al bestaande samenwerkingsverbanden.14

2. Effectiviteit van het voorstel

a. Noodzaak regulering gegevensuitwisseling

De overheid moet ernstige en ondermijnende criminaliteit kunnen voorkomen, opsporen
en bestrijden. Bestuursorganen die gegevens hebben over zulke criminaliteit moeten
die gegevens kunnen uitwisselen met elkaar en ook met private partijen, zodat zij
effectief kunnen optreden. Het uitwisselen van zulke gegevens maakt echter een inbreuk
op het grondwettelijk recht op bescherming van de persoonlijke levenssfeer; voor die
inbreuk ontbreekt een specifieke wettelijke grondslag. Daardoor is er in veel opzichten
onduidelijkheid bij samenwerkingsverbanden over de bestaande juridische mogelijkheden.
De Afdeling onderschrijft dan ook nut en noodzaak van een wettelijke regeling. De
samenwerking zou ook doeltreffender kunnen worden de naast elkaar bestaande, mogelijk
deels overlappende samenwerkingsverbanden zouden worden gestroomlijnd met op de praktijk
toegespitste regels.

De Afdeling merkt echter op dat met de gekozen constructie in de nu voorliggende kaderwet
de door de regering gestelde doelen, dat wil zeggen de regulering en harmonisatie
van samenwerkingsverbanden, niet effectief zullen worden bereikt. Dat oordeel is met
name gebaseerd op de brede reikwijdte, het facultatieve karakter en de geringe specificiteit
van het voorstel. Hierna gaat de Afdeling op die aspecten in algemene zin nader in
(onderdelen b tot en met d).

b. Brede reikwijdte

Het wetsvoorstel bevat zeer algemene en ruime regels. Dit blijkt allereerst uit de
wettelijke taakomschrijving. Volgens artikel 2 van het voorstel kunnen de taken van
samenwerkingsverbanden op de volgende terreinen liggen:

– het voorkomen van fiscale en sociale fraude;

– het toezien op de naleving van wettelijke voorschriften;

– het handhaven van de openbare orde en veiligheid;

– het voorkomen en opsporen van strafbare feiten.15

De Afdeling constateert dat het in wezen kan gaan om alle vormen van toezicht, handhaving
en opsporing. Binnen dit brede werkterrein moet, volgens het voorstel, bij amvb een
uitdrukkelijk welbepaald en gerechtvaardigd doel van zwaarwegend algemeen belang worden
bepaald.16 Deze regeling geeft echter nauwelijks een nadere begrenzing. Het vereiste dat het
doel uitdrukkelijk omschreven, welbepaald en gerechtvaardigd moet zijn, is letterlijk
overgenomen uit de Algemene verordening gegevensverwerking (AVG) en geldt dus al.17 De eis van een «zwaarwegend algemeen belang» is voorts niet concreet genoeg om een
wezenlijke afbakening van de taak van het samenwerkingsverband in te houden.18

Het wetsvoorstel beoogt binnen deze zeer ruime kaders ingrijpende gegevensverwerkingen
mogelijk te maken. Gegevens kunnen op grond van het voorstel systematisch en met gebruik
van geavanceerde technieken (bijvoorbeeld profilering) worden verwerkt voor zeer uiteenlopende
doelen. Dergelijke verwerkingen vinden plaats in een potentieel breed en in het wetsvoorstel
vrijwel onbegrensd verband van publieke en private deelnemers.19 De vraag is of een zodanig ingrijpend instrumentarium wel passend en geschikt is
voor alle typen samenwerkingsverbanden op het ruime werkterrein waar het voorstel
op ziet.

c. Facultatieve karakter

De deelnemers van het samenwerkingsverband worden op grond van het wetsvoorstel op
hun verzoek of na hun instemming aangewezen bij amvb.20 Dit roept de vraag op wie er nu beslist of deze samenwerkingsverbanden onder het
regime van het voorstel moeten worden gebracht.21 Uit de toelichting op het voorstel blijkt dat het voorstel in ieder geval niet tot
doel heeft om een exclusief regime voor de gegevensverwerking door samenwerkingsverbanden
te bieden. Met het oog daarop is het wetsvoorstel22 zo ingericht dat samenwerkingsverbanden zich vrijwillig aansluiten en daartoe op
grond van deze wet niet verplicht kunnen worden.

De Afdeling merkt op dat het wetsvoorstel vanwege het geschetste facultatieve karakter
onvoldoende bijdraagt aan de beoogde regulering en harmonisering van samenwerkingsverbanden.
Het is immers onzeker of samenwerkingsverbanden op grond van het wetsvoorstel zullen
besluiten om onder het regime van de wet te worden gebracht. Er kunnen allerlei overwegingen
van bijvoorbeeld bestuurlijke en praktische aard zijn om dat niet te doen. In dat
geval zullen de genoemde doelen van het voorstel niet of maar in beperkte mate worden
bereikt. Voor bepaalde samenwerkingsverbanden zal dan bovendien de situatie kunnen
gelden dat zij niet de ingrijpende bevoegdheden hebben die in het wetsvoorstel zijn
geregeld en die gelet op het doel van het samenwerkingsverband in het algemeen belang
noodzakelijk zouden kunnen zijn. Daarbij valt vooral te denken aan samenwerkingsverbanden
die specifiek gericht zijn op de bestrijding van ernstige, de samenleving ontwrichtende
vormen van georganiseerde criminaliteit.

Niet alleen draagt dit facultatieve karakter van het voorstel niet bij aan de effectiviteit
van de noodzakelijke samenwerking. De Afdeling acht dit ook principieel onjuist. De
wetgever dient zijn verantwoordelijkheid te nemen. Hij dient zélf te beslissen voor
welke samenwerkingsverbanden wetgeving in het algemeen belang noodzakelijk is en welke
regels in dat geval voor het betreffende samenwerkingsverband moeten gelden. Die beslissing
dient, gelet op de zwaarwegende publieke belangen die in het geding zijn, niet afhankelijk
te worden gesteld van het verzoek of de instemming van de samenwerkende partijen.23

d. Geringe specificiteit

Een belangrijke doelstelling van het wetsvoorstel is het wegnemen van in de praktijk
ervaren knelpunten. Het wetsvoorstel zou rechtszekerheid moeten bieden zodat samenwerkingsverbanden
weten in welke gevallen en onder welke voorwaarden zij gegevens mogen uitwisselen
en in het samenwerkingsverband verder mogen verwerken. Rechtszekerheid is nodig om
als samenwerkingsverband effectief te kunnen functioneren.

De Afdeling merkt op dat de wetgever de juridische onzekerheid over de toelaatbaarheid
van de gegevensuitwisseling door samenwerkingsverbanden op de voorgestelde wijze niet
of onvoldoende wegneemt. Het wetsvoorstel geldt voor ongelijksoortige samenwerkingsverbanden
op een zeer breed terrein (zie hiervoor onder a) en is daardoor onvermijdelijk zeer
algemeen van karakter. Het normeert nauwelijks en delegeert de dragende elementen
van het specifieke samenwerkingsverband aan een amvb. Dat betreft onder meer het doel
van het samenwerkingsverband, de partijen die deelnemen aan het samenwerkingsverband
en hun onderscheiden verantwoordelijkheden, welke verwerkingen zijn toegestaan en
onder welke voorwaarden en de waarborgen die het samenwerkingsverband en de deelnemende
partijen moeten treffen. Daardoor is er ook onzekerheid over de proportionaliteit
van het voorstel: het maakt vergaande bevoegdheden tot gegevensverwerking (waaronder
systematische verwerking en profilering) mogelijk, terwijl niet vaststaat dat de bevoegdheden
noodzakelijk en proportioneel zijn voor alle soorten samenwerkingsverbanden die onder
het voorstel gebracht kunnen worden.

Omdat het wetsvoorstel vergaande beperkingen van het recht op bescherming van de persoonlijke
levenssfeer mogelijk wil maken en tegelijkertijd niet de wezenlijke elementen en begrenzingen
bevat, voldoet het voorstel in deze vorm niet aan de eisen van artikel 10 Grondwet.
Dat artikel beschermt het recht op eerbiediging van de persoonlijke levenssfeer (zie
hierna punt 7). Dat is niet alleen een principieel bezwaar. Door een onvoldoende juridische
grondslag te bieden, geeft het wetsvoorstel ook onvoldoende zekerheid voor de beoogde,
vergaande, gegevensverwerking en -uitwisseling. Concretisering van wezenlijke elementen
bij lagere regelgeving, zoals deze kaderwet beoogt, neemt deze bezwaren niet of onvoldoende
weg en zet het parlement als medewetgever te zeer op afstand.

Op grond van de voorgaande elementen tezamen (b tot en met d) meent de Afdeling dat
de gerechtvaardigde doelstellingen van het wetsvoorstel niet effectief zullen worden
bereikt. Hieronder gaat zij, mede in het licht van de effectiviteit, dieper in op
een aantal belangrijke onderdelen van het wetsvoorstel (paragraaf 3 tot en met 6).

Reactie op punt 1 en 2 van het advies

De regering is verheugd te constateren dat de Afdeling in haar advies overweegt dat
de overheid ernstige en ondermijnende criminaliteit moet kunnen voorkomen, opsporen
en bestrijden en dat bestuursorganen die gegevens hebben over zulke criminaliteit
die gegevens daartoe moeten kunnen uitwisselen met elkaar en ook met private partijen,
zodat zij effectief kunnen optreden. De regering is tevens verheugd dat de Afdeling
nut en noodzaak van een wettelijke regeling onderschrijft.

De regering neemt daarnaast ter harte dat de Afdeling het wetsvoorstel in de aan haar
voorgelegde vorm niet effectief acht. In de eerste plaats heeft het voorgelegde wetsvoorstel
betrekking op allerlei zeer uiteenlopende soorten samenwerkingsverbanden, waardoor
de regels een te ruime reikwijdte hebben en te weinig specifiek zijn, aldus de Afdeling.
In de tweede plaats neemt het voorgelegde wetsvoorstel volgens de Afdeling de juridische
onzekerheid over de toelaatbaarheid van de gegevensuitwisseling door samenwerkingsverbanden
niet weg en voldoet het vanwege de zeer ruime delegatie naar amvb-niveau niet aan
de eisen van artikel 10 van de Grondwet.

In haar advies merkt de Afdeling op dat, juist vanwege het belang van bestrijding
van ernstige en ondermijnende criminaliteit, beter gekozen kan worden voor een alternatieve
benadering waarmee de voorgaande bezwaren in elk geval grotendeels kunnen worden weggenomen.
De Afdeling stelt daarbij een alternatieve benadering voor, die uitgaat van wetgeving
toegespitst op een (samenhangend cluster van) samenwerkingsverband(en). Daarin zouden
de concrete doelen van de gegevensuitwisseling en -verwerking, de deelnemende partijen
en hun bevoegdheden en verantwoordelijkheden, en de waarborgen met het oog op de bescherming
van de persoonlijke levenssfeer veel specifieker moeten worden bepaald. In die alternatieve
benadering is veel minder delegatie naar lagere regelgeving nodig. In dat geval kunnen
de essentiële onderwerpen veel specifieker in de wet zelf worden bepaald en is minder
delegatie naar lagere regelgeving nodig.

