Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag

Nr. 6
NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 29 oktober 2020

De vaste commissie voor Justitie en Veiligheid, belast met het voorbereidend onderzoek
van dit voorstel van wet, heeft de eer als volgt verslag uit te brengen. Onder het
voorbehoud dat de hierin gestelde vragen en gemaakte opmerkingen voldoende zullen
zijn beantwoord, acht de commissie de openbare behandeling van het voorstel van wet
genoegzaam voorbereid.

Met belangstelling heb ik kennisgenomen van het verslag van de vaste commissie voor
Justitie en Veiligheid. De antwoorden op de vragen van de bij het verslag betrokken
fracties zijn in volgorde van het verslag beantwoord. De beantwoording geschiedt mede
namens de Minister voor Rechtsbescherming.

Inhoudsopgave

1.

Inleiding

2

2.

Aanleiding

12

3.

Reikwijdte wetsvoorstel

26

 

3.1.

Aanwijzing bij wet c.q. bij amvb

26

 

3.2.

Doel van zwaarwegend algemeen belang

37

 

3.3

Oplossing knelpunten in de gegevensverwerking in het kader van samenwerkingsverbanden

39

 
 

3.3.1

Verstrekking van gegevens aan een samenwerkingsverband

39

 
 

3.3.2

Verwerking van gegevens binnen een samenwerkingsverband

51

 
 

3.3.3

Verwerking van gegevens met private partijen

53

 
 

3.3.4

Verstrekking van de resultaten van de verwerking uit een samenwerkingsverband

61

 

3.4

Waarborgen

62

 

3.5

Voorafgaande toetsende rol van de Autoriteit Persoonsgegevens

82

4.

In de wet aangewezen samenwerkingsverbanden

85

 

4.1

Het Financieel Expertisecentrum (FEC)

92

 

4.2

De Infobox Crimineel en Onverklaarbaar Vermogen (iCOV)

93

 

4.3

De Regionale Informatie- en Expertisecentra (RIEC’s)

94

 

4.4

De Zorg- en Veiligheidshuizen (ZVH)

96

5.

Verhouding tot bestaande en nieuwe samenwerkingsverbanden

101

6.

Grondrechtelijke aspecten

104

7.

Financiële aspecten

106

8.

Overige consultatiereacties

106

9.

Overig

109

ARTIKELSGEWIJZE TOELICHTING

121

 

Artikel 1.1 (Definities)

121

 

Artikel 1.3 (Deelnemers)

123

 

Artikel 1.4 (Gezamenlijke verwerkingsverantwoordelijkheid)

123

 

Artikel 1.7 (Verstrekking van de resultaten aan deelnemers en derden)

124

 

Artikel 1.8 (waarborgen)

125

 

Artikel 1.9 (Bijzondere waarborgen inzake geautomatiseerde gegevensanalyse)

125

 

Artikel 2.2 (Doel)

127

 

Artikel 2.21 (verwerking bijzondere categorieën van persoonsgegevens en burgerservicenummer)

128

 

Artikel 2.22 (verstrekking van gegevens aan het samenwerkingsverband)

128

 

Artikel 2.27 (deelnemers)

128

 

Artikel 3.1 (Aanwijzing samenwerkingsverbanden bij amvb)

129

 

Artikel 3.2 (Delegatiegrondslag)

130

1. Inleiding

Vraag 1 (VVD)

De leden van de VVD-fractie achten het van groot belang dat de uitwisseling en verwerking
van gegevens tussen instanties en sectoren aanzienlijk wordt verbeterd zodat de aanpak
van fraude, criminaliteit en ondermijning effectiever en slimmer wordt. Met het wetsvoorstel
Regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking
door samenwerkingsverbanden) (hierna: het wetsvoorstel) wordt getracht knelpunten
uit de praktijk aan te pakken. Deze leden waarderen de inzet voor een optimale gegevensuitwisseling
en benadrukken dat wetgeving dient aan te sluiten bij de huidige praktijk. Voornoemde
leden hebben derhalve een aantal vragen en opmerkingen betreffende het voorliggende
wetsvoorstel.

Om te beginnen merken de aan het woord zijnde leden op dat relevante betrokkenen aangeven
dat er zeer weinig tijd was gegund voor het indienen van de zienswijzen. Deelt de
regering de mening dat het van groot belang is dat partijen die al geruime tijd vragen
om wetgeving die informatiedeling vergemakkelijkt, goed betrokken zijn bij het wetsvoorstel?
Kan in het verlengde daarvan worden toegelicht waarom in het proces weinig tijd is
opgenomen voor de inbreng van deze partijen?

De regering deelt de mening dat het van groot belang is dat relevante betrokkenen
goed aangesloten zijn. Bij de totstandkoming van dit wetsvoorstel zijn de relevante
partijen betrokken. Allereerst heeft het conceptwetsvoorstel voor (internet)consultatie
opengestaan van 6 juli tot 20 september 2018. Er zijn 72 burgerreacties ontvangen
en 21 reacties van organisaties: de Autoriteit persoonsgegevens, Amnesty International,
College voor de rechten van de mens, FEC, FIU, iCOV, Koninklijke Notariële Beroepsorganisatie,
NJCM, Nederlandse Vereniging van Banken, NOvA, NVvR, OM, Piratenpartij, Platform Bescherming
Burgerrechten, Politie, Privacy barometer, Privacy First, Reclassering, Regioburgemeesters,
Verbond van verzekeraars en VNG. Deze reacties hebben geleid tot aanpassingen van
het wetsvoorstel, zoals nader toegelicht in paragraaf 10 van de memorie van toelichting.

Op 6 juli 2018 is het conceptwetsvoorstel eveneens voorgelegd aan de Autoriteit persoonsgegevens,
die op 4 januari 2019 advies uitbracht. Naar aanleiding van dat advies is op 22 februari
2019 een aangepast voorstel voorgelegd aan de Autoriteit persoonsgegevens, waarna
zij op 19 april 2019 aanvullend advies uitbracht. Vervolgens is het wetsvoorstel op
21 juni 2019 aangeboden aan de Afdeling advisering van de Raad van State, die op 21 november
2019 advies heeft uitgebracht. Vanwege de ingrijpende aanpassingen sindsdien zijn
vervolgens direct betrokken partijen opnieuw geconsulteerd: (deelnemers in) het FEC,
iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen zijn daarbij geconsulteerd. Een verslag
hiervan is opgenomen aan het slot van paragraaf 10 van de memorie van toelichting.

Gevraagd wordt waarom in het proces weinig tijd is genomen voor de inbreng van deze
partijen. Vooropgesteld kan worden dat er in de reguliere consultatiefase de gebruikelijke
tijd is genomen voor de inbreng van partijen. In de fase van de verwerking van het
advies van de Afdeling, toen direct betrokkenen zijn geraadpleegd over de aanpassingen
naar aanleiding van het advies van de Afdeling, was naar de ervaring van deze betrokkenen
relatief weinig tijd beschikbaar. Het voortvarende tijdschema drukt de grote urgentie
uit van dit wetsvoorstel, die door alle bij de aanpak van ondermijnende criminaliteit
betrokken partijen wordt onderschreven. Ook is vanuit de Tweede Kamer bij de afgelopen
begrotingsbehandeling van Justitie en Veiligheid op 20 november 2019 gevraagd om een
noodwet voor informatie-uitwisseling. Het ging daarbij om een wet die zo snel mogelijk
tot stand wordt gebracht en de mogelijkheden voor het uitwisselen van informatie verbetert
en vereenvoudigt. Ik heb daarop toegezegd ernaar te streven het onderhavige wetsvoorstel
begin 2020 bij uw Kamer in te dienen, ijs en weder dienende.1 Ook bij diverse eerdere gelegenheden is vanuit de Tweede Kamer gevraagd om voortvarend
te handelen met betrekking tot dit wetsvoorstel. Aldus is ernaar gestreefd om de zorgvuldigheid
en voortvarendheid zoveel mogelijk met elkaar te verenigen. Het tijdschema is verantwoord,
gegeven het feit dat het wetsvoorstel in belangrijke mate codificeert wat de desbetreffende
samenwerkingsverbanden op dit moment al doen. Het bevat slechts in beperkte mate nieuwe
verwerkingsmethoden, zoals de themagerichte analyse op subjectniveau door iCOV, en
regelt dat bij of krachtens amvb passende (nadere) voorwaarden en beperkingen kunnen
worden gesteld om risico’s inzake de bescherming van persoonsgegevens te minimaliseren,
en dat eventueel ook aanvullende activiteiten kunnen worden aangewezen.

Vraag 2 (VVD)

De overheid moet ernstige en ondermijnde criminaliteit kunnen voorkomen, opsporen
en bestrijden. Het uitwisselen van gegevens tussen publieke instanties onderling,
maar ook met private partijen, draagt bij aan een effectief optreden. De leden van
de VVD-fractie delen de zorg van de Afdeling Advisering van de Raad van State (hierna:
de Afdeling) over het facultatieve karakter van het wetsvoorstel. In hoeverre past
dit bij de effectiviteit van de noodzakelijke samenwerking?

In de versie van het wetsvoorstel waarop de Afdeling heeft geadviseerd was nog onduidelijk
welke samenwerkingsverbanden onder de reikwijdte van de wet zouden komen te vallen,
omdat aanwijzing daarvan plaats zou vinden bij amvb. Dit facultatieve karakter is
naar aanleiding van het advies van de Afdeling geschrapt. Nu is in het wetsvoorstel
expliciet benoemd en uitgewerkt welke bestaande samenwerkingsverbanden in ieder geval
onder de reikwijdte vallen. Voor zover onder het wetsvoorstel nieuwe samenwerkingsverbanden
bij amvb worden aangewezen, zullen in die amvb de deelnemers worden genoemd.

Vraag 3 (VVD)

Deze leden sluiten zich aan bij de vragen die de Afdeling formuleert over de effectiviteit
van het wetsvoorstel. De vraag is of de voorliggende kaderwet de door de regering
gestelde doelen, regulering en harmonisatie van samenwerkingsverbanden bereikt. De
regering kiest ervoor om, op basis van het advies van de Afdeling, het wetsvoorstel
te richten op een viertal samenwerkingsverbanden. Waarom is voor deze vier samenwerkingsverbanden
gekozen?

De regering heeft gekozen voor het Financieel Expertisecentrum (FEC), de Infobox Crimineel
en Onverklaarbaar Vermogen (iCOV), de Regionale Informatie- en Expertisecentra (RIEC’s)
en de Zorg- en Veiligheidshuizen om de volgende redenen:

– Het gaat hier om verbanden die samenwerken voor essentiële maatschappelijke vraagstukken
op het terrein van het voorkomen en bestrijden van criminaliteit of op het snijvlak
van zorg en veiligheid. Meer specifiek gaat het om de integrale aanpak van – samengevat
– risico’s van inbreuken op de integriteit van het financiële stelsel, van witwas-
of fraudeconstructies, van georganiseerde criminaliteit, en van complexe problemen
rond personen op het snijvlak van zorg en veiligheid.

– Het betreft samenwerkingsverbanden die inmiddels ten minste vijf jaar bestaan en daarmee
een bestendig karakter hebben.

– Juridische knelpunten staan bij deze samenwerkingsverbanden in de weg aan een optimale,
nog effectievere samenwerking van deze samenwerkingsverbanden en behoeven een oplossing
via wetgeving. Deze knelpunten en de bijbehorende oplossingen zijn samengevat in de
opsomming in het antwoord op vraag 18. In paragraaf 3.3 van de memorie van toelichting
zijn deze nader toegelicht.

Vraag 4 (VVD)

Welke consequenties kent deze verankering op de wijze waarop deze samenwerkingsverbanden
opereren en reeds opereerden? Deelt de regering de mening dat verankering in de wet
het primaire doel heeft effectiviteit van deze samenwerkingsverbanden te vergroten?

Doel van het wetsvoorstel is enerzijds om de effectiviteit te vergroten van de integrale
aanpak van – samengevat – georganiseerde criminaliteit, van risico’s van inbreuken
op de integriteit van het financiële stelsel, van witwas- of fraudeconstructies, van
complexe problemen rond personen op het vlak van zorg en veiligheid, en van onder
meer (andere) ernstige vormen van criminaliteit als bedoeld in artikel 3.1. Anderzijds
is het doel van het wetsvoorstel om in aanvulling op de AVG een aantal waarborgen
vast te leggen voor een goede bescherming van de persoonsgegevens die door deze samenwerkingsverbanden
worden verwerkt.

De consequenties van het wetsvoorstel zijn de volgende:

• De juridische basis onder de bestaande vormen van gegevensverwerking door iCOV, FEC,
RIEC’s en de Zorg- en Veiligheidshuizen wordt versterkt en voor nieuwe vormen van
gegevensverwerking die zonder wettelijke grondslag niet zijn toegestaan2 wordt een juridische basis geïntroduceerd. Doordat wettelijke grondslagen voor onderlinge
gegevensdeling nu niet altijd helder zijn, is er in veel opzichten onduidelijkheid
over de bestaande juridische mogelijkheden om informatie met meerdere overheidsorganisaties
tegelijkertijd te delen en gezamenlijk te verwerken. Het doel van het wetsvoorstel
is om dit op te lossen, door met het wetsvoorstel een duidelijk juridisch kader voor
gezamenlijke gegevensverwerking neer te zetten.

• Het wetsvoorstel versterkt de waarborgen tegen risico’s die gezamenlijke gegevensverwerking
met zich kan brengen, mede in het licht van de uitspraak van de rechtbank Den Haag
in het proces tegen SyRI. Dit wordt in antwoord op vragen hierna nog toegelicht.

• Naderhand kunnen bij amvb met een nahangprocedure nieuwe samenwerkingsverbanden onder
de werking van de WGS worden gebracht. Er zullen naar alle waarschijnlijkheid ook
in de toekomst samenwerkingsverbanden worden opgestart die een grondslag voor informatiedeling
behoeven. Dat kan dan bij amvb worden geregeld. Een nahangprocedure verzekert dat
de Eerste of de Tweede Kamer kan besluiten dat er toch een formele wet nodig is in
plaats van een amvb. Dit zorgt voor de nodige flexibiliteit, terwijl de betrokkenheid
van het parlement is gewaarborgd.

Vraag 5 (VVD)

Hoe gaat de regering om met mogelijke signalen van medewerkers in deze samenwerkingsverbanden
als na inwerkingtreding zou blijken dat gegevensuitwisseling wordt bemoeilijkt, bijvoorbeeld
door extra administratieve lastendruk? Is het Adviescollege Toetsing Regeldruk (ATR)
geconsulteerd over de administratieve lastendruk van het wetsvoorstel?

Hetgeen nu in het wetsvoorstel wordt geregeld, is voor een belangrijk deel een codificatie
van de bestaande praktijk. In zoverre leidt het wetsvoorstel als zodanig naar verwachting
niet of nauwelijks tot extra administratieve lasten voor de deelnemers.

Op 6 juli 2018 is de internetconsultatieversie van het wetsvoorstel voor advies aan
het ATR gezonden. Het ATR heeft het conceptwetsvoorstel ambtelijk afgehandeld en geen
advies uitgebracht. Overeenkomstig het Instellingsbesluit ATR zullen ook de concept-amvb’s
op grondslag van dit wetsvoorstel worden voorgelegd aan het ATR voor een toets op
de gevolgen voor de regeldruk.

Vraag 6 (CDA)

De leden van de CDA-fractie hebben met grote belangstelling kennisgenomen van het
wetsvoorstel. Zij zien de mogelijkheid van gegevensuitwisseling met een sterke wettelijke
basis als een belangrijk instrument in de bestrijding van georganiseerde criminele
activiteiten en het beter verzorgen van maatwerk bij een multidisciplinaire behandeling.
Ook menen deze leden dat er met onderhavig wetsvoorstel recht wordt gedaan aan de
bezwaren die zijn geuit bij een eerdere iteratie van dit wetsvoorstel. Het gaat bij
gegevensverwerking door samenwerkingsverbanden vanzelfsprekend om een verregaande
bevoegdheid die dient te worden voorzien van een stevige wettelijke basis en van voldoende
waarborgen en met een rol weggelegd voor de wetgevende macht. Daar lijkt in onderhavig
wetsvoorstel aan voldaan. Echter leidt het wetsvoorstel nog wel tot vragen bij deze
leden.

De aan het woord zijnde leden constateren dat gekozen is voor een sterk vastgelegd,
gereguleerd, gesloten systeem waarbinnen in samenwerkingsverbanden gegevens gedeeld
kunnen worden. Deze leden vragen hoe dit gesloten systeem zich verhoudt tot het doel
van de wet, namelijk het voorkomen en bestrijden van ondermijnende criminaliteit.
Is het niet een ervaringsgegeven dat criminelen, zeker zij die zich beroepsmatig daarmee
bezighouden, qua kennis en creativiteit niet gebonden zijn aan regels en systemen,
en telkens nieuwe wegen en middelen zoeken om toe te slaan, zo menen deze leden. Bestaat
niet het gevaar dat deze gesloten aanpak van gegevensdeling, gekoppeld aan specifiek
benoemde en gereguleerde samenwerkingsverbanden, in de praktijk veel te log en te
bureaucratisch is voor het doel waarvoor deze wet in het leven wordt geroepen, namelijk
het effectief bestrijden van ondermijnende criminaliteit?

De regering onderkent dat het een ervaringsgegeven is dat criminelen ook qua kennis
en creativiteit zich niet gebonden voelen aan regels en systemen. Daarmee is echter
niet onverenigbaar dat het wetsvoorstel een gesloten karakter heeft in de zin dat
het uitsluitend ziet op samenwerkingsverbanden die bij of krachtens het wetsvoorstel
worden aangewezen, voor de daarbij aangegeven doeleinden. Dit is bovendien onvermijdelijk
om te voldoen aan hoger recht, waaronder de AVG, die onder meer vereist dat gegevens
slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
worden verwerkt. Ook de Afdeling heeft geadviseerd om de reikwijdte van het wetsvoorstel
niet open te laten. Wanneer de wezenlijke elementen en begrenzingen open worden gelaten,
zet dit het parlement als medewetgever volgens de Afdeling te zeer op afstand. Om
te voldoen aan artikel 8 van het EVRM en aan de AVG, is het daarnaast noodzakelijk
dat er voldoende waarborgen worden geregeld ter bescherming van de privacy. Ook de
Afdeling wijst op het belang van het regelen van voldoende waarborgen. De waarborgen
en daarmee soms ook beperkingen die het wetsvoorstel stelt, zijn noodzakelijk ter
bescherming van persoonsgegevens. Dat dergelijke waarborgen soms ook als knelpunt
worden ervaren, doet aan hun waarde niets af.

De regering deelt de zorg van de CDA-fractieleden dat voorkomen moet worden dat de
voorgestelde aanpak in de praktijk veel te log en te bureaucratisch zou zijn voor
het doel waarvoor deze wet in het leven wordt geroepen. Door duidelijke grondslagen
te bieden voor de gegevensverwerking, voorkomt het wetsvoorstel dat er een onnodige
rem staat op het optimaal functioneren van samenwerkingsverbanden, doordat het onduidelijkheid
wegneemt over de grondslagen voor noodzakelijke vormen van gezamenlijke, domeinoverstijgende
gegevensverwerking. Waar de WGS begrenzingen, beperkingen en waarborgen bevat, is
ernaar gestreefd om binnen redelijke marges ruimte te laten voor flexibiliteit. Daarom
zijn in de WGS onder meer de volgende mogelijkheden gecreëerd voor innovatie en toekomstige
ontwikkelingen, mede om te voorkomen dat de WGS log en bureaucratisch zou worden:

– Het wetsvoorstel is zoveel mogelijk techniekonafhankelijk geformuleerd.

– Bij of krachtens amvb kunnen nieuwe deelnemers aan de samenwerkingsverbanden worden
toegevoegd.

– Bij of krachtens amvb kunnen voor de RIEC’s nieuwe activiteiten worden aangewezen,
waaronder vormen van geautomatiseerde gegevensanalyse (artikel 2.18, tweede lid).
Voor het FEC is dit bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel
2.5, tweede lid). Voor iCOV volgt deze bevoegdheid overigens uit het wetsvoorstel
zelf (artikel 2.13), terwijl de Zorg- en Veiligheidshuizen geen geautomatiseerde gegevensanalyses
uitvoeren.

– Bij het FEC, iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen, kunnen bij amvb nieuwe
categorieën gegevens worden toegevoegd die zij mogen verwerken. Voor iCOV is dit bij
nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.12, derde lid).

Vraag 7 (CDA)

Ook vragen deze leden of het niet veel verstandiger zou zijn, zoals dat ook in algemene
zin in het strafrecht nu staande praktijk is, om open bevoegdheden toe te kennen,
deze te reguleren op basis van proportionaliteit en subsidiariteit en tussentijds
rechterlijke toetsmomenten in te bouwen.

Voor het reguleren van tussentijdse rechterlijke toetsmomenten wordt geen aanleiding
gezien, aangezien met de voorgestelde verplichting tot privacy audits reeds is voorzien
in een periodieke controle (artikel 1.10). Hiermee wordt aangesloten bij het principe
van artikel 33 van de Wet politiegegevens. Door hierbij aan te sluiten is het voor
de deelnemers die voor de uitoefening van hun wettelijke taken vallen onder de reikwijdte
van de Wpg mogelijk om de auditverplichtingen inhoudelijk op elkaar te laten aansluiten.
Dit is efficiënter en een minder grote belasting. Voorts is voorzien in onafhankelijk
toezicht door de Autoriteit persoonsgegevens, de functionarissen voor gegevensbescherming
en de coördinerend functionaris voor gegevensbescherming van het samenwerkingsverband
(artikel 1.4, tweede lid).

Vraag 8 (CDA)

De leden van de CDA-fractie lezen dat er ook verwezen wordt naar het advies van de
Afdeling wanneer er gesproken wordt over de punten van de Autoriteit Persoonsgegevens
(AP). Zij merken op dat er wel een aanvullend advies is gevraagd aan de AP na het
verschijnen van het definitieve wetsvoorstel, maar dat de Afdeling niet een advies
heeft uitgebracht op het definitieve wetsvoorstel. Deze leden vragen de regering of
daar een specifieke reden voor is.

De regering is van mening dat het wetsvoorstel niet opnieuw aan de Afdeling behoeft
te worden voorgelegd. De Afdeling behoeft alleen opnieuw om advies te worden gevraagd,
als in het wetsvoorstel ingrijpende wijzigingen worden aangebracht die niet het gevolg
zijn van het advies van de Afdeling advisering van de Raad van State (aanwijzing 7.15
Aanwijzingen voor de regelgeving). Daarvan is in dit geval geen sprake. Het wetsvoorstel
wordt weliswaar ingrijpend gewijzigd, maar dit is het gevolg van het advies van de
Afdeling. Het advies is opgevolgd door de hoofdelementen van de gegevensverwerking
voor een viertal samenwerkingsverbanden in het wetsvoorstel te regelen, en door de
mogelijkheid om samenwerkingsverbanden bij amvb aan te wijzen, te beperken in reikwijdte
en te koppelen aan een bijzondere nahangprocedure bij het parlement. Ook het toevoegen
aan het wetsvoorstel van aanvullende waarborgen voor de gegevensbescherming geeft
opvolging aan het advies.

Overigens had het aanvullend advies van de Autoriteit persoonsgegevens dat op 22 februari
2019 is gevraagd, betrekking op een aangepaste versie van de consultatieversie, waarin
aanpassingen waren gedaan naar aanleiding van het eerste advies van de Autoriteit
persoonsgegevens. De reden voor het vragen van het aanvullend advies is dat de Autoriteit
persoonsgegevens had verzocht dat een aangepast wetsvoorstel voor aanvullend advies
zou worden voorgelegd, hetgeen op 22 februari 2019 dus is gebeurd.

Vraag 9 (D66)

De leden van de D66-fractie hebben kennisgenomen van het wetsvoorstel. Deze leden
begrijpen en onderschrijven de noodzaak van de aanpak van georganiseerde (ondermijnende)
criminaliteit in onze democratische rechtsstaat en het daarmee samenhangende belang
om informatie uit te wisselen tussen overheidsorganisaties en, onder omstandigheden,
tussen overheidsorganisaties en private partijen. Voornoemde leden vinden het positief
dat de regering een aantal bestaande samenwerkingsverbanden een expliciete wettelijke
basis wil geven. Zij maken zich tegelijkertijd zorgen over de manier waarop de overheid,
zoals ook in de casus Systeem Risico Indicatie (SyRi), omgaat met het verzamelen,
koppelen en analyseren van grote databestanden en de spanning met essentiële grondrechten
zoals het grondwettelijk verankerde recht op eerbiediging van de persoonlijke levenssfeer.
Voornoemde leden hebben een aantal vragen en opmerkingen betreffende het voorliggende
wetsvoorstel.

De aan het woord zijnde leden constateren dat de regering het voorstel aanzienlijk
heeft gewijzigd naar aanleiding van een kritisch advies van de Afdeling en kritische
opmerkingen van, onder meer, de AP. Daar het gaat om complexe materie, lijkt het deze
leden verstandig de Afdeling en de AP om advies te vragen over het gewijzigde voorstel.
Graag horen zij van de regering of zij daartoe bereid is en, zo nee, waarom niet.

Zoals opgemerkt in het antwoord op vraag 8 is het advies van de Afdeling grotendeels
overgenomen. Er is daarom geen reden om een nieuw advies aan de Afdeling te vragen.
Omdat de Afdeling de laatste adviseur in de wetgevingsprocedure is, ziet de regering
ook geen aanleiding de Autoriteit persoonsgegevens om advies te vragen over het wetsvoorstel
zoals dat naar aanleiding van het advies van de Afdeling is aangepast. De Autoriteit
persoonsgegevens is bovendien reeds op meerdere momenten in het proces uitgebreid
geconsulteerd.

Vraag 10 (GroenLinks)

De leden van de GroenLinks-fractie hebben met belangstelling kennisgenomen van het
wetsvoorstel dat kort gezegd een juridische basis beoogt te bieden voor de systematische
verwerking en deling van persoonsgegevens door publieke en private samenwerkingsverbanden.
De leden begrijpen en onderschrijven in beginsel de noodzaak om de wettelijke kaders
voor informatiedeling ter heroverwegen. De toenemende invloed van georganiseerde criminele
verbanden op de samenleving in het algemeen en het functioneren van overheden in het
bijzonder baart ook de leden grote zorgen. De leden onderschrijven het uitgangspunt
dat in het geval van ernstige en ondermijnende criminaliteitsvormen effectief moet
kunnen worden opgetreden en daarbij kan, onder strikte voorwaarden om misslagen te
voorkomen, informatiedeling en -verwerking goede diensten bewijzen. Het sectorale
karakter van de huidige regelingen lijkt gegevensverwerking in samenwerkingsverbanden
in de weg te staan, waardoor een effectieve aanpak van ernstige en ondermijnende criminaliteit
wordt bemoeilijkt. Voornoemde leden hebben een aantal vragen en opmerkingen betreffende
het voorliggende wetsvoorstel.

Voornoemde leden vinden het onontbeerlijk om een adequaat evenwicht te zoeken tussen
gegevensverwerking en privacybescherming. De wijze waarop bijvoorbeeld recent in het
sociaal domein met (zelflerende) algoritmen is geëxperimenteerd om fraude te voorkomen
en te bestrijden, deze leden denken dan specifiek aan SyRi, maakt pijnlijk duidelijk
dat informatiedeling, gegevensverwerking en interpretatie van beschikbare gegevens
niet zonder risico’s is en zéér nauw luistert om ongerechtvaardigde en onaanvaardbare
privacy-schendingen te voorkomen. De aan het woord zijnde leden maken zich daarom
zorgen over al te lichtvaardige maatregelen. In dit licht bezien zijn de leden blij
dat de regering stelt de fundamentele kritiek van de Afdeling ter harte te hebben
genomen. De Afdeling was van oordeel dat het eerdere wetsvoorstel regelrecht in strijd
zou zijn met artikel 10 van de Grondwet. Kwam dit oordeel al een verrassing voor de
regering? Is niet eerder op het Ministerie van Justitie en Veiligheid de vraag gesteld
of dit voorstel wel in lijn was met de Grondwet en internationale verdragen? Zo ja,
waarom is hierop niet geacteerd?

Bij de voorbereiding van het conceptwetsvoorstel is – zoals gebruikelijk – getoetst
aan hoger recht, waaronder artikel 10 van de Grondwet. Zowel op grond van het eerste
als op grond van het tweede lid van artikel 10 is de wetgever bevoegd tot delegatie.
Artikel 10 laat zich niet uit over de mate waarin delegatie is toegestaan. Op grond
van het eerste lid kan het recht op eerbiediging van de persoonlijke levenssfeer worden
beperkt bij of krachtens de wet, wat betekent dat delegatie van beperkingsbevoegdheid
naar het niveau van algemene maatregel van bestuur geoorloofd is. Het tweede lid draagt
de wetgever op regels te stellen inzake de vastlegging en verstrekking van persoonsgegevens
en gezien het gebruik van het woord «regels» is de wetgever ook volgens deze bepaling
bevoegd tot delegatie. Naar de mening van de regering voldeed het oorspronkelijke
wetsvoorstel dan ook aan de voorwaarden van artikel 10 van de Grondwet. De Afdeling
advisering was daarentegen van mening dat de hoofdelementen van de regeling (de reikwijdte
en de structurele elementen) onvoldoende tot uitdrukking kwamen in de formele wet,
hetgeen naar haar oordeel een spanning opleverde met artikel 10 van de Grondwet.

Wat hiervan ook zij, thans is dit niet langer aan de orde, omdat het advies van de
Afdeling om deze spanning op te heffen, is overgenomen door de hoofdelementen van
de gegevensverwerking alsnog in het wetsvoorstel te regelen. De Afdeling noemde3 dat immers zelf als oplossing.

Overigens acht ook de regering het niet wenselijk dat – zoals de Afdeling het aanduidt
– het parlement als medewetgever «te zeer op afstand» komt te staan» bij de vaststelling
van de wezenlijke elementen, begrenzingen en waarborgen met betrekking tot de gegevensverwerking
door samenwerkingsverbanden. Ook om die reden zijn deze onderwerpen conform het advies
van de Afdeling in het wetsvoorstel zelf geregeld, waar deze oorspronkelijk bij amvb
zouden worden geregeld.

Vraag 11 (GroenLinks)

Voornoemde leden vragen of de kritiek van de Afdeling geheel is opgevolgd in het huidige
voorstel. Kan de regering voorzien in een precies overzicht per onderdeel van het
oorspronkelijke aan de Afdeling voorgelegde voorstel, het commentaar van de Afdeling
daarop en de precieze wijze waarop de regering daaraan gevolg heeft gegeven?

Aan het advies is opvolging gegeven door de gegevensverwerking door vier (clusters
van) samenwerkingsverbanden in het wetsvoorstel zelf te regelen in plaats van bij
amvb. De mogelijkheid om samenwerkingsverbanden bij amvb aan te wijzen, is nog slechts
mogelijk binnen de beperkte reikwijdte van hoofdstuk 3 en na toepassing van een bijzondere
nahangprocedure bij het parlement. Voor het overige verwijs ik deze leden naar het
nader rapport.

Vraag 12 (SP)

De leden van de SP-fractie hebben met kritische belangstelling kennisgenomen van het
wetsvoorstel. Samenwerking en het delen van informatie in de bestrijding van criminaliteit,
het aanpakken van fraude en het ontduiken van wettelijke verplichtingen is van groot
belang, maar de grondrechten en de grenzen van de rechtsstaat moeten in acht worden
genomen. Deze leden hebben over het wetsvoorstel nog veel vragen, die zowel fundamenteel
als specifiek van aard zijn.

Voornoemde leden stellen allereerst vast dat om deze wet veel te doen is geweest.
Het heeft een lange voorgeschiedenis en bekritiseerde totstandkoming. Het advies van
de Afdeling is ronduit vernietigend: niet effectief, te ruime reikwijdte, te weinig
specifiek, en het zou zelfs in strijd met artikel 10 van de Grondwet zijn. Ook de
AP heeft herhaaldelijk uiterst kritisch geadviseerd, evenals vele andere deskundigen
en betrokkenen. Na de adviezen van de Afdeling en de AP is het wetsvoorstel ingrijpend
gewijzigd. Klopt het dat de vier nieuwe samenwerkingsverbanden die in dit wetsvoorstel
worden gepresenteerd pas na het advies van de Afdeling toegevoegd zijn aan het wetsvoorstel?
Hoe denkt de regering dat dit een zorgvuldig consultatieproces ten goede is gekomen?
Deelt de regering de mening dat de Afdeling, alsmede de AP, op dit punt door de regering
buitenspel zijn gezet en daardoor niet (optimaal) hun wettelijke adviesrol hebben
kunnen uitvoeren? Zo nee, waarom is de regering het daar niet mee eens? Is overwogen
om onder andere de Afdeling en de AP opnieuw om advies te vragen, zodat opnieuw fundamenteel
en in totaliteit kan worden bekeken en beoordeeld of deze nieuwe versie aan de bezwaren
tegemoet komt en wel de toets der kritiek kan doorstaan? Zo nee, waarom niet? Is de
regering bereid om dat alsnog te doen?

Voor het antwoord op deze vraag wordt verwezen naar de antwoorden op de vragen 8 en
9.

Vraag 13 (SP)

De leden van de SP-fractie wijzen bijvoorbeeld ook op consultatiedocumenten, waaruit
blijkt dat het proces tamelijk rommelig is verlopen. Zo schrijft bijvoorbeeld het
RIEC-LIEC: «Gesteld kan worden dat de poging om een kaderwet voor samenwerkingsverbanden
op te stellen die voldoet aan de Algemene verordening gegevensbescherming (AVG) en
allerlei internationale verdragen niet is geslaagd. Dit heeft ertoe geleid dat onder
stoom en kokend water een oplossing gevonden moest worden voor de vier samenwerkingsverbanden
die oorspronkelijk de aanleiding vormden om te komen tot wetgeving. Zoals ook hiervoor
is aangegeven is thans wederom de reactietermijn te kort om een inhoudelijke bespreking
in de stuurgroepen mogelijk te maken.» Kan de regering hierop reflecteren? Vindt de
regering dat het proces zorgvuldig is doorlopen of had dit beter gekund en gemoeten?

Op de vragen van de leden van de SP-fractie over de zorgvuldigheid van het proces
kan de regering benadrukken dat het van groot belang is dat relevante partijen goed
betrokken zijn. Vanwege de ingrijpende aanpassingen in het wetsvoorstel naar aanleiding
van het advies van de Afdeling advisering van de Raad van State zijn daarom bij de
voorbereiding daarvan (deelnemers in) het FEC, iCOV, de RIEC’s en de Zorg- en Veiligheidshuizen
opnieuw geconsulteerd. Een verslag hiervan is opgenomen aan het slot van paragraaf
10 van de memorie van toelichting.