De regering volgt het advies van de Afdeling op en past het wetsvoorstel conform de
door haar voorgestelde alternatieve benadering aan. In navolging van het advies van
de Afdeling wordt in het wetsvoorstel een viertal samenwerkingsverbanden aangewezen
en worden de hoofdelementen van de gezamenlijke gegevensverwerking in het wetsvoorstel
opgenomen. De regering meent dat door het treffen van een omvattende regeling voor
de gezamenlijke gegevensverwerking de bezwaren van de Afdeling worden weggenomen.
Het gaat daarbij om de volgende hoofdelementen, waarop onmiddellijk hierna of anders
in een nader te noemen paragraaf van dit rapport wordt ingegaan:

Hoofdelement A: aanwijzing van samenwerkingsverbanden

In het wetsvoorstel zelf wordt een viertal samenwerkingsverbanden aangewezen waarvoor
de gezamenlijke gegevensverwerking eveneens in het wetsvoorstel wordt geregeld: het
Financieel Expertisecentrum (FEC), de Infobox Crimineel en Onverklaarbaar Vermogen
(iCOV), de Regionale Informatie- en Expertisecentra (RIEC’s) en de Zorg- en Veiligheidshuizen.
Het gaat hier om verbanden die voor essentiële maatschappelijke vraagstukken op het
terrein van het voorkomen en bestrijden van criminaliteit samenwerken in het belang
van de veiligheid: de integrale aanpak van – samengevat – risico’s van respectievelijk:
inbreuken op de integriteit van het financiële stelsel, van witwas- of fraudeconstructies,
van georganiseerde criminaliteit, en van complexe problemen rond personen op het vlak
van zorg en veiligheid. Het betreft hier bovendien samenwerkingsverbanden die inmiddels
ten minste vijf jaar bestaan en daarmee een bestendig karakter hebben.

Mogelijkheid aanwijzing nieuwe samenwerkingsverbanden bij amvb

Om voldoende flexibiliteit te houden voor het aanwijzen van nieuwe samenwerkingsverbanden,
wordt met hoofdstuk 3 een delegatiegrondslag voorgesteld, op basis waarvan een nieuw
samenwerkingsverband bij algemene maatregel van bestuur kan worden aangewezen. Daarbij
wordt een bijzondere nahangprocedure voorgesteld om het parlement ook bij de aanwijzing
en regeling van dit nieuwe verband te betrekken. Deze procedure houdt in dat na publicatie
van de amvb de Staten-Generaal een periode van vier weken krijgen waarin één van beide
Kamers met een absolute meerderheid kan verzoeken om het in de amvb geregelde onderwerp
bij wet te regelen. In dat geval wordt de amvb onverwijld ingetrokken en wordt een
daartoe strekkend wetsvoorstel zo spoedig mogelijk ingediend. In vier bestaande wetten
is deze procedure overigens geregeld in deze vorm.24 Betrokkenheid van het parlement wordt op deze manier gegarandeerd bij de aanwijzing
van nieuwe samenwerkingsverbanden. Overigens is aanwijzing van een samenwerkingsverband
bij amvb uitsluitend mogelijk wanneer het gaat om bij amvb omschreven doeleinden die
passen binnen het raamwerk van hoofdstuk 3.

Betekenis van de aanwijzing als samenwerkingsverband

De aanwijzing van samenwerkingsverbanden in dit wetsvoorstel heeft uitsluitend betrekking
op het mogelijk maken en reguleren van de gezamenlijke verwerking van persoonsgegevens
en andere relevante gegevens in de samenwerking tussen deelnemers. Duidelijkheidshalve
wordt benadrukt dat de aanwijzing van de vier samenwerkingsverbanden nadrukkelijk
niet tot gevolg heeft dat er een nieuw overheidsorgaan, nieuwe instantie of zelfstandige
entiteit van enige vorm ontstaat, waarmee er eventueel nieuwe juridische verhoudingen
zouden ontstaan tussen de deelnemers of ter zake van het samenwerkingsverband als
zodanig. Aan het wetsvoorstel ligt het uitgangspunt ten grondslag dat de gezamenlijke
verwerking van persoonsgegevens en andere relevante gegevens ten dienste staat aan
de uitoefening van de bestaande wettelijke taken en bevoegdheden van de deelnemers.
Er worden met de aanwijzing of enige andere bepaling in dit wetsvoorstel derhalve
geen nieuwe taken of bevoegdheden aan de deelnemers of aan de samenwerkingsverbanden
als zodanig toegekend. Artikel 1.3, vierde en vijfde lid, bepaalt dat aanwijzing als
deelnemer geen wijziging aanbrengt in de publiekrechtelijke taken en bevoegdheden
van de deelnemers alsmede dat de deelnemers een samenwerkingsverband zonder rechtspersoonlijkheid
vormen.

Voor zover dit wetsvoorstel regels bevat over de juridische verhoudingen tussen de
deelnemers, hebben die uitsluitend betrekking op de nadere uitwerking van de eisen
die de Algemene verordening gegevensbescherming stelt ter zake van de gezamenlijke
verwerking, zoals de gezamenlijke verwerkingsverantwoordelijkheid.

Evenmin regelt dit wetsvoorstel de organisatie, inrichting, positionering en het beheer
van de samenwerkingsverbanden. De regeling daarvan is voorbehouden aan de deelnemers.
Een samenwerkingsverband vraagt om ondersteuning in de vorm van huisvesting, ICT-voorzieningen,
ondersteuning en personeel. De deelnemers maken onderling afspraken over de wijze
waarop het samenwerkingsverband wordt ingericht, taken stellen, prioriteiten vaststellen
en zorgdragen voor financiering en beheer. Ook kan sprake zijn van mandaatverlening
in de zin van afdeling 10.1.1 van de Algemene wet bestuursrecht.

Hoofdelement B: doelen waarvoor samenwerkingsverbanden gegevens verwerken en afwijking
van het doelbindingsbeginsel

Hierop wordt ingegaan in reactie op punt 6 van het advies («6. Afwijking van het doelbindingsbeginsel»).

Hoofdelement C: aanwijzing van de deelnemers aan een samenwerkingsverband

Voor alle vier samenwerkingsverbanden worden de deelnemers in het wetsvoorstel aangewezen.
Het gaat hierbij om deelnemers die momenteel op basis van een convenant al deelnemen
aan een van de vier samenwerkingsverbanden. Door aanwijzing van de deelnemers is deelname
verplicht, en niet facultatief.

Bij de aanwijzing van de deelnemers in het wetsvoorstel wordt daarbij gespecificeerd
voor welke wettelijke taken en bevoegdheden de deelnemers deelnemen aan het samenwerkingsverband.
Dit is nodig om te voldoen aan artikel 6, eerste lid, onderdeel e, en het derde lid,
van de AVG. Bij de doelomschrijving van de specifieke samenwerkingsverbanden wordt
aangesloten bij de uitoefening van de publiekrechtelijke of wettelijke taken en bevoegdheden
van de deelnemers. Zoals hiervoor is aangegeven wordt daarmee invulling gegeven aan
de eisen van de AVG uit de artikelen 5, onderdelen a en b, van de AVG, die bepalen
dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene
rechtmatig, behoorlijk en transparant is, alsmede voor welbepaalde, uitdrukkelijk
omschreven en gerechtvaardigde doeleinden mogen worden verzameld en niet verder mogen
worden verwerkt op een met die doeleinden onverenigbare wijze behoudens artikel 6,
vierde lid, aanhef, AVG.

Om te voldoen aan de voornoemde eisen van de AVG, in het bijzonder aan artikel 6,
eerste lid, onderdeel e, is in aanvulling daarop van belang om in het wetsvoorstel
te bepalen met het oog op de uitoefening van welke taken en bevoegdheden van de deelnemers
het noodzakelijk is voor deelnemers om in het samenwerkingsverband gezamenlijk gegevens
te verwerken. Artikel 6, eerste lid, onderdeel e, bepaalt immers dat de verwerking
noodzakelijk moet zijn voor de vervulling van een taak van algemeen belang of van
een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke
is opgedragen. Gelet op de onderscheidenlijke doelen van de samenwerkingsverbanden,
is het niet noodzakelijk om in dat kader gezamenlijk gegevens te verwerken ten behoeve
van die taken en bevoegdheden van de deelnemers die geen verband houden met dat doel.
Voor de uitoefening van alle aangewezen taken en bevoegdheden geldt dat gezamenlijke
gegevensverwerkingen noodzakelijk zijn om het doel te realiseren. Voor een toelichting
op de aangewezen taken en bevoegdheden wordt verwezen naar de artikelsgewijze toelichting.

Gelet op de snelle maatschappelijke ontwikkelingen op het terrein van criminaliteitsbestrijding
en veiligheid, moet het mogelijk zijn in de toekomst nieuwe deelnemers aan te wijzen.
Om die reden kunnen bij of krachtens algemene maatregel van bestuur nieuwe deelnemers
worden aangewezen die deelnemen aan de samenwerkingsverbanden FEC, iCOV en RIEC. Voor
de Zorg- en Veiligheidshuizen wordt in het wetsvoorstel de mogelijkheid gecreëerd
derden op incidentele basis te laten deelnemen aan het casusoverleg dat plaatsvindt
in het kader van het Zorg- en Veiligheidshuis. Hieronder wordt daar nader op ingegaan.

Hoofdelement D: bevoegdheden van de deelnemers

In navolging van het advies van de Afdeling worden in het aangepaste wetsvoorstel
regels gesteld over de bevoegdheden van de deelnemers in het samenwerkingsverband.
In het wetsvoorstel worden regels gesteld over de activiteiten die de deelnemers in
het kader van het samenwerkingsverband verrichten waarvoor gezamenlijke gegevensverwerking
noodzakelijk is, welke gegevens zij daarvoor mogen verwerken en worden grondslagen
gecreëerd voor de gegevensverwerking die in het kader van voornoemde activiteiten
plaatsvindt. In het wetsvoorstel wordt voor alle samenwerkingsverbanden bepaald:

1) welke activiteiten zij verrichten waarvoor gezamenlijke gegevensverwerking noodzakelijk
is voor het doel van het samenwerkingsverband;

2) welke categorieën gegevens de deelnemers daarbij mogen verwerken;

3) de grondslag op grond waarvan zij in het kader van voornoemde activiteiten gegevens
mogen verwerken, evenals op welke wijze en met welke gegevens.

Het FEC voert op basis van signalen zogenoemde signalenoverleggen uit over risico’s
op inbreuken op de integriteit van het financiële stelsel en verricht ten behoeve
van het doel van het FEC gegevensanalyses, beide om daaruit sturingsinformatie af
te leiden voor de deelnemers.

De Infobox Crimineel en Onverklaarbaar Vermogen stelt op basis van geautomatiseerde
gegevensanalyses rapportages op over het vermogen en inkomsten van een of meer natuurlijke
of rechtspersonen (iRVI) of over de financieel-zakelijke relaties rondom natuurlijke
of rechtspersonen (iRR), geanonimiseerde rapportages over een ontwikkeling of trend
in een bepaalde regio of met betrekking tot een bepaald fenomeen (iRT NN) en – als
nieuwe methode – rapportages waarin op basis van een iRT NN een iRVI of iRR wordt
opgesteld (iRT compact).

De RIEC’s wijzen handhavingsknelpunten aan en analyseren deze. Zij voeren casusoverleggen
en verrichten gebiedscans en nulmetingen ten behoeve van het bepalen en uitvoeren
van gezamenlijke strategieën voor de uitvoering van de wettelijke taken en de inzet
van hun wettelijke bevoegdheden door de deelnemers bij misstanden in maatschappelijke
sectoren en publieke voorzieningen die vatbaar zijn voor innesteling van georganiseerde
criminaliteit.

De Zorg- en Veiligheidshuizen voeren casusoverleggen, waarbij betrokken deelnemers
in afstemming afspraken kunnen maken over interventies die ten aanzien van een betrokkene
worden ingezet, de uitvoering, evaluatie en zo nodig het bijstellen van die afspraken
alsmede overleggen over afsluiting van de casus, ten behoeve van het bepalen en uitvoeren
van een gezamenlijke strategie voor de uitoefening van de wettelijke taken en bevoegdheden
van de deelnemers alsmede daaraan gerelateerde noodzakelijke activiteiten die worden
verricht door de deelnemers. Ook stellen de Zorg- en Veiligheidshuizen lijsten vast
met geprioriteerde casussen.

Voor de voornoemde verwerkingsactiviteiten creëert het wetsvoorstel een grondslag
op grond waarvan de deelnemers gezamenlijk gegevens mogen verwerken. Daarbij worden
nadere regels gesteld over het proces van gezamenlijke gegevensverwerking, de werkwijze
van de deelnemers en welke gegevens zij in welke fase van het proces mogen gebruiken.
Gemakshalve wordt voor een toelichting op deze nadere regels verwezen naar het wetsvoorstel
en de memorie van toelichting.

Hoofdelement E: positie van private partijen

Hierop wordt ingegaan in reactie op punt 3 van het advies van de Afdeling.

Hoofdelement F: verantwoordelijkheden van de deelnemers

Hierop wordt ingegaan in reactie op punt 4 van het advies van de Afdeling.

Hoofdelement G: materiële regels over gegevensverwerkingen

Hierop wordt ingegaan in reactie op punt 5 van het advies van de Afdeling.

Hoofdelement H: waarborgen

Hierop wordt ingegaan in reactie op punt 7 van het advies van de Afdeling («Legaliteitsbeginsel
en grondrechten»).

Dit nader rapport gaat nu verder met punt 3 van het advies van de Afdeling.

3. Deelname van private partijen

Private partijen kunnen op grond van het wetsvoorstel deelnemen aan een samenwerkingsverband
op dezelfde basis, met dezelfde rechten, plichten en verantwoordelijkheden, als publieke
deelnemers.25 Als zij als deelnemers zijn aangewezen, kunnen private partijen volgens het voorstel
op dezelfde wijze als deelnemende overheidsorganisaties meebeslissen over de verwerking
van gegevens binnen het samenwerkingsverband en over de verstrekking van die gegevens
aan publieke of private deelnemers of aan derden. Het kan gaan om allerlei soorten
gegevens; het voorstel regelt expliciet dat strafrechtelijke gegevens aan een samenwerkingsverband
kunnen worden verstrekt.26

De positie van de deelnemers binnen een samenwerkingsverband is echter wezenlijk verschillend.

– Bestuursorganen die als deelnemers worden aangewezen, zullen doorgaans een op de wet
gebaseerde publieke taak hebben die verband houdt met het doel van het samenwerkingsverband.

– Private partijen die worden aangewezen, zoals banken, verhuurders of makelaars, hebben
particuliere doelstellingen en hebben in dat kader – binnen de grenzen van de wet
– de vrijheid te handelen zoals zij willen. Zij streven in beginsel niet – en in elk
geval niet primair – publieke doelen na.

– Een tussencategorie zijn private rechtspersonen met een wettelijke taak, zoals woningcorporaties
en zorginstellingen. Zij zijn in beginsel niet gehouden om publieke taken uit te voeren,
behalve als het gaat om hun eigen wettelijke taak. Die taak is meestal gericht op
dienstverlening aan burgers, niet op toezicht of handhaving.

Het is in bepaalde gevallen essentieel dat overheidsinstanties en private partijen
op voet van gelijkwaardigheid maar rekening houdend met hun onderscheiden verantwoordelijkheden
met elkaar samenwerken en in dat kader gegevens uitwisselen. Dat betekent echter niet
dat private partijen zoals nu voorgesteld ook op dezelfde manier als overheidsinstanties
in wettelijk geregelde samenwerkingsverbanden zouden moeten deelnemen, en – als zij
deelnemen – moeten meebeslissen over wat het samenwerkingsverband doet. Deelname in
die zin ligt niet zonder meer voor de hand omdat het samenwerkingsverband een publiek
doel dient waarvoor private partijen geen primaire verantwoordelijkheid dragen.

Het is dan ook de vraag of het niet wenselijk is om de deelname van private partijen
aan samenwerkingsverbanden in de vergaande vorm waarvoor gekozen is in het wetsvoorstel,
uit te sluiten. Ook als zij geen deelnemer zijn in de door het wetsvoorstel voorgestelde
zin, is het mogelijk om samen te werken, te overleggen en gegevens uit te wisselen.
Uit de toelichting blijkt niet of deze mogelijkheid is overwogen.

Ook als daar niet voor zou worden gekozen en deelname wel mogelijk wordt gemaakt is
het van belang de positie van de betrokken private partij in het samenwerkingsverband
afhankelijk van de omstandigheden nader te definiëren en te beperken tot wat voor
de beoogde samenwerking noodzakelijk is. Er zouden bijvoorbeeld beperkingen kunnen
worden gesteld aan de mate waarin private partijen inzage krijgen in gegevens en kunnen
meebeslissen over het verstrekken van gegevens aan de deelnemers en aan derden. Ook
zouden beperkingen kunnen worden gesteld aan het soort gegevens die private partijen
kunnen ontvangen van het samenwerkingsverband, of aan de soorten doelen waarvoor ze
die gegevens kunnen krijgen.

De Afdeling merkt op grond van het voorgaande op dat het wetsvoorstel te ruime mogelijkheden
biedt voor deelname van private partijen. In de gekozen constructie van een kaderwet
met een zeer brede reikwijdte (zie hiervoor punt 2b) kan de wetgever dit moeilijk
oplossen, tenzij deelname van private partijen aan een samenwerkingsverband in absolute
zin wordt uitgesloten. Ervan uitgaande dat de wetgever zélf hier de mogelijkheden
en grenzen moet bepalen, is een meer specifiek gerichte wet geschikter.

Reactie op punt 3 van het advies

Naar aanleiding van het advies van de Afdeling heeft de regering de positie van private
partijen in dit verband heroverwogen. Daarbij heeft de regering bezien:

1) of en zo ja, van welke partijen deelname noodzakelijk is om het doel van het samenwerkingsverband
te realiseren;

2) hoe in dat geval de deelname kan worden beperkt tot hetgeen noodzakelijk is om het
doel te realiseren alsmede hoe de bevoegdheden en verantwoordelijkheden ter zake van
de gezamenlijke gegevensverwerking worden voorbehouden aan de publiekrechtelijke deelnemers
of overheidsinstanties;

3) betrokkenheid van private partijen op een andere manier dan structurele deelname kan
worden gerealiseerd, voor zover noodzakelijk.

Bij iCOV en RIEC’s is deelname van private partijen niet noodzakelijk.

Het FEC is een samenwerkingsverband van diverse overheidsorganisaties dat als doel
heeft de integriteit van het financiële stelsel te versterken. Aan sommige activiteiten
van het FEC nemen ook private partijen uit deze sector deel. Risico’s van inbreuken
op de integriteit van het financiële stelsel moeten worden tegengegaan. De deelnemers
in het FEC treden gezamenlijk preventief op tegen risico’s ten aanzien van de integriteit
van het financiële stelsel, houden toezicht op de naleving van de hiervoor relevante
regelgeving of handhaven deze waar nodig.

De deelnemers aan het FEC zijn toezichthouders of andere handhavende instanties ten
opzichte van de partijen die onderdeel uitmaken van het financiële stelsel, of ze
zijn informatieleverancier van voornoemde instanties.

Daarnaast wordt door het samenwerkingsverband FEC ingezet op het gezamenlijk voorkomen
en bestrijden van het gebruik van het financiële stelsel voor financieel-economische
criminaliteit, zoals witwassen, en andere vormen van ernstige, met name ondermijnende
criminaliteit alsmede terrorismefinanciering. Met het oog op dit laatste doel werken
de deelnemers aan het FEC, met uitzondering van de Belastingdienst, ook al enige jaren
samen met financiële instellingen, te weten: de Nederlandse Vereniging van Banken,
ING Bank, ABN Amro Bank, Rabobank, Volksbank en Aegon. Dit gebeurt vanuit de visie
dat de integriteit van het financiële stelsel niet slechts een zaak is van de overheid.
Deze visie klinkt ook door in Wet ter voorkoming van witwassen en het financieren
van terrorisme (Wwft), die op dit vlak verplichtingen aan banken en andere financiële
ondernemingen oplegt. In het wetsvoorstel zijn de publiekrechtelijke deelnemers of
overheidsinstanties (de toezichthouders AFM en DNB worden daar ook onder begrepen)
aangewezen. Bij amvb zullen andere overheidsorganen of overheidsinstanties en banken
of andere private partijen worden aangewezen, voor zover dat noodzakelijk is voor
het doel van het samenwerkingsverband en het om daarbij beschreven specifieke verwerkingen
of onderdelen daarvan gaat. Dat zal dus gelden voor ten minste voornoemde financiële
instellingen. Zij doen overigens alleen mee aan twee Taskforces die onder de vlag
van het FEC functioneren: de Taskforce Terrorismefinanciering en de Taskforce Serious
Crime. De private deelnemers aan het FEC zullen op grond van het wetsvoorstel uitsluitend
verantwoordelijk zijn voor zover het gaat om bij algemene maatregel van bestuur beschreven
specifieke verwerkingen of onderdelen daarvan.

Gelet op het doel van de Zorg- en Veiligheidshuizen is deelname van private partijen
noodzakelijk, omdat zorgverlening, hulp en begeleiding in de praktijk vaak geschiedt
door de partijen uit de private sector. In artikel 2.27, eerste lid, worden de publiekrechtelijke
deelnemers of overheidsinstanties aangewezen die zijn belast met de uitoefening van
wettelijke taken of bevoegdheden.

In artikel 2.27, tweede lid, wordt een aantal privaatrechtelijke rechtspersonen als
deelnemer aangewezen die bij of krachtens de wet taken of bevoegdheden uitoefenen
of daartoe door een bestuursorgaan gemandateerd zijn, of daaraan gerelateerde noodzakelijke
activiteiten verrichten, en die verband houden met het doel, bedoeld in artikel 2.25.
Met laatstgenoemde activiteiten wordt gedoeld op instellingen voor geestelijke gezondheidszorg.
Het gaat bij de private deelnemers om:

• een reclasseringsinstelling;

• een advies- en meldpunt huiselijk geweld en kindermishandeling;

• de gecertificeerde instelling die in het bezit is van een certificaat als bedoeld
in de Jeugdwet;

• een instelling voor geestelijke gezondheidszorg;

• een instelling die in opdracht van het college van burgemeester en wethouders taken
verricht ter uitvoering van de Wet maatschappelijke ondersteuning 2015, de Jeugdwet,
de Participatiewet en de Wet gemeentelijke schuldhulpverlening.