Ter zake van de RIEC’s hebben burgemeesters en de stuurgroepen RIEC’s tijdens de voorbereiding
van het wetsvoorstel in hun consultatiereactie aangegeven positief te zijn over het
idee om samenwerkingsverbanden een goede wettelijke basis te bieden, maar kritisch
te zijn op zowel de snelheid van het proces als op de inhoud. Het belangrijkste bezwaar
is het gebrek aan flexibiliteit in mogelijkheden voor de praktijk. In het wetsvoorstel
wordt de bestaande praktijk van de RIEC’s, die nu is gebaseerd op een convenant, op
een zo flexibel mogelijke wijze gecodificeerd – binnen de grenzen die de Afdeling
advisering stelt. De WGS biedt daarmee een duidelijk juridisch kader voor de praktijk.
De bedoeling van de WGS is dan ook dat de RIEC’s hun bestaande praktijk moeten kunnen
voortzetten. Daarbij biedt de WGS juist het voordeel dat eventuele twijfel rondom
de rechtmatigheid daarvan wordt weggenomen. De regering heeft de zorgen van de stuurgroepen
RIEC’s over inflexibiliteit om in te spelen op toekomstige uitdagingen ter harte genomen
en het wetsvoorstel naar aanleiding daarvan op belangrijke punten aangepast. Om de
RIEC’s tegemoet te komen zijn in de WGS veel mogelijkheden gecreëerd voor innovatie
en toekomstige ontwikkelingen. Zo kunnen er bij amvb nieuwe deelnemers aan de RIEC’s
worden toegevoegd en kunnen er nieuwe activiteiten worden aangewezen, waaronder geautomatiseerde
gegevensanalyse. Ook kunnen er nieuwe taken en bevoegdheden van deelnemers worden
aangewezen ten behoeve waarvan de deelnemers gegevens kunnen uitwisselen en kunnen
er zelfs nieuwe soorten gegevens worden toegevoegd. Uiteraard zal de uitwerking samen
met onder meer de RIEC’s moeten gebeuren en een zorgvuldig proces moeten doorlopen.
Nieuwe mogelijkheden voor de RIEC’s zullen ook aan de AVG moeten voldoen.

De regering meent dat de WGS niet compleet is als daarin niet ook voldoende waarborgen
worden geregeld ter bescherming van de privacy. Het regelen van waarborgen is ook
een belangrijke eis die de Afdeling advisering stelt aan een wettelijke regeling voor
gezamenlijke verwerking door samenwerkingsverbanden. Om ook daarin de nodige flexibiliteit
voor onder andere de RIEC’s te bereiken, wordt in het wetsvoorstel veelal slechts
aangegeven dat er op een bepaald punt een waarborg dient te zijn, maar de verdere
invulling van die waarborg kan op lager niveau gebeuren. Zorgen van de burgemeesters
en de RIEC’s over de invulling daarvan, kunnen daarom worden geadresseerd bij de voorbereiding
van de amvb waarin de waarborgen nader worden uitgewerkt. Gelet op het voorgaande
is de regering van mening dat het aangepaste wetsvoorstel een zorgvuldig proces heeft
doorlopen, waarbij rekening is gehouden met de bestaande praktijk en de wensen van
de RIEC’s.

Vraag 14 (ChristenUnie)

De leden van de ChristenUnie-fractie hebben kennisgenomen van het voorliggende wetsvoorstel.
Genoemde leden herkennen de problemen die worden ervaren rondom de uitwisseling van
gegevens tussen én binnen samenwerkingsverbanden, hetgeen effectieve bestrijding van
ondermijnende criminaliteit in de weg staat. Tegelijkertijd hechten deze leden belang
aan artikel 10 van de Grondwet en het daarbij behorende recht op privacy. Genoemde
leden vinden het belangrijk dat noodzakelijke inperkingen op dit recht, nu en in de
toekomst, op een zorgvuldige wijze verlopen. De aan het woord zijnde leden constateren
dat het huidig wettelijk kader voor de verwerking en het delen van gegevens door samenwerkingsverbanden
niet volstaat. In de memorie van toelichting worden hier ook een aantal voorbeelden
van gegeven. Een wettelijke grondslag is wat betreft deze leden dan ook op zijn plaats.

De aan het woord zijnde leden zien ook dat het wetsvoorstel, na advisering door de
AP en de Afdeling, fundamenteel is gewijzigd qua structuur en inhoud. Is overwogen
deze nieuwe versie voor te leggen ter advisering aan eerdergenoemde organen?

Voor het antwoord op deze vraag wordt verwezen naar de antwoorden op de vragen 8 en
9.

Vraag 15 (ChristenUnie)

Naar aanleiding van het wetsvoorstel is zoals gezegd gekozen voor een andere structuur
van het wetsvoorstel waarbij vier clusters van samenwerkingsverbanden zijn opgenomen
en wordt aangegeven welke gegevens wel en welke gegevens niet mogen worden gedeeld.
Het is mogelijk zowel de clusters als de categorieën gegevens per algemene maatregel
van bestuur (AMvB) uit te breiden. Vanuit maatschappelijke organisaties is er zorg
over de democratische controle op deze uitbreiding en wordt gesproken van te brede
definities en bevoegdheden voor clusters. Vanuit veiligheidsinstanties is juist de
zorg geuit over te weinig bewegingsvrijheid en te lange procedures voor uitbreiding.
Kan de regering aangeven hoe zij zich op dit spanningsveld beweegt?

Binnen dit spanningsveld is een balans gevonden door de gegevensverwerking van vier
(clusters van) samenwerkingsverbanden in het wetsvoorstel zelf te regelen in plaats
van bij amvb, namelijk bij een viertal (clusters) van samenwerkingsverbanden die bestendig
zijn, belangrijk zijn voor de veiligheid én knelpunten ondervinden die oplossing vergen
in de vorm van wetgeving. Weliswaar kunnen volgens het wetsvoorstel vanwege de flexibiliteit
daarnaast samenwerkingsverbanden bij amvb worden aangewezen, maar dit is slechts mogelijk
binnen de beperkte reikwijdte van hoofdstuk 3 en na toepassing van een bijzondere
nahangprocedure bij het parlement.

Wat betreft de vraag welke categorieën gegevens mogen worden gedeeld, is een balans
gevonden door alle delegatiegrondslagen die het mogelijk maken om bij amvb de categorieën
gegevens uit te breiden, te onderwerpen aan de verplichting om de parlementaire voorhangprocedure
te volgen.

Vraag 16 (PvdD)

De leden van de Partij voor de Dieren-fractie hebben ontsteld kennisgenomen van het
wetsvoorstel. Zij wijzen dit voorstel met grote overtuiging af. Deze leden zijn hoogst
verbaasd dat de regering deze wet alsnog voorlegt gezien die door de Afdeling in een
32 pagina tellend advies beoordeeld wordt als niet effectief, disproportioneel, in
strijd met de Grondwet en op te grote afstand geplaatst van het parlement. Een wet
die leest als een recept voor (data)misbruik, privacy schendingen, mensenrechtenschendingen
en andere grove misstanden. Wat betreft voornoemde leden heeft de coalitie van maatschappelijke
organisaties tegen SyRi het in haar advies over deze wet mooi verwoord: «De gerechtelijke
uitspraak over SyRi was een streep in het zand. Daar gaat de regering nu met een bulldozer
overheen.» De leden vragen de regering met klem het wetsvoorstel in te trekken en
daarna ook af te zien van het herformuleren van een soortgelijke wet. Hieronder zullen
zij uitgebreid aangeven waarom zij tot dat verzoek zijn gekomen.

De regering is het volstrekt oneens met de wijze waarop de leden van de Partij voor
de Dieren-fractie het wetsvoorstel kwalificeren en ziet dan ook geen enkele reden
om het wetsvoorstel in te trekken.

2. Aanleiding

Vraag 17 (CDA)

De leden van de CDA-fractie constateren dat vier samenwerkingsverbanden in onderhavig
wetsvoorstel een wettelijke basis krijgen. In dat kader vragen deze leden of de regering
per samenwerkingsverband middels een of meerdere casussen kan illustreren hoe onderhavig
wetsvoorstel een meerwaarde oplevert ten opzichte van de huidige situatie. Daarbij
vragen voorgenoemde leden of in deze voorbeelden ook uiteengezet kan worden hoe daarmee
het doel van elk van de samenwerkingsverbanden beter behaald kan worden. Kunnen in
dit verband de beperkingen van de huidige situatie, beschreven in paragraaf 3.3.2,
worden toegelicht?

Hieronder wordt per samenwerkingsverband de meerwaarde van het wetsvoorstel toegelicht,
mede aan de hand van voorbeelden, en een toelichting op de beperkingen van de huidige
situatie. Zoals hieruit blijkt, bestaat de meerwaarde uit het wetsvoorstel enerzijds
uit een grotere effectiviteit van de integrale aanpak van georganiseerde criminaliteit,
van risico’s van inbreuken op de integriteit van het financiële stelsel, van witwas-
of fraudeconstructies, van complexe problemen rond personen op het vlak van zorg en
veiligheid, en van onder meer (andere) ernstige vormen van criminaliteit als bedoeld
in artikel 3.1. Anderzijds bestaat de meerwaarde uit de vastlegging van een aantal
waarborgen – in aanvulling op de AVG – voor een goede bescherming van de persoonsgegevens
die door deze samenwerkingsverbanden worden verwerkt.

Meerwaarde voor FEC

Het FEC is een samenwerkingsverband van diverse overheidsorganisaties en heeft als
doel de integriteit van het financiële stelsel te versterken. Aan sommige activiteiten
van het FEC nemen ook private partijen uit deze sector deel. Bij het FEC kunnen straks
ook gegevens aan meerdere of alle deelnemers tegelijk worden verstrekt om in een signalenoverleg
of gegevensanalyse verder te verwerken. Nu moet die noodzaak nog per deelnemer worden
vastgesteld. In de huidige setting mogen gegevens die een partij voor zijn wettelijke
taak heeft gekregen, daarom niet altijd binnen het FEC gedeeld worden en kan aldus
versnippering ontstaan van de informatie over een probleem. Na inwerkingtreding van
de WGS is er een expliciete wettelijke grondslag om gegevens tegelijkertijd met deelnemers
te delen ten behoeve van een gezamenlijke gegevensanalyse in het kader van het doel
van het samenwerkingsverband. De informatie – uitgezonderd fiscale gegevens waar het
private partijen betreft – kan met alle deelnemers van het samenwerkingsverband worden
gedeeld, wat ten goede komt aan een integraal beeld van een probleem. Aldus draagt
het wetsvoorstel eraan bij dat informatie die bij verschillende FEC-deelnemers versnipperd
ligt, bij elkaar wordt gebracht om zo grotere zaken aan het licht te kunnen brengen.
Verder kunnen er straks ten behoeve van de activiteiten van het FEC gezamenlijke gegevensanalyses
worden uitgevoerd.

Meerwaarde voor RIEC’s

Het RIEC is een samenwerkingsverband waarin partners in het strafrechtelijke en bestuursrechtelijke
domein samenwerken aan de integrale aanpak van georganiseerde criminaliteit. Het is
voor de integrale aanpak van georganiseerde criminaliteit van groot belang dat betrokken
overheden relevante informatie met elkaar kunnen delen. Goede informatiedeling stelt
hen in staat om hun eigen taken en bevoegdheden optimaal toe te passen. De WGS biedt
een duidelijk juridisch kader voor de gezamenlijke verwerking van gegevens door de
RIEC’s. De WGS bepaalt welke deelnemers met het oog op de integrale aanpak van georganiseerde
criminaliteit gezamenlijk gegevens mogen verwerken, welke gegevens zij mogen verwerken,
onder welke voorwaarden zij de gegevens met elkaar en met derden mogen delen en welke
waarborgen daarvoor gelden. De deelnemers van de RIEC’s kunnen gezamenlijk gegevens
verwerken in het kader van de aanwijzing en analyse van handhavingsknelpunten, het
voeren van casusoverleggen en het maken van gebiedscans en thematische scans ter bestrijding
van verschijningsvormen van georganiseerde criminaliteit. Dit omvattende kader biedt
een goede basis voor de gezamenlijke gegevensverwerking binnen de RIEC’s.

In RIEC-verband werken in gezamenlijkheid partijen als het OM en de politie samen
met bestuurlijke partners, zoals het college van burgemeester en wethouders, de Belastingdienst
en de IND, in de aanpak van georganiseerde criminaliteit. Bij een goede samenwerking
hoort ook het delen van de noodzakelijke informatie en gegevens. In de huidige situatie
moet er dan een grondslag zijn voor de verstrekking van bijvoorbeeld de politie aan
het college van burgemeester en wethouders, het college van burgemeester en wethouders
aan de Belastingdienst, de Belastingdienst aan de IND, de IND etc. Elke verstrekking
is uitsluitend mogelijk op basis van veelal bilaterale grondslagen, vastgelegd in
sectorale wetgeving. Dat is het wettelijk kader waarbinnen deelnemende partijen nu
werken. De huidige constructie schiet dan tekort omdat die geen blijk en uiting geeft
aan de breed gedragen maatschappelijke en politieke wens en verwachting dat deze partijen
samenwerken in de aanpak van georganiseerde criminaliteit en ten behoeve daarvan ook
gezamenlijk gegevens moeten kunnen analyseren.

Meerwaarde voor iCOV

ICOV stelt op verzoek van een of meer deelnemers rapportages op waaruit opgemaakt
kan worden waar mogelijk crimineel of fiscaal ontdoken vermogen wordt verborgen. Ook
kan daaruit worden opgemaakt welke figuren zich hier mogelijk mee bezig houden. Deze
rapportages kunnen bijdragen aan de bestrijding van onder meer witwassen, belastingontduiking,
fraudebestrijding, inning van overheidsvorderingen en de bevordering en bewaking van
correcte marktwerking.

Nu voert iCOV rapportages nog uit op basis van de bestaande wettelijke bevoegdheden
van de desbetreffende individuele deelnemer en bestaande bilaterale grondslagen voor
gegevensverstrekking. Geheimhoudingsplichten vormen nu een knelpunt om voor die rapportages
data van verschillende deelnemers te combineren. In de WGS is een wettelijke basis
opgenomen die expliciteert dat de door deelnemers verstrekte gegevens voor die rapportages
gecombineerd mogen worden in het kader van het doel van het samenwerkingsverband.
De WGS bevat in dit verband een uitzondering op geheimhoudingsplichten die het toelaten
dat een ander wettelijk voorschrift daarop een uitzondering maakt, en bij sommige
geheimhoudingsbepalingen waar dat niet het geval is, voegt de WGS een exceptie toe
in de betreffende sectorale wet. Daarnaast maakt de WGS bij iCOV de uitvoering van
een deels nieuwe methode mogelijk: de iRT compact. Zoals in paragraaf 4.2 van de memorie
van toelichting uiteengezet, kan het hierbij gaan om op verzoek van een deelnemer
opgestelde themarapportages over bijvoorbeeld witwassen via vastgoed in een bepaald
geografisch gebied, waarbij bepaalde subjecten en objecten (bedrijven) weer van een
naam en andere identificerende gegevens worden voorzien. Vervolgens worden het vermogen,
het inkomen en het netwerk geanalyseerd. Een iRT compact kan aldus sturingsinformatie
bieden die afzonderlijke deelnemers helpt bij een efficiëntere en effectievere invulling
van de eigen taak.

Meerwaarde voor Zorg- en Veiligheidshuizen

Veel criminaliteits- en veiligheidsvraagstukken komen voort uit sociale en/of zorgproblematiek.
Zorg- en Veiligheidshuizen richten zich op complexe casuïstiek die niet door één deelnemer
of keten alleen kan worden opgelost. De gegevensuitwisseling die noodzakelijk is bij
samenwerking momenteel uitermate complex. Dat komt omdat de deelnemers van Zorg- en
Veiligheidshuizen uit verschillende domeinen komen en dus gebonden zijn aan verschillende
wet- en regelgeving. De huidige regelgeving biedt geen kader voor deze gezamenlijke
verwerking van gegevens die plaatsvindt tijdens een casusoverleg, waardoor de deelnemers
per casus steeds vooraf moeten nagaan of elke andere deelnemer aan het casusoverleg
wel een voldoende grondslag heeft om kennis te mogen nemen van de gegevens die zij
inbrengen. Deze werkwijze hindert het samenbrengen van informatie van verschillende
partijen om een goed beeld van de persoonsgerichte casuïstiek te vormen, wat nodig
is om een integraal plan van aanpak op te kunnen stellen. Hierdoor kan essentiële
informatie buiten beeld blijven. Daarom moeten Zorg- en Veiligheidshuizen gegevens
makkelijker kunnen verwerken om beter te kunnen samenwerken en af te stemmen tussen
deelnemers. Dit wetsvoorstel biedt een expliciet juridisch kader dat het mogelijk
maakt voor partijen die samenwerken binnen de Zorg- en Veiligheidshuizen gegevens
uit te wisselen ter uitvoering van de werkzaamheden.

Hierna wordt een aantal voorbeelden gegeven van situatie waarin de gegevensuitwisseling
die noodzakelijk is bij samenwerking momenteel uitermate complex is.

Zorg- en Veiligheidshuizen behandelen uiteenlopende casussen van complexe aard. Een
casus kan een gezin betreffen met meerdere kinderen uit eerdere relaties, waarbij
er onder andere sprake is van huiselijk geweld. Het gezin is bekend bij meerdere instanties.
Na weer een incident is de moeder met een aantal van de kinderen overgeplaatst naar
een tijdelijke woning. Daarnaast is ze laaggeletterd waardoor ze niet goed voor zichzelf
en haar kinderen kan zorgen. Gezien de complexiteit van de situatie is het lastig
voor betrokken partijen om separaat van elkaar een goede aanpak te realiseren, zoals
woonruimte, ondersteuning bij de opvoeding en het waarborgen dat de kinderen naar
school (blijven) gaan. Daarom wordt de casus opgepakt door een Zorg- en Veiligheidshuis
waarin verschillende partners met elkaar samenwerken. Het wetsvoorstel biedt een grondslag
voor betrokken partijen om binnen een Zorg- en Veiligheidshuis relevante gegevens
met elkaar te delen. Ook de afspraken over het delen van gegevens zijn helder vastgelegd.
Daardoor kan vanuit het Zorg- en Veiligheidshuis snel en efficiënt een passend behandelplan
opgesteld worden.

Het kan ook een jongen betreffen, die bij zijn moeder woont en al lange tijd in beeld
is bij politie en hulpverleningsinstanties vanwege zijn gedrag. Harde diagnoses ontbreken,
maar er is een sterk vermoeden van LVB-problematiek (licht verstandelijke beperking)
en een persoonlijkheidsstoornis. Hij weigert hulp. Ondertussen dreigt hij uit huis
te worden gezet wegens overlast. Zonder interventies is het wachten op een strafbaar
feit of een verder verergeren van de situatie totdat hij eindelijk gaat inzien dat
het zo niet langer kan. Zodra politie, gemeente en hulpverleningsinstanties (zoals
jeugdzorg) deze situatie openlijk kunnen bespreken en een duidelijke wettelijke grondslag
hebben om gegevens met elkaar te delen, kan er sneller naar een oplossing gezocht
worden zonder dat de situatie hoeft te escaleren.

Het kan ook jongeren betreffen die door de politie zijn aangemeld bij een Zorg- en
Veiligheidshuis. De jongeren worden verdacht van het plegen van zware delicten. Sommigen
zijn bekend bij de politie, sommigen zijn voor de eerste keer in aanraking gekomen
met de politie. De politie wil graag meer duidelijkheid krijgen over welke organisaties
er betrokken zijn bij deze jongeren. Bij het Zorg- en Veiligheidshuis kan deze situatie
verder worden onderzocht. Door het snel(ler) in beeld krijgen van de relevante informatie
over deze jongeren, omdat ze bijvoorbeeld bij gemeenten, reclassering en/of zorginstanties
bekend zijn, kan vanuit het Zorg- en Veiligheidshuis per jongere een passend behandelplan
worden opgesteld en kan op de groep als geheel stevig worden ingezet (zowel strafrechtelijk
als met bestuurlijke maatregelen).

Vraag 18 (D66)

De leden van de D66-fractie zijn van mening dat in de discussie over het delen van
informatie vaak sprake is van een tegenstelling tussen zij die menen dat er veel (juridische)
belemmeringen bestaan bij het delen van informatie en zij die stellen dat er juist
heel veel mogelijk is, maar in de praktijk niet altijd van de mogelijkheden wordt
gebruik gemaakt. Deze leden missen de analyse van de regering op dit punt. Welke praktische
belemmeringen worden er nu precies opgelost met dit wetsvoorstel? Zijn de belemmeringen
die in de praktijk worden ervaren hiermee in de toekomst inderdaad opgelost?

De regering ziet dat vele voorwaarden die worden gesteld aan het uitwisselen van persoonsgegevens
inderdaad als belemmering worden ervaren. Veel van die zogenaamde «belemmeringen»
zijn evenwel als voorwaarden aan te merken die de regering terecht vindt. Het gaat
dan om waarborgen die wettelijk zijn vastgelegd om persoonsgegevens te beschermen,
zoals het transparantiebeginsel en het principe van dataminimalisatie. Het wetsvoorstel
brengt in dergelijke voorwaarden dan ook geen verandering. Sterker nog, het voorstel
bevat, gelet op de risico’s die aan de gezamenlijke gegevensverwerking door samenwerkingsverbanden
kunnen zijn verbonden, ook extra waarborgen tegen dergelijke risico’s.

Een en ander neemt niet weg dat er ook belemmeringen worden ervaren die het gevolg
zijn van onduidelijkheid bij samenwerkingsverbanden over de bestaande juridische mogelijkheden
om gezamenlijk gegevens te verwerken. Zoals onder meer uit het advies van de Afdeling
advisering van de Raad van State valt op te maken, ligt de oorzaak daarvan voor een
belangrijk deel in het ontbreken van een specifieke wettelijke grondslag voor die
gezamenlijke gegevensverwerking, met name als die een (deels) domeinoverstijgend karakter
heeft. Dit leidt tot handelingsverlegenheid waar die niet zou hoeven te bestaan. De
Afdeling advisering bevestigt dat bestuursorganen die gegevens hebben over ernstige
en ondermijnende criminaliteit, die gegevens moeten kunnen uitwisselen met elkaar
en ook met private partijen, en onderschrijft dan ook nut en noodzaak van een wettelijke
regeling als grondslag voor dergelijke gegevensuitwisselingen.4

Tegen deze achtergrond biedt het wetsvoorstel vooral een adequate juridische grondslag
voor bestaande verwerkingsactiviteiten van samenwerkingsverbanden. Het heeft in zoverre
een codificerend karakter. Daarnaast neemt het ook een aantal specifieke belemmeringen
weg. Het betreft de volgende belemmeringen met telkens vermelding van de oplossing
in het wetsvoorstel:

• Veelal ontbreekt een heldere basis om gegevens voor het doel van het samenwerkingsverband
als zodanig te verstrekken. De deelnemende partijen zijn daarom vaak gehouden de noodzaak
van verstrekking aan andere deelnemers steeds per individuele deelnemer aan te tonen.
Dit knelpunt wordt opgelost door de verstrekkingsgrondslagen in artikel 1.5, eerste
lid, eerste volzin, en die, genoemd in het tweede lid van dat artikel.

• Deelnemers aan een samenwerkingsverband zijn op basis van de vigerende geheimhoudingsbepalingen
meestal gehouden de door hen individueel ontvangen gegevens vertrouwelijk te behandelen.
Deze eis staat in de weg aan een gezamenlijke gegevensverwerking binnen zo’n verband.
Dit knelpunt wordt in de eerste plaats opgelost door gebruikmaking van de in sommige
bestaande geheimhoudingsbepalingen opgenomen mogelijkheid om bij wettelijk voorschrift
daarvan af te wijken. Zie daarvoor artikel 1.5, eerste lid, tweede volzin.5 Voor zover een specifieke geheimhoudingsbepaling van toepassing is die het niet toelaat
dat een ander wettelijk voorschrift daarop een uitzondering maakt, voegt hoofdstuk
4 een elftal uitzonderingen toe aan de sectorale wetten die dergelijke geheimhoudingsbepalingen
bevatten. Voegt hoofdstuk 4 geen uitzondering toe aan een geheimhoudingsbepaling van
dat type, dan geldt die onverkort. Dat is onder meer van belang in geval van absolute
geheimhoudingsbepalingen die uit het internationale recht voortvloeien.

• Sectorale wetten bevatten veelal geen duidelijke, op samenwerkingsverbanden toegesneden,
grondslagen voor verstrekking aan en verdere verwerking van gegevens door samenwerkingsverbanden
waaraan ook een of meer private partijen deelnemen, terwijl dat met het oog op de
behartiging van een doel van zwaarwegend algemeen belang wel wenselijk kan zijn. Dit
knelpunt wordt opgelost door de basis die in artikel 1.3 is neergelegd voor deelname
door private partijen.

• De verstrekking van de resultaten van de verwerking vanuit samenwerkingsverbanden
heeft thans vaak een niet heel duidelijke grondslag als gevolg van het feit dat de
grondslag voor de verstrekking van gegevens aan en de verwerking daarvan binnen een
samenwerkingsverband ook al niet heel duidelijk is of niet op het samenwerkingsverband
is toegesneden. In de artikelen 1.5 en 1.6 zijn daarvoor goede grondslagen opgenomen,
alsmede in artikel 1.7 ook voor de verstrekking van de resultaten van de verwerking
vanuit samenwerkingsverbanden.

• Samenwerkingsverbanden stuiten soms op het probleem dat een verstrekking van gegevens
aan dat verband door een van de deelnemers en de verwerking daarvan binnen het verband
in onvoldoende mate beantwoordt aan het principe van doelbinding. Dit principe kan
op gespannen voet staan met het uitgangspunt van de integrale, multidisciplinaire
benadering door een samenwerkingsverband. De WGS bewerkstelligt dat verstrekking van
persoonsgegevens door een deelnemer aan het samenwerkingsverband voor het doel van
dat verband, weliswaar samenhang moet vertonen, maar niet per se verenigbaar hoeft
te zijn met de oorspronkelijke doeleinden waarvoor de persoonsgegevens worden verwerkt.6 De verwerking van persoonsgegevens voor een dergelijk niet verenigbaar doel is op
grond van de AVG toegestaan, mits is voorzien in een deugdelijke wettelijke grondslag
(artikel 6, vierde lid, AVG).

Overigens zijn de hier genoemde grondslagen in hoofdstuk 2 van het wetsvoorstel nog
verder uitgewerkt.

Vraag 19 (SP)

De leden van de SP-fractie vragen de regering aan de hand van voorbeelden duidelijk
te maken waarom de in dit wetsvoorstel gekozen vorm, met samenwerkingsverbanden en
een verplichting om gegevens te delen, de enige juiste manier is om de betreffende
maatschappelijke problemen op te lossen. Om welke maatschappelijke problemen gaat
het bijvoorbeeld? Waarin en op welke onderdelen faalt de aanpak nu? Komt dat dan slechts
door de barrières om informatie te delen of speelt geregeld ook een capaciteitsprobleem
en te weinig menskracht daarin een rol? Wat kan nu niet in de aanpak dat straks wel
kan? Kon dat niet op een andere, minder bezwaarlijke en minder vergaande manier worden
geregeld? Graag zien voornoemde leden meerdere aansprekende voorbeelden tegemoet die
deze vragen beantwoorden.

Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 17.

Vraag 20 (SP)

Voorts vragen de aan het woord zijnde leden of kan worden verduidelijkt wat nu precies
het doel van de wet is. Met andere woorden: wat wil de regering bereiken door gegevensverwerking
door samenwerkingsverbanden te regelen op de manier die ze in deze wet voorstelt en
hoe kan bijvoorbeeld over een jaar, twee jaar, of vijf jaar beoordeeld worden of de
wet inderdaad het gewenste effect heeft gehad? Graag ontvangen deze leden een zo precies
mogelijk antwoord, bijvoorbeeld: x aantal procent meer vervolgingen; afname van x
aantal procent georganiseerde criminele ondernemingen, etc.

Het doel van de WGS is de gegevensverwerking door bepaalde, in deze wet aangewezen
samenwerkingsverbanden voor de vervulling van een daarin omschreven doel van een adequate
juridische basis te voorzien, waardoor bestaande knelpunten in de gegevensverwerking
die hiervóór zijn beschreven, worden weggenomen, en daarbij tevens in aanvulling op
de AVG een aantal waarborgen vast te leggen voor een goede bescherming van de persoonsgegevens
die door deze samenwerkingsverbanden worden verwerkt. Het wetsvoorstel bevat in artikel
5.1 een evaluatiebepaling die ertoe verplicht binnen vijf jaar na de inwerkingtreding
daarvan verslag te doen over de doeltreffendheid en effecten van deze wet. De criteria
aan de hand waarvan deze evaluatie zal plaatsvinden, zullen onder meer zijn gelegen
in de mate waarin de knelpunten die de WGS beoogt op te lossen, daadwerkelijk zullen
zijn opgelost. Voor deze evaluatie is verder van belang dat het wetsvoorstel de ontvangers
van resultaten van de gegevensverwerking van het samenwerkingsverband ertoe verplicht
om ten minste jaarlijks terug te koppelen wat de effectiviteit en bruikbaarheid van
de resultaten was (artikel 1.7, vierde lid) en de deelnemers om een periodieke evaluatie
op basis van deze terugkoppeling uit te voeren (artikel 1.7, vijfde lid). Op basis
van de evaluatierapporten van de samenwerkingsverbanden kan dan ten behoeve van de
evaluatie van de WGS een beeld worden gegeven van de effectiviteit van de WGS voor
bijvoorbeeld de aanpak van ondermijnende criminaliteit. Overigens meent de regering
dat de criteria om deze effectiviteit te beoordelen niet gezocht zullen moeten worden
in het aantal vervolgingen dat sinds de inwerkingtreding van de WGS meer heeft plaatsgevonden,
of in een afname van het aantal georganiseerde criminele ondernemingen. De ontwikkelingen
op dat vlak hangen van zoveel meer factoren af dan alleen een betere gegevensverwerking
en kunnen daarom onmogelijk specifiek aan de WGS worden toegerekend.

Vraag 21 (PvdD)

De leden van de Partij voor de Dieren-fractie delen de mening, zoals waarschijnlijk
eenieder, dat fraude, diefstal of criminaliteit, in welke vorm dan ook, ongewenst
is. Zij zijn echter niet van mening, zoals de regering dat wel lijkt, dat het bestrijden
van bijvoorbeeld toeslagenfraude of winkeldiefstal een doel van dermate zwaarwegend
algemeen belang is dat het terzijde schuiven van grondwettelijk beschermde grondrechten
gerechtvaardigd is. Dit wetsvoorstel maakt het echter mogelijk voor zulke doelen de
Grondwet en mensenrechten te schenden. Deze leden beoordelen dit als ongekend disproportioneel.

Voornoemde leden willen de regering wijzen op eerdere situaties waarin er een stevige
disbalans was tussen het ingezette instrument en de daadwerkelijke misstand. Zij roepen
daar het meest recente voorbeeld toe in herinnering. Het recente leed dat is veroorzaakt
in het bestrijden van mogelijke fraude met kinderopvangtoeslagen staat in geen verhouding
tot de daadwerkelijke fraude. Het is bewijs dat de inzet ter bestrijding van fraude
schadelijker kan zijn dan de fraude zelf. Kan de regering daarop reflecteren? Fraude
moet bestreden worden maar dan wel met middelen (zoals meer mankracht) die effectief
zijn, zo min mogelijk negatieve impact hebben, onder controle van de volksvertegenwoordiging
staan en de privacy en de Grondwet respecteren. Dit wetsvoorstel laat dit op alle
bovenstaande punten na.

De regering is het eens met de leden van de Partij voor de Dieren-fractie dat vormen
van criminaliteit, zoals fraude, bestreden moeten worden met proportionele middelen
die onder de controle van de volksvertegenwoordiging staan en de privacy van burgers
en de Grondwet respecteren. De regering is van mening dat de WGS een evenwichtig kader
biedt voor samenwerkingsverbanden om gezamenlijk gegevens te verwerken voor een zwaarwegend
algemeen belang, zoals de bestrijding van witwas- of fraudeconstructies of de bestrijding
van georganiseerde criminaliteit. Niet alleen schept de WGS een duidelijke wettelijke
grondslag voor samenwerkingsverbanden om gezamenlijk gegevens te verwerken, de WGS
creëert ook een duidelijk begrensd en afgebakend kader voor welke gegevens welke partijen
met welk doel gezamenlijk mogen verwerken. Bovendien gaan de mogelijkheden die de
WGS biedt, gepaard met een groot arsenaal aan waarborgen om de privacy van burgers
te beschermen.

Bij de bestrijding van criminaliteit is een goede informatiepositie voor de overheid
onontbeerlijk. De regering merkt op dat de Afdeling advisering van de Raad van State
in haar advies heeft overwogen dat de overheid ernstige en ondermijnende criminaliteit
moet kunnen voorkomen, opsporen en bestrijden en dat bestuursorganen die gegevens
hebben over zulke criminaliteit die gegevens daartoe moeten kunnen uitwisselen met
elkaar en ook met private partijen, zodat zij effectief kunnen optreden. Nut en noodzaak
van een wettelijke regeling voor deze informatie-uitwisseling wordt door de Afdeling
advisering onderschreven. De Afdeling heeft de regering duidelijke adviezen gegeven
voor hoe de WGS moet worden ingericht om aan de eisen van artikel 10 van de Grondwet
en de AVG te voldoen. De regering heeft het advies opgevolgd en het wetsvoorstel aangepast
conform deze adviezen. De regering meent daarmee een evenwichtig kader te hebben gecreëerd
voor de gezamenlijke verwerking van gegevens door samenwerkingsverbanden, waarbij
mogelijkheden tot informatie-uitwisseling gepaard gaan met heldere begrenzing van
deze mogelijkheden en waarborgen ter bescherming van de privacy van burgers.

Voor wat betreft de toepassing van de WGS in de praktijk is van groot belang dat de
eisen die de AVG stelt aan de verwerking van persoonsgegevens onverkort blijven gelden
voor de deelnemers van een samenwerkingsverband. Bij alle bevoegdheden tot persoonsgegevensverwerking
die de deelnemers van een samenwerkingsverband krijgen op grond van dit wetsvoorstel,
moet bij de uitoefening telkens door de deelnemers worden getoetst of de persoonsgegevensverwerking
noodzakelijk is met het oog op het doel waarmee zij gezamenlijk gegevens mogen verwerken.
Elke separate persoonsgegevensverwerking moet daarnaast voldoen aan de eisen van de
AVG, waaronder het beginsel van minimale gegevensverwerking (artikel 5, eerste lid,
onderdeel c, van de AVG). Onderdeel daarvan is ook dat bij elke casus in het kader
van de subsidiariteit en proportionaliteit steeds een afweging zal moeten worden gemaakt
welke gegevens kunnen worden gedeeld en of dat noodzakelijk is voor het realiseren
van het doel van het samenwerkingsverband alsmede welke deelnemers op welk moment
betrokken moeten worden en dus in een concreet geval gerechtigd zijn gezamenlijk gegevens
te verwerken.