In navolging van de Afdeling van de Raad van State meent de regering dat de primaire
verantwoordelijkheid voor de persoonsgegevensverwerking in het kader van het samenwerkingsverband
moet berusten bij de publiekrechtelijke deelnemers of overheidsinstanties en niet
bij de private deelnemers. Om die reden wordt in het wetsvoorstel ter zake van de
Zorg- en Veiligheidshuizen een tweedeling gemaakt tussen publiekrechtelijke deelnemers
of overheidsinstanties enerzijds en privaatrechtelijke deelnemers anderzijds. De gezamenlijke
verwerkingsverantwoordelijkheid als bedoeld in artikel 26 van de AVG voor de gezamenlijke
verwerking van gegevens wordt daarbij exclusief toegekend aan de publiekrechtelijke
deelnemers of overheidsinstanties. De rechten en plichten die uiting geven aan deze
verantwoordelijkheid en die zijn verbonden aan de gezamenlijke gegevensverwerking
die op grond dit wetsvoorstel, in het bijzonder de paragraaf over de Zorg- en Veiligheidshuizen,
mogelijk worden gemaakt, worden om voornoemde redenen dan ook primair voorbehouden
aan de publiekrechtelijke deelnemers of overheidsinstanties. Het gaat daarbij onder
andere om de beslissing om persoonsgegevens te delen met een ander Zorg- en Veiligheidshuis
en de beoordeling of een melding geschikt is voor casusoverleg.

In het wetsvoorstel (artikel 2.31, negende lid) wordt mogelijk gemaakt dat de publiekrechtelijke
deelnemers aan het Zorg- en Veiligheidshuis derden op incidentele basis kunnen laten
deelnemen aan het casusoverleg, indien dat noodzakelijk is voor het doel. Voor een
goede behandeling van complexe persoonsgebonden casuïstiek kan het noodzakelijk zijn
dat derden op incidentele basis worden betrokken. Het gaat daarbij om derden op uiteenlopende
gebieden zoals huisvesting, zorg, maatschappelijke opvang, jeugdhulp, crisisopvang,
woonbegeleiding, beschermd wonen, begeleiding geestelijke of licht verstandelijke
beperking problematiek, maatschappelijk werk, slachtofferzorg, bewindvoerders, huisartsenzorg,
curatoren, bewindvoerders of mentoren. Voor een goede beoordeling van een individuele
casus kan het noodzakelijk zijn ook expertisecentra, onderzoeksinstellingen of wetenschappelijke
instellingen als derden te laten deelnemen aan het overleg over een individuele casus.
Indien derden op incidentele basis deelnemen, zien de publiekrechtelijke deelnemers
erop toe dat de AVG en het bij of krachtens deze wet bepaalde door de betrokken derde
in acht wordt genomen (artikel 2.31, tiende lid).

Voor de effectiviteit van de samenwerkingsverbanden kan het noodzakelijk zijn dat
de resultaten van de gezamenlijke verwerking aan derden, waaronder private partijen
kunnen worden verstrekt. In diverse vormen van publiek-private samenwerking is verstrekking
van relevante informatie aan bijvoorbeeld private partijen nodig om strafbare feiten
te voorkomen en op te sporen. Om in deze behoefte te voorzien, wordt in het wetsvoorstel
mogelijk gemaakt dat de resultaten aan een derde kunnen worden verstrekt, indien dit
noodzakelijk is voor de uitvoering van wettelijke verplichtingen van een derde, wanneer
deze verplichtingen verenigbaar zijn met het doel van het samenwerkingsverband. Het
gaat hier om een wettelijke toegestane vorm van verdere verwerking voor publiekrechtelijke
taken of wettelijke verplichtingen van de ontvanger die verenigbaar zijn met de doelen
van het samenwerkingsverband. De regering meent hiermee een evenwichtige vorm van
participatie van private partijen bij de gezamenlijke gegevensverwerking door samenwerkingsverbanden
te hebben gerealiseerd.

4. Gezamenlijke verwerkingsverantwoordelijkheid

Het voorstel bepaalt dat de deelnemers aan het samenwerkingsverband gezamenlijk verwerkingsverantwoordelijke
zijn. Aldus kan er, zo stelt de toelichting, geen onduidelijkheid over bestaan: iedere
deelnemer aan het samenwerkingsverband is verantwoordelijk voor de verwerking van
gegevens door het samenwerkingsverband.27 Bij amvb zal worden bepaald hoe deelnemende organisaties taken en verantwoordelijkheden
onderling verdelen en wie als contactpunt en als functionaris voor gegevensbescherming
wordt aangewezen.28

Hoewel gezamenlijke verwerkingsverantwoordelijkheid wordt toegestaan door de AVG vraagt
de Afdeling zich af of zulks in de context van dit wetsvoorstel voldoende is afgewogen.29 Het risico van samenwerking op voet van gelijkwaardigheid is dat de verantwoordelijkheid
voor de gezamenlijke werkzaamheden en resultaten in concrete gevallen zoek raakt.
Als een burger een van de deelnemende partijen benadert omdat hij bijvoorbeeld inzage
of correctie wil van zijn gegevens, bestaat de kans dat die terugverwijst naar het
samenwerkingsverband waar de verwerking in feite heeft plaatsgevonden. Binnen dat
samenwerkingsverband is vervolgens moeilijk te bepalen wie uiteindelijk voor welk
aandeel aanspreekbaar is.

De vraag naar de aanspreekbaarheid zal zich niet alleen kunnen voordoen in de relatie
met de burger maar ook in situaties waarin in brede zin publieke verantwoording moet
worden afgelegd. Naarmate er meer partijen aan het samenwerkingsverband deelnemen
en de doelen of taken van de deelnemers sterker uiteenlopen, zal moeilijker kunnen
worden bepaald door wie en op welke wijze politieke verantwoordelijkheid kan worden
gedragen. De toelichting op het wetsvoorstel gaat daar niet op in.

Het wetsvoorstel bevat geen concrete regels om te verzekeren dat het samenwerkingsverband
en de deelnemende partijen voor de burger en voor degene die politiek verantwoordelijk
is, effectief aanspreekbaar is. Dat probleem wordt versterkt doordat de medewerkers
die namens hun organisatie binnen het samenwerkingsverband samenwerken, op grond van
het wetsvoorstel in beginsel geheimhouding verschuldigd zijn aan hun eigen organisatie.30 Die geheimhoudingsplicht, hoewel uit een oogpunt van bescherming van persoonsgegevens
begrijpelijk, kan het voor de deelnemende organisaties gecompliceerder maken om hun
(gezamenlijke) verantwoordelijkheid voor de gegevensverwerking in de praktijk te effectueren
omdat zij niet steeds over alle relevante informatie zullen kunnen beschikken.

De Afdeling wijst erop dat de in het wetsvoorstel gekozen constructie van de gezamenlijke
verwerkingsverantwoordelijkheid vragen oproept en in verband daarmee niet voor alle
samenwerkingsverbanden adequaat lijkt. Afhankelijk van de aard van het samenwerkingsverband
en de verhouding tussen de daarin participerende partijen zijn andere constructies
wellicht passender.31 Ook dat pleit voor meer specifiek (in)gerichte wetgeving.

Reactie op punt 4 van het advies

Door aanwijzing van de samenwerkingsverbanden, de vaststelling van het doel en de
aanwijzing van deelnemers, meent de regering ook tegemoet te komen aan het bezwaar
van de Afdeling dat de verantwoordelijkheid voor de gezamenlijke gegevensverwerking
onduidelijk was belegd. De regering acht het van belang dat de deelnemers aan een
samenwerkingsverband de gezamenlijke verwerkingsverantwoordelijkheid als bedoeld in
artikel 26 van de AVG voor de gezamenlijke gegevensverwerking in het samenwerkingsverband
dragen. Zoals in reactie op punt 3 van het advies is toegelicht, wordt echter bij
de Zorg- en Veiligheidshuizen de gezamenlijke verwerkingsverantwoordelijkheid toegekend
aan de publiekrechtelijke deelnemers en wordt bij het FEC de verantwoordelijkheid van private deelnemers beperkt
tot specifieke verwerkingen.

Gelet op het feit dat dit wetsvoorstel geen nieuwe juridische entiteiten creëert,
geen nieuwe taken en bevoegdheden aan de deelnemers toekent (behoudens de bevoegdheid
om ten behoeve van de uitoefening van hun bestaande wettelijke taken en bevoegdheden
gezamenlijk gegevens te verwerken) en evenmin nieuwe taken en bevoegdheden aan het
samenwerkingsverband als zodanig toekent, wordt daarmee aangesloten bij de bestaande
situatie waarin elke deelnemer aan een samenwerkingsverband deelneemt vanuit de verantwoordelijkheid
voor de eigen taken en bevoegdheden en ook volledig verantwoordelijk is en blijft
voor de uitoefening daarvan. Met dit uitgangspunt verdraagt zich niet dat één of enkele
deelnemers verantwoordelijk zouden worden voor de gegevensverwerking ten behoeve van
de uitoefening van taken en bevoegdheden van een andere partij.

In het aangepaste wetsvoorstel is de regeling inzake de gezamenlijke verwerkingsverantwoordelijkheid
van de deelnemers aangescherpt en verduidelijkt. Zo is bepaald dat de deelnemers één
van de functionarissen voor gegevensbescherming van de deelnemende overheidsinstanties
of overheidsorganen aanwijzen die als coördinerend functionaris voor gegevensbescherming
voor het samenwerkingsverband optreedt. Ook wordt de regeling inzake de verantwoordelijkheden
ter zake van de rechten van betrokkenen nader gespecificeerd. Bij algemene maatregel
van bestuur worden regels gesteld over de werkwijze en de respectievelijke verantwoordelijkheden
van de deelnemers, waaronder met betrekking tot de uitoefening van de rechten van
betrokkene en hun respectieve verplichtingen om de informatie te verstrekken, bedoeld
in de artikelen 13 en 14 van de Algemene verordening gegevensbescherming alsmede over
de aanwijzing van een deelnemende overheidsinstantie of deelnemend overheidsorgaan
als contactpunt voor betrokkenen voor de uitoefening van de rechten op grond van hoofdstuk
III van de Algemene verordening gegevensbescherming.

5. Systematische gegevensverwerking, in het bijzonder profilering

a. Inhoud van het voorstel

Bij amvb kan worden bepaald dat het samenwerkingsverband gegevens systematisch kan
verwerken. Het kan daarbij blijkens de voorgestelde wettekst gaan om het combineren,
structureren, profileren en analyseren van gegevens om informatie af te leiden en
vast te leggen voor het doel van het samenwerkingsverband.32 De vraag is wat er onder weinig specifieke begrippen als «systematisch verwerken»,
«combineren», «structureren» en «analyseren» moet worden verstaan; zij worden niet
nader gedefinieerd.33 Wat er met de bepaling wordt bedoeld kan worden afgeleid uit de toelichting: daaruit
blijkt dat er met name behoefte bestaat aan een wettelijke grondslag voor twee soorten
gegevensverwerking, die worden omschreven als gezamenlijke casusanalyse en gezamenlijke
data-analyse.

Gezamenlijke casusanalyses binnen samenwerkingsverbanden zijn met name van belang
om ondermijnende criminaliteit effectief te kunnen bestrijden, zoals binnen de RIEC’s.
De deelnemers aan zo’n samenwerkingsverband kunnen uiteenlopende signalen delen en
combineren om het ondermijnende netwerk meer compleet in kaart te brengen en om te
bepalen welke interventies het meest geschikt zijn.34

Bij een gezamenlijke data-analyse worden – zo stelt de toelichting – patronen blootgelegd
of groepsprofielen opgesteld, om aan de hand daarvan een lijst te kunnen opstellen
van personen, organisaties of bedrijven die met het oog op het doel van het samenwerkingsverband
een verhoogd risico laten zien. Zulke analyses leveren – zo stelt de toelichting –
doorgaans betere35 informatie op dan analyses die een individuele deelnemer aan het verband op grond
van louter zijn eigen gegevens kan maken. De analyse kan een lijst opleveren van personen
met een groot risico dat zij fraude plegen of nog gaan plegen. Zij zijn niet formeel
verdachte, maar kunnen wel rekenen op «bijzondere aandacht».36 Uit deze beschrijving van «gezamenlijke data-analyse» blijkt dat het opstellen van
zo’n lijst in feite neerkomt op profilering, zoals dat begrip is omschreven in de
AVG.37

b. Gezamenlijke data-analyse (profilering)

De Afdeling onderkent dat er situaties kunnen zijn waarin profilering een duidelijke
meerwaarde heeft. Profilering is echter een methode waaraan grote risico’s zijn verbonden.
Bij profilering kan – zo stelt de toelichting – aan een individuele persoon een generiek
kenmerk van een groep worden tegengeworpen, terwijl dat kenmerk op hem niet van toepassing
is en daarmee voor hem een zogenoemde false positive oplevert.38

De toelichting gaat echter niet nader in op de vraag wat dat concreet voor iemand
kan betekenen. De gevolgen kunnen indringend zijn. Zo kan een risicomelding mede leiden
tot het weigeren van een vergunning, overheidsopdracht of aanbesteding op basis van
de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur («Wet Bibob»).39 Daarnaast is voorstelbaar dat het instrument vooral wordt gericht op wijken of categorieën
personen met een eenzijdige samenstelling (bijvoorbeeld arm of rijk, sociale of etnische
opbouw). Daardoor kan een eenzijdig en onjuist beeld ontstaan van bijvoorbeeld de
mate waarin fraude voorkomt onder bepaalde groepen. Dat kan stigmatiserend werken.

De bevoegdheid tot profileren dient dan ook met concrete waarborgen te zijn omgeven,
als uitwerking van de algemene waarborgen die de AVG bevat.40 Het gaat met name om het beginsel van minimale gegevensverwerking,41 en om het voorkomen van discriminatie.42 In dat verband valt op dat het voorstel zelf geen materiële waarborgen bevat: die
kunnen bij amvb worden geregeld. Wel bevat het twee andere, meer procedureel gerichte
waarborgen.

De eerste waarborg houdt in dat de Autoriteit Persoonsgegevens (AP) vooraf toestemming
moet geven voor profilering.43 Deze bepaling is weliswaar gebaseerd op de AVG maar is in de praktijk niet zonder
problemen44: het houdt in dat de AP intensief wordt betrokken bij een bestuurlijke afweging,
die niet gemaakt zou moeten worden door de toezichthouder maar door het bevoegde en
aanspreekbare bestuursorgaan. Dat orgaan is bovendien beter op de hoogte van de elementen
die op zijn eigen specifieke werkterrein afgewogen moeten worden dan de algemene toezichthouder.
Daar komt bij dat het verlenen van toestemming gelet op de complexiteit van de materie en de verschillende belangen die in het
geding zijn, een omvangrijk onderzoek noodzakelijk zal maken. Het is daarom begrijpelijk
dat de AP tegen de achtergrond van de totaliteit van zijn takenpakket, in haar tweede
advies heeft gevraagd wat de omvang van deze nieuwe taak is en hoe die zal worden
bekostigd.45

De tweede in het wetsvoorstel neergelegde waarborg met het oog op profilering houdt
in dat het samenwerkingsverband algemene gegevens over systematische gegevensverwerking
toegankelijk moet maken; deze waarborg geeft uitwerking aan het beginsel van transparantie,
dat burgers in staat moet stellen om na te gaan welke gegevens van hem verwerkt zouden
kunnen worden.46 Het samenwerkingsverband hoeft echter geen gegevens over profilering toegankelijk
te maken als een (publieke of private) deelnemer van oordeel is dat zwaarwegende redenen
zich daartegen verzetten.47 De Afdeling acht het niet onaannemelijk dat deze uitzondering op het terrein dat
door het wetsvoorstel wordt bestreken relatief vaak zal worden ingeroepen: bij SyRI,
het systeem tegen sociale en fiscale fraude, is informatieverstrekking stelselmatig
achterwege gebleven, om te voorkomen dat de «modus operandi» bekend wordt.48

In het licht van het voorgaande acht de Afdeling de voorgestelde procedurele waarborgen onvoldoende. In aanvulling daarop zijn concrete materiële criteria
nodig om te bepalen wanneer profilering is toegestaan. Dat zal eenvoudiger te realiseren
zijn als gekozen wordt voor wetgeving per (onderling samenhangende clusters van) samenwerkingsverband(en).

Reactie op punt 5 van het advies

Het wetsvoorstel bevat naar aanleiding van het advies niet langer de termen systematische
verwerking of profilering, noch de daaraan gekoppelde voorafgaande toestemming. Om
wel te voorzien in aanvullende waarborgen, zijn diverse andere waarborgen toegevoegd
aan het wetsvoorstel, die hierna in reactie op punt 7 worden beschreven.

De materiële regels over gegevensverwerkingen zijn grotendeels al opgenomen door bepalingen
aan het wetsvoorstel toe te voegen inzake de bevoegdheden en activiteiten van de deelnemers.
Naast deze regels over de activiteiten die de deelnemers in het kader van het samenwerkingsverband
verrichten waarvoor gezamenlijke gegevensverwerking noodzakelijk is, welke gegevens
zij daarvoor mogen verwerken en de grondslagen voor de gegevensverwerking die in het
kader van voornoemde activiteiten plaatsvindt, worden diverse materiële regels voor
de gezamenlijke gegevensverwerking geïntroduceerd in het wetsvoorstel. Enkele specifieke
onderwerpen worden er hier uitgelicht.

Verstrekking van de resultaten aan deelnemers en derden

In het wetsvoorstel wordt geregeld onder welke voorwaarden de resultaten van de gezamenlijke
gegevensverwerking van het samenwerkingsverband aan deelnemers en aan derden kunnen
worden verstrekt.

Tenzij naar het oordeel van een of meer deelnemers op wier gegevens de resultaten
zijn gebaseerd zwaarwegende redenen zich daartegen verzetten, worden de resultaten
van de verwerking binnen het samenwerkingsverband verstrekt aan een of meer deelnemers,
voor zover de verstrekking noodzakelijk is voor:

a. de vervulling van een publiekrechtelijke taak die aan de deelnemer is opgedragen,
wanneer deze taak verenigbaar is met het doel van het samenwerkingsverband, of

b. de behartiging van de gerechtvaardigde belangen of uitvoering van wettelijke verplichtingen
van een private deelnemer, wanneer deze belangen of verplichtingen verenigbaar zijn
met het doel van het samenwerkingsverband.

Tenzij een deelnemer daartegen bezwaar heeft, kunnen de resultaten van de verwerking
binnen het samenwerkingsverband ook aan een derde worden verstrekt, voor zover de
verstrekking bij of krachtens deze wet van een grondslag is voorzien, de verstrekking
door de rechtmatigheidsadviescommissie is getoetst en de verstrekking noodzakelijk
is voor:

a. de vervulling van een publiekrechtelijke taak die aan de derde is opgedragen, wanneer
deze taak verenigbaar is met het doel van het samenwerkingsverband, of

b. de behartiging van de gerechtvaardigde belangen of uitvoering van wettelijke verplichtingen
van een private derde, wanneer deze belangen of verplichtingen verenigbaar zijn met
het doel van het samenwerkingsverband.

Daarbij worden ook regels gesteld over hoe de ontvangers omgaan met de ontvangen resultaten.
Voor zover er gegevens aan derden worden verstrekt, en die gegevens bijzondere categorieën
van persoonsgegevens of persoonsgegevens van strafrechtelijke aard betreffen, kunnen
die uitsluitend aan derden worden verstrekt nadat de deelnemers die deze persoonsgegevens
aan het samenwerkingsverband hebben verstrekt, hiermee hebben ingestemd.

Onderlinge gegevensuitwisseling

Voor de regionaal georganiseerde RIEC’s en Zorg- en Veiligheidshuizen wordt geregeld
dat de RIEC’s onderling en de Zorg- en Veiligheidshuizen onderling gegevens kunnen
uitwisselen, voor zover dat noodzakelijk is voor hun respectievelijke doelen. Gelet
op het feit dat de regionaal georganiseerde samenwerkingsverbanden hetzelfde doel
nastreven, moet onderlinge uitwisseling mogelijk zijn. Verstrekking van bijzondere
categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard aan
een ander regionaal informatie- en expertisecentrum vindt uitsluitend plaats nadat
de partij of de partijen die deze persoonsgegevens aan het regionaal expertisecentrum
heeft of hebben verstrekt, hiermee heeft of hebben ingestemd.

Bijzondere categorieën persoonsgegevens, persoonsgegevens van strafrechtelijke aard
en identificatienummers

Voor zover de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) daartoe
niet reeds een uitzondering op de verwerkingsverboden biedt, worden voor de samenwerkingsverbanden
enkele wettelijke uitzonderingen gecreëerd op de verwerkingsverboden van artikel 9
en 10 van de AVG voor een aantal bijzondere categorieën van persoonsgegevens en persoonsgegevens
van strafrechtelijke aard. Ook wordt een grondslag gecreëerd voor de verwerking van
persoonsidentificatienummers als bedoeld in artikel 46 van de UAVG. Voor de noodzaak
daartoe wordt verwezen naar de memorie van toelichting bij het wetsvoorstel.

Gegevens over gezondheid en medisch beroepsgeheim

De Zorg- en Veiligheidshuizen verwerken gegevens over gezondheid. Voor de noodzaak
daartoe verwijst de regering naar de memorie van toelichting bij het wetsvoorstel.
Op sommige deelnemers aan de Zorg- en Veiligheidshuizen rust het medisch beroepsgeheim.
Zij kunnen gegevens over gezondheid uitsluitend verstrekken aan Zorg- en Veiligheidshuizen
voor zover dat is toegestaan onder de regels van het medisch beroepsgeheim. In het
wetsvoorstel wordt geen doorbreking van het medisch beroepsgeheim geregeld. Verduidelijkt
wordt dat verstrekking van gegevens aan het samenwerkingsverband op geen enkele wijze
afbreuk doet aan het medisch beroepsgeheim. Een deelnemer waarop het medisch beroepsgeheim
van toepassing is, verstrekt uitsluitend gegevens indien betrokkene daartoe uitdrukkelijk
toestemming heeft gegeven, behoudens de gevallen waarin enig wettelijk voorschrift
een deelnemer verplicht gegevens te verstrekken of enig wettelijk voorschrift toestaat
deze gegevens zonder uitdrukkelijke toestemming van betrokkene te verstrekken of de
verstrekking van deze gegevens noodzakelijk is uit het oogpunt van goed hulpverlenerschap.