Vraag 22 (PvdD)

In het beschrijven van de noodzaak wordt verder veel aandacht besteed aan het feit
dat momenteel een heldere basis voor samenwerkingsverbanden (en de gegevensuitwisseling
die daar nu reeds plaatsvindt) ontbreekt, zo constateren de leden van de Partij voor
de Dieren-fractie. Is bij de regering bekend of er op dit moment samenwerkingsverbanden
zijn die, in strijd met de huidige wetgeving, gegevens uitwisselen? Kan de regering
aangeven om welke samenwerkingsverbanden het gaat? Acht de regering het wenselijk
dat deze partijen op dit moment de wet overtreden? Is er sinds dit bekend is opgetreden
tegen deze samenwerkingsverbanden? Zo nee, waarom niet? Was men daartoe niet verplicht?

Het is de regering niet gebleken dat er op dit moment samenwerkingsverbanden zijn
die in strijd met de huidige wetgeving gegevens uitwisselen. Samenwerkingsverbanden
wisselen momenteel gegevens uit op grond van en conform bestaande grondslagen die
het mogelijk maken gegevens waarover een overheidsinstantie beschikt, uit te wisselen
met andere overheidsinstanties voor zover dat noodzakelijk is voor de uitoefening
van de taken en bevoegdheden van die instanties. Bij het gezamenlijk verwerken van
gegevens stuiten samenwerkingsverbanden op knelpunten. De WGS beoogt een oplossing
te bieden voor knelpunten die samenwerkingsverbanden in de praktijk ervaren. Deze
knelpunten vormen namelijk een belemmering voor het optimaal functioneren van samenwerkingsverbanden
omdat bepaalde noodzakelijke vormen van gezamenlijke, domeinoverstijgende gegevensverwerking
nu niet mogen plaatsvinden of achterwege worden gelaten omdat er te veel onduidelijkheid
bestaat over de grondslagen daarvoor.

De WGS beoogt een oplossing te bieden voor met name de volgende knelpunten. Verstrekking
van gegevens aan een samenwerkingsverband berust veelal op grondslagen om aan afzonderlijke deelnemers
aan dat verband gegevens te verstrekken. Dergelijke grondslagen zijn vaak te vinden
in regelgeving die geldt voor een specifieke overheidsinstantie of binnen een specifiek
rechtsgebied. Bij verstrekking van gegevens aan een deelnemer in een samenwerkingsverband
dient telkens de noodzaak van een verstrekking per individuele deelnemer te worden
aangetoond. Een heldere basis om gegevens voor het doel van het samenwerkingsverband
als zodanig te verstrekken ontbreekt vaak. Een tweede knelpunt betreft de verwerking
van gegevens binnen een samenwerkingsverband, omdat elke deelnemer gehouden is de door hem individueel
ontvangen gegevens vertrouwelijk te behandelen. Deze eis staat in de weg aan een adequate
gezamenlijke gegevensverwerking binnen een samenwerkingsverband. Een ander knelpunt
is dat er vaak geen goede, op samenwerking met een of meer private partijen toegesneden
grondslagen zijn, terwijl dat met het oog op de behartiging van een doel van zwaarwegend
algemeen belang wel wenselijk kan zijn. Ook is een knelpunt de verstrekking van de
resultaten van de verwerking vanuit samenwerkingsverbanden. Daarvoor ontbreekt vaak een adequate grondslag.

Vraag 23 (PvdD)

De Afdeling beschrijft in haar advies dat de huidige samenwerkingsverbanden slechts
functioneren op basis van zelf opgestelde protocollen en er maar één samenwerkingsverband
is dat een wettelijke basis kent (namelijk SyRi). Kan de regering daarop reageren?

Die constatering is volgens de regering juist. Daarbij moet worden opgemerkt dat gegevensuitwisseling
op basis van protocollen als zodanig niet onrechtmatig is, mits de regels van de AVG
en de Uitvoeringswet AVG (hierna: UAVG) in acht worden genomen. De Autoriteit persoonsgegevens
ziet hierop toe en kan zo nodig handhavend optreden.

Vraag 24 (PvdD)

Hoe beziet de regering haar wetsvoorstel met de kennis dat juist het ene samenwerkingsverband
met een wettelijke basis door de rechtbank Den Haag in de uitspraak van 5 februari
2020 (ECLI:NL:RBDHA:2020:1878) als strijdig met het Europees Verdrag voor de Rechten
van de Mensen en de Fundamentele Vrijheden (EVRM) beoordeeld is? In welk opzicht beoordeelt
zij haar inzet met het wetsvoorstel anders dan de inzet bij SyRi?

In de eerste plaats verschilt de WGS in fundamentele zin van de in de voormelde uitspraak
onverbindend verklaarde wetgeving ter zake van de inzet van het systeem SyRI. Dit
wetsvoorstel regelt weliswaar gezamenlijke gegevensverwerking door samenwerkingsverbanden,
maar stelt geen systeem zoals SyRI in dat aan de hand van niet-toetsbare risico-modellen
en indicatoren grote hoeveelheden bestandsgegevens aan elkaar koppelt en analyseert
met het oog op risico-meldingen zonder de betrokkene daarover te informeren. De kritiek
van de rechtbank Den Haag heeft betrekking op de inzet van het systeem SyRI en niet
op de gegevensuitwisseling in het samenwerkingsverband als zodanig.

Gelet op de vraagstelling van de leden van de Partij voor de Dieren-fractie hecht
de regering eraan te benadrukken dat de rechtbank Den Haag in voormelde uitspraak
heeft geoordeeld dat de gegevensuitwisseling als zodanig ten behoeve van een samenwerkingsverband
met het oog op het voorkomen en bestrijden van onrechtmatig gebruik van o.a. sociale
zekerheidsvoorzieningen verenigbaar is met het EVRM (artikel 8, tweede lid). De WGS
heeft ten doel de gezamenlijke verwerking van gegevens door samenwerkingsverbanden
te regelen ten behoeve van het voorkomen en bestrijden van verschillende vormen van
criminaliteit, of op het snijvlak van zorg en veiligheid. Voormelde uitspraak bevestigt
het standpunt van de regering dat de WGS daarmee een legitiem doel dient, zoals artikel
8, tweede lid, van het EVRM vereist.

In de tweede plaats volgt uit de uitspraak dat geautomatiseerde gegevensanalyse en
het gebruik van risicoprofielen in verband met de uitoefening van toezichthoudende
taken op zich niet verboden is, maar dat dergelijke methodes wel voldoende inzichtelijk
en controleerbaar moeten zijn en met voldoende waarborgen moeten zijn omkleed om de
toets aan artikel 8, tweede lid, van het EVRM te kunnen doorstaan. Voor zover dit
wetsvoorstel geautomatiseerde gegevensanalyse nu of in de toekomst mogelijk maakt,
worden daaraan specifieke waarborgen verbonden in het voorgestelde artikel 1.9. Daarbij
wordt in het belang van de transparantie in het bijzonder de verplichting gesteld
om aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen
en indicatoren of andere onderliggende logica (het voorgestelde artikel 1.9, derde
lid). Anders dan in de onverbindend verklaarde SyRI-wetgeving zal bij het gebruik
van risico-indicatoren en risicomodellen daarover zoveel mogelijk transparantie worden
betracht zodat deze zo veel mogelijk toetsbaar zijn. Deze verplichting is opgenomen
naar aanleiding van voornoemde uitspraak.

De uitzondering op deze verplichting die inhoudt dat van deze uitleg aan het publiek
kan worden afgezien voor zover naar het oordeel van een deelnemer zwaarwegende redenen
zich daartegen verzetten, moet volgens de regering restrictief worden uitgelegd. Bij
deze zwaarwegende redenen moet in ieder geval worden gedacht aan de situatie waarin
het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning
zou vergen, of dat de informatieverstrekking de verwezenlijking van de doeleinden
van de gegevensverwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt
te brengen. Als door het geven van voor het publiek toegankelijke wijze informatie
bijvoorbeeld (volledig) bekend wordt hoe een profiel werkt, is er het risico dat degenen
op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid
van het profiel en de effectiviteit van het toezicht worden verminderd.

Daarnaast geldt dat met het gebruik van de woorden «voor zover» is beoogd te regelen
dat de informatieverstrekking minder specifiek kan zijn als er zwaarwegende redenen
zijn. Nadrukkelijk is niet beoogd dat dan geen informatieverstrekking plaatsvindt.

Of van dergelijke zwaarwegende redenen sprake is kan worden voorgelegd aan de coördinerende
functionaris voor de gegevensbescherming van het samenwerkingsverband of aan de rechtmatigheidsadviescommissie
van het samenwerkingsverband.

De inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse zullen
nader worden geborgd in het voorgestelde artikel 2.14, eerste lid. Deze bepaling stelt
ter zake van iCOV verplicht dat bij lagere regelgeving regels worden gesteld over
de wijze van vaststelling van indicatoren, inclusief regels over de kwaliteit en de
hypothese waarop deze zijn gebaseerd. Ook stelt het voorgestelde artikel 2.14, tweede
lid, verplicht dat er nadere regels worden gesteld over de uitvoering van de gegevensanalyse,
o.a. de wijze waarop de bescherming van de persoonlijke levenssfeer nader wordt gewaarborgd,
de methoden van verwerking en de wijze waarop verbanden tussen gegevens zichtbaar
worden gemaakt. Momenteel verrichten de RIEC’s geen geautomatiseerde gegevensanalyse,
maar in het wetsvoorstel wordt wel de mogelijkheid gecreëerd om dat in de toekomst
te gaan doen. Dezelfde regels zullen in dat geval ook gaan gelden voor de RIEC’s door
deze op te nemen in de amvb waarin dat voor de RIEC’s wordt geregeld.

De privacy audits die samenwerkingsverbanden op grond van het voorgestelde artikel
1.10 moeten verrichten en waarvan de resultaten naar de Autoriteit persoonsgegevens
worden gezonden, dienen eveneens de inzichtelijkheid en controleerbaarheid van geautomatiseerde
gegevensanalyse. Gelet op het feit dat daarbij de uitvoering van de krachtens dit
wetsvoorstel en de AVG gestelde regels wordt gecontroleerd, ligt in de rede dat de
uitvoering van geautomatiseerde gegevensanalyse daarbij wordt betrokken. Daarnaast
draagt het jaarverslag van de samenwerkingsverbanden dat op grond van het voorgestelde
artikel 1.12 dient te worden opgesteld en op internet dient te worden geplaatst eveneens
de transparantie en controleerbaarheid van gehanteerde methodes.

Ook de overige bezwaren van de rechtbank Den Haag worden voldoende ondervangen in
dit wetsvoorstel, in het bijzonder met betrekking tot het informeren van betrokkenen,
vaststelling van het doel van het samenwerkingsverband en het verrichten van een noodzakelijkheidstoets
van de gegevensverwerking door alle deelnemers. Zo stelt de aanwijzing van de deelnemers
aan het samenwerkingsverband als gezamenlijke verwerkingsverantwoordelijken op grond
van het voorgestelde artikel 1.4, eerste lid, veilig dat betrokkenen hun recht op
grond van artikel 14 van de AVG om geïnformeerd te worden jegens elke verwerkingsverantwoordelijke
kunnen uitoefenen (artikel 26, derde lid, van de AVG). De vaststelling van het doel
van het samenwerkingsverband wordt bij wet vastgelegd en wordt dus niet ter bepaling
overgelaten aan de deelnemers van het samenwerkingsverband zelf. Ook de verstrekking
van de in het wetsvoorstel opgenomen categorieën van gegevens door deelnemers aan
het samenwerkingsverband is op grond van het voorgestelde artikel 1.5, eerste lid,
in beginsel verplicht voor zover dat noodzakelijk is voor het wettelijk bepaalde doel
van het samenwerkingsverband. Hoewel de categorieën te verstrekken gegevens in het
wetsvoorstel zijn opgesomd, heeft iedere deelnemer beoordelingsruimte bij de vraag
of in concrete gevallen gegevensverstrekking aan het samenwerkingsverband noodzakelijk
is voor het doel van dat samenwerkingsverband.

Vraag 25 (PvdD)

De leden van de Partij voor de Dieren-fractie lezen in de memorie van toelichting
dat het uitwisselen van data noodzakelijk is om te komen tot een zo efficiënt mogelijke
aanpak. Met data wil de regering tot een efficiëntere aanpak komen van elk denkbaar
probleem van winkeldiefstal tot fraude en terrorisme. Welke reden heeft de regering
te denken dat op basis van de samenwerkingsverbanden tot een efficiëntere aanpak gekomen
kan worden? Wordt door de regering alleen op efficiëntie gestuurd of zijn er ook nog
andere belangen? Is ook overwogen om te komen tot een iets minder efficiënte maar
ook minder ingrijpende aanpak? Zoals eerder door deze leden beschreven krijgt de proportionaliteit
niet altijd voldoende aandacht. Het feit dat iets efficiënter zou kunnen wil niet
zeggen dat het ook wenselijk is. Een verpleegkundige zou een patiënt heel efficiënt
kunnen wassen door er een emmer water overheen te gooien. Of dat ook wenselijk is
laat zich raden.

Dat data op dit moment soms niet «efficiënt» gedeeld kunnen worden wordt door de regering
gezien als belemmering. Kan zij ingaan op de volgende stelling van de AP: «Waar in
de memorie van toelichting sprake is van «belemmeringen» is evenzogoed sprake van
«belangrijke waarborgen»»? Deelt de regering de stelling dat data delen nu als lastig
gezien wordt omdat voldaan moet worden aan belangrijke waarborgen die misbruik van
die data voorkomen? Zo nee, waarom niet? Wat heeft de regering gedaan met deze kritiek
van de AP die eigenlijk als bijl aan de wortel van het wetsvoorstel ligt?

Zoals de leden van de Partij voor de Dieren-fractie aangeven is een efficiënte aanpak
van essentiële maatschappelijke vraagstukken op het terrein van het voorkomen en bestrijden
van criminaliteit een belangrijke reden voor dit wetsvoorstel, maar ook het vastleggen
van voldoende waarborgen bij deze efficiënte aanpak is een reden voor dit wetsvoorstel.
De behoefte aan dit wetsvoorstel wordt ingegeven door de wens om bepaalde vormen van
criminaliteit meer dan voorheen van een integrale aanpak te voorzien, waarbij verschillende
overheidsinstanties, en in sommige gevallen ook private partijen met elkaar samenwerken
om die vraagstukken aan te pakken. Zo’n brede en integrale benadering vereist een
efficiënte en doeltreffende samenwerking van alle betrokken partijen. Daarvoor is
uitwisseling van informatie essentieel. Alleen dan kunnen partijen tot zo effectief
mogelijke en op elkaar afgestemde interventies komen. Tegelijkertijd behoort te worden
voorzien in deugdelijke en effectieve waarborgen voor de bescherming van persoonsgegevens
en de persoonlijke levenssfeer.

De WGS regelt de gezamenlijke gegevensverwerking voor vier samenwerkingsverbanden:
het FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen. Deze samenwerkingsverbanden
bestaan inmiddels ten minste vijf jaar en hebben hun meerwaarde bewezen bij de integrale
aanpak van – samengevat – risico’s van respectievelijk inbreuken op de integriteit
van het financiële stelsel, van witwas- of fraudeconstructies, van georganiseerde
criminaliteit en van complexe problemen rond personen op het vlak van zorg en veiligheid.
Dat samenwerking en gegevensuitwisseling tussen overheidsinstanties alsmede met private
partijen met het oog op het voorkomen, opsporen en bestrijden van ernstige en ondermijnende
criminaliteit noodzakelijk is, wordt ook onderschreven door de Afdeling advisering
van de Raad van State in haar advies bij dit wetsvoorstel.

Op de overheid rust de plicht om als zij persoonsgegevens verwerkt ten behoeve van
het voorkomen en bestrijden van criminaliteit, dat op een proportionele en subsidiaire
manier te doen. Het wetsvoorstel zoals dat is voorgelegd aan de Afdeling advisering
en de Autoriteit persoonsgegevens, beantwoordde daar niet in voldoende mate aan. Naar
aanleiding van het advies van de Afdeling en de adviezen van de Autoriteit persoonsgegevens,
onder andere op het punt dat de leden van de Partij voor de Dieren-fractie aanhalen,
heeft de regering het wetsvoorstel op belangrijke punten aangepast. De regering meent
met het aangepaste wetsvoorstel een evenwichtig en proportioneel kader te hebben gecreëerd
voor de gezamenlijke verwerking van gegevens door samenwerkingsverbanden, waarbij
mogelijkheden tot informatie-uitwisseling gepaard gaan met heldere begrenzing van
deze mogelijkheden en waarborgen ter bescherming van het belang van de privacy van
burgers. Daarbij geldt dat bij de toepassing van de WGS de deelnemers van een samenwerkingsverband
ervoor zorg moeten dragen dat ook elke separate persoonsgegevensverwerking voldoet
aan de eisen van de AVG. Onderdeel daarvan is ook dat bij elke casus in het kader
van de subsidiariteit en proportionaliteit steeds een afweging zal moeten worden gemaakt
welke gegevens met welke deelnemers kunnen worden gedeeld en of dat noodzakelijk is
voor het realiseren van het doel van het samenwerkingsverband.

In reactie op de vraag van de leden van de Partij voor de Dieren-fractie of de regering
de stelling deelt dat data delen nu als lastig gezien wordt omdat voldaan moet worden
aan belangrijke waarborgen die misbruik van die data voorkomen, kan de regering aangeven
dat data delen door de vier samenwerkingsverbanden als lastig wordt ervaren vanwege
het ontbreken van een helder kader voor gezamenlijke gegevensverwerking – onder andere
over welke waarborgen daarvoor gelden. De WGS beoogt de vier samenwerkingsverbanden
en eventuele andere onder de WGS te brengen samenwerkingsverbanden deze helderheid
te verschaffen. Zoals eerder ook in het antwoord op vraag 18 aangegeven is de regering
van mening dat sommige waarborgen die als belemmering worden ervaren, juist wenselijk
zijn in het kader van de bescherming van persoonsgegevens.

Vraag 26 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen of de regering bekend is met
de publicatie «Pretenties van predictive policing, data zonder daadkracht» gepubliceerd
in Cahiers Politiestudies 2020, waaruit blijkt dat de Nederlandse overheid al vele
jaren teveel vertrouwd op de inzet van data in plaats van mankracht. Uit deze publicatie
blijk dat die inzet veel minder effectief bleek dan beloofd en ernstige gevolgen kan
hebben voor de rechtstaat en grondrechten zoals privacy. Een beleidsinzet die overigens
ook vaak tot opsporings- en handhavingsinzet leidt die bovengemiddeld gericht is op
etnische minderheden. Deelt de regering de conclusie dat er juist teveel op data vertrouwd
wordt en te weinig op menskracht? Deelt de regering de conclusie dat de inzet op steeds
meer data gevaren met zich meebrengt voor de rechtstaat, grondrechten en (etnische)
minderheden? Acht zij dat wenselijk? Zo nee, wat gaat zij doen om dit te voorkomen?
In het geval de regering de conclusies van de publicatie niet deelt, kan worden aangeven
op basis waarvan de regering tot een andere mening komt?

De regering stelt voorop dat dit wetsvoorstel geen betrekking heeft op specifieke
methoden die door de politie ter ondersteuning aan de uitvoering van hun eigen taak
worden ingezet, zoals «predictive policing». Dit wetsvoorstel ziet op gegevensuitwisseling
in samenwerkingsverbanden. Er zijn veel factoren die de inzet van politie bepalen,
het gebruik van data is daar slechts één van. Bij het voorkomen en opsporen van strafbare
feiten is de inzet, kennis en ervaring van agenten (menskracht) altijd bepalend. Data
gegenereerd uit methodes als predictive policing vervullen daarbij een aanvullende,
maar ondergeschikte rol. Bij de bestrijding van criminaliteit is een goede informatiepositie
voor de overheid volgens de regering onontbeerlijk. Nut en noodzaak van een wettelijke
regeling voor deze informatie-uitwisseling worden ook door Afdeling advisering van
de Raad van State onderschreven. De regering acht het van groot belang dat de rechtsstaat,
de grondrechten, in het bijzonder het verbod op verboden discriminatie worden gerespecteerd.
Daarom heeft de regering een helder kader gecreëerd dat in overeenstemming is met
de AVG, de Grondwet en internationale regelgeving, waarbij mogelijkheden voor gegevensverwerking
gepaard gaan met een groot aantal waarborgen ter bescherming van de grondrechten van
burgers.

Vraag 27 (PvdD)

De aan het woord zijnde leden vragen of de regering de mening deelt dat een van de
andere doelen van het wetsvoorstel, namelijk het bestrijden van onrechtmatig gebruik
van overheidsgelden en overheidsvoorzieningen, op dit moment overduidelijk niet gebaat
is bij meer geautomatiseerde data-analyses. Zo nee, waarom niet? Is de regering niet
bekend met de schrijnende voorbeelden van burgers die zonder aanleiding en onterecht
op zwarte lijsten terecht kwamen.? Dit waren zwarte lijsten die niet verantwoord konden
worden en burgers wel ernstig in de problemen brachten.7

Het wetsvoorstel voorziet in aanvullende waarborgen en in een grondslag om bij of
krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen op grond van
deze wet te kunnen stellen (artikel 1.8 en volgende). Door naleving van deze kaders,
in combinatie met de bepalingen van de AVG, wordt een herhaling van situaties als
bij de toeslagenaffaire voorkomen.

Om te controleren of deze verplichtingen en waarborgen daadwerkelijk in acht worden
genomen, is voorzien in een systeem van checks and balances. De verplichte rechtmatigheidsadviescommissie
(artikel 1.8, zesde lid) heeft tot taak de rechtmatigheid van de verwerking van persoonsgegevens
in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging
in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden
op te lossen. Met de voorgestelde verplichting tot privacy audits is voorzien in een
periodieke rechtmatigheidscontrole (artikel 1.10). Daarnaast is voorzien in onafhankelijk
toezicht door de Autoriteit persoonsgegevens, de functionarissen voor gegevensbescherming
en de coördinerend functionaris voor gegevensbescherming van het samenwerkingsverband.

Bij een gezamenlijke geautomatiseerde gegevensanalyse regelt artikel 1.9 aanvullende
waarborgen, waaronder de verplichting tot menselijke tussenkomst bij de verstrekking
van een resultaat van een gezamenlijke geautomatiseerde gegevensanalyse, waarbij wordt
beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen (artikel 1.9,
tweede lid). Hiermee wordt voorkomen dat een niet op juistheid en objectiviteit geverifieerd
signaal wordt verstrekt, en dat ten onrechte een risico wordt gesignaleerd. Een andere
waarborg is bijvoorbeeld de verplichting om op een voor het publiek toegankelijke
wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende
logica (artikel 1.9, derde lid). Ook valt onder meer te wijzen op de verplichting
tot pseudonimisering (artikel 1.9, vijfde lid). Daarnaast bevat het wetsvoorstel diverse
andere waarborgen, zoals een systeem met een beperkt aantal autorisaties, screening
van medewerkers, logging, een vernietigingstermijn en de geheimhoudingsplicht.

3. Reikwijdte wetsvoorstel

3.1. Aanwijzing bij wet c.q. bij amvb

Vraag 28 (CDA)

De leden van de CDA-fractie constateren dat de AP in haar aanvullend advies stelt
dat de AMvB’s een voorhangprocedure dienen te krijgen. Het uiteindelijke wetsvoorstel
bevat een systematiek van AMvB’s die een bijzondere nahangprocedure kennen. Wat is
de reden voor het niet kiezen voor een voorhangprocedure, maar een bijzondere nahangprocedure?

Bij een nahangprocedure van een amvb waarbij een samenwerkingsverband wordt aangewezen
wordt niet een ontwerp van de amvb, maar een vastgestelde amvb aan het parlement voorgelegd,
voordat deze in werking kan treden. Voordeel hiervan is dat het parlement beschikt
over het advies van de Afdeling advisering van de Raad van State met het nader rapport
en aldus beschikt over alle relevante stukken.

Bij een voorhangprocedure is dit anders, aangezien die voorafgaat aan de adviesaanvraag
aan de Afdeling advisering.

Vraag 29 (D66)

Het valt de leden van de D66-fractie op dat het wetsvoorstel zeer veel delegatiebepalingen
bevat. Daardoor is voor deze leden lastig te overzien wat precies de gevolgen zijn.
Hoewel zij begrip hebben voor de noodzaak tot flexibiliteit en niet alles op het niveau
van een wet in formele zin hoeft te worden geregeld, vragen deze leden de regering
nader in te gaan op de vraag of alle delegatiebepalingen wel strikt noodzakelijk zijn.

De noodzaak wordt met name ingegeven door de behoefte vanuit de praktijk van de samenwerkingsverbanden
aan maatwerk en ruimte voor toekomstige ontwikkelingen en innovatie. Er zijn grofweg
vier categorieën delegatiegrondslagen in de WGS te onderscheiden.

In de eerste plaats de delegatiegrondslag van artikel 1.8, eerste lid, die bepaalt
dat voorwaarden en beperkingen kunnen worden gesteld aan alle verwerkingen van gegevens
op grond van deze wet. Het formuleren van nadere waarborgen op grond van dit artikel
kan zorgen voor een optimaal evenwicht tussen enerzijds het doel van gegevensverwerking
en anderzijds de rechten en belangen van burgers en rechtspersonen. Voor nieuwe en
ruimere verwerkingsmogelijkheden in het wetsvoorstel, die verder gaan dan de mogelijkheden
die wet- en regelgeving nu biedt, zal onder meer ter zake van de gegevens van de Belastingdienst
– inclusief FIOD, Toeslagen en Douane – expliciet worden gewogen of nadere regels
moeten worden gesteld over de te verstrekken categorieën gegevens en zo ja in hoeverre
voorwaarden en beperkingen aan de verwerking van die gegevens zullen worden verbonden.
Eventuele voorwaarden en beperkingen zullen ervoor moeten zorgen dat alleen die gegevensverwerking
plaatsvindt die strikt noodzakelijk is en waarbij het genoemde evenwicht wordt geborgd.

In de tweede plaats de delegatiegrondslagen uit hoofdstuk 1 die ter zake van de algemene
bepalingen de mogelijkheid bieden nadere regels te stellen die zijn toegesneden op
de praktijk, bijvoorbeeld ter zake van de gezamenlijke verwerkingsverantwoordelijkheid
en de waarborgen die deelnemers van samenwerkingsverbanden in acht moeten nemen ter
bescherming van de privacy. De WGS regelt in de huidige vorm de gezamenlijke gegevensverwerking
voor vier samenwerkingsverbanden, met uiteenlopende doelen, activiteiten en werkwijzen.
De delegatiegrondslagen uit hoofdstuk 1 dienen ertoe de nadere concretisering van
de algemene bepalingen te kunnen differentiëren op een wijze die is toegesneden op
het doel en de activiteiten van een samenwerkingsverband. Een voorbeeld is de werkwijze
en de samenstelling van de rechtmatigheidsadviescommissie, de wijze van benoeming
en ontslag van haar leden en de instelling van één gezamenlijke rechtmatigheidsadviescommissie
ten behoeve van een cluster van samenwerkingsverbanden (het voorgestelde artikel 1.8,
zesde lid). Aangezien de samenwerkingsverbanden andersoortige activiteiten met verschillende
doelen verrichten, is het nodig dat de werkwijze en de samenstelling van de rechtmatigheidsadviescommissie
daarop is aangesloten.

De derde categorie delegatiegrondslagen is te vinden in de onderscheiden vier paragrafen
in het voorgestelde hoofdstuk 2, waarin de gezamenlijke gegevensverwerking voor de
vier onderscheiden samenwerkingsverbanden is opgenomen. Deze delegatiegrondslagen
maken het mogelijk de specifieke regels voor gezamenlijke gegevensverwerking voor
de vier samenwerkingsverbanden nader te concretiseren op een wijze die maatwerk mogelijk
maakt en ruimte biedt voor toekomstige ontwikkelingen en innovatie. Zo biedt het voorgestelde
artikel 2.18, tweede lid, de mogelijkheid om voor de RIEC’s aanvullende activiteiten
aan te wijzen, waaronder geautomatiseerde gegevensanalyse.

In de vierde plaats bevat het voorgestelde hoofdstuk 3 de mogelijkheid om bij amvb
andere samenwerkingsverbanden op het terrein van criminaliteitsbestrijding onder de
WGS te brengen en daar nadere regels over te stellen. Meer samenwerkingsverbanden
die samenwerken met het oog op een zwaarwegend algemeen belang, genoemd in het voorgestelde
artikel 3.1, kunnen, indien daartoe aanleiding is, op grond van deze delegatiegrondslag
in staat worden gesteld gezamenlijk gegevens te verwerken, binnen de randvoorwaarden
en met de waarborgen die in de WGS zijn opgenomen, alsmede met parlementaire betrokkenheid
in de vorm van een nahangprocedure.

Vraag 30 (D66)

De aan het woord zijnde leden lezen dat de regering naar aanleiding van het advies
van de Afdeling heeft besloten een viertal samenwerkingsverbanden bij wet te regelen
en de mogelijkheid nieuwe samenwerkingsverbanden bij AMvB aan te wijzen te koppelen
aan een nahangprocedure, waarbij een van beide kamers van de Staten-Generaal bij meerderheid
kan beslissen de instelling van dat samenwerkingsverband bij wet te regelen. Voornoemde
leden vinden dat een stap vooruit, omdat daarmee de rol van het parlement bij dit
belangrijke onderwerp wordt versterkt. De aan het woord zijnde leden vragen wel waarom
de regering kiest voor een nahangprocedure en niet gewoon voor het indienen van een
voorstel tot wijziging van de wet, indien zij van mening is dat een samenwerkingsverband
zou moeten worden toegevoegd. Zou een dergelijke procedure niet meer recht doen aan
de noodzaak voor een degelijke wettelijke grondslag en de afweging tussen het belang
van het delen van informatie en het belang van het bestrijden van ernstige georganiseerde
criminaliteit?

De leden van de D66-fractie vragen waarom onderscheid wordt gemaakt tussen de vier
bestaande samenwerkingsverbanden (die wel een formeel wettelijke grondslag krijgen)
en andere samenwerkingsverbanden, waarbij een AMvB volstaat? Ook de AP, het College
voor de Rechten van de Mens en het NJCM vragen in hun adviezen hier aandacht voor.
Waarom is niet voor dezelfde route gekozen als de vier bestaande samenwerkingsverbanden:
een formeel wettelijke grondslag? Door de aanwijzing van samenwerkingsverbanden via
AMvB wordt de materiele reikwijdte van deze wet fors verbreedt, door samenwerkingsverbanden
via brede doelen van zwaarwegend belang onder hoofdstuk 3 toe te staan.

In dit wetsvoorstel is getracht een balans te vinden tussen enerzijds het bieden van
de noodzakelijke waarborgen, waaronder ook de betrokkenheid van het parlement, en
anderzijds het creëren van de mogelijkheid om bij een zwaarwegend algemeen belang
voortvarend en effectief in te kunnen spelen op grote knelpunten in de praktijk. Deze
balans komt tot uitdrukking in de keuze om de gegevensverwerking van vier bestendige
samenwerkingsverbanden in het wetsvoorstel te regelen. De mogelijkheid om bij amvb
bepaalde samenwerkingsverbanden te kunnen aanwijzen, is opgenomen om de volgende redenen:

– Snelheid en flexibiliteit. Het maken van amvb’s voor samenwerkingsverbanden gaat sneller
dan telkens een nieuwe wet maken. Doorontwikkeling van techniek, beveiliging en data-analyse
en de aanpassingssnelheid van criminelen aan diezelfde ontwikkelingen vergen extra
snelheid en grotere flexibiliteit, zoals ook door de leden van de CDA-fractie is opgemerkt.

– Het is niet alleen aan de regering, maar ook aan het parlement als medewetgever om
te bepalen of zij een samenwerkingsverband al dan niet in de wet geregeld wil hebben.
Een nahangprocedure verzekert dat de Tweede Kamer hierover een oordeel kan vellen
bij elke amvb waarin een samenwerkingsverband wordt aangewezen.

Vier (clusters van) bestendige samenwerkingsverbanden zijn wel in het wetsvoorstel
opgenomen, omdat zij – kort gezegd – belangrijk zijn voor de veiligheid, en omdat
zij knelpunten ondervinden die in de weg staan aan een optimaal functioneren van het
samenwerkingsverband en waarvoor oplossing in de vorm van wetgeving gerechtvaardigd
is.

Vraag 31 (GroenLinks)

De leden van de GroenLinks-fractie begrijpen de opzet van een kaderwet, maar betreuren
het dat de beoordelingscriteria voor bijvoorbeeld het bepalen van het zwaarwegend
algemeen belang om gegevens in samenwerkingsverbanden te delen niet in de wet zelf
worden opgenomen. Ook de voorwaarden en beperkingen die aan verwerking kunnen worden
gesteld worden in het wetsvoorstel bij AMvB en niet bij wet geregeld. Deze leden vragen
de regering te beargumenteren waarom dit soort essentiële randvoorwaarden niet in
deze kaderwet thuishoren.

Het oorspronkelijke wetsvoorstel had het karakter van een kaderwet, maar mede naar
aanleiding van het advies van de Afdeling advisering van de Raad van State is daarvan
afgestapt en worden de vier belangrijkste samenwerkingsverbanden in het wetsvoorstel
zelf uitgewerkt. Het wetsvoorstel bevat weliswaar delegatiegrondslagen voor de voorwaarden
en beperkingen die aan de gegevensverwerking worden gesteld, maar deze zijn aanvullend
van aard: ook het wetsvoorstel zelf stelt voorwaarden en beperkingen aan de gegevensverwerking.
Zo bevat het wetsvoorstel voorwaarden en beperkingen aan de doelen waarvoor samenwerkingsverbanden
gegevens mogen verwerken, de aanwijzing van deelnemers, de bevoegdheden van de deelnemers,
de positie van private partijen en de verantwoordelijkheden van de deelnemers. Daarnaast
bevat het wetsvoorstel diverse waarborgen, evenals materiële regels over gegevensverwerkingen.

De beoordelingscriteria voor het bepalen van een zwaarwegend algemeen belang bij samenwerkingsverbanden
die bij amvb kunnen worden aangewezen, zijn in artikel 3.1 opgenomen:

a. het voorkomen en bestrijden van ernstige vormen van criminaliteit;

b. het voorkomen en bestrijden van grootschalig of systematisch onrechtmatig gebruik
van overheidsgelden en overheidsvoorzieningen; of

c. het voorkomen en bestrijden van grootschalige of systematische ontduiking van wettelijke
verplichtingen tot betaling van belastingen, retributies en rechten bij in- en uitvoer.

Of daadwerkelijk sprake is van een zwaarwegend algemeen belang, moet worden getoetst
aan de hand van een belangenafweging tussen het belang dat gediend wordt met de gezamenlijke
verwerking van persoonsgegevens en het belang van de persoonlijke levenssfeer van
degenen op wie de persoonsgegevens betrekking hebben. Bij deze belangenafweging moeten
ook de beginselen van proportionaliteit en subsidiariteit worden betrokken. Het is
lastig om de beoordelingscriteria voor een zwaarwegend algemeen belang nader te concretiseren
in de wet, omdat deze van de context afhankelijk zijn en in de loop van de tijd zich
verder kunnen ontwikkelen. Een en ander laat onverlet dat de regering ertoe is gehouden
om in de nota van toelichting bij een amvb op grond van hoofdstuk 3, een concrete
onderbouwing te geven van de aanwezigheid van het zwaarwegend algemeen belang dat
voor een specifiek samenwerkingsverband de verwerking van persoonsgegevens rechtvaardigt.
In de vorm van een nahangprocedure kan ook het parlement zich hierover uitspreken.