Ter bescherming van deelnemers waarop het medisch beroepsgeheim rust, kunnen zij voorwaarden
en beperkingen stellen aan het verstrekken van de resultaten aan deelnemers of derden.

6. Afwijking van het doelbindingsbeginsel

Het voorstel voorziet erin dat persoonsgegevens zullen worden verzameld voor uiteenlopende
doelen. Gegevens worden uitgewisseld door verschillende publieke en private partijen
op een breed werkterrein die verschillende doelen en taken behartigen en over uiteenlopende
soorten persoonsgegevens zullen beschikken. Persoonsgegevens die aanvankelijk zijn
verzameld voor een specifieke wettelijke taak of een commercieel bedrijfsbelang, komen
terecht bij het samenwerkingsverband en uiteindelijk bij een of meer andere deelnemende
partijen of derden waar de gegevens mogelijk voor heel andere doelen zullen worden
gebruikt: op grond van het voorstel kan het gaan om doelen die uiteen kunnen lopen
en niet noodzakelijkerwijs verenigbaar zijn.

Als persoonsgegevens voor een bepaald doel worden verzameld hoeft de burger er in
beginsel niet op bedacht te zijn dat zijn gegevens door een andere instantie dan waarmee
hij contact heeft gehad, voor een heel ander doel worden gebruikt. Daarom is het doelbindingsbeginsel
één van de kernbeginselen van het gegevensbeschermingsrecht. De AVG bepaalt met het
oog daarop dat persoonsgegevens moeten worden verzameld voor welbepaalde, uitdrukkelijk
omschreven en gerechtvaardigde doeleinden en dat ze niet verder mogen worden verwerkt
op een met die doeleinden onverenigbare wijze.49 Verdere verwerking van persoonsgegevens, ook voor onverenigbare doelen, is mogelijk
als dit in het nationale recht is bepaald, mits aan bepaalde voorwaarden is voldaan.50 Uitzonderingen op het beginsel van doelbinding dienen strikt te worden geïnterpreteerd.
Een te ruime uitleg zou deze voor de burger belangrijke waarborg kunnen ondermijnen.

De Afdeling merkt op dat het wetsvoorstel te veel ruimte biedt voor afwijking van
het doelbindingsbeginsel. Weliswaar stelt de toelichting dat dit beginsel uitgangspunt
blijft maar tegelijkertijd wordt er ruimte gecreëerd om in een amvb waarmee een samenwerkingsverband
wordt ingesteld «een doel van zwaarwegend algemeen belang te formuleren dat niet op
voorhand verenigbaar is met de doelen waarvoor de deelnemers de te verstrekken gegevens
hebben verzameld».51 Daarmee wordt vrijwel onbegrensd ruimte gelaten voor afwijking van het doelbindingsbeginsel
en bestaat het risico dat in de uitwerking die afwijking in feite tot hoofdregel wordt
verheven. Daarmee verliest de doelbinding zijn waarborgfunctie. Als wordt gekozen
voor wetgeving per (cluster van) samenwerkingsverband(en), kan de spanning tussen
de uiteenlopende doelen in ieder geval eenvoudiger worden opgelost.

Reactie op punt 6 van het advies

Wat betreft de doelbinding moeten drie verschillende fasen van verwerkingen worden
onderscheiden: de verstrekking door de deelnemers aan het samenwerkingsverband, de
verwerking door/binnen het samenwerkingsverband en de verstrekking (van de resultaten
van de verwerking) door het samenwerkingsverband aan de deelnemers:

• Verstrekking door de deelnemers aan het samenwerkingsverband. Deze zal in sommige gevallen een vorm van niet-verenigbare verdere verwerking kunnen
zijn, als de verstrekking voor het doel van het samenwerkingsverband als geheel zou
zijn. Daarvoor is op grond van artikel 6, vierde lid, AVG een lidstaatrechtelijke
grondslag vereist. Het wetsvoorstel geeft een dergelijke grondslag. Het zwaarwegend
algemeen belang dat daarvoor vereist is, valt samen met het doel van het samenwerkingsverband.

• Verwerking door/binnen het samenwerkingsverband. Deze verwerking vloeit voort uit het doel van het samenwerkingsverband. De grondslag
is gelegen in artikel 6, eerste lid, onderdeel e, juncto derde lid, AVG.

• Verstrekking van de resultaten door het samenwerkingsverband aan de deelnemers of
derden. Deze verstrekking vormt een met het doel van het samenwerkingsverband verenigbare
verdere verwerking. De verstrekking van resultaten wordt niet mogelijk gemaakt voor
onverenigbare doelen.

Het principe van doelbinding dient aldus voor samenwerkingsverbanden het uitgangspunt
te blijven, met dien verstande dat het in beginsel wenselijk is dat de deelnemers
persoonsgegevens aan het samenwerkingsverband verstrekken als dat noodzakelijk is
voor het doel van het samenwerkingsverband, ook al is dit doel niet verenigbaar met
het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Aan het slot van paragraaf
3.3.1 van de memorie van toelichting wordt hierop nader ingegaan.

De doelbinding is in het wetsvoorstel vormgegeven door de doelen waarvoor de samenwerkingsverbanden
gegevens mogen verwerken in het wetsvoorstel te bepalen. In het wetsvoorstel worden
vier samenwerkingsverbanden aangewezen waarop de bepalingen van dit wetsvoorstel inzake
de gezamenlijke gegevensverwerking van toepassing zijn, namelijk het FEC, iCOV, de
RIEC’s en de Zorg- en Veiligheidshuizen. In het wetsvoorstel is voor elk samenwerkingsverband
het doel bepaald met het oog waarop deze samenwerkingsverbanden gezamenlijk gegevens
mogen verwerken.

Het FEC verwerkt gegevens, voor zover dat noodzakelijk is voor de uitoefening van
publiekrechtelijke taken en bevoegdheden van de deelnemers, met het oog op risico’s
van inbreuken op de integriteit van het financiële stelsel, of onderdelen daarvan.

iCOV verwerkt met het oog op het in kaart brengen van onverklaarbaar of crimineel
vermogen, het bestrijden van witwas- of fraudeconstructies, het kunnen innen van overheidsvorderingen
die oninbaar dreigen te worden en het uitoefenen van toezicht op de goede werking
van de markt, in opdracht van een of meer deelnemers gegevens voor zover dat noodzakelijk
is voor de uitoefening van publiekrechtelijke taken en bevoegdheden van de deelnemers.

De RIEC’s verwerken gegevens, voor zover dat noodzakelijk is voor de uitoefening van
de wettelijke taken en bevoegdheden van de deelnemers op het terrein van strafrechtelijke,
bestuursrechtelijke en fiscaalrechtelijke handhaving in het belang van de bestrijding
van georganiseerde criminaliteit.

De Zorg- en Veiligheidshuizen verwerken bij de behandeling van complexe casuïstiek
gegevens ten aanzien van een betrokkene voor zover dat noodzakelijk is voor de uitoefening,
afstemming en coördinatie van de inzet van de wettelijke taken en bevoegdheden waarmee
de deelnemers zijn belast en daaraan gerelateerde noodzakelijke activiteiten op het
terrein van strafrechtelijke en bestuursrechtelijke handhaving alsmede begeleiding,
zorg- en hulpverlening in het belang van het voorkomen, verminderen en bestrijden
van criminaliteit, en ernstige overlast en het voorkomen en verminderen van onveilige
situaties voor personen of binnen een gebied.

Het doel waarvoor de samenwerkingsverbanden persoonsgegevens kunnen uitwisselen is
bij elk samenwerkingsverband gekoppeld aan de uitoefening van de bestaande publiekrechtelijke
wettelijke taken en bevoegdheden van de deelnemers (en voor de Zorg- en Veiligheidshuizen
aan daaraan gerelateerde noodzakelijke activiteiten). Hiermee wordt uitvoering gegeven
aan de verplichting uit de artikelen 5, 6, eerste lid, onderdeel e, in samenhang bezien
met het derde lid, van de Algemene verordening gegevensbescherming. Artikel 5, onderdelen
a en b, van de AVG bepalen dat persoonsgegevens moeten worden verwerkt op een wijze
die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is, alsmede
voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden
verzameld en niet verder mogen worden verwerkt op een met die doeleinden onverenigbare
wijze.

Artikel 6, eerste lid, onderdeel e, van de AVG bepaalt dat de verwerking van persoonsgegevens
alleen rechtmatig is indien de verwerking noodzakelijk is voor een taak van algemeen
belang of van een taak in het kader van de uitoefening van openbaar gezag dat aan
de verwerkingsverantwoordelijke is opgedragen. Artikel 6, derde lid, onderdeel b,
van de AVG bepaalt dat de rechtsgrond moet worden vastgesteld bij lidstatelijk recht
dat op de verwerkingsverantwoordelijke van toepassing is. Het doel van de verwerking
moet bij de rechtsgrond worden vastgesteld of is noodzakelijk voor de vervulling van
een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan
de verwerkingsverantwoordelijke is verleend. Het lidstatelijke recht moet beantwoorden
aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde
gerechtvaardigde doel.

De samenwerkingsverbanden verwerken uitsluitend gegevens voor zover dat noodzakelijk
is voor de uitoefening van hun publiekrechtelijke of wettelijke taken en bevoegdheden.
De bestaande wettelijke taken en bevoegdheden van de deelnemers vergen voor de uitoefening
daarvan dat relevante persoonsgegevens en andere gegevens worden verwerkt. Dit wetsvoorstel
bouwt daarop voort door de informatiepositie van afzonderlijke deelnemers in aanvulling
daarop te versterken door de mogelijkheid te creëren om onder voorwaarden relevante
persoonsgegevens en andere gegevens met andere relevante deelnemers uit te wisselen
en in gezamenlijkheid te verwerken. Het wetsvoorstel creëert immers geen nieuwe taken
en bevoegdheden voor de deelnemers of de samenwerkingsverbanden als zodanig. Doordat
de verwerking altijd noodzakelijk moet zijn voor de uitoefening van hun bestaande
wettelijke taken en bevoegdheden, zijn het doel en de grenzen daarvan duidelijk afgebakend,
welbepaald en uitdrukkelijk omschreven. Gelet op het feit dat de gezamenlijke gegevensverwerking
uitsluitend is toegestaan ten behoeve van de integrale aanpak van – samengevat – risico’s
van respectievelijk: inbreuken op de integriteit van het financiële stelsel, van witwas-
of fraudeconstructies, van georganiseerde criminaliteit, en van complexe problemen
rond personen op het vlak van zorg en veiligheid, is sprake van een zwaarwegend algemeen
belang.