Vraag 32 (GroenLinks)

Kent de regering daarnaast het fenomeen van overdreven techno-optimisme? Hoe wil zij
ervoor zorgen dat sprake is van techno-realisme?

Ongerechtvaardigd techno-optimisme in de zin dat technologie alle problemen oplost,
is niet verstandig. Wanneer echter bij voorbaat moderne technieken zouden worden uitgesloten
om bepaalde risico’s met betrekking tot individuele personen in beeld te brengen,
zou het gevolg zijn dat kansen worden gemist en dat het functioneren van sommige samenwerkingsverbanden
suboptimaal blijft. Moderne technieken zijn bij sommige samenwerkingsverbanden noodzakelijk
om veiligheidsrisico’s in kaart te brengen, zoals bijvoorbeeld bij iCOV, om risico’s
inzake witwas- of fraudeconstructies boven water te krijgen. Er moet echter voor gewaakt
worden dat de nieuwe technieken zelf een risico vormen voor bijvoorbeeld de kwaliteit
en zorgvuldigheid van het overheidshandelen. Daarom is het noodzakelijk om het gebruik
van nieuwe technieken gepaard te laten gaan met behoorlijke waarborgen, en daaraan
voorwaarden te verbinden.

Technorealisme is in de literatuur8 omschreven als het aanvaarden van de goede kanten van de nieuwe technologieën, maar
het zich er tegelijkertijd van bewust zijn dat technologieën niet neutraal zijn en
dat men een scherp oog voor de negatieve kanten moet hebben. Naar realisme wordt voorts
gestreefd door goed te kijken naar de effectiviteit en deze te evalueren. Het wetsvoorstel
voorziet in een evaluatiebepaling, een verplicht jaarverslag over de effectiviteit
(artikel 1.12), een verplichte periodieke privacy audit (artikel 1.10) en de verplichting
voor de deelnemers om periodiek de gehanteerde werkwijze te evalueren (artikel 1.7,
vijfde lid), inclusief – indien van toepassing – de gehanteerde patronen en indicatoren,
ten behoeve van de verbetering van de patronen en indicatoren.

Vraag 33 (GroenLinks)

Voor de aan het woord zijnde leden is de invoering van een horizonbepaling van groot
belang. Hoe kijkt de regering hiernaar?

Wij zijn van mening dat het zinvol is om na vijf jaren de afweging te maken of een
samenwerkingsverband nog steeds noodzakelijk is en of de wet op de juiste manier functioneert.
Het wetsvoorstel is dan ook aangepast met een verplichting om zowel de wet als de
amvb’s na vijf jaar te evalueren.

Een horizonbepaling daarentegen acht de regering hier niet op haar plaats. Het gaat
immers naar zijn aard niet om een tijdelijk probleem of een tijdelijk fenomeen. Het
is duidelijk dat er altijd behoefte zal zijn aan het delen van informatie en dus ook
persoonsgegevens. Uiteraard kan uit de evaluatie na vijf jaar wel blijken dat de wet
of de onderliggende amvb’s op onderdelen aanpassing behoeven. De procedure daartoe
zal dan zo snel mogelijk in gang worden gezet.

Vraag 34 (GroenLinks)

Kan de regering per samenwerkingsverband aangeven wanneer de gegevensdeling een succes
is?

Elk samenwerkingsverband zal op grond van artikel 1.12 jaarlijks een jaarverslag moeten
opstellen. Daarin zal het de terugkoppelingen over de effectiviteit en de bruikbaarheid
van de geleverde informatieproducten moeten beschrijven die het op grond van artikel
1.7, vierde lid, van de ontvangers van deze producten heeft gekregen. Deze beschrijvingen
zullen per samenwerkingsverband een indicatie geven van het succes van de gegevensuitwisseling
onder de werking van de WGS en worden meegenomen in de in artikel 5.1 voorgeschreven
evaluatie van deze wet. De criteria voor de beoordeling van dit succes zullen worden
opgesteld bij de voorbereiding van deze evaluatie. Daarbij zal worden gelet op de
vraag of het wetsvoorstel de samenwerkingsverbanden heeft gefaciliteerd in het bereiken
van hun wettelijke doelstellingen, en of de waarborgen van de persoonlijke levenssfeer
naar behoren functioneren.

Vraag 35 (GroenLinks)

Gezien de impact van gegevensverwerking en -deling voor de rechtspositie en -bescherming
van in beginsel onverdachte burgers, zeker als dat in publiek-private samenwerkingsverbanden
plaatsvindt, vinden de aan het woord zijnde leden het noodzakelijk dat volledige duidelijkheid
bestaat over onder meer het doel van gegevensverwerking, wie onder welke voorwaarden
toegang heeft tot gedeelde gegevens, hoe besluitvorming plaatsvindt en welke rol al
dan niet (zelflerende) algoritmen daarin hebben, wie toezicht houdt op de rechtmatige
gegevensverwerking en hoe burgers inzicht krijgen in de wijze waarop hun gegevens
worden gebruikt. Wordt voorafgaand aan een besluit tot datadeling benoemd wat de te
verwachten effecten zijn? Worden die effecten ook geëvalueerd? Voornoemde leden trekken
de parallel met predictive policing: daar was en is veel enthousiasme voor. Echter,
na onderzoek kwam de Politieacademie in 2017 tot de conclusie dat het geen aanwijzingen
heeft kunnen vinden dat predictive policing uiteindelijk leidt tot minder (stijgende)
criminaliteit (zie «Predictive policing: lessen voor de toekomst», Politieacademie
2017, pag. 41).

De regering stelt voorop dat dit wetsvoorstel geen betrekking heeft op specifieke
methoden die door de politie ter ondersteuning aan de uitvoering van haar eigen taak
worden ingezet, zoals «predictive policing».

Zoals toegelicht in het antwoord op de vorige vraag, worden de effecten van de gegevensverwerking
op diverse wijzen geëvalueerd. Uit artikel 36 van de AVG volgt dat een samenwerkingsverband
voorafgaand aan een voorgenomen verwerking van persoonsgegevens de Autoriteit persoonsgegevens
moet raadplegen wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling een
hoog risico laat zien wanneer het samenwerkingsverband geen maatregelen neemt om het
risico te beperken. Verder voorziet het wetsvoorstel in een evaluatiebepaling (het
voorgestelde artikel 5.1), een verplicht jaarverslag over de effectiviteit van het
samenwerkingsverband (het voorgestelde artikel 1.12), een verplichte periodieke privacy
audit (het voorgestelde artikel 1.10) en de verplichting voor de deelnemers om periodiek
de gehanteerde werkwijze te evalueren (het voorgestelde artikel 1.7, vijfde lid).

Vraag 36 (GroenLinks)

De leden van de GroenLinks-fractie begrijpen dat de werkingssfeer van het wetsvoorstel
op dit moment is beperkt tot het FEC, de iCOV, de RIEC’s en de ZVH. Bij AMvB kunnen
andere samenwerkingsverbanden onder de werkingssfeer van de wet worden gebracht. Voornoemde
leden stellen het op prijs dat deze regering afziet van de gedachte van de vorige
regering dat voor aanwijzing een convenant volstaat, maar vragen of met het oog op
de inperking van grond- en mensenrechten een AMvB voldoende rechtsbasis biedt. De
aan het woord zijnde leden bepleiten een formeel wettelijke juridische grondslag voor
de aanwijzing van andere samenwerkingsverbanden. Met het oog op de te maken afweging
tussen noodzaak en grondrechtenaantasting is de aanwijzing bij wet in formele zin
naar het oordeel van deze leden de koninklijke weg, en het niet te laten afhangen
van de uitkomst van de voorgestelde nahangprocedure. In de wetenschap dat dit soort
wetswijzigingen ook nog eens relatief snel zijn door te voeren, zien de aan het woord
zijnde leden niet in dat dit ten koste zou kunnen gaan van de door de regering gewenste
flexibiliteit. Graag ontvangen zij een reactie.

Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 30.

Vraag 37 (SP)

De leden van de SP-fractie constateren dat de term AMvB wel zestig keer voorkomt in
het wetsvoorstel. Dat feit zegt op zichzelf misschien nog niet alles, maar er wordt
wel erg veel overgelaten aan de mogelijkheid om later, in lagere regelgeving, belangrijke
besluiten te nemen. Dit betreft onder meer de samenstelling van het verband en de
deelnemers, de categorieën gegevens die verstrekt moeten gaan worden, de werkwijze
en de respectievelijke verantwoordelijkheden van de deelnemers, de voorwaarden en
beperkingen aan de verwerkingen van persoonsgegevens, etc. Dat zijn zeker geen ondergeschikte
punten. Waarom is ervoor gekozen om zoveel onderdelen later in te vullen? Waarom is
slechts op een enkele plaats gekozen voor een voorhangbepaling?

Op de vragen van de leden van SP-fractie over het aantal delegatiegrondslagen in het
wetsvoorstel en de redenen daarvoor, verwijst de regering naar de beantwoording van
de vraag van de leden van de D66-fractie over dit onderwerp (vraag 29). De delegatiegrondslagen
zijn met name noodzakelijk vanwege de behoefte vanuit de praktijk van de samenwerkingsverbanden
aan maatwerk en ruimte voor toekomstige ontwikkelingen en innovatie. In navolging
van het advies van de Afdeling advisering van de Raad van State heeft de regering
de hoofdelementen van de gezamenlijke gegevensverwerking voor vier samenwerkingsverbanden
opgenomen in het wetsvoorstel (FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen).
Het gaat daarbij onder meer om het doel van het samenwerkingsverband, welke partijen
deelnemen met het oog op de opgesomde taken en bevoegdheden, de activiteiten die zij
verrichten, welke gegevens zij daarbij mogen verwerken (waaronder soms bijzondere
persoonsgegevens), onder welke randvoorwaarden en welke waarborgen voor de gezamenlijke
gegevensverwerking gelden. Bij de voorbereiding is de bestaande praktijk van de samenwerkingsverbanden
als uitgangspunt genomen. Daarbij heeft een aantal deelnemers aan de samenwerkingsverbanden
de nadrukkelijke wens geuit om voldoende flexibiliteit zodat maatwerk mogelijk wordt
en ruimte wordt geboden voor toekomstige ontwikkelingen en innovatie. Door de hoofdelementen
op het niveau van formele wet te regelen en ruimte te bieden voor uitwerking daarvan
bij lagere regelgeving, meent de regering de balans te houden tussen het advies van
de Afdeling advisering en de behoefte uit de praktijk aan flexibiliteit. Formele betrokkenheid
van het parlement bij de lagere regelgeving is daarom slechts bij enkele bijzondere
onderwerpen geregeld, zoals de regeling van de gezamenlijke gegevensverwerking van
nieuwe samenwerkingsverbanden.

Vraag 38 (SP)

De aan het woord zijnde leden vragen waarom er niet voor gekozen wordt om bij wet
een grondslag op te nemen voor de verstrekking van gegevens aan een samenwerkingsverband,
of dit in ieder geval te doen voor de private partijen die deelnemen aan een publiek-privaat
samenwerkingsverband. Is het niet juist van belang om zo veel mogelijk waarborgen,
duidelijkheid en eenheid te creëren in het beleid wanneer met name private partijen
ook deelnemen aan een samenwerkingsverband? Private partijen dienen namelijk in essentie
niet per se hetzelfde doel als publieke partijen, namelijk het dienen van de samenleving,
zo merken voornoemde leden op.

Het voorgestelde artikel 1.5 (Verstrekking aan het samenwerkingsverband) voorziet
in een wettelijke grondslag voor de verstrekking van gegevens aan het samenwerkingsverband
door elke deelnemer – zowel publieke als private deelnemers. Vanwege het belang van
duidelijkheid en eenheid is daarbij geen onderscheid gemaakt tussen het publieke of
private karakter van de deelnemers. Het voorgestelde artikel 1.5, eerste lid, bepaalt
dat elke deelnemer de bij of krachtens deze wet aangewezen categorieën van gegevens
aan het samenwerkingsverband verstrekt, voor zover dat noodzakelijk is voor het doel
van het samenwerkingsverband, tenzij naar het oordeel van de deelnemer zwaarwegende
redenen zich daartegen verzetten. Voor elk samenwerkingsverband is in de toepasselijke
paragraaf in het voorgestelde hoofdstuk 2 bepaald welke partijen, publiek of privaat,
deelnemen aan het desbetreffende samenwerkingsverband en welke categorieën gegevens
de deelnemers aan het samenwerkingsverband verstrekken. Hierdoor is voor alle vier
samenwerkingsverbanden duidelijk wie er deelneemt en welke gegevens worden verstrekt.
Volledigheidshalve merkt de regering op dat de WGS niet alleen de grondslag regelt
voor de verstrekking van gegevens aan het samenwerkingsverband, maar ook grondslagen
regelt voor de verwerking van gegevens binnen een samenwerkingsverband (o.a. het voorgestelde
artikel 1.6) en voor de verstrekking van de resultaten aan deelnemers en derden (o.a.
het voorgestelde artikel 1.7).

Vraag 39 (SP)

De aan het woord zijnde leden lezen dat de AP toestemming moet geven voor profilering.
Concreet betekent dit dat toestemming niet ziet op elke keer dat deze profilering
wordt toegepast, maar dat de toestemming betrekking heeft op een bepaalde profileringsvorm
die in de AMvB is vastgelegd. De vorm van profilering wordt dus niet in deze wet geregeld,
maar per AMvB. Wat voornoemde leden betreft zou zo iets ingrijpends niet per AMvB
geregeld moeten worden. Kan uitgebreid worden verduidelijkt waarom de regering daar
anders over denkt? Desalniettemin klinkt dit als een forse taakverzwaring voor de
AP. Wordt de AP daarvoor ook gecompenseerd in de vorm van meer budget? Zo nee, waarom
niet?

Het wetsvoorstel bevat naar aanleiding van het advies van de Afdeling niet langer
een bepaling inzake voorafgaande toestemming van de Autoriteit persoonsgegevens. Een
dergelijke rol voor de Autoriteit persoonsgegevens zou betekenen dat de uitvoering
van de wet de facto afhankelijk wordt gesteld van de toestemming van de toezichthouder.
De Afdeling schreef in haar advies op het onderhavige wetsvoorstel over voorafgaande
toestemming: «Deze bepaling is weliswaar gebaseerd op de AVG maar is in de praktijk
niet zonder problemen: het houdt in dat de Autoriteit persoonsgegevens intensief wordt
betrokken bij een bestuurlijke afweging, die niet gemaakt zou moeten worden door de
toezichthouder maar door het bevoegde en aanspreekbare bestuursorgaan. Dat orgaan
is bovendien beter op de hoogte van de elementen die op zijn eigen specifieke werkterrein
afgewogen moeten worden dan de algemene toezichthouder. Daar komt bij dat het verlenen
van toestemming gelet op de complexiteit van de materie en de verschillende belangen
die in het geding zijn, een omvangrijk onderzoek noodzakelijk zal maken.»

Om wel te voorzien in aanvullende waarborgen, zijn diverse andere waarborgen toegevoegd
aan het wetsvoorstel. Dat doet het wetsvoorstel, door bijna twintig waarborgen te
regelen, zoals toegelicht in paragraaf 3.4 van de memorie van toelichting. Te wijzen
valt – onder veel meer – op de verplichte rechtmatigheidsadviescommissie en de verplichte
periodieke privacy audits.

Het bestaande instrument van voorafgaande raadpleging van de Autoriteit persoonsgegevens biedt overigens een voldoende waarborg dat de
Autoriteit persoonsgegevens wordt geraadpleegd indien daartoe aanleiding is. Zoals
toegelicht in paragraaf 3.5 houdt dat in dat verwerkingsverantwoordelijken op grond
van artikel 36, eerste lid, van de AVG verplicht zijn de Autoriteit persoonsgegevens
te «raadplegen» over een voorgenomen verwerking van persoonsgegevens wanneer de uitkomst
van de gegevensbeschermingseffectbeoordeling is dat er sprake is van een hoog risico
wanneer het samenwerkingsverband geen maatregelen zou nemen om het risico te beperken.
Deze voorafgaande raadpleging geldt nu reeds, ongeacht de vraag of sprake is van samenwerkingsverbanden.
Het wetsvoorstel brengt geen aanvulling of wijziging in de rol van de Autoriteit persoonsgegevens.

Bij de voorafgaande raadpleging van de Autoriteit persoonsgegevens zijn twee uitkomsten
mogelijk.

– De voorafgaande raadpleging leidt niet tot een advies van de Autoriteit persoonsgegevens. Dit is het geval wanneer er toch
geen sprake is van een hoog restrisico, of wanneer er voldoende maatregelen zijn genomen
om de risico’s te verminderen. In dat geval is er geen beletsel om te beginnen met
de voorgelegde verwerking van de persoonsgegevens.

– De voorafgaande raadpleging leidt wel tot een advies van de Autoriteit persoonsgegevens. In het advies geeft de Autoriteit
persoonsgegevens aan welke maatregelen/veranderingen er nodig zijn. Hoewel de term
«advies» de indruk wekt dat dit niet bindend is, legt de Autoriteit persoonsgegevens
de AVG zodanig uit dat handhavend kan worden opgetreden «als na afloop van de voorafgaande
raadpleging blijkt dat een verwerkingsverantwoordelijke is begonnen met de verwerking
in strijd met het gegeven advies».9

Ongeacht de exacte status van het advies van de Autoriteit persoonsgegevens, laat
dit onverlet dat de Autoriteit persoonsgegevens te allen tijde de bevoegdheid behoudt
om zelfstandig of op verzoek toezicht te houden. Uit overweging 94 van de AVG blijkt
dat zelfs indien de Autoriteit persoonsgegevens bij de voorafgaande raadpleging geen
aanleiding zag om een advies uit te brengen, er later toch nog handhavend kan worden
opgetreden: «Het uitblijven van een reactie van de toezichthoudende autoriteit binnen
die termijn dient evenwel een optreden van de toezichthoudende autoriteit overeenkomstig
haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder
meer de bevoegdheid om verwerkingen te verbieden.»

Volledigheidshalve wordt voor wat betreft de (on)toelaatbaarheid van profilering volgens
het wetsvoorstel, verwezen naar het antwoord op vraag 80.

Vraag 40 (ChristenUnie)

Vanuit de eerste zorg hebben de leden van de ChristenUnie-fractie onder meer vragen
over de keuze voor een nahangprocedure. Lezen zij het goed dat de nahangprocedure
voor elke uitbreiding zou gelden? Heeft de regering overwogen als uitgangspunt een
voorhangprocedure te hanteren en enkel in uitzonderlijke gevallen, goed beargumenteerd,
over te gaan tot een nahangprocedure?

Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 28.

Vraag 41 (PvdD)

De leden van de Partij voor de Dieren-fractie vinden het zorgwekkend en onwenselijk
dat de regering ervoor kiest het wetsvoorstel vorm te geven als kaderwet. Bij kaderwetgeving
wordt wetgeving dermate ruim opgezet dat de daadwerkelijke uitwerking in lagere vormen
van besluitvorming, en daarmee buiten de medewetgevende macht van het parlement, plaatsvindt.
Waarom is voor deze aanpak gekozen gezien het een wet is die zo’n fundamentele inbreuk
maakt (of gaat maken) op grondrechten?

De regering is vast bekend met de kritiek op kaderwetgeving die de Afdeling al een
aantal jaren achter elkaar verwoord. Voornoemde leden vragen wat de regering hiermee
heeft gedaan. Waarom heeft zij ervoor gekozen na kritiek op dit punt enkele clusters
van samenwerkingsverbanden in de wet onder te brengen, maar het kaderwetgevende karakter
van de wet verder in stand te laten? Is de regering van mening dat daarmee een heldere
juridische basis voor samenwerkingsverbanden wordt gecreëerd? Is de regering bereid
het wetsvoorstel opnieuw aan de Afdeling voor te leggen? Zo nee, waarom niet?

De regering begrijpt de vragen van de leden van de Partij voor de Dieren-fractie aldus
dat deze betrekking hebben op het oorspronkelijke wetsvoorstel zoals dat is voorgelegd
aan o.a. de Autoriteit persoonsgegevens en de Afdeling advisering van de Raad van
State. Het oorspronkelijke wetsvoorstel was inderdaad vormgegeven als kaderwet. Naar
aanleiding van het advies van de Afdeling advisering van de Raad van State bij het
oorspronkelijke wetsvoorstel, is het wetsvoorstel ingrijpend aangepast en zijn alle
door de Afdeling advisering genoemde hoofdelementen van de gezamenlijke gegevensverwerking
in het wetsvoorstel opgenomen voor de vier samenwerkingsverbanden FEC, iCOV, de RIEC’s
en Zorg- en Veiligheidshuizen. Het gaat daarbij onder meer om het doel van het samenwerkingsverband,
welke partijen deelnemen met het oog op de opgesomde taken en bevoegdheden, de activiteiten
die zij verrichten, welke gegevens zij daarbij mogen verwerken (waaronder soms bijzondere
persoonsgegevens), onder welke randvoorwaarden en welke waarborgen voor de gezamenlijke
gegevensverwerking gelden. Het aangepaste wetsvoorstel bevat een omvattende regeling
voor de gezamenlijke gegevensverwerking door de vier genoemde samenwerkingsverbanden
en niet meer slechts een kader daarvoor. Het wetsvoorstel voorziet ook in waarborgen
en in een grondslag om bij of krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen
op grond van deze wet te stellen (artikel 1.8, eerste lid). De regering is van mening
daarmee een voorstel voor een heldere juridische basis te hebben gedaan inzake de
vier samenwerkingsverbanden.

In de toekomst kan de behoefte ontstaan om ook andere bestaande en nieuwe samenwerkingsverbanden
onder de werking van de WGS te kunnen brengen. Zoals nader toegelicht in het antwoord
op vraag 30, wordt met hoofdstuk 3 een delegatiegrondslag voorgesteld, op basis waarvan
andere bestaande of nieuwe samenwerkingsverbanden bij amvb kunnen worden aangewezen.
Daarbij wordt een bijzondere nahangprocedure voorgesteld om het parlement ook bij
de aanwijzing en regeling van dit nieuwe verband te betrekken. Deze procedure houdt
in dat na publicatie van de amvb de Staten-Generaal een periode van vier weken krijgen
waarin één van beide Kamers met een absolute meerderheid kan verzoeken om het in de
amvb geregelde onderwerp bij wet te regelen. In dat geval wordt de amvb onverwijld
ingetrokken en wordt een daartoe strekkend wetsvoorstel zo spoedig mogelijk ingediend.
Ook al kent de WGS de mogelijkheid om bij lagere regelgeving de gezamenlijke gegevensverwerking
voor andere samenwerkingsverbanden te regelen, wordt het kaderwetgevend karakter daarvan
beperkt door deze bijzondere nahangprocedure.

Op de vraag van de leden van de Partij voor de Dieren-fractie of de regering bereid
is het wetsvoorstel opnieuw aan Afdeling advisering van de Raad van State voor te
leggen, verwijst de regering naar de beantwoording van de vraag van de leden van CDA-fractie
over dit onderwerp (vraag 8).

Vraag 42 (PvdD)

Voornoemde leden vragen of de regering de kritiek deelt, zoals verwoord door meerdere
partijen, dat elk samenwerkingsverband, indien dit gewenst geacht zou zijn, een aparte
wet zouden behoeven. Zo nee, waarom niet?

Het aangepaste wetsvoorstel bevat een integraal kader voor de gezamenlijke gegevensverwerking
door vier samenwerkingsverbanden, die met elkaar gemeen hebben dat zij alle een rol
vervullen bij de bestrijding van criminaliteit en dat naast bestuurlijke partijen,
zoals de gemeentelijke en provinciale bestuursorganen, ook de politie en het OM (vaste)
deelnemers zijn. Op de gezamenlijke gegevensverwerking door deze samenwerkingsverbanden
zijn dezelfde uit de AVG voortvloeiende eisen van toepassing. De WGS biedt dan ook
het voordeel dat deze eisen op één plek en op uniforme wijze nader worden uitgewerkt
voor deze samenwerkingsverbanden, en mogelijk in de toekomst voor andere samenwerkingsverbanden
met aanverwante doelen die krachtens het voorgestelde hoofdstuk 3 gezamenlijk gegevens
gaan verwerken. Bovendien maakt deze constructie het mogelijk algemene bepalingen
op te nemen over onder andere de gezamenlijke verwerkingsverantwoordelijkheid, de
uitwisseling van gegevens met het samenwerkingsverband en waarborgen voor de bescherming
van persoonsgegevens. De regering geeft er daarom de voorkeur aan de gezamenlijke
gegevensverwerking voor het FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen en
vergelijkbare samenwerkingsverbanden bedoeld in hoofdstuk 3, in één wet te regelen
en niet in separate wetten. De WGS heeft echter niet tot doel een exclusief regime
voor gegevensverwerking door samenwerkingsverbanden te creëren. Zij heeft dan ook
geen implicaties voor de talloze bestaande samenwerkingsverbanden die binnen de grenzen
van het huidige recht voldoende ruimte hebben om op de door hen gewenste wijze persoonsgegevens
te verwerken. Voor zover er samenwerkingsverbanden zijn die gemeenschappelijke casusanalyses
of data-analyses willen verrichten waarvoor thans geen of geen expliciete grondslag
bestaat, kan worden overwogen deze tot een samenwerkingsverband om te vormen dat bij
of krachtens de WGS wordt aangewezen. Zo’n samenwerkingsverband zal uiteraard op het
moment van inwerkingtreding, ten volle aan de voorschriften van de WGS moeten voldoen.
De WGS laat voorts onverlet dat de gezamenlijke gegevensverwerking door samenwerkingsverbanden
op andere beleidsterreinen met andere doelstellingen en werkwijzen in separate wetgeving
wordt gerealiseerd.

Vraag 43 (PvdD)

Deelt de regering de kritiek, zoals bijvoorbeeld verwoord door het College voor de
Rechten van de Mens, dat de discretionaire bevoegdheid onder deze wet veel te ruim
is? Zo nee, waarom niet? Deelt de regering ook de zorgen van het College dat met het
wetsvoorstel de eerste stap op een glijdende schaal gezet wordt aangezien de reikwijdte
van het wetsvoorstel vele malen verder reikt dan waarvoor nu gesteld wordt dat deze
ingezet gaat worden? Gaat de regering de reikwijdte van de wet inperken? Zo nee, waarom
niet? Kan de regering aangeven op welke wijze zij gaat voorkomen dat steeds meer data
voor steeds minder zwaarwegende belangen gedeeld gaat worden? Op welke wijze betrekt
zij de Kamer bij het bewaken van die grens?

In reactie op de vragen van de leden van de Partij voor de Dieren-fractie over de
kritiek, onder andere verwoord door het College van de Rechten van de Mens, dat de
discretionaire bevoegdheid onder deze wet te ruim is, brengt de regering in herinnering
dat de kritiek van het College voor de Rechten van de Mens, evenals de vergelijkbare
kritiek van de Afdeling advisering van de Raad van State en de Autoriteit persoonsgegevens,
betrekking heeft op het oorspronkelijke wetsvoorstel zoals dat aan hen ter advies
en consultatie is voorgelegd. De regering heeft het wetsvoorstel naar aanleiding van
die kritiek ingrijpend aangepast en verwijst hier naar de beantwoording van vraag
41. Aanvullend daarop kan de regering aangeven dat de reikwijdte van het aangepaste
wetsvoorstel zoals dat bij uw Kamer is ingediend, aanzienlijk is ingeperkt ten opzichte
van het oorspronkelijke voorstel. Door te regelen welke vier samenwerkingsverbanden
met welk doel van zwaarwegend algemeen belang welke gegevens mogen uitwisselen voor
de uitoefening van specifiek genoemde taken en bevoegdheden onder de gestelde randvoorwaarden
en met inachtneming van de gestelde waarborgen, heeft de regering de reikwijdte van
het aangepaste wetsvoorstel beperkt op een wijze die in overeenstemming is met de
AVG en de Grondwet. Het wetsvoorstel voorziet ook in waarborgen en in een grondslag
om bij of krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen
op grond van deze wet te kunnen stellen (artikel 1.8, eerste lid). Voor zover in de
toekomst aanleiding zal zijn andere of nieuwe samenwerkingsverbanden onder de WGS
te brengen, zal het parlement daarbij worden betrokken conform de bijzondere nahangprocedure
op grond van het voorgestelde hoofdstuk 3.

Vraag 44 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen waarom de regering een wet maakt
met als doel om zekerheid te bieden aan samenwerkingsverbanden en vervolgens een wetsvoorstel
opstelt waarover de Afdeling oordeelt dat «de wetgever de juridische onzekerheid over
de toelaatbaarheid van gegevensuitwisseling op de voorgestelde wijze niet of onvoldoende
wegneemt». Voldoet daarmee het wetsvoorstel wel aan het doel zoals gesteld door de
regering zelf?

De regering begrijpt de vraag van de leden van de Partij voor de Dieren-fractie aldus
dat deze betrekking heeft op verhouding van het wetsvoorstel tot artikel 10 van de
Grondwet. Voor het antwoord op deze vraag verwijst de regering naar het antwoord op
de vragen van de GroenLinks-fractie (vraag 10). Bovendien benadrukt de regering nogmaals
dat deze opmerkingen van de Afdeling betrekking hadden op het oorspronkelijke wetsvoorstel.

3.2. Doel van zwaarwegend algemeen belang

Vraag 45 (GroenLinks)

De leden van de GroenLinks-fractie onderkennen een zekere discrepantie tussen de genoemde
doeleinden. Aanwijzing van een samenwerkingsverband is mogelijk, zo stelt de regering
in de memorie van toelichting op pagina 6, bij a. het voorkomen en bestrijden van
ernstige vormen van criminaliteit, b. het voorkomen van grootschalig of systematisch
onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen of c. het voorkomen
van grootschalige of systematische ontduiking van wettelijke verplichtingen tot betaling
van belastingen, retributies en rechten bij in- en uitvoer. Even verderop omarmt de
regering «een breder terrein dan fraudebestrijding» voor deze kaderwet, waarbij het
dan gaat om: a. voorkoming van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen
en het bevorderen dat aan wettelijke verplichtingen wordt voldaan tot betaling van
belastingen, retributies en rechten bij in- en uitvoer, b. de uitoefening van toezicht
op de naleving van wettelijke voorschriften, c. de handhaving van openbare orde en
veiligheid en d. de voorkoming en opsporing van strafbare feiten. Het lijkt erop dat
de werkingssfeer van de onderhavige wet aanzienlijk ruimer is dan de voorgespiegelde
beperking tot ernstige, ondermijnende criminaliteit en grootschalig, systematisch
misbruik van overheidsgeld. De genoemde voorbeelden van fraude (uitkeringsfraude,
vastgoedfraude, verzekeringsfraude e.d.) en criminaliteitsvormen (hennepteelt, milieucriminaliteit,
voertuigcriminaliteit) suggereren dat het ook kan gaan om delicten en misbruikvormen
van minder grootschalige aard. Zonder afbreuk te doen aan de ernst van deze misstanden
roept het bij de aan het woord zijnde leden toch de vraag op of, met het oog op de
beginselen van proportionaliteit en subsidiariteit, de reikwijdte van deze wet wel
voldoende is afgebakend. Kan de regering voorzien in een overzicht van concrete criteria,
gevallen en/of situaties waarin deze wet al dan niet van toepassing is? Vindt de regering
ook niet dat, zoals hier eerder door deze leden is benadrukt, de interpretatie van
het zwaarwegend algemeen belang niet aan de samenwerkingsvormen zelf moet worden overgelaten,
maar aan de wetgever in formele zin?

De regering is het met de leden van de GroenLinks-fractie eens dat de interpretatie
van het zwaarwegend algemeen belang niet aan de samenwerkingsverbanden zelf moet worden
overgelaten. Daarom berust de interpretatie van het zwaarwegend algemeen belang bij
samenwerkingsverbanden die volgens het wetsvoorstel bij amvb mogen worden aangewezen,
– binnen de ruimte van het voorgestelde artikel 3.1 – aan de regering en – via de
voorgestelde nahangprocedure – aan het parlement.

De aangehaalde passage uit de memorie van toelichting over de doelen a tot en met
d, en de aangehaalde voorbeelden hebben betrekking op de vorige versie van het wetsvoorstel,
zoals voorgelegd aan de Afdeling op 21 juni 2019. Die versie ging uit van een bredere
reikwijdte en sloot aan bij het rapport van de Werkgroep Verkenning kaderwet gegevensuitwisseling
van 14 december 2014. De aangehaalde passage maakt onderdeel uit van de paragraaf
uit de memorie van toelichting die de voorgeschiedenis weergeeft van het toepassingsbereik.

Vraag 46 (PvdD)

De leden van de Partij voor de Dieren-fractie lezen dat ten aanzien van de noodzaak
voor dit wetsvoorstel regelmatig wordt verwezen naar «zwaarwegende algemene belangen».
Kan de regering aangeven welke definitie van zwaarwegend algemeen belang zij hanteert?
Is dat de definitie zoals die verwoord is in de Wet politiegegevens en de rol van
de officier van justitie? Klopt het dat in die wet elke verwerking die enige betekenis
heeft voor de samenleving als een verwerking van «algemeen belang» wordt gezien? Kopt
het ook dat elke verwerking die een «meer dan gewone betekenis» heeft gezien wordt
als een verwerking met een «zwaarwegend algemeen belang»? Deelt de regering de mening
dat deze definitie veel te ruim is? Klopt het dat in de onderliggende stukken bij
die wet voorbeelden genoemd worden zoals winkelcriminaliteit en jeugdcriminaliteit?
Acht de regering het wenselijk dat het grondrecht op privacy van grote groepen burgers
geschonden gaat worden ter bestrijding van deze relatief beperkte criminaliteit?

Of er sprake is van een zwaarwegend algemeen belang, is in dit wetsvoorstel voornamelijk
relevant voor de vraag of het mogelijk is om bij amvb een samenwerkingsverband aan
te kunnen wijzen. Dat er sprake is van een zwaarwegend algemeen belang betekent nog
niet dat er bij amvb een samenwerkingsverband kan worden aangewezen. Dat kan volgens
artikel 3.1 alleen als het gaat om een zwaarwegend algemeen belang inzake: a. het
voorkomen en bestrijden van ernstige vormen van criminaliteit, b. het voorkomen en
bestrijden van grootschalig of systematisch onrechtmatig gebruik van overheidsgelden
en overheidsvoorzieningen, of c. het voorkomen en bestrijden van grootschalige of
systematische ontduiking van wettelijke verplichtingen tot betaling van belastingen,
retributies en rechten bij in- en uitvoer. De doelen zullen niet veel te ruim zijn,
want een amvb onder het wetsvoorstel kan niet alle doelen uit artikel 3.1 omvatten;
wel kunnen hieruit één of enkele nader gespecificeerde subdoelen worden geselecteerd.
Bij het opstellen van een amvb voor een samenwerkingsverband dient dus het doel van
het desbetreffende samenwerkingsverband te worden geconcretiseerd binnen de kaders
van artikel 3.1. In de nota van toelichting dient vervolgens concreet te worden onderbouwd
waarom sprake is van een zwaarwegend algemeen belang.

De term «zwaarwegend algemeen belang» komt inderdaad voor in de Wpg en overigens ook
in de Wjsg.10 Het criterium van het zwaarwegend algemeen belang is volgens de wetsgeschiedenis
bij de Wpg ontleend aan artikel 8, vierde lid, van de toenmalige privacyrichtlijn
(Richtlijn nr. 95/46/EG) en komt tegenwoordig voor in artikel 9, tweede lid, onder
g, van de AVG. De richtlijn gegevensbescherming opsporing en vervolging kent de term
niet.

Of sprake is van een zwaarwegend algemeen belang, moet worden getoetst aan de hand
van een belangenafweging tussen het belang dat gediend wordt met de gezamenlijke verwerking
van persoonsgegevens en het belang van de persoonlijke levenssfeer van degenen op
wie de persoonsgegevens betrekking hebben. Bij deze belangenafweging moeten ook de
beginselen van proportionaliteit en subsidiariteit worden betrokken.

Overigens dienen de vier clusters van samenwerkingsverbanden die in het wetsvoorstel
worden geregeld, ook doelstellingen van zwaarwegend algemeen belang. In de artikelsgewijze
toelichting bij de artikelen die de doelstellingen regelen van het FEC, iCOV, de RIEC’s
en de Zorg- en Veiligheidshuizen is dit onderbouwd (artikelsgewijze toelichting bij
de artikelen 2.2, 2.10, 2.17, 2.25).

3.3 Oplossing knelpunten in de gegevensverwerking in het kader van samenwerkingsverbanden

3.3.1 Verstrekking van gegevens aan een samenwerkingsverband

Vraag 47 (VVD)

In de memorie van toelichting lezen de leden van de VVD-fractie dat het wetsvoorstel
zal geworden gekarakteriseerd door zowel een verstrekkingsplicht als een verstrekkingsbevoegdheid.
Deze leden vragen een toelichting van de verstrekkingsplicht. In welke situaties zijn
deelnemers verplicht gegevens te verstrekken en wanneer niet? Geldt dit voor alle
deelnemers? Hoe en door wie wordt getoetst of aan de verstrekkingplicht is voldaan
en welke consequenties zijn verbonden aan het niet nakomen hiervan?

Gekozen is voor een verstrekkingsplicht en niet voor een verstrekkingsbevoegdheid.
Daarmee wil de regering benadrukken dat de samenwerking niet vrijblijvend kan zijn.
De verstrekkingsplicht is niet absoluut. Integendeel, de WGS bevat verschillende elementen
waaruit blijkt dat de deelnemers een zekere mate van autonomie behouden:

• De deelnemers stellen gezamenlijk het doel van en de middelen voor de verwerking van
persoonsgegevens vast en zijn uit dien hoofde gezamenlijke verwerkingsverantwoordelijken.
Dit impliceert dat een deelnemer mede bepaalt voor welke concrete gegevensverwerkingen
gegevens moeten worden aangeleverd en uit dien hoofde ook opdrachten kan tegenhouden.

• Hoewel de categorieën te verstrekken gegevens in het wetsvoorstel zijn opgesomd, heeft
iedere deelnemer beoordelingsruimte bij de vraag of in concrete gevallen gegevensverstrekking
aan het samenwerkingsverband noodzakelijk is voor het doel van dat samenwerkingsverband.

• De deelnemer kan, ook al is de verstrekking van gegevens op zich noodzakelijk voor
het doel van het samenwerkingsverband, besluiten om daar wegens zwaarwegende redenen
van af te zien (artikel 1.5, eerste lid).

• Op de verplichting om gegevens te verstrekken kunnen op grond van artikel 1.8, eerste
lid, bij amvb voorwaarden en beperkingen worden gesteld.

Vraag 48 (VVD)

Tevens lezen de aan het woord zijnde leden dat de deelnemer van het samenwerkingsverband
kan besluiten van verstrekking van gegevens af te zien wegens zwaarwegende redenen.
Kan de regering toelichten hoe de procedure eruit ziet wanneer een geschil met betrekking
tot het delen van bepaalde gegevens optreedt tussen twee deelnemers?

Artikel 1.5, eerste lid, bevat een uitzondering op de verstrekkingsplicht ingeval
«naar het oordeel van de deelnemer zwaarwegende redenen zich daartegen verzetten».
De deelnemer die gegevens zou moeten verstrekken, maakt dus zelf de afweging of er
zwaarwegende redenen zijn die zich daartegen verzetten. Andere deelnemers hebben daar
in juridische zin geen zeggenschap over, om te voorkomen dat daarover rechtsonzekerheid
ontstaat. Zo staat het ook uitdrukkelijk in het voorgestelde artikel 1.5, eerste lid.
Deze tenzij-clausule maakt het overigens ook mogelijk om de gegevens alleen aan sommige deelnemers niet te verstrekken.

Vraag 49 (VVD)

Ook lezen de leden van de VVD-fractie in de memorie van toelichting dat het voorliggende
wetsvoorstel ruimte schept de eis van doelbinding (het doel van verzamelen van de
gegevens moet overeen komen met het doel van verstrekken) los te laten indien daartoe
een duidelijke noodzaak bestaat. Kan de regering toelichten hoe de procedure van toetsing
van een dergelijke noodzaak eruit zal zien en wie deze toetsing zal uitvoeren? Welke
criteria worden hierbij gehanteerd? Wat zijn de juridische gevolgen als zou blijken
dat de eis van doelbinding te snel is losgelaten?

De regering begrijpt de vragen van de leden van de VVD-fractie aldus dat deze betrekking
hebben op de toelaatbaarheid van verdere verwerking van persoonsgegevens voor een
ander doel dat niet op voorhand verenigbaar is met het doel waarvoor de persoonsgegevens
aanvankelijk zijn verzameld.

Het principe van doelbinding zoals vastgelegd in artikel 5, eerste lid, onderdeel
b, van de AVG is een van de belangrijkste principes in het persoonsgegevensbeschermingsrecht
en dient daarom ook voor samenwerkingsverbanden het uitgangspunt te blijven. Deelnemers
aan samenwerkingsverbanden wisselen die persoonsgegevens momenteel met elkaar uit
op grond van bestaande sectorspecifieke grondslagen die het mogelijk maken gegevens
waarover zij beschikken, bilateraal uit te wisselen met andere instanties voor zover
dat noodzakelijk is voor de uitoefening van de taken en bevoegdheden van die instanties.
Het is in beginsel wenselijk dat deelnemers van een samenwerkingsverband deze persoonsgegevens
aan het samenwerkingsverband – dus multilateraal – kunnen verstrekken als dat noodzakelijk
is – ook al is dit doel niet op voorhand verenigbaar met het oorspronkelijke doel
waarvoor de gegevens zijn verzameld. De AVG staat verdere verwerking van persoonsgegevens
toe voor een ander doel dat niet op voorhand verenigbaar is met het doel waarvoor
de persoonsgegevens aanvankelijk zijn verzameld, mits dat wettelijk is geregeld en
in het kader van een zwaarwegend algemeen belang is (artikel 6, vierde lid, aanhef
jo. artikel 23, eerste lid, van de AVG). Het wetsvoorstel beoogt zo’n grondslag te
bieden voor de vier samenwerkingsverbanden. In het wetsvoorstel wordt daarom voor
elk samenwerkingsverband bepaald met welk doel zij gezamenlijk gegevens mogen verwerken.

Ook de Richtlijn gegevensbescherming opsporing en vervolging (2016/680) staat verdere
verwerking van persoonsgegevens toe. De richtlijn heeft betrekking op de verwerking
van persoonsgegevens door een bevoegde autoriteit in de zin van de richtlijn (bijvoorbeeld
politie, de KMar en de officier van justitie) voor de doeleinden van de voorkoming,
opsporing en vervolging van strafbare feiten en de tenuitvoerlegging van straffen
(artikel 1, eerste lid, van de richtlijn). De richtlijn is in Nederland geïmplementeerd
in de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Artikel
9, eerste lid, van de richtlijn staat toe dat persoonsgegevens die voor de voornoemde
doeleinden worden verzameld, ook voor andere doeleinden worden verwerkt wanneer dat
is geregeld in het Unierecht of lidstatelijk recht.11 Op die verdere verwerking van persoonsgegevens voor andere doeleinden door partijen
die niet onder de reikwijdte van de richtlijn vallen, is de AVG van toepassing. De
WGS biedt een grondslag voor het verstrekken persoonsgegevens door OM en opsporingsdiensten
op basis van de voorgestelde wijzigingen van de Wpg en Wjsg. Persoonsgegevens die
onder de werking van de Wet politiegegevens en de Wet justitiële en strafvorderlijke
gegevens vallen en dus voor in die wetten vastgestelde doelen verwerkt worden, kunnen
op basis van de WGS door een deelnemer in een samenwerkingsverband worden ingebracht
voor verwerking voor een ander doel, namelijk het doel van het desbetreffende samenwerkingsverband.
De AVG is van toepassing op de verwerking van deze persoonsgegevens in het kader van
het samenwerkingsverband.

Bij het bepalen van de doelen waarmee de onderscheiden samenwerkingsverbanden gezamenlijk
gegevens mogen verwerken, is aangesloten bij de bestaande wettelijke taken en bevoegdheden
van de deelnemers en de doelen die zij daarbij nastreven. De deelnemers aan een samenwerkingsverband
mogen uitsluitend gezamenlijk gegevens verwerken met het oog op het doel van het samenwerkingsverband
voor zover dat noodzakelijk is voor de uitoefening van hun taken en bevoegdheden.
Het FEC verwerkt gegevens, voor zover dat noodzakelijk is voor de uitoefening van
publiekrechtelijke taken en bevoegdheden van de deelnemers, met het oog op risico’s
van inbreuken op de integriteit van het financiële stelsel, of onderdelen daarvan
(het voorgestelde artikel 2.2). ICOV verwerkt gegevens met het oog op het in kaart
brengen van onverklaarbaar of crimineel vermogen, het bestrijden van witwas- of fraudeconstructies,
het kunnen innen van overheidsvorderingen die oninbaar dreigen te worden en het uitoefenen
van toezicht op de goede werking van de markt, in opdracht van een of meer deelnemers,
voor zover dat noodzakelijk is voor de uitoefening van publiekrechtelijke taken en
bevoegdheden van de deelnemers (het voorgestelde artikel 2.10). De RIEC’s verwerken
gegevens, voor zover dat noodzakelijk is voor de uitoefening van de wettelijke taken
en bevoegdheden van de deelnemers op het terrein van strafrechtelijke, bestuursrechtelijke
en fiscaalrechtelijke handhaving in het belang van de bestrijding van georganiseerde
criminaliteit (het voorgestelde artikel 2.17). De Zorg- en Veiligheidshuizen verwerken
persoonsgegevens bij de behandeling van complexe casuïstiek in het belang van het
voorkomen, verminderen en bestrijden van criminaliteit, en ernstige overlast en het
voorkomen en verminderen van onveilige situaties voor personen of binnen een gebied
(het voorgestelde artikel 2.25).

Naar het oordeel van de regering beantwoorden de respectievelijke doelen van de voornoemde
samenwerkingsverbanden aan de zwaarwegende algemene belangen die artikel 23, eerste
lid, AVG beschermt, namelijk de waarborging van: c) de openbare veiligheid; d) de
voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de
tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming
van gevaren voor de openbare veiligheid; e) andere belangrijke doelstellingen van
algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch
of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire,
budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid; h) een
taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is
het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a),
tot en met e) en punt g) bedoelde gevallen. Op de doelen van de voornoemde samenwerkingsverbanden
wordt nader ingegaan in de memorie van toelichting.

De wetgever, en niet de deelnemers van de samenwerkingsverbanden zelf, bepaalt in
hoeverre verdere verwerking van persoonsgegevens is toegestaan voor niet-verenigbare
doelen door aan de hand van de voornoemde criteria van de AVG de reikwijdte te bepalen
van de lidstaatrechtelijke grondslag die daartoe strekt. De deelnemers van de samenwerkingsverbanden
dienen zich daar vervolgens aan te houden. De Autoriteit persoonsgegevens houdt toezicht
op de rechtmatigheid van de persoonsgegevensverwerking en is op grond van de AVG en
de Uitvoeringswet AVG bevoegd handhavend op te treden in situaties waarin sprake is
van onrechtmatige persoonsgegevensverwerking.

Vraag 50 (D66)

De leden van de D66-fractie hebben over de gegevensverwerking van samenwerkingsverbanden
verschillende vragen. Zij lezen dat ingevolgde artikel 1.5 van het wetsvoorstel elke
deelnemer aan een samenwerkingsverband verplicht wordt tot gegevensverstrekking aan
het samenwerkingsverband, voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband,
tenzij naar het oordeel van de deelnemer «zwaarwegende redenen» zich daartegen verzetten.
Kan de regering toelichten wat verstaan wordt onder deze «zwaarwegende redenen»?

De uitzonderingsclausule inzake zwaarwegende redenen is van belang voor het kunnen
leveren van maatwerk. De deelnemer die gegevens zou moeten verstrekken maakt zelf
de afweging of er zwaarwegende redenen zijn die zich daartegen verzetten. Bij zwaarwegende
redenen moet in het geval van de opsporingsdiensten in ieder geval worden gedacht
aan redenen die verband houden met opsporingsbelangen. Een voorbeeld van deze uitzondering
doet zich voor wanneer het OM besluit om geen gegevens te verstrekken omdat met verstrekking
het opsporingsbelang zou worden geschaad. Een andere zwaarwegende reden zou kunnen
zij dat het OM besluit om niet tot verstrekking over te gaan omdat het niet tot vervolging
overgaat wegens gebrek aan bewijs.

Vraag 51 (D66)

De aan het woord zijnde leden begrijpen het doel van bestrijden van criminaliteit,
maar hebben zorgen over het scheppen van deze wettelijke grondslag waarbij op grote
schaal systematisch gegevens worden verwerkt die niet voor dat doel verstrekt zijn,
en die kunnen resulteren in meldingen aan handhavingsorganisaties. Voornoemde leden
hebben ook vragen over het grotendeels loslaten van het principe van doelbinding,
waardoor het verwerken en analyseren van gegevens in een samenwerkingsverband mogelijk
wordt terwijl de deelnemers die gegevens voor een ander doel verzameld hebben. Dit
mag wanneer de gegevensanalyse dient ter verwezenlijking van het doel van het samenwerkingsverband.
Die doelen zijn echter zeer breed gesteld in hoofdstuk 2, en hoofdstuk 3 van de wet
laat de mogelijkheid open voor andere samenwerkingsverbanden met op dit moment nog
onbekende doeleinden.

In de memorie van toelichting lezen de leden van de D66-fractie dat het principe van
doelbinding het uitgangspunt blijft, maar dat daarnaast ruimte wordt geschapen om
deelnemers gegevens aan een samenwerkingsverband te laten verstrekken die deze in
eerste instantie voor een ander doel hebben verzameld: «Samenwerkingsverbanden stuiten
namelijk soms op het probleem dat een verstrekking van gegevens aan dat verband door
een van de deelnemers en de verwerking daarvan binnen het verband in onvoldoende mate
beantwoordt aan dit principe van doelbinding.» Voornoemde leden zien in feite dat
doelbinding grotendeels wordt losgelaten. Zij zijn hier kritisch over en halen aan
wat de Afdeling hierover schreef: «Als persoonsgegevens voor een bepaald doel worden
verzameld hoeft de burger er in beginsel niet op bedacht te zijn dat zijn gegevens
door een andere instantie dan waarmee hij contact heeft gehad, voor een heel ander
doel worden gebruikt (.) Uitzonderingen op het beginsel van doelbinding dienen strikt
te worden geïnterpreteerd.» Deze leden verzoeken de regering uitgebreid in te gaan
op deze afwijking van het doelbindingsprincipe en de noodzaak daartoe. Als zich volgens
de regering «soms» het probleem voordoet dat een deelnemer geen gegevens mag verstrekken
vanwege het principe van doelbinding, waarom zou dan standaard mogelijk gemaakt worden
dat van dit principe kan worden afgeweken? Wordt afwijking hiermee niet de norm? Waarom
is deze afwijking slechts minimaal begrensd? Hoe ziet de regering dit in combinatie
met de brede doelen die bijvoorbeeld gesteld worden voor de ZVH in artikel 2.25? Hoe
kan op basis van zeer ruime doelen een goede proportionaliteitsafweging worden gemaakt?
Graag ontvangen de aan het woord zijnde leden een reactie.

De leden van de D66-fractie verzoeken de regering uitgebreid in te gaan op de afwijking
van het doelbindingsprincipe en de noodzaak daartoe. Naar aanleiding van de kritiek
van de Afdeling advisering van de Raad van State over te ruime afwijking van het doelbindingsbeginsel,
heeft de regering bij gelegenheid van het nader rapport het wetsvoorstel meer in lijn
gebracht met het doelbindingsbeginsel, zoals de Afdeling advisering heeft geadviseerd.

In de eerste plaats heeft de regering de respectievelijke doelen waarmee de vier samenwerkingsverbanden
gezamenlijk gegevens mogen verwerken in het wetsvoorstel zelf opgenomen. De wetgever
stelt deze doelen dus zelf vast; de vaststelling van deze doelen zal niet worden gedelegeerd
aan de lagere regelgever en wordt ook niet overgelaten aan de samenwerkingsverbanden
zelf. De regering is het met de Afdeling advisering eens dat er geen onduidelijkheid
mag bestaan voor welke doelen de deelnemers gegevens aan een samenwerkingsverband
mogen verstrekken, deze gegevens vervolgens door of binnen het samenwerkingsverband
worden verwerkt en de resultaten daarvan aan deelnemers of derden mogen worden verstrekt.
Waar in het voorgestelde derde hoofdstuk is geregeld dat de gezamenlijke gegevensverwerking
voor andere of nieuwe samenwerkingsverbanden bij amvb kan worden geregeld, geldt dat
het parlement altijd betrokken zal worden in de vorm van een bijzondere nahangprocedure.
Indien een der Kamers de wens te kennen geeft dat het onderwerp van de algemene maatregel
bij wet moet worden geregeld, wordt een daartoe strekkend wetsvoorstel zo spoedig
mogelijk ingediend (het voorgestelde artikel 3.3).

In de tweede plaats is bij de vaststelling van de doelen waarmee de onderscheiden
samenwerkingsverbanden gezamenlijk gegevens mogen verwerken, aangesloten bij de doelen
die zij nu ook al nastreven bij de uitoefening van hun bestaande taken en bevoegdheden
in het kader van de integrale aanpak van criminaliteit. Het doel van het samenwerkingsverband
is dus de gemene deler met het oog waarop de afzonderlijke deelnemers hun taken en
bevoegdheden reeds mede uitoefenen. Bijvoorbeeld bij de RIEC’s geldt dat alle deelnemers
hun eigen taken en bevoegdheden mede uitoefenen ter bestrijding van georganiseerde
criminaliteit. Niet alleen de politie en het OM hebben daarbij een belangrijke rol,
maar ook de burgemeester in het kader van de handhaving van de openbare orde, de FIOD
op het terrein van belastingcriminaliteit en de KMar op het terrein van toezicht en
handhaving oefenen hun taken en bevoegdheden mede uit om georganiseerde criminaliteit
te bestrijden. Hoewel het doel van de RIEC’s van bestrijding van georganiseerde criminaliteit
een brede strekking heeft, vindt het doel zijn begrenzing in welke partijen mogen
deelnemen en voor de uitoefening van welke taken en bevoegdheden in de integrale aanpak
van georganiseerde en ondermijnende criminaliteit.

In de derde plaats is verdere verwerking van persoonsgegevens in afwijking van het
doel waarmee de deelnemers die persoonsgegevens oorspronkelijk hebben verzameld, op
grond van dit wetsvoorstel uitsluitend toegestaan voor zover dat noodzakelijk is voor
het doel van het samenwerkingsverband. Omdat het doel van het samenwerkingsverband
in wet- en regelgeving wordt vastgelegd, is het de wetgever zelf die bepaalt of en
in hoeverre verdere verwerking van persoonsgegevens in dit verband toelaatbaar is,
en niet het samenwerkingsverband. Wanneer bepaalde gegevens niet noodzakelijk zijn
voor het doel van het samenwerkingsverband (bijvoorbeeld de bestrijding van georganiseerde
criminaliteit) mogen die gegevens door een deelnemer niet worden verstrekt.

Zoals de Afdeling advisering van de Raad van State aangeeft, staat de AVG verdere
verwerking van persoonsgegevens toe voor een ander doel dat niet op voorhand verenigbaar
is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mits dat
wettelijk is geregeld en in het kader van een zwaarwegend algemeen belang is (artikel
6, vierde lid, aanhef jo. artikel 23, eerste lid, van de AVG). Ook de Richtlijn gegevensbescherming
opsporing en vervolging (2016/680) staat verdere verwerking van persoonsgegevens toe
wanneer dat is vastgelegd in lidstatelijk recht. Het wetsvoorstel beoogt zo’n grondslag
te bieden voor de vier samenwerkingsverbanden door de doelen van de samenwerkingsverbanden
te bepalen en te begrenzen. Volledigheidshalve verwijst de regering hier ook naar
de beantwoording van vraag 49.

In reactie op de vragen van de leden van de D66-fractie over de noodzaak tot afwijking
van het doelbindingsprincipe, kan de regering samenvattend antwoorden dat met vaststelling
van het doel waarmee samenwerkingsverbanden gezamenlijk gegevens mogen verwerken,
wordt voldaan aan de eis van de AVG dat er een wettelijke grondslag moet zijn voor
de verstrekking van persoonsgegevens aan een samenwerkingsverband, de verwerking van
persoonsgegevens in een samenwerkingsverband en de verstrekking van resultaten vanuit
een samenwerkingsverband.

Voor een effectieve integrale aanpak van de in dit wetsvoorstel betrokken vormen van
criminaliteit, is een goede informatiepositie cruciaal. De regering ziet zich daarin
gesteund door de Afdeling advisering. Door de gezamenlijke gegevensverwerking door
samenwerkingsverbanden van een wettelijke grondslag te voorzien, biedt de regering
niet alleen een oplossing voor de gevallen waarin een deelnemer nu gegevens die wel
essentieel zijn voor de integrale aanpak, niet mag verstrekken aan een samenwerkingsverband,
maar voor alle gevallen waarin het delen van informatie tussen deelnemers noodzakelijk
is met het oog op de bestrijding van verschillende vormen van criminaliteit. Zoals
hiervoor aangegeven, zijn de voorgestelde doelen waarmee samenwerkingsverbanden gezamenlijk
gegevens mogen verwerken, beperkt tot de uitoefening van de taken en bevoegdheden
van deelnemende partijen en de doelen die zij daarbij nu ook al mede nastreven. De
regering is van mening de doelen te begrenzen op een wijze die beantwoordt aan de
verplichting uit de artikelen 5, 6, eerste lid, onderdeel e, in samenhang bezien met
het derde en vierde lid, van de AVG. Hieruit volgt dat persoonsgegevens voor welbepaalde,
uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld en
(verder) mogen worden verwerkt en de verwerking van persoonsgegevens alleen rechtmatig
is indien de verwerking noodzakelijk is voor een taak van algemeen belang of van een
taak in het kader van de uitoefening van openbaar gezag dat aan de verwerkingsverantwoordelijke
is opgedragen en bij lidstatelijk recht moet zijn vastgelegd. De deelnemers van een
samenwerkingsverband zullen per geval moeten bepalen in hoeverre gegevensverstrekking
proportioneel is. Een duidelijke, helder begrensde wettelijke grondslag dient er mede
toe de deelnemers van een samenwerkingsverband in staat te stellen een goede proportionaliteitsafweging
te maken.

Vraag 52 (SP)

De leden van de SP-fractie constateren dat het delen van gegevens niet wordt bevorderd,
maar verplicht volgens artikel 1.5 voor zover dat noodzakelijk is voor het doel van
het samenwerkingsverband, tenzij naar het oordeel van de deelnemer zwaarwegende redenen
zich daartegen verzetten. Dat is verstrekkend. Kan in ieder geval verduidelijkt worden
wat onder «zwaarwegende redenen» wordt verstaan?

Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 50.

Vraag 53 (SP)

Hoe zit het verder in dit verband met de professionele ruimte van werkers in de (semi)publieke
sector? Hoe moet een reclasseringswerker in het ZVH nu beoordelen welke informatie
over een betrokken cliënt nu wel of niet verplicht gedeeld moet worden? Is dat eigenlijk
wel wenselijk? Verdwijnt hiermee niet het maatwerk? Het ZVH wijst er nadrukkelijk
op dat casusbehandeling maatwerk is, en moet blijven. Graag ontvangen deze leden een
uitgebreide reactie hierop.

Zoals hiervoor aangegeven is gekozen voor een verstrekkingsplicht en niet voor een
verstrekkingsbevoegdheid, omdat de regering wil benadrukken dat deelname aan een samenwerkingsverband
niet vrijblijvend kan zijn. Indien deelnemers er structureel voor kiezen geen gegevens
te verstrekken, kan immers moeilijk worden volgehouden dat de gezamenlijke gegevensverwerking
door samenwerkingsverbanden behoorlijk functioneert en nuttig en noodzakelijk is.
De verstrekkingsplicht is niet absoluut. Hoewel de categorieën te verstrekken gegevens
in het wetsvoorstel zijn opgesomd, heeft iedere deelnemer beoordelingsruimte bij de
vraag of in concrete gevallen gegevensverstrekking aan het samenwerkingsverband noodzakelijk
is voor het doel van dat samenwerkingsverband. De deelnemer kan, ook al is de verstrekking
van gegevens op zich noodzakelijk voor het doel van het samenwerkingsverband, besluiten
om daar wegens zwaarwegende redenen van af te zien (het voorgestelde artikel 1.5,
eerste lid).

Ook het maatwerk is gewaarborgd. Het wetsvoorstel bepaalt dat de Zorg- en Veiligheidshuizen
bij de behandeling van complexe casuïstiek uitsluitend gegevens verwerken ten aanzien
van een betrokkene voor zover dat noodzakelijk is voor het doel van de Zorg- en Veiligheidshuizen.
De WGS biedt de deelnemers handvatten om te beoordelen welke categorieën gegevens
aan het samenwerkingsverband moeten worden verstrekt. De voorgestelde artikelen 2.26,
2.31 en 2.32 geven de kaders voor de activiteiten van de ZVH waarvoor de gegevens
worden gebruikt, namelijk het casusoverleg en opname van een casus op een lijst met
geprioriteerde casussen. Op grond van artikel 2.29, derde lid, kan de reclassering
voorwaarden en beperkingen stellen aan het verstrekken van de resultaten aan deelnemers
of derden. De WGS biedt de reclasseringsmedewerker duidelijkheid over wat er met de
verstrekte gegevens gebeurt zodat hij een goede beoordeling kan maken of de verstrekking
van gegevens noodzakelijk en proportioneel is.

Vraag 54 (SP)

De aan het woord zijnde leden constateren dat het principe van doelbinding wordt opgerekt,
of misschien zelfs wordt losgelaten. Kan dit uitgebreid worden toegelicht, aan de
hand ook van voorbeelden?

Om herhaling te voorkomen, verwijst de regering de leden van de SP-fractie naar de
beantwoording van de vragen van de leden van de VVD-fractie en de leden van de D66-fractie
over het doelbindingsprincipe, het advies van de Afdeling advisering van de Raad van
State daarover en de wijze waarop de regering het wetsvoorstel daarmee in overeenstemming
heeft gebracht (vragen 49 en 51).

Vraag 55 (PvdD)

De leden van de Partij voor de Dieren-fractie moeten aangaande de omgang met (persoons)gegevens
als gevolg van deze wet constateren dat het de regering aan respect voor het grondrecht
op privacy ontbeert. De basisbeginselen op het gebied van privacy zijn óf onbekend
óf bewust geschoffeerd. Beide zijn zeer ernstig. Ter illustratie zullen deze leden
hier onder enkele basisbeginselen van privacy behandelen.

Eén daarvan is dat men ter bescherming van de persoonlijke levenssfeer idealiter zo
min mogelijk data verzamelt. Hoe minder data een bepaalde organisatie bezit en hoe
minder wijdverspreid deze data zijn hoe kleiner de kans dat er iets mee misgaat. Met
deze wet, waarmee in de toekomst werkelijk elke organisatie elke dataset mag (of zelfs
moet) delen, gaat de regering daar lijnrecht tegenin. In voorliggend wetsvoorstel
wordt juist gestreefd naar het zo veel mogelijk delen van data.

Een tweede basisbeginsel is dat men moet laten weten wat er met de data gebeurt. Bekend
moet zijn dat een organisatie data verzamelt, welke data dat is en met wie men dat
deelt. Zodra gegevens verzameld zijn kunnen organisaties met het voorliggende wetsvoorstel
echter, zonder medeweten van de burgers, overgaan tot het delen van informatie met
onbekende derden. Een enorme schending.

Een derde beginsel is dat voor het gebruik van gegevens toestemming gegeven moet worden.
Dit betekent niet dat mensen slechts gevraagd moet worden of ze een nieuwsbrief wel
of niet willen ontvangen. Dit betekent ook dat men de keuze voorgelegd zou moeten
krijgen of de data gedeeld
mogen worden ten behoeve van het doel van het samenwerkingsverband. Ook dit gebeurt
niet.

Een vierde beginsel is dat het doel waartoe data verzameld wordt duidelijk en begrensd
moet zijn. Het simpelweg verzamelen van data om daar later een doel voor te verzinnen,
of zelfs het bewust verzamelen van data onder de noemer van het ene doel om het later
voor een andere doel te gebruiken is geen beleid dat de privacy beschermt en respecteert.
Het is echter wel een gang van zaken die door het wetsvoorstel gefaciliteerd wordt.

In haar advies benoemt de Afdeling veel van deze punten ook, constateren de aan het
woord zijnde leden. Zij stelt bijvoorbeeld over het laatste punt, het doelbindingsbeginsel,
dat het voorliggende wetsvoorstel een vrijwel onbegrensde ruimte laat voor afwijking
van het doelbindingsbeginsel en dat daarmee het risico bestaat dat in de uitwerking
ervan afwijking van dit beginsel tot hoofdregel verheven wordt. De Afdeling concludeert
dat met dit wetsvoorstel het doelbindingsbeginsel zijn waarborgfunctie verliest.

De leden van de Partij voor de Dieren-fractie delen deze grote zorgen van de Afdeling.
Zij zijn ook van mening dat de reactie van de regering op dit punt absoluut tekortschiet.
De regering stelt dat in sommige gevallen de doelen overeen zullen komen. Voornoemde
leden zijn van mening dat dit slechts geredeneerd is vanuit de belangen van de deelnemende
organisaties die de gegevens verzamelen en zeker niet vanuit de gedachte dat de privacy
van burgers grondwettelijk door de overheid beschermd moet worden. De belangen van
de burgers wiens gegevens verzameld worden zijn ook dermate divers dat onmogelijk
generiek gesteld kan worden dat het verbreden van het gebruik van die data in het
belang van de burger is. Kan de regering ook aangeven wat zij gedaan heeft met de
kritiek van Amnesty International op dit punt? Zij stellen onder andere, en deze leden
delen die stelling, dat het doelbeginsel en het proportionaliteitsbeginsel in dit
soort wetgeving onlosmakelijk met elkaar verbonden zijn en dat de doelspecificatie
dient als maatstaf voor de proportionaliteitsafweging. De consequenties die daaruit
volgen (namelijk dataminimalisatie en opslagbeperkingen) zijn onvoldoende terug te
vinden in het voorliggende wetsvoorstel. Graag ontvangen de aan het woord zijnde leden
een reactie.

In navolging van de kritiek van onder andere Amnesty International dat de doelen van
samenwerkingsverbanden onder het oorspronkelijke wetsvoorstel veel te ruim waren,
heeft de regering het wetsvoorstel aangepast en meer in lijn gebracht met het doelbindingsbeginsel.
De doelen van de vier samenwerkingsverbanden zijn in het aangepaste wetsvoorstel opgenomen.
Het proportionaliteitsbeginsel is in het wetsvoorstel geborgd doordat voor elk samenwerkingsverband
in het doel is bepaald dat de gezamenlijke gegevensverwerking uitsluitend is toegestaan
voor zover dat noodzakelijk is voor de uitoefening van de bestaande wettelijke taken en bevoegdheden in het belang
van de bestrijding van de specifieke vorm van criminaliteit die de focus is van het
desbetreffende samenwerkingsverband. Dat betekent dat aan drie voorwaarden moet zijn
voldaan: 1) de verstrekking en verwerking moeten noodzakelijk zijn, 2) voor de uitoefening
van bestaande wettelijke taken en bevoegdheden van de deelnemers en 3) de verstrekking
en verwerkingen moeten het zwaarwegend algemeen belang van het samenwerkingsverband
dienen, bijvoorbeeld de bestrijding van georganiseerde criminaliteit in het geval
van de RIEC’s. De doelen van de vier samenwerkingsverbanden beantwoorden daarmee aan
de eisen die de artikelen 5, 6, eerste, derde en vierde lid, van de AVG stellen aan
wettelijke grondslagen voor de (verdere) verwerking van persoonsgegevens.

Het beginsel van minimale gegevensverwerking en het beginsel van opslagbeperking liggen
besloten in de noodzakelijkheidseis die voor elk samenwerkingsverband gaat gelden.
Volgens het beginsel van minimale gegevensverwerking moeten persoonsgegevens toereikend
zijn, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doelen waarvoor
zij worden verwerkt (artikel 5, eerste lid, onderdeel d, van de AVG). Door het vastleggen
van het doel, stelt de regering juist veilig dat er niet meer gegevens mogen worden
verwerkt dan noodzakelijk is voor dat doel. Naast de rechtstreeks werkende eisen van
de AVG ter zake van rechtmatige persoonsgegevensverwerking waaraan deelnemers zich
moeten houden, bevat de WGS waarborgen die er mede toe dienen de opslag van gegevens
te beperken. Zo bevat het voorgestelde artikel 1.8 termijnen voor de verwerking van
gegevens en de verplichting persoonsgegevens na afloop van die termijn te vernietigen
of te anonimiseren (zevende lid). Daarnaast bevat het voorgestelde artikel 1.9 regels
inzake pseudonimisering in het geval van geautomatiseerde analyse.

Deze leden noemen voorts als basisbeginsel van het recht op privacy dat persoonsgegevens
slechts verwerkt mogen worden als betrokkene daarvoor toestemming heeft gegeven. Dat
is niet juist. Toestemming is een van de grondslagen voor gegevensverwerking, maar
artikel 6, eerste lid, van de AVG noemt er nog vijf, waarvoor toestemming geen vereiste
is.

Vraag 56 (PvdD)

Voornoemde leden vragen op welke wijze het wetsvoorstel rekening houdt met de motie-Elissen
(Kamerstuk 32 761, nr. 38) die de regering verzocht verwerking van persoonsgegevens voor andere doelen dan
het doel waarvoor de gegevens oorspronkelijk zijn verzameld uitsluitend mogelijk te
maken in geval van verenigbaarheid én op basis van een wettelijke grondslag. Hoe is
dat te rijmen met de huidige inzet van de regering waarmee die verenigbaarheidseis
wordt losgelaten?