Bij de uitoefening van alle bevoegdheden tot persoonsgegevensverwerking die de deelnemers
krijgen op grond van dit wetsvoorstel, moet de voorgenomen verwerking in een concreet
geval worden getoetst aan de eis dat deze noodzakelijk is het met oog op het doel
van het samenwerkingsverband. Elke voorgenomen persoonsgegevensverwerking moet daarnaast
voldoen aan de eisen van de AVG.

Aanwijzing van een samenwerkingsverband bij amvb is uitsluitend mogelijk als bij amvb
doeleinden worden omschreven die passen binnen het raamwerk van hoofdstuk 3:

a. het voorkomen en bestrijden van ernstige vormen van criminaliteit;

b. het voorkomen van grootschalig of systematisch onrechtmatig gebruik van overheidsgelden
en overheidsvoorzieningen; of

c. het voorkomen van grootschalige of systematische ontduiking van wettelijke verplichtingen
tot betaling van belastingen, retributies en rechten bij in- en uitvoer.

Het doel van een bij amvb aan te wijzen samenwerkingsverband zal uiteraard ook moeten
voldoen aan voornoemde eisen uit de AVG.

Verstrekking van de resultaten door het samenwerkingsverband aan de deelnemers of
derden

In het wetsvoorstel wordt tevens geregeld onder welke voorwaarden de resultaten van
de gezamenlijke gegevensverwerking van het samenwerkingsverband aan deelnemers of
aan derden kunnen worden verstrekt. Resultaten kunnen onder voorwaarden aan een deelnemer
worden verstrekt voor de vervulling van een publiekrechtelijke taak die aan de deelnemer
is opgedragen, wanneer deze taak verenigbaar is met het doel van het samenwerkingsverband,
of de behartiging van de gerechtvaardigde belangen of uitvoering van wettelijke verplichtingen
van een private deelnemer, wanneer deze belangen of verplichtingen verenigbaar zijn
met het doel van het samenwerkingsverband. Resultaten kunnen onder voorwaarden aan
een derde worden verstrekt voor de vervulling van een publiekrechtelijke taak die
aan de derde is opgedragen, wanneer deze taak verenigbaar is met het doel van het
samenwerkingsverband, of de behartiging van de gerechtvaardigde belangen of uitvoering
van wettelijke verplichtingen van een derde, wanneer deze belangen of verplichtingen
verenigbaar zijn met het doel van het samenwerkingsverband. Het gaat hier om een wettelijke
toegestane vorm van verdere verwerking voor publiekrechtelijke taken, wettelijke verplichtingen
of gerechtvaardigde belangen van de ontvanger die verenigbaar zijn met de doelen van
het samenwerkingsverband.

7. Legaliteitsbeginsel en grondrechten

Het voorstel bevat, zoals eerder opgemerkt, grondslagen om op een groot aantal onderwerpen
nadere regels te stellen bij amvb. Dat betreft onder meer de samenwerkingsverbanden
die onder de wet zullen worden gebracht, het doel van het samenwerkingsverband, de
partijen die deelnemen aan het samenwerkingsverband en hun onderscheiden verantwoordelijkheden,
welke verwerkingen (inclusief systematische verwerking en profilering) zijn toegestaan
en onder welke voorwaarden, en de waarborgen die het samenwerkingsverband en de deelnemende
partijen moeten treffen. Het gevolg hiervan is dat een wezenlijk deel van het wettelijk
regime niet op het niveau van de formele wet zal worden geregeld.

Het voorstel maakt het mogelijk dat persoonsgegevens op ruime schaal worden gedeeld.
Ruime verwerking en uitwisseling van gegevens door en tussen overheidsinstanties en
private partijen kan in het algemeen belang noodzakelijk zijn. Dit geldt zeker als
het gaat om de bestrijding van ernstige, ondermijnende criminaliteit. Tegelijkertijd
is het van belang te onderkennen dat persoonsgegevens raken aan de identiteit en het
privéleven van individuele personen. Als persoonsgegevens op ruime schaal worden gedeeld
en verspreid, kan dit grote consequenties hebben voor de betrokkene. Een ieder heeft
dan ook recht op bescherming van zijn persoonsgegevens.52 Dit geldt te meer omdat technologische ontwikkelingen het steeds gemakkelijker maken
om persoonsgegevens te verwerken en om een compleet beeld te vormen van de identiteit
en het privéleven van bepaalde personen. Het wetsvoorstel biedt in dat verband een
ruime basis voor verwerking van persoonsgegevens met behulp van het gebruik van moderne
technieken, die uitmonden in «zachte» gegevens (risicomeldingen).53

Artikel 10 van de Grondwet bepaalt dat het recht op eerbiediging van de persoonlijke
levenssfeer door de formele wetgever mag worden beperkt.54 De wetgever mag die bevoegdheid delegeren aan lagere regelgevers. Maar deze heeft
hierin geen carte blanche. De beperkingen op het grondrecht moeten worden gespecificeerd
en er dient, in elk geval op hoofdlijnen, een belangenafweging plaats te vinden in
het licht van artikel 10 van de Grondwet op het niveau van de formele wet.

De Grondwet geeft aan de wetgever een belangrijke verantwoordelijkheid: deze moet
beoordelen of de beperking van fundamentele rechten van burgers blijft binnen de grenzen
die de Grondwet stelt en daarbij voldoet aan eisen van noodzakelijkheid, proportionaliteit
en subsidiariteit. Aan deze verantwoordelijkheid wordt geen recht gedaan als de concrete
invulling vrijwel geheel wordt overgelaten aan de amvb. De hoofdelementen die in algemene
zin in ieder geval in de formele wet moeten worden neergelegd zijn de reikwijdte en
de structurele elementen van een regeling.55

De Afdeling stelt vast dat het wetsvoorstel in deze vorm daaraan niet voldoet. Het
bevat, samenvattend, weinig hoofdelementen:

– het voorstel voorziet in de bevoegdheid om samenwerkingsverbanden in te stellen op
een zeer breed terrein, maar de beoordeling en beslissing om in een concreet geval
tot instelling over te gaan wordt gedelegeerd. De feitelijke reikwijdte van het voorstel
wordt dus bij amvb bepaald;

– de ruimte om partijen aan te wijzen die aan het samenwerkingsverband mogen deelnemen
is vrijwel onbegrensd. Dat geldt ook voor private partijen: het voorstel geeft publieke
en private partijen een gelijke positie (zie hiervoor punt 3);

– het voorstel maakt het mogelijk om binnen samenwerkingsverbanden gegevens systematisch
te verwerken, combineren, structureren en analyseren. Dit impliceert tevens gebruik
van moderne technieken, met name profilering.56 Deze bevoegdheid wordt in het voorstel niet aan materiële regels gebonden (zie hiervoor
punt 5);

– de algemene doelen waarvoor de samenwerkingsverbanden gegevens mogen verwerken zijn
niet nader bepaald of werkelijk begrensd. Dit betekent dat ook niet of nauwelijks
grenzen worden gesteld aan gegevensverwerking voor onverenigbare doelen (zie hiervoor
punt 6);

– het voorstel bepaalt dat bij amvb nadere voorwaarden en beperkingen worden gesteld
aan alle verwerkingen op grond van deze wet.57 Aan die bevoegdheid worden geen grenzen gesteld. Evenmin wordt in het wetsvoorstel
bepaald aan wie (deelnemers en derden) gegevens vanuit het samenwerkingsverband mogen
worden verstrekt en welke waarborgen in concrete zin voor de burger zullen gelden;

– het voorstel bevat met name regels over persoonsgegevens, maar de reikwijdte is ruimer
dan dat: het maakt verwerking mogelijk van gegevens in het algemeen. Zo kan het ook
gaan om bedrijfsgegevens die niet noodzakelijkerwijs tot personen zijn te herleiden.58 Ook bedrijfsgegevens die niet onder de persoonsgegevens zijn te rekenen verdienen
bescherming tegen verspreiding en gebruik, zoals blijkt uit de weigeringsgrond voor
het verstrekken van bedrijfs- en fabricagegegevens in de Wet openbaarheid van bestuur.59 De meeste waarborgen in het voorstel hebben echter alleen betrekking op persoonsgegevens.

Het niet uitwerken van deze hoofdelementen in de wet zelf leidt ertoe dat het bereik
en de proportionaliteit van de beperkingen in de zin van artikel 10 van de Grondwet
onvoldoende in concreto door de wetgever worden bepaald. Het wetsvoorstel is een kaderwet
die een vrijwel onbegrensde ruimte geeft om over belangrijke en voor de burger potentieel
ingrijpende onderwerpen op een lager niveau te besluiten en nadere regels te stellen.
Het voorstel voldoet in deze vorm daarmee niet aan de eisen die de Grondwet stelt.

Reactie op punt 7 van het advies

In navolging van het advies van de Afdeling worden in het wetsvoorstel een viertal
samenwerkingsverbanden aangewezen en worden de hoofdelementen van de gezamenlijke
gegevensverwerking in het wetsvoorstel opgenomen.

In punt 7 merkt de Afdeling – in aanvulling op de eerdere punten uit het advies –
op dat in het wetsvoorstel niet wordt bepaald welke waarborgen in concrete zin voor
de burger zullen gelden. Daarom wordt hier ingegaan op het voornoemde hoofdelement
H: waarborgen.

In navolging van het advies van de Afdeling worden in dit wetsvoorstel een aantal
specifieke waarborgen geregeld voor de gezamenlijke gegevensverwerking in een samenwerkingsverband.
Deze waarborgen gelden in aanvulling op bestaande waarborgen in de AVG en andere wetgeving.
Voor een nadere toelichting op de bestaande waarborgen wordt verwezen naar paragraaf
3.4 van de memorie van toelichting.

In het voorgestelde artikel 1.8 is voorts voorzien in een aantal specifieke waarborgen:

– bij of krachtens algemene maatregel van bestuur kunnen voorwaarden en beperkingen
worden gesteld aan alle verwerkingen van gegevens op grond van deze wet;

– een systeem van autorisaties, dat wil zeggen de verlening van toegang tot de systemen
waarin de samenwerkingsverbanden gegevens verwerken aan uitsluitend door de deelnemers
geautoriseerde personen;

– bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld omtrent
de betrouwbaarheidsvereisten aan geautoriseerde personen;

– de deelnemers dragen zorg voor de vastlegging langs elektronische weg (logging) van
bij of krachtens algemene maatregel van bestuur te beschrijven verwerkingen van persoonsgegevens
in geautomatiseerde systemen;

– de deelnemers treffen passende organisatorische maatregelen om te waarborgen dat per
geval de gegevens enkel voor het vooraf vastgestelde doel worden verwerkt;

– de instelling van een rechtmatigheidsadviescommissie die tot taak heeft de rechtmatigheid
van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te
beoordelen bij nieuwe verwerkingen en wijziging in verwerkingen en om voorstellen
aan het samenwerkingsverband te doen om onrechtmatigheden op te lossen;

– een vernietigingstermijn voor verwerkte persoonsgegevens;

– een adequaat beveiligingsniveau, ten minste overeenkomstig richtlijnen van de Minister
van Binnenlandse Zaken en Koninkrijksrelaties;

– bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld
over deze waarborgen, waaronder opleidingseisen voor personen die zijn aangewezen
ten behoeve van de inzet in het samenwerkingsverband.