De motie-Elissen c.s. waarnaar de leden van de Partij voor de Dieren-fractie verwijzen,
verzocht de regering er zorg voor te dragen dat de op dat moment in voorbereiding
zijnde AVG zou gaan voorzien in een bepaling die verwerking van persoonsgegevens voor
andere doelen dan het doel waarvoor de gegevens oorspronkelijk zijn verzameld, uitsluitend
mogelijk maakt in geval van verenigbaarheid en op basis van een wettelijke grondslag.
De AVG biedt de lidstaten op grond van artikel 6, vierde lid, jo. artikel 23, eerste
lid de bevoegdheid om een wettelijke grondslag in het leven te roepen die verdere
verwerking van persoonsgegevens mogelijk maakt voor andere doelen dan die waarvoor
de gegevens oorspronkelijk zijn verzameld indien dat noodzakelijk is voor een zwaarwegend
algemeen belang. De regering maakt in de WGS gebruik van deze bevoegdheid en geeft
daarbij tevens uitvoering aan de overige eisen die de AVG aan een dergelijke wettelijke
grondslag stelt. Artikel 6, vierde lid, van de AVG kent geen cumulatieve eis dat verwerking
van persoonsgegevens voor andere doelen dan het doel waarvoor de gegevens oorspronkelijk
zijn verzameld, uitsluitend mag in geval van verenigbaarheid én op basis van een wettelijke
grondslag. Artikel 6, vierde lid, van de AVG laat ook ruimte voor verdere verwerkingen
waarvan het doel niet verenigbaar is met het doel waarvoor de gegevens oorspronkelijk
zijn verzameld, mits daarvoor maar een lidstatelijke wettelijke grondslag is getroffen.
Wel moet daar terughoudend mee worden omgegaan.12

Vraag 57 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen de regering of zij niet een belangrijk
onderdeel van de tekst van het AVG artikel 6 negeert? In het artikel staat namelijk
beschreven wanneer een verwerking rechtmatig is. Dat is het geval wanneer toestemming
voor de verwerking gegeven wordt óf wanneer de verwerking noodzakelijk is voor een
aantal in het artikel genoemde doelen. Deelt de regering de mening dat het woord «noodzakelijk»
betekent dat de verwerking onmisbaar zou moeten zijn voor het bereiken van het doel
en anders onrechtmatig is? Dus wanneer een doel ook bereikt zou kunnen worden zonder
de gegevensverwerking is de verwerking (indien zonder toestemming uitgevoerd) niet
noodzakelijk en daarmee niet rechtmatig. Op welke wijze heeft de regering gewaarborgd
dat onderzocht wordt of doelen ook bereikt kunnen worden zonder gegevensverwerking?

Artikel 6 van de AVG vormt de basis van dit wetsvoorstel. Door het doel vast te stellen
waarvoor deelnemers van samenwerkingsverbanden gezamenlijk gegevens kunnen verwerken,
wordt uitvoering gegeven aan de eis uit artikel 6 dat voor overheidsinstanties een
wettelijke grondslag is vereist om persoonsgegevens te verzamelen en te verwerken.

Artikel 6, eerste lid, onderdeel e, van de AVG bepaalt dat de verwerking van persoonsgegevens
alleen rechtmatig is indien de verwerking noodzakelijk is voor de vervulling van een
taak van algemeen belang of van een taak in het kader van de uitoefening van openbaar
gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Artikel 6, derde lid,
onderdeel b, van de AVG bepaalt dat de rechtsgrond moet worden vastgesteld bij lidstatelijk
recht dat op de verwerkingsverantwoordelijke van toepassing is. Artikel 6, vierde
lid, bepaalt dat verdere verwerking van persoonsgegevens is toegestaan voor een ander
doel dat niet op voorhand verenigbaar is met het doel waarvoor de persoonsgegevens
aanvankelijk zijn verzameld, mits dat wettelijk is geregeld en in het kader van een
zwaarwegend algemeen belang is (artikel 6, vierde lid, aanhef jo. artikel 23, eerste
lid, van de AVG).

Door de doelen wettelijk vast te leggen, wordt voldaan aan de eisen van artikel 6
van de AVG voor een rechtmatige verstrekking van persoonsgegevens door deelnemers
aan de samenwerkingsverbanden, voor een rechtmatige verwerking door of binnen samenwerkingsverbanden
en voor een rechtmatige verstrekking van de resultaten van de gezamenlijke gegevensverwerking
vanuit de samenwerkingsverbanden aan deelnemers en derden voor zover dat noodzakelijk
is voor de uitoefening van hun taken en bevoegdheden in het belang van criminaliteitsbestrijding.

De gezamenlijke verwerking van persoonsgegevens in het kader van het samenwerkingsverband
is noodzakelijk wanneer dat voor deelnemers van een samenwerkingsverband nodig is
om een goede informatiepositie te krijgen zodat zij hun taken en bevoegdheden op het
terrein van het voorkomen en bestrijden van criminaliteit effectief kunnen uitoefenen.
Gelet op het feit dat een adequate informatiepositie inherent is aan de uitoefening
van de wettelijke taken en bevoegdheden van deelnemers, en de doelen waarmee samenwerkingsverbanden
gezamenlijk gegevens mogen verwerken zijn gekoppeld aan die wettelijke taken en bevoegdheden,
valt niet in te zien hoe overheidsinstanties hun taken en bevoegdheden zouden moeten
uitoefenen zonder alle daarvoor relevante informatie. Rechtmatig overheidsingrijpen
moet immers gebaseerd zijn op toereikende en ter zake dienende informatie. Dat neemt
niet weg dat samenwerkingsverbanden op een proportionele manier met gegevens van burgers
moeten omgaan. In geen geval mogen er meer of andere gegevens worden verwerkt dan
de gegevens die noodzakelijk zijn voor de vervulling van de taak van zwaarwegend algemeen
belang van het samenwerkingsverband. De regering is zich ervan bewust dat met de WGS
vergaande mogelijkheden worden verleend. Daarom heeft de regering tal van waarborgen
in het wetsvoorstel opgenomen ter bescherming van de privacy van burgers. De Autoriteit
persoonsgegevens houdt toezicht op de rechtmatigheid van persoonsgegevensverwerking
en kan optreden in het geval dat de deelnemers van samenwerkingsverbanden zich niet
aan de regels uit de AVG en dit wetsvoorstel houden.

Vraag 58 (PvdD)

Voornoemde leden vragen of de regering kan aangeven waarom ervoor gekozen wordt in
het voorliggende wetsvoorstel een verstrekkingsplicht op te nemen in plaats van een
verstrekkingsbevoegdheid. Waarom kiest de regering ervoor het delen van informatie
te laten gebeuren op basis van een «ja-tenzij» principe? In hoeverre past dat bij
de privacy principes die eerder genoemd zijn? Deze leden lezen dat wanneer organisaties
zoals de politie en de Koninklijke Marechaussee deelnemen aan een samenwerkingsverband
zij gegevens moeten verstrekken en daar alleen onderuit kunnen als zij zwaarwegende
redenen zien zich daartegen te verzetten. Deelt de regering de conclusie dat het onwenselijk
is dat gegevens vanzelfsprekend gedeeld gaan worden en alleen met zwaarwegende redenen
tegen gehouden kan worden? Wat verstaat de regering onder zwaarwegende redenen? Wie
beoordeelt dat?

De regering deelt de conclusie dat het onwenselijk is indien gegevensverstrekking
– bijvoorbeeld door de politie en Koninklijke Marechaussee – alleen met zwaarwegende
redenen tegengehouden zou kunnen worden. Zo is het wetsvoorstel daarom niet vormgegeven:
de verstrekkingsplicht is geclausuleerd. In de eerste plaats geldt de verstrekkingsplicht
slechts voor zover de verstrekking noodzakelijk is voor het doel van het samenwerkingsverband.
In de tweede plaats voorziet het wetsvoorstel in aanvullende voorwaarden aan en uitzonderingen
op de gegevensverstrekking. Op de verplichting om gegevens te verstrekken kunnen op
grond van artikel 1.8, eerste lid, bij amvb voorwaarden en beperkingen worden gesteld
(zie hierover het antwoord op vraag 29).

Als voldaan is aan de voorwaarden voor de verstrekkingsplicht, dan geldt een uitzondering
op de verstrekkingsplicht indien zwaarwegende redenen zich tegen de gegevensverstrekking
verzetten. Bovendien geldt een uitzondering indien een specifieke geheimhoudingsbepaling
van toepassing is die het niet toelaat dat de WGS daarop een uitzondering maakt.

Geconcludeerd kan dus worden dat gegevensverstrekking in het wetsvoorstel niet alleen
met een beroep op zwaarwegende redenen kan worden tegengehouden.

Voor het antwoord op de vragen over zwaarwegende redenen wordt verwezen naar het antwoord
op vraag 50.

Vraag 59 (PvdD)

Wat gebeurt er volgens de regering als een organisatie die niet langer deel wenst
te nemen aan een bepaald samenwerkingsverband daartoe toch verplicht blijft? Acht
de regering zo’n situatie denkbaar? Acht zij die wenselijk? Zo nee, op welke wijze
wordt dit voorkomen?

Het ongedaan maken van een aanwijzing als deelnemer verloopt op grond van artikel
1.3, zesde lid, niet noodzakelijk via dezelfde procedure als waarmee de aanwijzing
heeft plaatsgevonden. Indien deelname niet meer noodzakelijk is voor het doel van
het samenwerkingsverband, is het wenselijk dat deelname van een in hoofdstuk 2 genoemde
deelnemer, op korte termijn bij amvb kan worden beëindigd. Met artikel 1.3, zesde
lid, wordt voorkomen dat een organisatie waarvan deelname niet langer noodzakelijk
is, toch nog relatief lange tijd als deelnemer is aangewezen. Dit is van belang, omdat
veel deelnemers in het wetsvoorstel zelf worden aangewezen als deelnemer, en dus niet
op het niveau van amvb.

Vraag 60 (PvdD)

De leden van de fractie van de Partij voor de Dieren vragen de regering verder op
welke wijze rekening is gehouden met het onomkeerbare karakter van informatie delen.
Zodra gegevens eenmaal gedeeld zijn kunnen deze niet meer «teruggehaald» worden. Op
welke manier zorgt de regering ervoor dat wanneer een samenwerking of een samenwerkingsverband
niet langer wenselijk is of zelfs als gevaarlijk gezien wordt de data teruggehaald
kunnen worden? Deelt de regering de zorgen dat wanneer gegevens eenmaal gedeeld zijn
dit onomkeerbaar is en dat feit grote risico’s met zich meebrengt? Deelt de regering
verder de mening dat er voor elke partij verschillende belangen bij gegevensuitwisseling
zijn? Ter illustratie: bij het delen van informatie over de mobiliteit van alle Nederlandse
burgers kan wellicht gesteld worden dat de politie en de bank elkaar kunnen helpen
om te bepalen wat voor routes criminelen vaak gebruiken. Het kan de bank echter ook
informatie opleveren over waar hun billboards meer bereik hebben, waar ze hun filialen
beter zouden kunnen neerzetten, etc. Deelt de regering de mening dat de denkbare toepassingen
haast oneindig zijn en ook over de tijd nog kunnen veranderen? Zo ja, welke conclusies
verbindt de regering daaraan? De aan het woord zijnde leden maken zich grote zorgen
over het feit dat op dit moment niet te bezien valt welke toepassingen er in de toekomst
mogelijk zijn. Deelt de regering ook de mening dat ook wanneer organisaties informatie
slechts kortstondig bezitten ze de nuttige informatie daar snel uit gedestilleerd
kunnen hebben? Op welke manier houdt het wetsvoorstel hier rekening mee?

Mede om de genoemde risico’s te beperken, is het van belang om de gegevensverwerking
in samenwerkingsverbanden in goede banen te leiden met wetgeving. Dat doet het wetsvoorstel,
door bijna twintig waarborgen te regelen, zoals toegelicht in paragraaf 3.4 van de
memorie van toelichting. Daarnaast is voorzien in voorwaarden en beperkingen. Een
belangrijke randvoorwaarde is bijvoorbeeld dat de resultaten van de gegevensverwerking
door het samenwerkingsverband uitsluitend mogen worden gebruikt voor doeleinden die
verenigbaar zijn met het doel van het samenwerkingsverband (artikel 1.7). Hoewel de
denkbare toepassingen van gegevensverwerking inderdaad oneindig zijn, zijn de toegestane toepassingen van de gegevensverwerking bepaald niet oneindig. Commerciële doeleinden
– zoals in het voorbeeld van de PvdD-fractieleden genoemd – zijn onverenigbaar met de doeleinden van de samenwerkingsverbanden
die worden aangewezen bij of krachtens dit wetsvoorstel. De Autoriteit persoonsgegevens
ziet erop toe dat de deelnemers zich aan deze voorwaarden houden.

3.3.2 Verwerking van gegevens binnen een samenwerkingsverband

Vraag 61 (SP)

De leden van de SP-fractie constateren dat openbare gegevens (social media) een bron
vormen die veel informatie en aanwijzingen oplevert. Mag deze informatie gedeeld en
verwerkt worden? Of moeten deze ook in de lijst van de te verwerken gegevens opgenomen
worden?

Het wetsvoorstel voorziet hier niet in, omdat op dit punt geen knelpunten zijn gerezen
ten aanzien van samenwerkingsverbanden. De Awb, noch bijzondere bestuursrechtelijke
wetten, bevatten een expliciete grondslag voor het doen van openbronnenonderzoek.

Gegevens die op internet voor een ieder toegankelijk zijn, mogen in beginsel door
bestuursorganen worden verzameld, als onderdeel van hun onderzoeksplicht bij de voorbereiding
van besluiten (artikel 3:2 Awb), als onderdeel van de toezichtsbevoegdheden van artikel
5:16 en 5:17 Awb, of een algemene grondslag in wetgeving, waarin staat dat voor de
taakuitoefening informatie mag worden verzameld en verwerkt. Openbronnenonderzoek
is echter niet vrij en onbeperkt. De aard en intensiteit van het openbronnenonderzoek
bepalen de eisen die worden gesteld aan de wettelijke grondslag van deze onderzoeksbevoegdheid.
Hoe groter de privacy-inmenging die plaatsvindt, hoe meer waarborgen nodig zijn. Deze
factoren betreffen 1. de omvang en het type van de (over te nemen) gegevens, 2. de
aard van de bron, 3. de wijze van zoeken en 4. het gebruik van de gegevens en de mogelijke
impact op de persoon.13 Zodra het bewaren van de gegevens wordt aangemerkt als een privacy-inmenging, zijn
alle vervolghandelingen, zoals het combineren met andere gegevens, dat automatisch
ook.

Wanneer deelnemers op rechtmatige wijze beschikken over gegevens uit openbronnenonderzoek,
dan zijn zij in beginsel verplicht deze gegevens te verstrekken aan het samenwerkingsverband
als dat nodig is voor het doel van het samenwerkingsverband, mits de gegevens zijn
terug te voeren tot bij of krachtens dit wetsvoorstel aangewezen categorieën van gegevens.
Het wetsvoorstel regelt geen bevoegdheid voor samenwerkingsverbanden om zelf (al dan
niet openbare) gegevens te vergaren. Het onderhavige wetsvoorstel gaat uitsluitend
over het gezamenlijk verwerken van gegevens waarover deelnemers van een samenwerkingsverband
reeds beschikken. Het wetsvoorstel gaat dus wel over verdere verwerking van gegevens,
maar niet over initiële gegevensverzameling. De initiële gegevensverzameling door
een deelnemer wordt beheerst door de specifieke sectorwet die op die deelnemer van
toepassing is.

Vraag 62 (SP)

In de regio Brabant-Zeeland wordt gewerkt met een zogenaamd Joint Datalab ondermijning.
In dit datalab kunnen de netwerkpartners beveiligd informatie delen en inzien. Kan
voor de aan het woord zijnde leden worden verduidelijkt waarom dit nu op dit moment
al kan, en waarom het wetsvoorstel op dit vlak dan nog een meerwaarde zou hebben?

Het Joint Datalab bevindt zich op dit moment in een ontwikkelfase, waarbij in een
testomgeving de mogelijkheden van specifieke vormen van dataverzameling worden verkend.
Parallel hieraan wordt het systeem zodanig ingericht dat de gegevensverstrekkingen
vanuit de onderscheiden partijen passen binnen het huidige RIEC-convenant en de kaders
zoals in het voorliggende wetsvoorstel zijn voorzien.

Vraag 63 (ChristenUnie)

De leden van de ChristenUnie-fractie constateren dat bij de VNG onduidelijkheid bestaat
over de verwerking van openbare gegevens, bijvoorbeeld van openbare profielen op sociale
media. Kan worden toegelicht of verwerking van deze gegevens ook onder de reikwijdte
van het voorstel valt? Wat betekent dit voor samenwerkingsverbanden die niet nu bij
naam zijn genoemd?

Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 61.

Vraag 64 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen of de regering ook rekening heeft
gehouden met het risico dat organisaties in samenwerkingsverbanden straks een stimulans
hebben om ten behoeve van andere organisaties waarmee zij samenwerken informatie te
gaan verzamelen. Zo ja, hoe heeft zij dit risico ondervangen? Zo nee, waarom niet?
Kan de regering zich voorstellen dat wanneer organisaties intensief samenwerken dit
kan leiden tot een zeker mate van amicaliteit en wederzijdse welwillendheid tot het
uitwisselen van gegevens die, gegeven de wettelijke rollen van de organisaties, niet
gerechtvaardigd zou zijn? Kan de regering zich voorstellen dat organisaties elkaar
met het voorliggende wetsvoorstel gegevens gaan toespelen die voor hen beide profijtelijk
zijn maar geen zwaarwegend algemeen belang dienen? Op welke manier wordt dit voorkomen?

De deelnemende partijen worden op grond van dit wetsvoorstel gerechtigd uitsluitend
informatie die zij bij de uitoefening van hun eigen taken en bevoegdheden hebben vergaard,
onder voorwaarden te delen met andere deelnemers. Het is niet toegestaan dat deelnemers
informatie die zij zelf niet nodig hebben bij de uitoefening van hun eigen taken en
bevoegdheden, gaan verzamelen ten behoeve van de verstrekking aan andere deelnemers.
Die deelnemers zouden daarbij buiten hun eigen taken en bevoegdheden treden en daarmee
ook de AVG schenden. De deelnemers blijven immers onverkort verwerkingsverantwoordelijke
voor een rechtmatige verwerking van persoonsgegevens binnen de uitoefening van hun
eigen taken en bevoegdheden. De regering gaat uit van de professionaliteit van deelnemende
partijen. Voorts houdt de Autoriteit persoonsgegevens toezicht op de rechtmatige verwerking
van persoonsgegevens en is bevoegd op te treden tegen onregelmatigheden. Dit wetsvoorstel
voorziet uitsluitend in mogelijkheden voor informatie-uitwisseling voor zover daarmee
een zwaarwegend algemeen belang wordt gediend. Zoals eerder aangegeven voorziet dit
wetsvoorstel in mogelijkheden voor gezamenlijke gegevensverwerking, maar ook in waarborgen
ter bescherming van de privacy van burgers. Zo dient het samenwerkingsverband ingevolge
het voorgestelde artikel 1.10 periodieke privacy audits te verrichten waarbij de uitvoering
van de regels van dit wetsvoorstel en de AVG worden gecontroleerd. Een afschrift van
de controle-resultaten moet aan de Autoriteit persoonsgegevens worden gezonden. Indien
uit de controle-resultaten blijkt dat niet wordt voldaan aan het bij of krachtens
dit wetsvoorstel bepaalde, dient het samenwerkingsverband maatregelen te nemen en
binnen een jaar een hercontrole uit te voeren. Ook die hercontrole-resultaten moeten
aan de Autoriteit persoonsgegevens worden gezonden. In het geval van onregelmatigheden
is de Autoriteit persoonsgegevens bevoegd om op te treden. Daarnaast dienen de samenwerkingsverbanden
een jaarverslag op te stellen en dit verslag op internet te plaatsen (het voorgestelde
artikel 1.12). Daarmee wordt de transparantie van de werkwijze en methodes van samenwerkingsverbanden
gediend.

3.3.3 Verwerking van gegevens met private partijen

Vraag 65 (VVD)

De leden van de VVD-fractie hebben vernomen dat het wetsvoorstel ruimte biedt voor
het delen van informatie binnen publiek-private samenwerkingsverbanden. Zij vragen
in hoeverre het wetsvoorstel ruimte biedt voor het delen van informatie tussen private
partijen? Ook vragen deze leden in hoeverre het wetsvoorstel voorziet in cross-sectorale
informatiedeling, waar ook grote behoefte aan is in het kader van criminaliteitsbestrijding?

Vanwege de publieke belangen die worden nagestreefd met de samenwerkingsverbanden
in de zin van dit wetsvoorstel, volgt uit artikel 1.3, derde lid, dat het samenwerkingsverband
niet zal kunnen bestaan uit uitsluitend private partijen, maar er altijd tevens publieke
partijen deel van uitmaken. Wat zodoende onder de voorgestelde wet zou kunnen, is
publiek-private samenwerking binnen het FEC of binnen de Zorg- en Veiligheidshuizen,
of – via een toekomstige amvb – een samenwerkingsverband tussen politie, OM en bedrijven
ter bestrijding van ernstige vormen van criminaliteit. Dit zijn vormen van cross-sectorale
informatiedeling tussen publieke en private partijen.

Voor wat betreft cross-sectorale informatiedeling tussen uitsluitend private partijen
verwijs ik naar de brief aan uw Kamer met de beleidsreactie onderzoek «Cross-sectorale
gegevensdeling tussen private partijen voor fraudebestrijding» en het gelijknamige
rapport.14 Zoals in die beleidsreactie is toegelicht, is cross-sectorale gegevensdeling tussen
private partijen reeds mogelijk, namelijk met een vergunning van de Autoriteit persoonsgegevens.
De Autoriteit persoonsgegevens kan een dergelijke vergunning verlenen, indien de verwerking
noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering
is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van betrokkenen
niet onevenredig wordt geschaad (artikel 33, vijfde lid, Uitvoeringswet AVG).

Vraag 66 (VVD)

Banken kennen interne zwarte lijsten. In het kader van een betere en efficiëntere
aanpak om criminelen bij banken te kunnen weren en witwassen beter aan te pakken,
vragen voornoemde leden in hoeverre dit wetsvoorstel de wettelijke grondslag schept
voor het onderling uitwisselen van deze lijsten? Op welke schaal wisselen banken op
dit moment gegevens uit via externe zwarte lijsten van financiële instellingen? Hoe
beoogt dit wetsvoorstel te borgen dat financiële instellingen zorgvuldig met gegevens
van mensen omgaan?

Het onderhavige wetsvoorstel ziet uitsluitend op gegevensuitwisseling binnen samenwerkingsverbanden
waaraan ook overheidsinstanties deelnemen. Binnen het FEC is ook deelname van banken
aan sommige verwerkingen binnen het FEC mogelijk, indien zij als deelnemer worden
aangewezen bij amvb. Dat kan alleen gebeuren voor zover dit noodzakelijk is voor het
doel van het samenwerkingsverband en indien tevens overheidsinstanties of overheidsorganen
deelnemen. Dit wetsvoorstel biedt derhalve geen wettelijke grondslag voor het delen
van informatie louter tussen banken.

Uitwisseling van strafrechtelijke gegevens tussen banken is nu al op basis van een
door de Autoriteit persoonsgegevens te verlenen vergunning mogelijk.15 Daarbij geldt wel dat deze uitwisseling noodzakelijk moet zijn met het oog op een
zwaarwegend belang van bepaalde private partijen en dat moet zijn voorzien in voldoende
waarborgen zodat personen niet ten onrechte op bijvoorbeeld een zwarte lijst komen
te staan. In het licht van de eisen van noodzakelijkheid, subsidiariteit en proportionaliteit
moet de vergunningaanvraag goed zijn onderbouwd en dienen de waarborgen steviger te
zijn naarmate de reikwijdte van de lijst en de impact van plaatsing daarop groter
zijn. In het kader van fraude hebben de banken samen met andere instellingen reeds
een dergelijke lijst (Incidentenwaarschuwingssysteem Financiële Instellingen (IFI)).
De regels hierover staan in het Protocol Incidentenwaarschuwingssysteem Financiële
Instellingen. De Autoriteit persoonsgegevens heeft hiervoor al een verklaring van
rechtmatigheid afgeven. Op dit moment loopt een vergunningaanvraag bij het Autoriteit
persoonsgegevens ten aanzien van een herzien Protocol.

Daarnaast is in het plan van aanpak witwassen aangekondigd dat de informatie-uitwisseling
tussen instellingen vergemakkelijkt zal worden, onder meer door wettelijke belemmeringen
weg te nemen voor het gezamenlijk monitoren van transacties. Het wetsvoorstel plan
van aanpak witwassen, dat dit regelt, ligt bij de Afdeling advisering van de Raad
van State voor ter advisering.

Vraag 67 (CDA)

De leden van de CDA-fractie lezen dat de Belastingdienst geen gegevens mag verstrekken
aan deelnemers voor zover dit private partijen zijn. Deze leden vragen de regering
hoe dit zich verhoudt tot het FEC waarbinnen intensieve samenwerking mogelijk moet
zijn tussen Belastingdienst en bijvoorbeeld banken. Kan worden toegelicht waarom er
niet voor gekozen is dat door middel van onderhavig wetsvoorstel het delen van deze
gegevens of een deel daarvan wel mogelijk kan zijn.

Op grond van artikel 67 van de Algemene wet inzake rijksbelastingen mogen gegevens
waarover de Belastingdienst in het kader van de uitvoering van de belastingwetten
beschikt, niet verder bekend worden gemaakt. Bij wettelijk voorschrift kan op deze
geheimhoudingsplicht een uitzondering worden gemaakt. In de praktijk vindt een dergelijke
doorbreking plaats in het kader van zwaarwegende overheidsbelangen. Een verstrekking
aan private partijen vindt in beginsel niet plaats. De belangen van deze private partijen
wegen niet op tegen het belang van belastingplichtigen om hun belastinggegevens geheim
te houden. Zou de Belastingdienst belastinggegevens breed verspreiden onder private
partijen, dan is denkbaar dat belastingplichtigen minder bereid zijn om hun belastingaangifte
volledig en correct in te vullen. Met onderhavig wetsvoorstel is een zwaarwegend algemeen
belang gediend. De publiek-private samenwerking binnen het FEC is van groot belang
ter voorkoming van witwassen en financiering van terrorisme. Financiële instellingen
hebben op grond van de Wet ter voorkoming van witwassen en het financieren van terrorisme
een aantal wettelijke verplichtingen en vervullen een belangrijke poortwachtersfunctie.
Dit rechtvaardigt een doorbreking van de geheimhoudingsplicht van de Belastingdienst
voor zover dat echt noodzakelijk is. Verstrekking van resultaten van gegevensverwerkingen
die mede gebaseerd zijn op belastingdienstgegevens kunnen in dit verband aan private
partijen worden verstrekt. Dit is alleen mogelijk ten behoeve van vooraf duidelijk
begrensde wettelijke taken van die private partijen. Daarom regelt het wetsvoorstel
dat verstrekking van resultaten met belastingdienstgegevens aan een private deelnemer
alleen mogelijk is ten behoeve van het uitvoeren van een wettelijke verplichting of
publiekrechtelijke taak van die private deelnemer, mits die verplichting of taak verenigbaar
is met het doel van het samenwerkingsverband. Indien naar het oordeel van de Belastingdienst
zwaarwegende redenen zich tegen verstrekking verzetten, kan de Belastingdienst verstrekking
tegenhouden. Dezelfde criteria gelden mutatis mutandis voor verstrekking aan een private
derde, met dien verstande dat de Belastingdienst dan de verstrekking reeds om de reden
dat daartegen bezwaar bestaat kan tegenhouden. Verstrekking van een resultaat voor
de behartiging van de gerechtvaardigde belangen van private partijen is uitgesloten.

Vraag 68 (CDA)

Ook vragen de aan het woord zijnde leden de regering of in de antwoorden op deze vragen
ook de samenwerking met havens en vakantieparken kan worden meegenomen, sectoren die
ook gebaat zijn bij adequate gegevensdeling.

Het FEC heeft het versterken van de integriteit van de financiële sector als doel.
Gelet op dit doel ligt een eventuele samenwerking met havens en vakantieparken binnen
het FEC op dit moment niet direct in de rede. De WGS biedt de mogelijkheid om private
partijen, zoals voornoemd, bij of krachtens amvb als deelnemer aan de RIEC’s aan te
wijzen, voor zover dat noodzakelijk is voor het doel van dat samenwerkingsverband.
Mocht dat in de toekomst worden gerealiseerd, dan volgt uit artikel 1.5, vierde lid,
dat door de Belastingdienst geen gegevens aan die private partijen worden verstrekt
en uit artikel 1.7, zesde lid, dat resultaten van gegevensverwerking voor zover deze
gegevens mede gebaseerd zijn op gegevens van de Belastingdienst (met uitzondering
van de FIOD) alleen aan die private partijen kunnen worden verstrekt indien dat noodzakelijk
is voor het uitvoeren van een wettelijke verplichting of de vervulling van een publiekrechtelijke
taak van de ontvanger en op voorwaarde dat sprake is van verenigbaarheid met het doel
van het samenwerkingsverband.

Vraag 69 (D66)

De leden van de D66-fractie lezen dat private partijen deel kunnen uitmaken van een
samenwerkingsverband en zo in bezit komen van zeer privacygevoelige gegevens zoals
stafrechtelijke gegevens, die voor een ander doel verzameld zijn. De Afdeling was
hier kritisch over: wat betreft deelname van private partijen wordt gesuggereerd deze
mogelijkheid uit te sluiten. Ook als private partijen geen officiële deelnemer zijn
in de door het wetsvoorstel voorgestelde zin, is het wel mogelijk om samen te werken,
te overleggen en gegevens uit te wisselen. Voornoemde leden lezen dat de regering
heeft overwogen of deelname van private partijen noodzakelijk is voor het doel van
het samenwerkingsverband bij de vier voorgestelde samenwerkingsverbanden. Daarom is
dit niet bij elk samenwerkingsverband op dezelfde wijze mogelijk. Zal dit op eenzelfde
wijze gebeuren bij samenwerkingsverbanden die middels AMvB worden «opgehangen» aan
de kapstok van deze wet? Waarom is deelname van private partijen niet in de wet verder
begrensd en aan voorwaarden verbonden, bijvoorbeeld door de samenwerking te beperken
tot wat noodzakelijk is? De Afdeling suggereert verder om bijvoorbeeld beperkingen
voor te stellen aan de mate waarin private partijen inzage krijgen in gegevens en
kunnen meebeslissen over het verstrekken van gegevens aan de deelnemers en aan derden.
Ook zouden beperkingen kunnen worden gesteld aan het soort gegevens die private partijen
kunnen ontvangen van het samenwerkingsverband. Graag ontvangen de aan het woord zijnde
leden een reactie.

Gegevensverwerking binnen het kader van een samenwerkingsverband moet inderdaad worden
beperkt tot wat noodzakelijk is. Terwijl het wetsvoorstel bij een overheidsinstantie
of overheidsorgaan voor deelname vereist dat dit noodzakelijk is voor het doel van
het samenwerkingsverband (artikel 1.3, tweede lid), is bij private partijen de drempel
hoger: een private partij kan slechts deelnemen indien het doel van het samenwerkingsverband
redelijkerwijze niet kan worden bereikt zonder deelname van deze private partij (artikel
1.3, derde lid). Een tweede vereiste voor aanwijzing van een private partij als deelnemer
is bovendien dat er tevens overheidsinstanties of overheidsorganen deelnemen.

Het wetsvoorstel bevat daarnaast diverse andere beperkingen en begrenzingen ten aanzien
van private partijen:

– Bij iCOV zijn er geen private partijen als deelnemer aangewezen omdat dit niet noodzakelijk
is (voorgestelde artikel 2.11). Bovendien is het niet mogelijk om private partijen
bij of krachtens amvb als deelnemer aan te wijzen (artikel 2.11, onder j).

– Bij de RIEC’s zijn er evenmin private partijen als deelnemer aangewezen, maar is het wel mogelijk
om deze aan te wijzen bij of krachtens amvb (artikel 2.19, derde lid), onder de condities
van artikel 1.3, derde lid. Deze mogelijkheid is opgenomen op voorstel van de RIEC’s
met het oog op het potentiële belang van publiek-private samenwerking (PPS) in het
kader van de aanpak van ondermijning.

– Bij het FEC nemen aan bepaalde activiteiten ook private partijen deel. Het gaat dan om activiteiten
waarbij het doel van het samenwerkingsverband redelijkerwijze niet kan worden bereikt
zonder deelname van deze private partijen. De private deelnemers aan het FEC zullen
op grond van het wetsvoorstel uitsluitend verantwoordelijk zijn voor zover het gaat
om bij amvb beschreven specifieke verwerkingen of onderdelen daarvan. Concreet gaat
het dan om twee Taskforces die onder de vlag van het FEC functioneren: de Taskforce
Terrorismefinanciering en de Taskforce Serious Crime. Hierin werken deelnemers van
het FEC samen met private partijen, te weten: de Nederlandse Vereniging van Banken,
ING Bank, ABN Amro Bank, Rabobank, Volksbank en Aegon, in het belang van het gezamenlijk
voorkomen en bestrijden van het gebruik van het financiële stelsel voor financieel-economische
criminaliteit, zoals witwassen, en andere vormen van ernstige, met name ondermijnende
criminaliteit alsmede terrorismefinanciering.

– Voor het doel van de Zorg- en Veiligheidshuizen is deelname van private partijen noodzakelijk, omdat zorgverlening, hulp en begeleiding
in de praktijk vaak geschieden door partijen uit de private sector. Zoals nader toegelicht
in paragraaf 3 van het nader rapport en in de artikelsgewijze toelichting bij artikel
2.27, wordt de gezamenlijke verwerkingsverantwoordelijkheid voor de gezamenlijke verwerking
van gegevens bij de Zorg- en Veiligheidshuizen exclusief toegekend aan de publiekrechtelijke
deelnemers. Hiermee berust de verantwoordelijkheid voor de persoonsgegevensverwerking
in het kader van het samenwerkingsverband bij de publiekrechtelijke deelnemers en
niet bij de private deelnemers.

Vraag 70 (GroenLinks)

De leden van de GroenLinks-fractie menen dat niet uit het oog mag worden verloren
dat gegevensverwerking en -deling de autonomie en de menselijke waardigheid van burgers
raakt en dat het vaak om informatie over onverdachte burgers gaat. Dat vraagt om duidelijke
grenzen aan wettelijke bevoegdheden (bijvoorbeeld ten aanzien van het specifieke doel
waarvoor informatie is verzameld en wie deze informatie mag gebruiken). Die noties
moeten volgens deze leden onverkort worden gerespecteerd. Dat is eens te meer van
belang nu dit wetsvoorstel het delen met private partijen beoogt. Op private partijen
is het toezicht op het gebruik van informatie nog minder inzichtelijk voor de betrokken
burger dan bij overheidsorganen. Dit is volgens voornoemde leden extra problematisch
nu het er ook op lijkt dat bijzondere categorieën persoonsgegevens en van persoonsgegevens
van strafrechtelijke aard met private partijen kunnen worden gedeeld (zie artikel
1.7, derde lid). Daarvoor moet naast een formele rechtsgrond vooral een duidelijk,
onomstotelijk overtuigend doel bestaan en moeten maximale waarborgen rond het delen
en gebruik gegeven worden. De aan het woord zijnde leden vragen de regering hierop
te reflecteren.

De regering deelt de noties van de leden van de GroenLinks-fractie over de betrokkenheid
van private partijen bij gezamenlijke gegevensverwerking in samenwerkingsverbanden.
Naar aanleiding van het advies van de Afdeling advisering van de Raad van State heeft
de regering het deelnemerschap en de mate van betrokkenheid van private partijen heroverwogen.
Daarbij heeft de regering bezien: 1) of en zo ja, van welke partijen deelname noodzakelijk
is om het doel van het samenwerkingsverband te realiseren; 2) hoe in dat geval de
deelname kan worden beperkt tot hetgeen noodzakelijk is om het doel te realiseren
alsmede hoe de bevoegdheden en verantwoordelijkheden ter zake van de gezamenlijke
gegevensverwerking worden voorbehouden aan de publiekrechtelijke deelnemers of overheidsinstanties;
3) in hoeverre betrokkenheid van private partijen op een andere manier dan structurele
deelname kan worden gerealiseerd, voor zover noodzakelijk.

Bij iCOV en RIEC’s is deelname van private partijen op dit moment niet noodzakelijk.
Bij het FEC en de ZVH is deelname van en informatie-uitwisseling met private partijen
wel noodzakelijk ter realisering van het doel van de samenwerkingsverbanden. Het FEC
is een samenwerkingsverband van diverse overheidsorganisaties dat als doel heeft de
integriteit van het financiële stelsel te versterken. Versterking van de integriteit
van het financiële stelsel is niet alleen een zaak van de overheid, maar ook van het
bedrijfsleven. Aan sommige activiteiten van het FEC nemen daarom ook private partijen
uit deze sector deel. Risico’s van inbreuken op de integriteit van het financiële
stelsel moeten worden tegengegaan. De deelnemers in het FEC treden gezamenlijk preventief
op tegen risico’s ten aanzien van de integriteit van het financiële stelsel, houden
toezicht op de naleving van de hiervoor relevante regelgeving of handhaven deze waar
nodig. De deelnemers aan het FEC zijn toezichthouders of andere handhavende instanties
ten opzichte van de partijen die onderdeel uitmaken van het financiële stelsel, of
ze zijn informatieleverancier van voornoemde instanties. Daarnaast wordt door het
samenwerkingsverband FEC ingezet op het gezamenlijk voorkomen en bestrijden van het
gebruik van het financiële stelsel voor financieel-economische criminaliteit, zoals
witwassen, en andere vormen van ernstige, met name ondermijnende criminaliteit alsmede
terrorismefinanciering. Met het oog op dit laatste doel werken deelnemers aan het
FEC ook al enige jaren samen met financiële instellingen, te weten: de Nederlandse
Vereniging van Banken, ING Bank, ABN Amro Bank, Rabobank, Volksbank en Aegon. Dit
gebeurt vanuit de visie dat de integriteit van het financiële stelsel niet slechts
een zaak is van de overheid. Deze visie klinkt ook door in Wet ter voorkoming van
witwassen en het financieren van terrorisme (Wwft), die op dit vlak verplichtingen
aan banken en andere financiële ondernemingen oplegt.

Ook bij de Zorg- en Veiligheidshuizen is deelname van private partijen noodzakelijk,
omdat zorgverlening, hulp en begeleiding bij complexe casuïstiek in de praktijk vaak
geschiedt door partijen uit de private sector. In artikel 2.27, eerste lid, worden
de publiekrechtelijke deelnemers of overheidsinstanties aangewezen die zijn belast
met de uitoefening van wettelijke taken of bevoegdheden. In artikel 2.27, tweede lid,
wordt een aantal privaatrechtelijke rechtspersonen als deelnemer aangewezen die bij
of krachtens de wet taken of bevoegdheden uitoefenen of daartoe door een bestuursorgaan
gemandateerd zijn, of daaraan gerelateerde noodzakelijke activiteiten verrichten,
en die verband houden met het doel, bedoeld in artikel 2.25. Het gaat bij de private
deelnemers onder andere om reclasseringsinstellingen, advies- en meldpunten huiselijk
geweld en kindermishandeling, gecertificeerde instellingen op het terrein van de jeugdzorg
en instellingen voor geestelijke gezondheidszorg.

Het is voor de deelnemers aan het FEC en de deelnemers aan de ZVH, gelet op hun onderscheidenlijke
taken en activiteiten dan ook nodig om persoonsgegevens van strafrechtelijke aard,
en voor de ZVH gezondheidsgegevens (bijzondere persoonsgegevens) te kunnen verwerken
om een nuttige bijdrage te kunnen leveren aan het doel van het samenwerkingsverband.
Indien deze partijen niet over strafrechtelijke persoonsgegevens zouden kunnen beschikken,
zouden bijvoorbeeld bij het FEC voornoemde banken niet de juiste acties kunnen verrichten
bij het tegengaan van integriteitsrisico’s in de financiële sector. Voor de behandeling
van complexe casuïstiek in de ZVH, zou het niet kunnen betrekken van gezondheidsgegevens
tot gevolg kunnen hebben dat een cliënt geen passende behandeling krijgt.

In dit wetsvoorstel heeft de regering diverse maatregelen genomen om ervoor te zorgen
dat de betrokkenheid van private partijen beperkt is tot hetgeen strikt noodzakelijk
is ter realisering van het doel van het samenwerkingsverband.

In de eerste plaats kunnen uitsluitend deelnemer zijn de private partijen die bij
of krachtens deze wet als deelnemer zijn aangewezen; aanwijzing van een private partij
kan alleen geschieden als het doel van het samenwerkingsverband redelijkerwijze niet
kan worden bereikt zonder deelname van deze private partijen (het voorgestelde artikel
1.3, derde lid). De wetgever bepaalt dus welke private partijen deelnemer kunnen zijn.
De private deelnemers aan het FEC zullen op grond van het wetsvoorstel uitsluitend
kunnen meedoen aan de gezamenlijke gegevensverwerking voor zover het gaat om bij amvb
beschreven specifieke verwerkingen of onderdelen daarvan (het voorgestelde artikel
2.3, aanhef, onderdeel h).

In de tweede plaats voorziet het wetsvoorstel, in combinatie met de in de amvb nader
te stellen regels over de werkwijze en respectievelijke verantwoordelijkheden van
de deelnemers, in een passende balans in de verantwoordelijkheidsverdeling tussen
publieke en private deelnemers. Zoals zojuist toegelicht, nemen private deelnemers
van het FEC slechts aan sommige activiteiten binnen het FEC deel, waardoor hun verantwoordelijkheid
daartoe is beperkt. Verder wordt in het wetsvoorstel ter zake van de Zorg- en Veiligheidshuizen
een tweedeling gemaakt tussen publiekrechtelijke deelnemers of overheidsinstanties
enerzijds en privaatrechtelijke deelnemers anderzijds. Gelet op het doel van de Zorg-
en Veiligheidshuizen is deelname van veel verschillende private partijen noodzakelijk,
omdat zorgverlening, hulp en begeleiding in de praktijk vaak geschieden door de partijen
uit de private sector. Om onduidelijkheid te voorkomen over de belegging van de verwerkingsverantwoordelijkheid,
wordt in het voorgestelde artikel 2.27, derde lid, de gezamenlijke verwerkingsverantwoordelijkheid
als bedoeld in artikel 26 van de AVG voor de gezamenlijke verwerking van persoonsgegevens
exclusief toegekend aan de publiekrechtelijke deelnemers of overheidsinstanties. Dat
ontslaat de private partijen nadrukkelijk niet van hun eigen zelfstandige verantwoordelijkheid
om persoonsgegevens op rechtmatige wijze te verwerken. Zij zijn bij de uitoefening
van hun taken en activiteiten immers gebonden aan de rechtstreeks werkende eisen uit
de AVG. Voor de Zorg- en Veiligheidshuizen geldt dat, de publiekrechtelijke deelnemers
of overheidsinstanties óók verantwoordelijk worden voor de rechtmatige gegevensverwerking
door de deelnemende private partijen wanneer zij meedoen aan de gezamenlijke gegevensverwerking
in het kader van het samenwerkingsverband.

In de derde plaats kent het wetsvoorstel specifieke waarborgen toegespitst op deelname
van private partijen. Zo mogen private partijen ten behoeve van de inzet in het samenwerkingsverband
slechts medewerkers aanwijzen die niet tevens worden belast met commerciële werkzaamheden
voor die private partij (het voorgestelde artikel 1.3, derde lid). Verstrekking van
resultaten van samenwerkingsverbanden aan een private deelnemer of private derde kan
alleen ten behoeve van de behartiging van gerechtvaardigde belangen of uitvoering
van wettelijke verplichtingen van een private partij of derde, wanneer deze belangen
of verplichtingen verenigbaar zijn met het doel van het samenwerkingsverband. Verstrekking
en gebruik van resultaten voor commerciële doeleinden is daarmee uitgesloten. Daarbij
worden resultaten die mede zijn gebaseerd op gegevens van de rijksbelastingdienst
niet aan private partijen verstrekt voor de behartiging van gerechtvaardigde belangen
(het voorgestelde artikel 1.7, eerste, tweede en zesde lid). Uit de periodieke privacy-audit
die het samenwerkingsverband moet verrichten, waarvan de controleresultaten aan de
Autoriteit persoonsgegevens worden gezonden alsmede het jaarverslag zal blijken hoe
samenwerkingsverbanden gevolg geven aan het voorgaande.

Vraag 71 (SP)

De leden van de SP-fractie vragen of verduidelijkt kan worden wanneer sprake is van
«gezamenlijke verantwoordelijkheid» in de zin van de AVG ten aanzien van de deelnemers
aan een publiek-privaat samenwerkingsverband. Klopt het dat in het wetsvoorstel met
«gezamenlijke verantwoordelijkheid» wordt afgeweken van de gangbare verantwoordelijkheidsvorm
in huidige samenwerkingsverbanden, namelijk «zelfstandige verantwoordelijkheid» bij
het verwerken van gegevens? Zo ja, waarom denkt de regering hier goed aan te doen?

In het voorgestelde artikel 1.4, eerste lid, wordt bepaald dat de deelnemers van een
samenwerkingsverband gezamenlijke verwerkingsverantwoordelijken zijn als bedoeld in
artikel 26 van de AVG. Hiermee bedoelt de regering buiten twijfel te stellen dat alle
deelnemers volledig verantwoordelijk zijn voor de verwerking van persoonsgegevens
door en binnen het samenwerkingsverband. Aangezien de samenwerkingsverbanden geen
zelfstandige entiteiten met rechtspersoonlijkheid vormen en als zodanig ook geen bestuursorgaan
zijn, kan onduidelijkheid ontstaan over wie de verwerkingsverantwoordelijke is voor
de verwerking van persoonsgegevens in het samenwerkingsverband. In het belang van
de rechtszekerheid worden de deelnemers daarom als gezamenlijke verwerkingsverantwoordelijken
aangewezen in het voorgestelde artikel 1.4, eerste lid. Met het voorgestelde artikel
1.4, eerste lid, wordt uitvoering gegeven aan artikel 4, zevende lid, tweede volzin,
AVG: «wanneer de doelstellingen van en middelen voor deze verwerking in het (...)
lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke
is of volgens welke criteria deze wordt aangewezen». Het is uit een oogpunt van bescherming
van persoonsgegevens van belang duidelijk vast te stellen wie met betrekking tot de
gegevensverwerking als verwerkingsverantwoordelijken in de zin van de AVG zijn aan
te merken. Op deze verantwoordelijken rusten immers verschillende verplichtingen,
zoals de beveiligingsplicht en de verplichting betrokkenen gebruik te kunnen laten
maken van hun inzage- en correctierecht. Op grond van artikel 82 AVG is in geval van
gezamenlijke verwerkingsverantwoordelijken elke verwerkingsverantwoordelijke voor
de gehele schade aansprakelijk die wordt veroorzaakt door een verwerking die inbreuk
maakt op de AVG. Het grote voordeel voor de betrokkenen is dat zij iedere deelnemer
voor het geheel kunnen aanspreken en niet eerst hoeven na te gaan welke deelnemer
precies waarvoor verantwoordelijk is.

Voor de ZVH wordt een uitzondering gemaakt op de hoofdregel van artikel 1.4, eerste
lid. Voor de ZVH is geregeld dat de primaire verantwoordelijkheid voor de persoonsgegevensverwerking
bij de publiekrechtelijke deelnemers of overheidsinstanties berust en niet bij de
private deelnemers (artikel 2.27, derde lid). De reden hiervoor is uiteengezet in
het antwoord op vraag 70.

Vraag 72 (ChristenUnie)

De leden van de ChristenUnie-fractie zien de zorg vanuit bijvoorbeeld de Nederlandse
Vereniging voor Banken dat niet wordt overgegaan tot regeling van publiek-private
samenwerking per AMvB vanwege het tijdspad dat hieraan verbonden is. Daarmee zou voor
private partijen dezelfde beperkingen en onzekerheid bestaan die er nu ook is. Is
de regering van deze zorg op de hoogte? Hoe kan deze zorg worden ondervangen? Tevens
vragen de voorgenoemde leden of kan worden gespecificeerd wat de grondslag is voor
private partijen voor verstrekken van gegevens aan een samenwerkingsverband?

Zoals toegelicht in het antwoord op vraag 69, maakt het wetsvoorstel wel publiek-private
samenwerking mogelijk bij drie van de vier samenwerkingsverbanden die het wetsvoorstel
regelt, namelijk bij FEC, de RIEC’s en de Zorg- en Veiligheidshuizen. De grondslag
voor de gegevensverstrekking door een private deelnemer aan het samenwerkingsverband
is artikel 1.5.

Voor samenwerkingsverbanden die bij amvb worden aangewezen is eveneens publiek-private
samenwerking mogelijk. Bij deze categorie samenwerkingsverbanden maakt het voorgestelde
artikel 3.2, aanhef en onder b, het namelijk mogelijk om private partijen als deelnemer
aan te wijzen indien het doel van het samenwerkingsverband redelijkerwijze niet kan
worden bereikt zonder deelname van deze private partijen en indien tevens overheidsinstanties
of overheidsorganen deelnemen. De grondslag voor de gegevensverstrekking door een
private deelnemer aan het samenwerkingsverband is in dit geval eveneens artikel 1.5.

Vraag 73 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen de regering waarom zij überhaupt
een wetsvoorstel opstelt waarmee publiek verzamelde gegevens op grote schaal gedeeld
gaan worden met private instellingen. Deze leden achten dit zeer onwenselijk. Acht
de regering het wenselijk dat gegevens die verzameld en beheerd worden voor publieke
belangen gebruikt worden voor private doeleinden? Zo ja, waarom? Zo nee, hoe voorkomt
zij dit dan? Kan de regering ook aangeven waarom zij het wenselijk acht dat databases
die met publiek geld beheerd worden gedeeld met organisaties met een winstoogmerk?

Voor de beantwoording van de vraag van de leden van de Partij voor de Dieren-fractie
over waarom en met welk oogmerk de regering dit wetsvoorstel opstelt waarmee deelname
van private partijen aan samenwerkingsverbanden mogelijk wordt, verwijst de regering
naar de beantwoording van de vragen van de leden van de GroenLinks-fractie over dit
onderwerp (vraag 70). Daarbij hecht de regering eraan twee zaken te benadrukken. Ten
eerste mogen private partijen uitsluitend gezamenlijk gegevens verwerken in samenwerkingsverbanden
met het oog op het publieke doel dat een samenwerkingsverband nastreeft, bijvoorbeeld
het tegengaan van inbreuken op het financiële stelsel. Private partijen mogen de daarbij
verkregen gegevens niet gebruiken voor commerciële doeleinden en andere niet-verenigbare
doeleinden. Zij mogen die gegevens alleen maar gebruiken in het kader van de behartiging
van gerechtvaardigde belangen of voor de uitvoering van wettelijke verplichtingen,
voor zover dat doel verenigbaar is met het doel van het samenwerkingsverband, bijvoorbeeld
om te voorkomen dat criminele handelingen worden gefaciliteerd of voor het kunnen
verlenen van adequate zorg aan een betrokkene ten aanzien van wie strafrechtelijke
maatregelen lopen of worden voorbereid. Ten tweede heeft de regering – naast alle
algemeen geldende waarborgen – diverse specifieke waarborgen gesteld om tegen te gaan
dat private partijen gegevens gebruiken voor commerciële doeleinden. Zo mogen private
partijen ten behoeve van de inzet in het samenwerkingsverband slechts medewerkers
aanwijzen die niet tevens worden belast met commerciële werkzaamheden voor die private
partij (het voorgestelde artikel 1.3, derde lid).

3.3.4 Verstrekking van de resultaten van de verwerking uit een samenwerkingsverband

Vraag 74 (CDA)

De leden van de CDA-fractie delen in lijn met de opmerkingen van de WeCo van de Nederlandse
Vereniging voor Rechtspraak (NVvR) dat de uitkomst van een data-analyse op zichzelf
geen redelijk vermoeden zal opleveren dat een strafbaar feit is gepleegd of wordt
voorbereid of beraamd. Deze leden vragen daarom aan de regering hoe het proces verloopt
van geautomatiseerde data-analyse en het komen tot een individuele verdenking of het
aanmerken tot verdachte, uiteengezet in de verschillende stappen die moeten worden
doorlopen en de rollen van de betrokken partijen binnen een samenwerkingsverband zoals
het FEC, de iCOV of een RIEC. Welke partij of partijen hebben hierin een uiteindelijk
beslissende rol als het gaat om het aanmerken van individuele personen als verdachte?
Ook vragen zij aan de regering of daarbij kan worden aangegeven welke waarborgen een
rol spelen.

Vooropgesteld wordt dat de regering, zoals ook opgemerkt in de memorie van toelichting,
de stelling van de NVvR onderschrijft dat de uitkomst van een data-analyse pas na
beoordeling door de verantwoordelijke autoriteiten (m.n. het OM) een verdenking oplevert.
Zoals toegelicht in paragraaf 3.3.4 van de memorie van toelichting wordt er nadrukkelijk
op gewezen dat de uitkomst van een analyse binnen een samenwerkingsverband waaraan
opsporingsdiensten of het OM deelnemen, onder de voorgestelde WGS nog geen verdenking
oplevert. De opsporingsdiensten of het OM kunnen de uitkomst van een analyse meewegen
bij de beslissing over het al dan niet starten van het strafrechtelijk onderzoek.16

3.4 Waarborgen

Vraag 75 (VVD)

De leden van de VVD-fractie vragen de regering naar de exacte rol, taken en bevoegdheden
van de in te stellen rechtmatigheidsadviescommissie. Moet de rechtmatigheidsadviescommissie
vooraf bij elke wijziging van gegevensverwerking worden geraadpleegd? Hoe ziet de
regering de rol van deze commissie in de context van de fluïde en organische criminele
netwerken, wanneer snel handelen bij nieuwe gegevensverwerking noodzakelijk is voor
het aanpakken, ontmantelen en voorkomen van de georganiseerde criminaliteit?

De regering verwacht niet dat een commissie snel handelen bij nieuwe gegevensverwerking
in de weg behoeft te staan, mits de commissie bijtijds bij nieuwe ontwikkelingen of
behoeftes wordt betrokken. Bij iCOV en het FEC, waar al vormen van een rechtmatigheidsadviescommissie
functioneren, is daar althans niets van gebleken.

De in te stellen rechtmatigheidsadviescommissie zal ingevolge artikel 1.8, zesde lid,
van het wetsvoorstel tot taak krijgen de rechtmatigheid van de verwerking van persoonsgegevens
in het samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging
in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden
op te lossen. Zoals in de toelichting op artikel 1.8 is vermeld kan een rechtmatigheidsadviescommissie
meer specifiek bijvoorbeeld de volgende taken hebben, die kunnen worden vastgelegd
in een amvb als bedoeld in artikel 1.8, zesde lid, tweede volzin:

• Het voeren van structureel overleg over privacy met alle deelnemers;

• Het toetsen van gegevensbeschermingseffectbeoordelingen (PIA’s), het – voor zover
noodzakelijk – begeleiden bij de uitvoering daarvan en het uitbrengen van advies daarover
aan de functionarissen voor gegevensbescherming en de gezamenlijke verwerkingsverantwoordelijken;

• Het in beeld brengen van de privacyissues die er zijn en het doen van voorstellen
voor mitigerende maatregelen aan de deelnemers;

• Het door middel van interne controlemechanismen, zoals de beoordeling van gegevensuitwisselingen
door de rechtmatigheidsadviescommissie, contractuele afspraken alsook door het stimuleren
van bewustzijn onder medewerkers en technische beheersmaatregelen, waarborgen dat
de verzamelde gegevens enkel voor de vooraf vastgestelde doeleinden worden verwerkt;

• Bij concrete verwerkingen vooraf een rechtmatigheidsbeoordeling verrichten, opdat
bij de verstrekking van het resultaat een aanduiding van de toepasselijke rechtmatigheidsbeoordeling
kan worden gegeven.17

Bij de uitvoering van taken als deze gaat het om een adviserende rol aan de bestuurders
van de deelnemers die gezamenlijke verwerkingsverantwoordelijkheid dragen binnen het
samenwerkingsverband. Dat impliceert dat de commissie niet zelf kan beslissen om bijvoorbeeld
een bepaalde verwerking niet te starten. Die beslissing is aan de gezamenlijke verwerkingsverantwoordelijken,
die deze beslissing zullen moeten nemen binnen de kaders die daarvoor worden gesteld
in de AVG, de UAVG, de WGS en eventueel andere relevante regelgeving, zoals de Wet
politiegegevens en de Wet justitiële en strafvorderlijke gegevens.

De rechtmatigheidsadviescommissie hoeft niet bij elke wijziging van gegevensverwerking
per se vooraf te worden geraadpleegd. Zeker als de wijziging van ondergeschikte aard
is, lijkt dat niet nodig en zou dat om die reden ook niet te rechtvaardigen uitvoeringslasten
geven. De in de WGS omschreven taak brengt mee dat de commissie te allen tijde wel
naderhand alsnog advies kan uitbrengen.

Vraag 76 (CDA)

De leden van de CDA-fractie vragen, in het licht van geconstateerde uitgebleven beveiligingsmaatregelen
van digitale systemen, bijvoorbeeld zoals laatst aan het licht is gekomen bij de grensbewakingssystemen
op Schiphol en de informatiebeveiliging van het Ministerie van Buitenlandse Zaken,
hoe erop wordt toegezien dat de waarborgen die per AMvB worden gesteld, zoals bepaald
in artikel 1.8 en 1.9 van het wetsvoorstel, worden nageleefd en dat daadwerkelijk
een systeem van autorisaties komt dat voldoende geaccrediteerd is. Ook vragen de aan
het woord zijnde leden hoe wordt omgegaan met het uitvoeren van beveiligingsupdates
en het laten uitvoeren van reguliere audits teneinde te controleren dat de systematiek
van autorisaties actueel en veilig blijft. Kan daarbij ook worden aangegeven hoe de
regering wil borgen dat bijvoorbeeld personen die toegang hadden tot de systemen,
geen toegang meer zullen hebben nadat zij niet meer geautoriseerd zijn.

De controle op de naleving van de waarborgen, zoals vast te stellen bij amvb op basis
van de artikelen 1.8 en 1.9, zal, voor zover het om informatiebeveiliging en – als
onderdeel daarvan – het invoeren van een geaccrediteerd systeem van autorisaties gaat,
moeten worden ingericht volgens de daarop betrekking hebbende richtlijnen van de Minister
van BZK. Het gaat daarbij om de Baseline Informatiebeveiliging Overheid (BIO), die
de ministerraad op 14 december 2018 heeft vastgesteld voor het Rijk en in het interbestuurlijk
verkeer met het Rijk. Dit impliceert voor het toezicht onder meer dat er regelmatig
audits dienen plaats te vinden, waarbij extra aandacht dient te worden besteed aan
onderdelen waar substantiële risico’s worden gelopen op inbreuken op de privacy. Voor
zover het bij de hier bedoelde waarborgen om de bescherming van persoonsgegevens gaat,
zal daarnaast ook de Autoriteit persoonsgegevens op grond van haar in artikel 57 AVG
vastgelegde taken op de naleving van deze waarborgen toezien.

De BIO bevat ook richtlijnen voor het uitvoeren van beveiligingsupdates en het laten
uitvoeren van reguliere audits teneinde te controleren dat de systematiek van autorisaties
actueel en veilig blijft. Deze borgen ook dat bijvoorbeeld personen die toegang hadden
tot de systemen, geen toegang meer zullen hebben nadat zij niet meer geautoriseerd
zijn.

Vraag 77 (CDA)

Voornoemde leden delen het uitgangspunt van een rechtmatige en behoorlijke verwerking
van persoonsgegevens, zoals dat ook in onderhavig wetsvoorstel wordt weergegeven.
Deze leden wijzen erop dat bij gebruik van data en daarbij vaak ook geautomatiseerde
systemen die deze data analyseren, al gauw het gevaar van onwenselijke vormen van
profiling op de loer ligt. In dit verband verwijzen de leden van de CDA-fractie ook
naar de problematiek bij de Belastingdienst, waar mogelijk een tweede nationaliteit
werd bijgehouden en dit mogelijk werd gebruikt bij de beoordeling van aanvragen. De
aan het woord zijnde leden vragen de regering welke waarborgen in het leven worden
geroepen om ervoor te zorgen dat personen op basis van hun gegevens niet in bepaalde
profielen worden geplaatst met alle gevolgen van dien.

Voor profilering geldt in algemene zin dat zij kan bijdragen aan de effectiviteit
en efficiency van de taakuitvoering door overheidsorganisaties. Zo kan profilering
helpen bij het inschatten van bepaalde risico’s en daarmee aan het zo adequaat mogelijk
inzetten van mensen en middelen om deze risico’s te beperken. In zoverre kan profilering
ook samenwerkingsverbanden helpen hun doelstellingen te bereiken. Ook de Afdeling
advisering van de Raad van State onderkent dat er situaties kunnen zijn waarin profilering
een duidelijke meerwaarde heeft.18 Maar profilering brengt, zoals de Afdeling eveneens aangeeft, ook risico’s mee. Deze
risico’s kunnen gelegen zijn in de analysemethoden, als daaraan bepaalde vooroordelen
ten grondslag liggen, of in de gebrekkige kwaliteit van de data die in de analyse
worden betrokken. Een en ander kan tot gevolg hebben dat iemand in een bepaald profiel
wordt geplaatst waarin hij op de keper beschouwd niet thuishoort. Daarom bevat het
wetsvoorstel in artikel 1.9 een aantal waarborgen in geval van een gezamenlijke geautomatiseerde
gegevensanalyse die dergelijke risico’s beperken. Deze waarborgen zijn ook van belang
als een dergelijke analyse het karakter van profilering heeft. Voor profilering veronderstelt
artikel 4, onderdeel 4, AVG immers dat er een geautomatiseerde verwerking van persoonsgegevens
met een analytisch of voorspellend karakter plaatsvindt.

De waarborgen betreffen, voor zover in dit verband relevant:19

– de verplichting zorg te dragen voor adequate en uniforme technische en organisatorische
maatregelen in verband met de bevordering van de kwaliteit van de gezamenlijke geautomatiseerde
gegevensanalyse alsmede ter bevordering van de juistheid en de volledigheid van de
gegevens die daarbij worden verwerkt;

– de plicht tot menselijke tussenkomst bij de verstrekking van een resultaat van geautomatiseerde
gegevensanalyse, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot
stand is gekomen;

– de verplichting om op een voor het publiek toegankelijke wijze uitleg te geven over
de gehanteerde patronen en indicatoren of andere onderliggende logica, voor zover
volgens een deelnemer zwaarwegende redenen zich daartegen niet verzetten, zoals de
bescherming van de opsporingsstrategie en het opsporingsbelang;

– de verplichting tot terugmelding van onjuistheden in bronbestanden.

Overigens wijst de regering er in dit verband nog op dat zij bezig is richtlijnen
te ontwikkelen voor het uitvoeren van data-analyses met behulp van algoritmes door
overheden, die eveneens waarborgen tegen risico’s daarvan bevatten.20 Deze richtlijnen, die begin 2021 gereed zijn, zullen ook relevant zijn voor het uitvoeren
van geautomatiseerde gegevensanalyses door samenwerkingsverbanden.

Vraag 78 (D66)

De leden van de D66-fractie lezen in het wetsvoorstel dat een aantal waarborgen zijn
ingebouwd met het oog op rechtmatige en behoorlijke verwerking van persoonsgegevens.
Zij zijn daarmee ingenomen, maar hebben nog wel een aantal vragen over deze waarborgen.
Deze leden begrijpen dat het voor de samenwerkingsverbanden eenvoudiger wordt om informatie
te delen. Zij zijn daarbij benieuwd naar de interne waarborgen om bijvoorbeeld te
voorkomen dat medewerkers om de verkeerde redenen informatie opvragen. Welke waarborgen
zijn hiervoor? Komen er interne autorisaties, of is er bijvoorbeeld toezicht vanuit
het openbaar ministerie (OM) op verzoeken vanuit de politie? Op welk niveau worden
deze waarborgen geregeld? Komen zij in de AMvB? Voornoemde leden vragen de regering
ook nader in te gaan op het verstrekken van informatieproducten aan het OM en opsporingsdiensten
uit een samenwerkingsverband. Welke waarborgen gelden bij deze verstrekking? Hoe kan
worden voorkomen dat al te lichtvaardig opsporingsonderzoeken worden opgestart?

De redenen op grond waarvan de deelnemers aan een samenwerkingsverband gezamenlijk
gegevens verwerken, moeten passen binnen de doelstelling van het samenwerkingsverband.
De deelnemers aan het samenwerkingsverband zijn op grond van artikel 1.3 als gezamenlijke
verwerkingsverantwoordelijken ervoor verantwoordelijk dat het verzoek om informatie
aan dat vereiste voldoet en de informatie dus niet om verkeerde redenen wordt opgevraagd.
Zij zullen zich op dat punt moeten laten adviseren door de rechtmatigheidsadviescommissie
als bedoeld in artikel 1.8, zesde lid. De samenwerkingsverbanden zullen op grond van
artikel 1.8, tweede lid, inderdaad uitsluitend geautoriseerde personen toegang mogen
geven tot de systemen waarin de deelnemers gezamenlijk persoonsgegevens verwerken.
Op grond van de tweede volzin, onderdeel a, van dat artikellid geldt dat de autorisaties
slechts betrekking mogen hebben op de uitvoering van de gegevensverwerking voor de
doelen van het samenwerkingsverband. Ingevolge het vierde lid van artikel 1.8 zullen
bepaalde verwerkingen moeten worden gelogd, zodat aan de hand daarvan kan worden gecontroleerd
of verwerkingen binnen de doelstellingen van het verband passen. Verder schrijft artikel
1.8, vijfde lid, voor dat de deelnemers passende organisatorische maatregelen treffen
om te waarborgen dat per geval de gegevens enkel voor het vooraf vastgestelde doel
worden verwerkt. Daarbij valt denken aan het oormerken van de gegevens die voor een
bepaald doel wordt verwerkt, en de monitoring van de concrete uitwisseling van gegevens.
Tot slot wordt erop gewezen dat ook door middel van privacy audits als bedoeld in
artikel 1.10 zal worden gecontroleerd of verwerkingen van informatie binnen de doelstellingen
van het samenwerkingsverband hebben gepast. De hier genoemde waarborgen zijn op hoofdlijnen
in de WGS zelf opgenomen, maar zullen deels ook bij amvb nader worden geregeld.

Op verzoeken om informatieproducten uit het samenwerkingsverband waarbij de politie
als deelnemer aan het verband een van de verzoekers is, vindt geen specifiek geregeld
toezicht door het OM plaats. Dat laat onverlet dat de politie ook in dit opzicht onder
het gezag van het OM opereert. Dat geldt ook voor bijzondere opsporingsdiensten, als
zij deelnemer zijn.

Voor de verstrekking van informatieproducten vanuit een samenwerkingsverband aan het
OM en opsporingsdiensten gelden in de eerste plaats, evenals voor andere deelnemers,
de voorwaarden, zoals beschreven in artikel 1.7. Daarnaast geldt dat deze informatieproducten
veelal het karakter hebben van sturingsinformatie, zoals gedefinieerd in artikel 1.1.
Dergelijke informatie kan dan een eerste vermoeden opleveren dat er sprake zou kunnen
zijn van een strafbaar feit of een andere onrechtmatige handeling. Voor het OM en
de opsporingsdiensten geldt echter ook dat sturingsinformatie niet direct als bewijs
kan worden gebruikt zonder dat er eerst nog nader opsporingsonderzoek plaatsvindt.
Dat geldt in het bijzonder voor informatieproducten in de vorm van een risicotaxatie.
Zeker in het geval dat zo’n taxatie louter correlatieve en geen causale verbanden
laat zien, kan van een formele verdenking in de zin van artikel 27 van het Wetboek
van Strafvordering (nog) geen sprake zijn. Daarvoor dienen in een nader onderzoek
concrete feiten en omstandigheden op tafel te komen die erop wijzen dat iemand een
bepaald strafbaar feit heeft begaan en die gebruikt kunnen worden voor de opbouw van
een concreet dossier. Dit impliceert dat een verdenking en een daaruit voortvloeiend
opsporingsonderzoek nooit op louter sturingsinformatie uit een samenwerkingsverband
kunnen worden gebaseerd.

Vraag 79 (D66)

De aan het woord zijnde leden hebben kennisgenomen van de enkele waarborgen die in
het voorstel aangaande gegevensdeling zijn opgenomen. Op sommige punten vinden zij
de reikwijdte van het wetsvoorstel echter breed en weinig duidelijk omlijnd. De categorieën
van gegevens die de vier samenwerkingsverbanden mogen verwerken zijn niet uitputtend
opgesteld, deze kunnen worden uitgebreid middels AMvB. Hetzelfde geldt voor de deelnemers
van die samenwerkingsverbanden, ook die lijst met deelnemers kan worden uitgebreid.
Verder worden er geen categorieën van gegevens uitgesloten, ook geen gevoelige gegevens.
Zelfs gegevens over seksueel gedrag en seksuele gerichtheid (artikel 2.21) kunnen
worden verwerkt. Kan de regering toelichten waarom er niet voor gekozen is het wetsvoorstel
strakker te omlijnen en zo in meer waarborgen te voorzien?