Daarnaast kent het wetsvoorstel de volgende verplichtingen als waarborg:

– de verplichting tot een periodiek privacy audit (artikel 1.10);

– de verplichting om een jaarverslag uit te brengen (artikel 1.12);

– de verplichting voor ontvangers van resultaten van de gegevensverwerking van het samenwerkingsverband
om ten minste jaarlijks terug te koppelen wat de effectiviteit en bruikbaarheid van
de resultaten was; de deelnemers zijn verplicht tot periodieke evaluatie op basis
van deze terugkoppeling (artikel 1.7);

– de verplichting om bij amvb een contactpunt voor betrokkenen aan te wijzen en om bij
amvb regels te stellen over de werkwijze en de respectieve verantwoordelijkheden van
de deelnemers (artikel 1.4);

– de verplichting om categorieën van persoonsgegevens die deelnemers aan het samenwerkingsverband
moeten verstrekken, bij of krachtens de WGS aan te wijzen. Dit draagt bij aan de transparantie
van de gegevensverwerking (artikel 1.5);

– de geheimhoudingsplicht (artikel 1.11): de verwerkingsverantwoordelijken zijn jegens
derden verplicht tot geheimhouding van de informatie die uit uitgevoerde analyses
voortkomt behoudens voor zover de verstrekking van resultaten op grond van artikel
1.7 is toegestaan, enig ander wettelijk voorschrift voorziet in de bevoegdheid of
verplichting om de gegevens te verstrekken of voor zover de gegevensverstrekking noodzakelijk
is voor het afleggen van verantwoording door een medewerker aan de deelnemer die hem
heeft aangewezen voor de inzet in het samenwerkingsverband.

Bij geautomatiseerde gegevensanalyse regelt artikel 1.9 tevens in aanvulling op het
voorgaande de volgende waarborgen:

– de verplichting zorg te dragen voor adequate en uniforme technische en organisatorische
maatregelen voor de bevordering van de kwaliteit van de gezamenlijke geautomatiseerde
gegevensanalyse en de bevordering van de juistheid en de volledigheid van de gegevens
die daarbij worden verwerkt;

– de plicht tot menselijke tussenkomst in geval van verstrekking van de uitkomst van
een geautomatiseerde gegevensanalyse aan een deelnemer of een derde, waarbij wordt
beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen;

– de verplichting om aan het publiek op toegankelijke wijze uitleg te geven over de
gehanteerde patronen en indicatoren of andere onderliggende logica bij gezamenlijke
geautomatiseerde gegevensanalyse door het samenwerkingsverband, voor zover naar het
oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten;

– de verplichting tot terugmelding van onjuistheden in bronbestanden;

– de verplichting tot pseudonimisering indien binnen een samenwerkingsverband persoonsgegevens
geautomatiseerd geanalyseerd worden, in bij of krachtens algemene maatregel van bestuur
vastgestelde fasen van gegevensanalyse.

Waarborgen bij bedrijfsgegevens

Dit wetsvoorstel beoogt een omvattend kader te bieden voor de verwerking van zowel
persoonsgegevens als niet-persoonsgegevens voor zover dat noodzakelijk is voor het
doel van het samenwerkingsverband. Ten behoeve van de activiteiten van het FEC, iCOV
en de RIEC’s, kan het ter realisering van het doel noodzakelijk zijn om bedrijfsgegevens
te verwerken. De activiteiten van deze samenwerkingsverbanden zijn gericht op het
achterhalen van vormen van financiële en georganiseerde criminaliteit, waarbij bedrijfsgegevens
een belangrijke rol spelen. De categorieën gegevens, waaronder bedrijfsgegevens, zijn
opgenomen in het wetsvoorstel, voor zover de samenwerkingsverbanden dergelijke gegevens
verwerken. Dit wetsvoorstel doet geen afbreuk aan andere wetgeving waarin regimes
over de omgang met bedrijfsgegevens zijn opgenomen, waaronder bijvoorbeeld de Wet
openbaarheid van bestuur, de wetgeving inzake intellectuele eigendom en de Wet bescherming
bedrijfsgeheimen.

Bedrijfsgegevens kwalificeren in de praktijk van samenwerkingsverbanden doorgaans
snel als persoonsgegevens. Dit komt doordat de AVG een ruime definitie van de term
persoonsgegevens bevat. Bedrijfsgegevens die direct of indirect een natuurlijk persoon
identificeren, vallen reeds onder de bescherming van de AVG. In de praktijk van samenwerkingsverbanden
zijn bedrijfsgegevens doorgaans herleidbaar tot personen, en daarmee persoonsgegevens,
gelet op de bronnen waar de deelnemers toegang toe hebben. Doordat bedrijfsgegevens
veelal herleidbaar zijn tot bijvoorbeeld feitelijk leidinggevenden, bestuurders of
eigenaren, is er sprake van persoonsgegevens en zullen deze wat betreft bijvoorbeeld
de waarborgen mede onder de bepalingen over persoonsgegevens vallen. Op de verwerking
van bedrijfsgegevens zullen de termijnen van de Archiefwet van toepassing zijn waar
het gegevens van overheidsorganisaties en overheidsorganen betreft, zodat vernietiging
van die gegevens plaatsvindt na verstreken archieftermijnen. En voor zover deze bedrijfsgegevens
toch geen persoonsgegevens zijn, zullen die in de praktijk in dezelfde systemen als
persoonsgegevens verwerkt worden, zodat de beveiliging van en autorisatie tot die
systemen zich eveneens tot deze gegevens uitstrekt. Ook de verplichting tot geheimhouding
voor betrokkenen bij een samenwerkingsverband geldt voor deze gegevens op dezelfde
wijze als voor persoonsgegevens.

8. Alternatieve benadering

Vanwege de brede reikwijdte acht de Afdeling het zeer onzeker of in de gekozen constructie
de met het oog op de effectiviteit en de Grondwet noodzakelijke toespitsing kan worden
gerealiseerd.

De Afdeling geeft daarom een alternatieve benadering in overweging waarin deze problemen
beperkter en overzichtelijker worden. Die benadering zou kunnen inhouden dat voor
enkele belangrijke samenwerkingsverbanden, of voor onderling samenhangende clusters
van samenwerkingsverbanden die zich op hetzelfde te specificeren gebied bevinden,
aparte wetten tot stand worden gebracht dan wel dat deze wet tot een dergelijk cluster
wordt beperkt en dienovereenkomstig betekenisvol wordt aangepast. De noodzaak daartoe
kan met name bestaan voor samenwerkingsverbanden die specifiek gericht zijn op de
bestrijding van ernstige en grootschalige georganiseerde criminaliteit («ondermijnende
criminaliteit»). Juist op dit terrein zijn wellicht ook aanvullende bevoegdheden nodig
die van een specifieke wettelijke grondslag moeten worden voorzien.

In deze benadering wordt het eenvoudiger om voor de betreffende samenwerkingsverbanden
afzonderlijk na te gaan of de knelpunten die in de praktijk worden ondervonden bij
het verwerken van persoonsgegevens zodanig zijn dat wetgeving nodig is en hoe deze
toegespitst op het betreffende samenwerkingsverband moet worden ingericht. De onzekerheid
over de rechtmatigheid van de gegevensverwerking kan dan beter worden weggenomen.
Het wordt ook beter mogelijk om in concreto een evenwicht te vinden tussen het belang
van een effectief overheidsoptreden en het belang van de bescherming van de persoonlijke
levenssfeer.

Het wordt in een op de betreffende samenwerkingsverbanden gerichte benadering eenvoudiger
om daarop toegespitst maatwerk te leveren. Zo wordt het gemakkelijker te beoordelen
hoe de taken en doelen van de deelnemers zich tot elkaar verhouden, welke problemen
zich voordoen als die doelen minder goed of niet verenigbaar zijn en of – en zo ja,
onder welke voorwaarden – het gelet op het doel van het betreffende samenwerkingsverband
gerechtvaardigd is om de doelbinding te doorbreken. De verantwoordelijkheid voor de
gegevensverwerking kan scherper worden omschreven, met nadere bepaling van de rol
van iedere deelnemer. De rol van de private partijen binnen het samenwerkingsverband
kan nauwkeurig, per geval, worden uitgewerkt. Specifieke wetgeving kan bovendien meer concrete
sturing geven bij de keus om binnen het samenwerkingsverband te kiezen voor gezamenlijke
casusanalyses en profilering. Ook kan concreter worden bepaald welke waarborgen met
het oog op een zorgvuldige gegevensverwerking moeten gelden. Ten slotte kan nader
worden bepaald of ook bedrijfsgegevens die niet tot personen herleidbaar zijn verwerkt
moeten worden en, zo ja, welke voorwaarden en beperkingen daarbij moeten gelden.

De Afdeling merkt op dat een dergelijke meer op specifieke samenwerking gerichte benadering
ook elders ingang vindt. Gewezen kan worden op het hiervoor al genoemde Systeem risico
indicatie (SyRI) waarvoor – daargelaten of de betreffende wet aan de grondrechtelijke
eisen voldoet60 – een specifiek daarop gerichte wettelijke regeling tot stand is gebracht.61 Verder zijn er wetsvoorstellen in voorbereiding voor de gegevensverwerking ter bestrijding
van zorgfraude62 en in het kader van de gegevensuitwisseling in het sociale domein.63 Ook kan inspiratie worden geput uit wat op dit moment al bij convenant of protocol
voor bestaande samenwerkingsverbanden is geregeld. Onderzocht zou kunnen worden in
hoeverre onderdelen hiervan zich lenen voor regeling op het niveau van de formele
wet.

Met een dergelijke, meer op de (een) concre(e)t(e) samenwerkingsverband(en) gerichte
benadering neemt de wetgever (regering en parlement) zelf verantwoordelijkheid voor
de wezenlijke beleidskeuzes die nu grotendeels worden voorbehouden aan het niveau
van de amvb. Dergelijke meer toegespitste wetgeving is niet alleen effectiever maar
doet tevens meer recht aan eveneens benodigde waarborgen voor de bescherming van de
persoonlijke levenssfeer. De spanning die zich voordoet met artikel 10 van de Grondwet
kan met het oog daarop langs die weg worden opgeheven.

Reactie op punt 8 van het advies

De regering meent met voornoemde aanpassingen het advies van de Afdeling te hebben
opgevolgd en een evenwichtig kader te hebben gecreëerd voor de gezamenlijke gegevensverwerking
door samenwerkingsverbanden.

9. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State heeft een aantal bezwaren bij het voorstel
en adviseert het voorstel niet bij de Tweede Kamer der Staten-Generaal in te dienen,
tenzij het is aangepast.

De vicepresident van de Raad van State,

Th.C. de Graaf

Ik moge U hierbij, mede namens mijn ambtsgenoot voor Rechtsbescherming, verzoeken
het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting
aan de Tweede Kamer der Staten-Generaal, te zenden.

De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State
betreffende no. W16.19.0159/II

– Artikel 7, eerste lid, aanhef, in de bedrijvende vorm redigeren (aanwijzing 4.49,
eerste lid, toelichting, van de Aanwijzingen voor de regelgeving).

– In artikel 9, eerste en tweede lid, in de zinsnede die begint met «behoudens», verduidelijken
wat hier bedoeld is: dat het wettelijk voorschrift voorziet in de bevoegdheid om gegevens
te verstrekken of in de verplichting.