De keuze om de categorieën van gegevens die de samenwerkingsverbanden mogen verwerken
weliswaar zoveel mogelijk maar niet uitputtend in de WGS zelf te benoemen, vloeit
voort uit de behoefte aan enige flexibiliteit. Er kunnen zich immers nieuwe categorieën
van relevante gegevens aandienen die nu nog niet voorzienbaar zijn, maar wel als noodzakelijk
kunnen worden aangemerkt voor het doel van het desbetreffende samenwerkingsverband.
Dit is met name denkbaar wanneer zich nieuwe wetenschappelijke meetpunten aandienen
die eerder niet zichtbaar waren. Het zou dan de slagvaardigheid te zeer beperken om
daarvoor steeds de procedure van wetgeving in formele zin te doorlopen. Daarbij is
van belang dat een aanvulling met nieuwe categorieën van gegevens uitsluitend mogelijk
is, voor zover dat noodzakelijk is voor het doel van het desbetreffende samenwerkingsverband.
Nu een eventuele aanvulling niet bij wet in formele zin hoeft plaats te vinden, is
evenzeer van belang dat voor de amvb waarmee de aanvulling plaatsvindt, een voorhangprocedure
geldt, opdat de Staten-Generaal over de beoogde aanvulling een oordeel kan vellen,
voordat deze wordt geëffectueerd.

Ook voor de verwerking van persoonsgegevens onder de WGS geldt dat de verwerking van
bijzondere categorieën van persoonsgegevens, die uit hun aard gevoelig zijn, op grond
van artikel 9, eerste lid, AVG in beginsel verboden is. Het is niet nodig – en op
grond van EU-recht zelfs niet toegestaan – dat in de WGS te herhalen. De WGS bevat
op dit beginsel slechts een beperkt aantal specifieke uitzonderingen, die voldoen
aan de voorwaarden die het tweede lid van artikel 9 AVG daarvoor stelt. Deze uitzonderingen
zijn te vinden in de artikelen 2.21 en 2.29 en de argumenten daarvoor in de artikelsgewijze
toelichting. Met betrekking tot de verwerking van gegevens over seksueel gedrag en
seksuele gerichtheid door de RIEC’s geldt meer in het bijzonder dat de verwerking
daarvan noodzakelijk is met het oog op de bestrijding van mensenhandel en de onderzoeken
in dat kader naar illegale prostitutie en uitbuiting.

De keuze om de deelnemers van de vier samenwerkingsverbanden weliswaar zoveel mogelijk
maar niet uitputtend in de WGS zelf te benoemen, vloeit eveneens uit de behoefte aan
enige flexibiliteit voort. De mogelijkheid om het deelnemersveld bij amvb uit te breiden
is in de artikelen 2.3, onderdeel h, 2.11, onderdeel j, 2.19, derde lid, en 2.27,
vijfde lid, wel steeds aan inhoudelijke criteria gebonden, waarbij de deelname soms
ook kan worden beperkt tot specifieke verwerkingen of onderdelen daarvan.

Vraag 80 (D66)

De leden van de D66-fractie lezen in het nader rapport dat naar aanleiding van het
advies van de Afdeling de term «profilering» is weggelaten. Deze leden vragen of profilering
nu in het wetsvoorstel onmogelijk is gemaakt. Kan de regering dit uitsluiten? Biedt
de wet hier nog steeds een grondslag voor, gezien er gesproken wordt over het vastleggen
van risicoprofielen? Kan de regering toelichten welke waarborgen in het voorstel zijn
opgenomen om specifiek discriminatie en fouten en vooroordelen in algoritmen tegen
te gaan? Waarom vereist het wetsvoorstel geen effectbeoordeling waarin partijen vastleggen
welke acties worden ondernomen om discriminatie of andere negatieve effecten te identificeren
en weg te nemen?

Het weglaten van de term «profilering» is niet bedoeld om uit te sluiten dat de samenwerkingsverbanden
onder de werking van de WGS profileren. Zoals hiervóór al is aangegeven, kan profilering
immers een nuttige functie vervullen. Wel houdt het weglaten van deze term verband
met de voorkeur die de regering geeft aan het bredere begrip «geautomatiseerde gegevensanalyse».
Daaronder vallen niet alleen profilering, maar ook vormen van geautomatiseerde gegevensanalyse
waarbij uitsluitend individuele kenmerken van de betrokken persoon in aanmerking worden
genomen, bijvoorbeeld diens strafrechtelijke antecedenten. Daarin verschilt zo’n analyse
van profilering, waarin ook groepskenmerken kunnen worden betrokken. Voor beide vormen
van gegevensanalyse geldt echter dat vanwege het geautomatiseerde karakter daarvan,
zich risico’s kunnen voordoen die om extra waarborgen vragen. Te denken valt aan risico’s
door de invoer van onjuiste gegevens of het gebruik van een gebrekkige analysemethode.
Om dergelijke risico’s te beperken, bevat artikel 1.9 van het wetsvoorstel bijzondere
waarborgen voor het geval een samenwerkingsverband een gezamenlijke geautomatiseerde
gegevensanalyse uitvoert. Met name de waarborgen in het eerste en tweede lid van dat
artikel zijn mede bedoeld om – in lijn met overweging 71 bij de AVG – discriminatie
en fouten en vooroordelen tegen te gaan in algoritmen die bij een dergelijke analyse
worden gebruikt. Het betreft in de eerste plaats de verplichting voor de deelnemers
om voor adequate en uniforme technische en organisatorische maatregelen zorg te dragen
die de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse en de juistheid
en de volledigheid van de te verwerken gegevens bevorderen. In de tweede plaats de
verplichting om een resultaat van een gezamenlijke geautomatiseerde gegevensanalyse
uitsluitend aan een deelnemer of derde te verstrekken na menselijke tussenkomst waarbij
wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen.

Of een samenwerkingsverband geautomatiseerde gegevensanalyse mag uitvoeren, blijkt
uit hoofdstuk 2 van het wetsvoorstel. Ingevolge artikel 2.13 mag iCOV geautomatiseerd
gegevens analyseren en op basis daarvan ook profileren. Op basis van artikel 2.18,
tweede lid, kunnen ook de RIEC’s geautomatiseerde gegevensanalyse, waaronder profilering,
uitvoeren, doch slechts voor zover dat noodzakelijk is voor het doel van de RIEC’s
en dat bij of krachtens amvb is aangewezen. Voor het FEC is een soortgelijke bepaling
bij nota van wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid).

Het wetsvoorstel bevat geen verplichting tot effectbeoordeling waarin partijen vastleggen
welke acties worden ondernomen om discriminatie of andere negatieve effecten te identificeren
en weg te nemen, omdat een dergelijke verplichting al ligt opgesloten in de in artikel
35 AVG geregelde gegevensbeschermingseffectbeoordeling en deze door de Autoriteit
persoonsgegevens expliciet verplicht is gesteld voor gegevensuitwisseling door samenwerkingsverbanden.21

Vraag 81 (GroenLinks)

De leden van de GroenLinks-fractie lezen dat een samenwerkingsverband gezamenlijk
gegevens kan verzamelen, delen en geautomatiseerd verwerken. Dit roept bij deze leden
de vraag op hoe door de afzonderlijke deelnemers aan het samenwerkingsverband toezicht
kan worden gehouden op de wijze waarop gegevens automatisch worden geanalyseerd. Worden
eisen gesteld aan de toegepaste technologie (zoals (zelflerende) algoritmen)? Zo ja,
welke? Hoe wordt hierbij het uitgangspunt van privacy by design toegepast? Wordt voorzien
in onafhankelijk adequaat toezicht in het ontwerp en het toepassen van technologieën?
Hoe wordt voorkomen dat door overheden en private partijen uitgewisselde informatie
en automatisch gegenereerde analysen voor andere doeleinden worden gebruikt dan bedoeld
in deze wet? Kan de regering aangeven welke lessen zijn getrokken uit de rechtszaak
tegen SyRI?

Het toezicht op de gegevensverwerking, waaronder gezamenlijke geautomatiseerde gegevensanalyse
– een methode die op dit moment uitsluitend door iCOV wordt gehanteerd – is op verschillende
manieren geborgd in dit wetsvoorstel. Ingevolge het voorgestelde artikel 1.4, tweede
lid, wordt één van de functionarissen voor gegevensbescherming van de deelnemende
overheidsinstanties of overheidsorganen aangewezen die als coördinerend functionaris
voor gegevensbescherming voor het samenwerkingsverband optreedt en uit dien hoofde
krachtens artikel 39, eerste lid, onder b, AVG, ook toeziet op de naleving van de
AVG en ander gegevensbeschermingsrecht door het samenwerkingsverband. Ook de in te
stellen rechtmatigheidsadviescommissie zal ingevolge het voorgestelde artikel 1.8,
zesde lid, van het wetsvoorstel tot taak krijgen de rechtmatigheid van de verwerking
van persoonsgegevens in het samenwerkingsverband structureel te beoordelen bij nieuwe
verwerkingen en wijziging in verwerkingen en om voorstellen aan het samenwerkingsverband
te doen om onrechtmatigheden op te lossen. Verder dient op basis van artikel 1.10
periodiek een privacy-audit plaats te vinden. Uiteraard valt de verwerking van persoonsgegevens
door het samenwerkingsverband ook onder het toezicht van de Autoriteit persoonsgegevens.

Voor de beantwoording van de vragen van de leden van de GroenLinks-fractie over eisen
aan toegepaste technologie, zoals zelflerende algoritmen, het toezicht op het ontwerp
en de toepassing daarvan en privacy by design verwijst de regering naar de beantwoording
van vraag 85 van deze leden alsmede naar de beantwoording van de vragen van de leden
van de CDA-fractie en de D66-fractie over deze onderwerpen (vragen 76, 77 en 143).

In reactie op de vragen van de leden van de GroenLinks-fractie over welke lessen zijn
getrokken uit de zaak SyRI, verwijst de regering naar de beantwoording van de vragen
van de leden van de VVD-fractie, de leden van de D66-fractie, de leden van de ChristenUnie-fractie
en de leden van de Partij voor de Dieren-fractie (vragen 24 en 89, 139 en 142) over
de betekenis en gevolgen van de SyRI-uitspraak voor dit wetsvoorstel.

Vraag 82 (GroenLinks)

Voornoemde leden vragen of het correct is dat ook bijzondere categorieën persoonsgegevens
en persoonsgegevens van strafrechtelijke aard in het samenwerkingsverband kunnen worden
gedeeld en verwerkt. Zo ja, welke extra zorgvuldigheidsvereisten worden voorgeschreven?
Het gaat dan immers over persoonsgegevens waaruit ras of etnische afkomst blijkt,
politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap
van een vakbond, de verwerking van genetische gegevens, biometrische gegevens met
het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens
met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Hoe wordt voorkomen
dat niet-relevante bijzondere persoonsgegevens worden vrijgegeven en/of (te) breed
verspreid raken?

Het is correct dat dit wetsvoorstel een grondslag creëert voor de samenwerkingsverbanden
om gezamenlijk persoonsgegevens van strafrechtelijke aard te kunnen verwerken voor
hun onderscheidenlijke doelen. De vier in het wetsvoorstel opgenomen samenwerkingsverbanden
zijn alle gericht op het tegengaan van verschillende vormen van criminaliteit. Persoonsgegevens
van strafrechtelijke aard, politiegegevens in de zin van de Wet politiegegevens en
justitiële en strafvorderlijke gegevens in de zin van de Wet justitiële en strafvorderlijke
gegevens zijn daarvoor van essentieel belang. Politie en OM zijn vaste deelnemers
aan alle vier samenwerkingsverbanden. Ingevolge artikel 10 van de AVG, in samenhang
gelezen met paragraaf 3.2 van de UAVG, is de verwerking van persoonsgegevens van strafrechtelijke
aard verboden, tenzij daarop een uitzondering is gemaakt bij lidstaatrechtelijke bepalingen
die passende waarborgen voor de rechten en vrijheden van betrokkenen bieden. Deze
uitzondering wordt geboden in de voorgestelde artikelen 1.5, 1.6 en 1.7 waarin voor
alle samenwerkingsverbanden is geregeld dat persoonsgegevens van strafrechtelijke
aard mogen worden verwerkt, zowel in de fase van verstrekking aan het samenwerkingsverband,
verwerking binnen het samenwerkingsverband, als verstrekking van de resultaten door
het samenwerkingsverband.

Duidelijkheidshalve merkt de regering op dat van de door leden van de GroenLinks-fractie
genoemde bijzondere categorieën persoonsgegevens uitsluitend voor de RIEC’s een grondslag
wordt gecreëerd voor de verwerking van persoonsgegevens over iemands seksueel gedrag
of seksuele gerichtheid, en voor de ZVH een grondslag voor de verwerking van gegevens
over gezondheid – in beide gevallen louter voor zover dat noodzakelijk is voor het
doel van de RIEC’s respectievelijk de ZVH. Dit wetsvoorstel biedt geen grondslag voor
samenwerkingsverbanden om persoonsgegevens te verwerken waaruit ras of etnische afkomst
blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of
het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens of
biometrische gegevens met het oog op de unieke identificatie van een persoon.

Het wetsvoorstel kent een hoog beschermingsniveau voor alle categorieën van persoonsgegevens
en stelt een groot aantal waarborgen ter bescherming van de privacy van burgers. Zo
geldt er op grond van het voorgestelde artikel 1.11 een geheimhoudingsplicht voor
een ieder die betrokken is bij de werkzaamheden van het samenwerkingsverband. In de
voorgestelde artikelen 1.8 en 1.9 worden waarborgen gesteld die onder meer tegengaan
dat persoonsgegevens onrechtmatig worden verwerkt. Verder stelt het voorgestelde artikel
1.7 de eis dat de resultaten van de gezamenlijke verwerking uitsluitend aan deelnemers
of derden worden verstrekt voor doelen die verenigbaar zijn met de doelen van het
desbetreffende samenwerkingsverband. De verstrekking van bijzondere categorieën persoonsgegevens
en persoonsgegevens van strafrechtelijke aard aan derden, vindt alleen plaats na instemming
van de deelnemer die deze gegevens aan het samenwerkingsverband heeft verstrekt (het
voorgestelde derde lid). Deze maatregelen voorkomen dat bijzondere categorieën persoonsgegevens
en persoonsgegevens van strafrechtelijke aard in strijd met het doel van het desbetreffende
samenwerkingsverband worden verwerkt, vrijgegeven of te breed verspreid raken.

Vraag 83 (GroenLinks)

Deelt de regering de mening van de aan het woord zijnde leden dat hoe meer partijen
bij een samenwerkingsverband betrokken zijn, hoe groter de veiligheidsrisico’s zijn?
Op welke wijze wordt hier rekening mee gehouden bij de uitbreiding van het aantal
partners? Kan dit ook een reden zijn om organisaties niet toe te laten? Aan welk beveiligingsniveau
moeten organisaties voldoen?

Voorop staat dat een nieuwe deelnemer uitsluitend kan worden toegevoegd, indien deelname
noodzakelijk is voor het doel van het samenwerkingsverband. Dit limiteert op zichzelf
al het aantal deelnemers dat zou passen binnen de doelstellingen van de samenwerkingsverbanden.
Naarmate evenwel meer partijen bij een samenwerkingsverband zijn betrokken, kunnen
de veiligheidsrisico’s inderdaad groter zijn. Voor zover de WGS uitbreiding van het
aantal deelnemers toestaat, zal bij een beslissing over een eventuele uitbreiding
met dergelijke risico’s rekening worden gehouden. Dit kan impliceren dat de overwogen
uitbreiding niet doorgaat. Ook is mogelijk dat de uitbreiding wel doorgaat, maar in
de amvb die dat regelt, op basis van artikel 1.8, eerste lid, aanvullende voorwaarden
aan de verwerkingen worden gesteld die deze risico’s moeten beperken. De beveiliging
moet op grond van het achtste lid van artikel 1.8 voldoen aan ten minste de door de
Minister van Binnenlandse Zaken en Koninkrijksrelaties vastgestelde richtlijnen. Daarbij
kan worden gedacht aan de Baseline Informatiebeveiliging Overheid (BIO), die de ministerraad
op 14 december 2018 heeft vastgesteld voor het Rijk en in het interbestuurlijk verkeer
met het Rijk.

Vraag 84 (GroenLinks)

Klopt de veronderstelling van de leden van de GroenLinks-fractie dat toezicht beperkt
blijft tot een door deelnemers zelf ingestelde rechtmatigheidsadviescommissie (artikel
1.8, zesde lid)? In hoeverre is dan nog sprake van onafhankelijk en onbevooroordeeld
toezicht? Moet, zo vragen deze leden, niet voor alle samenwerkingsverbanden waarop
deze wet van toepassing zal zijn een overkoepelende onafhankelijke toezichthouder
worden aangesteld?

Het toezicht blijft niet beperkt tot de rechtmatigheidsadviescommissie. Ingevolge
artikel 1.4, tweede lid, wordt één van de functionarissen voor gegevensbescherming
van de deelnemende overheidsinstanties of overheidsorganen aangewezen die als coördinerend
functionaris voor gegevensbescherming voor het samenwerkingsverband optreedt en uit
dien hoofde krachtens artikel 39, eerste lid, onder b, AVG, ook toeziet op de naleving
van de AVG en ander gegevensbeschermingsrecht door het samenwerkingsverband. Verder
dient op basis van artikel 1.10 periodiek een privacy-audit plaats te vinden. En uiteraard
valt de verwerking van persoonsgegevens door het samenwerkingsverband ook onder het
toezicht van de Autoriteit persoonsgegevens.

Overigens is nog van belang dat een rechtmatigheidsadviescommissie, zoals die nu al
bij iCOV functioneert, uit inhoudelijke experts uit de hoek van de deelnemers bestaat
die in de tweede lijn acteren en vanuit die optiek onafhankelijk adviseren ten opzichte
van de eerste lijn.

Vraag 85 (GroenLinks)

Kan de regering voor de aan het woord zijnde leden per samenwerkingsverband aangeven
hoe wordt omgesprongen met de toepassing van algoritmen? Wie bouwt de algoritmen?
Zijn dit overheidsorganen en/of private partijen? Op welke wijze kan door burgers
en maatschappelijke organisaties «onder de motorkap» worden gekeken? Wordt gebruik
gemaakt van open-source? Zo nee, waarom niet? Heeft de overheid onder alle omstandigheden
de bevoegdheid om de algoritmen te onderzoeken? Hoe wordt beoordeeld of de datasets
van voldoende kwaliteit zijn? Op welke wijze wordt het systeem getest? Een auto gaat
niet de weg op voordat het uitvoerig getest is. Hoe gaat dat hier, zo vragen voornoemde
leden. In alle software zitten tekortkomingen. Hoe wordt daarop geacteerd? Wat is
de toelaatbare foutenmarge bij algoritmen?

De WGS staat thans alleen voor iCOV gezamenlijke geautomatiseerde gegevensanalyse
toe. Algoritmen worden voor dit doel op dit moment dan ook alleen gebruikt door iCOV.
De bouw van algoritmen bij iCOV is afhankelijk van de behoefte en de werking van het
desbetreffende algoritme. Alvorens algoritmes bij iCOV in gebruik worden genomen,
worden deze getoetst aan de hand van richtlijnen en voorgelegd aan de rechtmatigheidsadviescommissie.22 Transparantie, validatie en controleerbaarheid van het werkende algoritme zijn voor
iCOV van groot belang. Op deze aspecten vindt dan ook een grondige toetsing plaats.
Indien een samenwerkingsverband een gezamenlijke geautomatiseerde gegevensanalyses
verricht, moet het ingevolge artikel 1.9, derde lid, voor zover naar het oordeel van
een deelnemer zwaarwegende redenen zich daartegen niet verzetten, aan het publiek
op toegankelijke wijze uitleg geven over de gehanteerde patronen en indicatoren of
andere onderliggende logica. Zo wordt burgers en maatschappelijke organisaties een
blik «onder de motorkap» gegeven. Wat betreft open source onderzoek geldt, zoals toegelicht
in het antwoord op vraag 61, dat het wetsvoorstel geen bevoegdheid regelt voor samenwerkingsverbanden
om zelf (al dan niet openbare) gegevens te vergaren. Deelnemers kunnen wel gebruik
maken van informatie uit open bronnen die door deelnemers wordt aangeleverd.

De Autoriteit persoonsgegevens heeft onder alle omstandigheden de bevoegdheid om van
de algoritmen die samenwerkingsverbanden gebruiken, te onderzoeken of deze functioneren
in overeenstemming met het gegevensbeschermingsrecht. Zij toetst daarbij op basis
van de beginselen van «rechtmatigheid», «transparantie» en «behoorlijkheid», zoals
vastgelegd in de AVG. Verder kijkt zij naar de wijze waarop de in de AVG vastgelegde
verantwoordingsplicht wordt uitgevoerd. Een en ander heeft de Autoriteit persoonsgegevens
uitgewerkt in een specifiek kader voor het toezicht op artificiële intelligentie en
algoritmes.23

Voordat een samenwerkingsverband tot een nieuw type gezamenlijke geautomatiseerde
gegevensanalyse overgaat, dient het een gegevensbeschermingseffectbeoordeling uit
te voeren. Volgens het model dat daarvoor binnen de rijksdienst wordt gehanteerd,
dient bij een Big Data toepassing ervoor gezorgd te worden dat:

• naarmate de mogelijkheden van patroonherkenning minder zijn, een goede validatie door
experts op het desbetreffende vakgebied plaatsvindt om het risico van foutieve uitkomsten
zoveel mogelijk te reduceren,

• de data zoveel als met een redelijke inspanning mogelijk is, up to date zijn, de te
gebruiken datasets een zo gering mogelijke bias (afwijking) bevatten en dat de te
gebruiken algoritmen en analysemethoden deugdelijk zijn, en

• rekening houdend met de potentiële impact van de toepassing, vooraf de foutmarge wordt
bepaald die bij de toepassing mag optreden.24

Wanneer de risico’s die bij een dergelijke effectbeoordeling blijken onvoldoende kunnen
worden weggenomen, is het samenwerkingsverband op grond van artikel 36 AVG verplicht
voorafgaand aan de voorgenomen verwerking de Autoriteit persoonsgegevens te raadplegen.
De Autoriteit persoonsgegevens zal dan advies over die voorgenomen verwerking uitbrengen.

iCOV beoordeelt de data die zij aangeleverd krijgt, waar mogelijk op juistheid en
volledigheid. Controles op juistheid richten zich op het signaleren van logische onjuistheden,
bijvoorbeeld de 32ste dag van een maand of een leesteken in een maand, letters in
een numeriek veld etc. Controles op volledigheid zijn naar hun aard lastiger. Aangezien
iCOV verschillende datasets al vaker heeft verkregen, is er een historisch beeld over
de omvang van een dataset. Wanneer een dataset later weer geleverd wordt, kan worden
beoordeeld of de omvang binnen een te verwachten bandbreedte valt. Deze logica is
opgenomen in de software die iCOV gebruikt bij het inlezen van de data. ICOV gebruikt
hiervoor het systeem Oracle Data Integrator (ODI). De logica is ingebouwd in de scripts
die door ODI gebruikt worden bij het inlezen van de data. Wanneer iCOV harde fouten
aantreft of twijfels heeft, neemt zij contact op met de bronhouder om uitleg te vragen
of een verbeterde levering te vragen. ICOV gaat data niet zelf aanpassen. Dat zou
ook onlogisch zijn, omdat de data anders een volgende keer weer met diezelfde fout
geleverd worden.

Van een uniforme toelaatbare foutenmarge is geen sprake. Zoals in het kabinetsstandpunt
op het WRR-rapport «Big Data in een vrije en veilige samenleving» al werd gesteld,
kan de grootte van wat als toelaatbare foutmarges wordt gehanteerd, slechts per geval
of categorieën van gevallen worden bepaald. Betrokken partijen dienen deze foutmarges
wel zoveel mogelijk voor een ieder transparant en bespreekbaar te maken. Controle
op die foutmarges, de gebruikte methodes en de consequentie daarvan is immers essentieel
teneinde het risico van fouten en een ondeugdelijke interpretatie van een profiel
jegens een persoon of groep zo klein mogelijk te laten zijn.25

Vraag 86 (SP)

De leden van de SP-fractie hebben reeds bij de wetsbehandeling van de AVG gewezen
op de gevaren van profilering. Zo weten veel mensen vaak niet dat ze geprofileerd
worden of onderhevig zijn aan geautomatiseerde besluitvorming. Persoonlijke omstandigheden
worden doorgaans niet meegewogen bij automatische besluitvorming en het kan onmogelijk
zijn fouten met terugwerkende kracht terug te draaien. Voornoemde leden waren dan
ook tegen het invoeren van de mogelijkheid om profilering toe te staan in de AVG.
Helaas is dit wel gebeurd.

De aan het woord zijnde leden zijn uiterst kritisch op de voornemens om te gaan werken
met systematische gegevensverwerking, in het bijzonder profilering. Naar aanleiding
van het kritische advies van de Afdeling is het voorstel weliswaar aangepast, maar
het automatisch verwerken van gegevens met moderne technieken op basis van profielen
en analyses is niet uit het voorstel verdwenen. Kan de regering duidelijker maken
hoe dit er nu uit komt te zien? In welke gevallen wordt dit mogelijk? Op basis van
welke patronen en profielen worden lijsten opgesteld? Gaat dit bijvoorbeeld ook om
het criterium «dubbele nationaliteiten»? Hoe zijn de evidente risico’s van deze werkwijze
gewogen? Hoe wordt bijvoorbeeld voorkomen dat dit instrument vooral wordt gericht
op bepaalde wijken of categorieën personen, bijvoorbeeld met een lagere sociaaleconomische
samenstelling of andere achtergrond? Erkent de regering het risico dat extra controle
bij een bepaalde groep het beeld soms juist kan bevestigen dat er een probleem is
bij die groep/leden van de groep met de betreffende kenmerken waarop gezocht is? Welke
waarborgen zijn er om dit te voorkomen?

Of een samenwerkingsverband geautomatiseerde gegevensanalyse mag uitvoeren, blijkt,
zoals eerder al aangegeven in antwoord op vragen van de leden van de D66-fractie,
uit hoofdstuk 2 van het wetsvoorstel. Ingevolge artikel 2.13 mag iCOV geautomatiseerd
gegevens analyseren en op basis daarvan ook profileren. Op basis van artikel 2.18,
tweede lid, kunnen ook de RIEC’s geautomatiseerde gegevensanalyse, waaronder profilering,
uitvoeren, voor zover dat noodzakelijk is voor het doel van de RIEC’s en dat bij of
krachtens amvb is aangewezen. Voor het FEC is een soortgelijke bepaling bij nota van
wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid). De ZVH voeren
geen geautomatiseerde gegevensanalyses uit en dus ook geen vormen van profilering
in de zin van de AVG, omdat in de daarin gehanteerde definitie van profilering wordt
uitgegaan van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand
van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden
geëvalueerd met als doel bijvoorbeeld persoonlijke voorkeuren of gedrag te analyseren
of te voorspellen. Op basis van welke patronen en profielen lijsten worden opgesteld,
laat zich niet in algemene zin beantwoorden. Het antwoord daarop hangt te zeer af
van het concrete thema waarvoor de desbetreffende analyse verricht wordt. Verder is
van belang dat, indien een samenwerkingsverband een geautomatiseerde gegevensanalyse
verricht, het ingevolge artikel 1.9, derde lid, voor zover naar het oordeel van een
deelnemer zwaarwegende redenen zich daartegen niet verzetten, aan het publiek op toegankelijke
wijze uitleg dient te geven over de gehanteerde patronen en indicatoren of andere
onderliggende logica. Dit zal onder de WGS de door deze leden terecht gewenste transparantie
geven over de dan te hanteren analysemethoden. Deze waarborg komt bovenop de in artikel
14 AVG vastgelegde informatieverplichtingen jegens de individuele betrokkenen.

Het criterium «dubbele nationaliteiten» mag bij profilering niet worden gebruikt,
tenzij daarvoor een objectieve rechtvaardiging bestaat, bijvoorbeeld omdat de profilering
betrekking heeft op de uitvoering van wetgeving waarbij nationaliteit relevant is
voor de toepassing ervan. In dit verband wijst het de regering erop dat het in een
brief van 8 oktober jl. aan de Tweede Kamer over «Waarborgen tegen risico’s van data-analyses
door de overheid» heeft geopperd toe te staan dat bij de ontwikkeling van algoritmische
modellen bijzondere persoonsgegevens worden verwerkt, voor zover nodig om discriminerende
effecten tegen te gaan.26 Daarmee zou een extra instrument worden gecreëerd om discriminatie bij profilering
tegen te gaan.

Eerder is in deze paragraaf in antwoord op vragen van de CDA-fractie al opgemerkt
dat profilering kan bijdragen aan de effectiviteit en efficiency van de taakuitvoering
door overheidsorganisaties, maar – de leden van de SP-fractie wijzen daar terecht
op – ook risico’s meebrengt. Reden om profilering op zich niet uit te sluiten, maar
in het wetsvoorstel wel extra waarborgen tegen deze risico’s op te nemen. Wij verwijzen
naar de waarborgen die wij in het antwoord op eerder bedoelde vragen van de CDA-fractie
hebben genoemd (vraag 77). Deze waarborgen dienen er mede toe om het risico van stigmatisering
waarop deze leden doelen, te voorkomen. Dit impliceert in concreto dat men op basis
van artikel 1.9, eerste lid, onder meer maatregelen zal moeten nemen die verhinderen
dat er in analyses een zichzelf versterkend effect optreedt door algoritmes te hanteren
die zichzelf automatisch, dit wil zeggen zonder menselijke controle, aanpassen aan
eerder behaalde resultaten.

Vraag 87 (SP)

De leden van de SP-fractie wijzen erop dat risico’s die bij profilering kunnen optreden
extra groot zijn bij het combineren en analyseren van data die van verschillende organisaties
afkomstig zijn, zoals bij samenwerkingsverbanden het geval is. Profilering kan het
risico geven dat de betrokken individuele persoon een generiek kenmerk van een groep
wordt tegengeworpen, terwijl dat kenmerk op hem niet van toepassing is en daarmee
voor hem een zogenoemde false positive oplevert. Gelet op de combinatie van voornoemde
risico’s is het wenselijk voor een dergelijke vorm van gegevensverwerking door een
samenwerkingsverband een extra waarborg in te bouwen, in de vorm van een toestemmingsvereiste.
Is de regering bereid dit alsnog in de wet op te nemen? Discriminatie of andere mensenrechtenschendingen
zouden te allen tijde moeten worden voorkomen. Toch bevat het wetsvoorstel bijvoorbeeld
geen effectbeoordeling (impact assessment), waarin partijen vastleggen welke acties
worden ondernomen om discriminatie of andere negatieve effecten op mensenrechten te
identificeren en weg te nemen. Is de regering bereid dit alsnog in het wetsvoorstel
op te nemen? Zo nee, waarom niet?

Meer in het algemeen nog zouden de leden van de SP-fractie willen vragen waarom de
regering het toepassen van profilering noodzakelijk acht in de strijd tegen (ondermijnende)
criminaliteit. Kan uitgebreid gemotiveerd worden waarom minder verstrekkende manieren
om criminaliteit aan te pakken, niet afdoende zouden zijn en wat de meerwaarde van
profilering zou zijn, mede ook afgezet tegenover de grove privacy inbreuken die profilering
met zich mee zou brengen?

Voornoemde leden vragen voorts in hoeverre nu al gewerkt wordt in samenwerkingsverbanden
met zogenaamde risicoprofielen om criminelen op te sporen en of de verwachting is
dat met dit wetsvoorstel dit meer of juist minder zal gaan gebeuren. Kan hier zo uitgebreid
mogelijk op gereflecteerd worden? Deelt de regering de mening dat het werken met risicoprofielen,
en daaraan gekoppeld eventuele profilering, haaks staat op het onschuldbeginsel en
vaak gepaard gaat met minder en zwakkere waarborgen dan onder het strafrecht gebruikelijk
zijn? Zo ja, kan de regering garanderen dat de samenwerkingsverbanden die mogelijk
gemaakt worden met dit wetsvoorstel deze zaken niet zullen gebruiken? Zo nee, kan
uitgebreid worden gemotiveerd waarom niet?

Het wetsvoorstel bevatte aanvankelijk het vereiste dat de Autoriteit persoonsgegevens
toestemming zou moeten geven voor profilering door samenwerkingsverbanden. Naar aanleiding
van het advies van de Afdeling advisering van de Raad van State is dat vereiste geschrapt.
Met als voornaamste argument dat de Autoriteit persoonsgegevens anders intensief wordt
betrokken bij een bestuurlijke afweging, die niet gemaakt zou moeten worden door de
toezichthouder maar door het bevoegde en aanspreekbare bestuursorgaan.27 Dat laat onverlet dat een samenwerkingsverband de Autoriteit persoonsgegevens ingevolge
artikel 36 AVG voorafgaand aan een voorgenomen verwerking van persoonsgegevens moet
raadplegen wanneer de uitkomst van de gegevensbeschermingseffectbeoordeling een hoog
risico laat zien wanneer het samenwerkingsverband geen maatregelen neemt om het risico
te beperken. Als de Autoriteit persoonsgegevens van oordeel is dat de voorgenomen
verwerking niet aan de AVG zal voldoen, geeft zij een schriftelijk advies binnen acht
weken na het verzoek om raadpleging. Het eventueel uitblijven van een reactie van
de Autoriteit persoonsgegevens binnen die termijn staat er overigens niet aan in de
weg dat de Autoriteit persoonsgegevens met betrekking tot de verwerking haar bevoegdheden
uitoefent, met inbegrip van haar bevoegdheid om verwerkingen te verbieden.28

Tegenover het schrappen van dit toestemmingsvereiste staat dat het wetsvoorstel mede
naar aanleiding van voornoemd advies van de Afdeling advisering in aanvulling op de
waarborgen die het oorspronkelijke voorstel al bevatte, is uitgebreid met extra waarborgen
tegen de risico’s van de gezamenlijke gegevensverwerking, met name ook die welke meegebracht
kunnen worden door geautomatiseerde gegevensanalyse. Het betreft:

• een systeem van autorisaties (artikel 1.8, tweede lid);

• de mogelijkheid om regels te stellen omtrent de betrouwbaarheidsvereisten aan geautoriseerde
personen (artikel 1.8, derde lid);

• de verplichting om door middel van «logging» bepaalde verwerkingen van persoonsgegevens
in geautomatiseerde systemen vast te leggen (artikel 1.8, vierde lid);

• de verplichting om passende organisatorische maatregelen te treffen om te waarborgen
dat gegevens enkel voor het vooraf vastgestelde doel worden verwerkt (artikel 1.8,
vijfde lid);

• de instelling van een rechtmatigheidsadviescommissie (artikel 1.8, zesde lid);

• een uitgebreidere regeling van de vernietiging en anonimisering van verwerkte persoonsgegevens
(artikel 1.8, zevende lid);

• een adequaat beveiligingsniveau, ten minste overeenkomstig richtlijnen van de Minister
van Binnenlandse Zaken en Koninkrijksrelaties (artikel 1.8, achtste lid);

• de verplichting zorg te dragen voor adequate en uniforme technische en organisatorische
maatregelen om de kwaliteit van de gezamenlijke geautomatiseerde gegevensanalyse te
bevorderen, alsmede de juistheid en de volledigheid van de gegevens die daarbij worden
verwerkt (artikel 1.9, eerste lid);

• de plicht tot menselijke tussenkomst bij de verstrekking van een resultaat van geautomatiseerde
gegevensanalyse, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot
stand is gekomen (artikel 1.9, tweede lid);

• de verplichting om op een voor het publiek toegankelijke wijze uitleg te geven over
de gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9,
derde lid);

• de verplichting tot terugmelding van onjuistheden in bronbestanden (artikel 1.9, vierde
lid);

• de verplichting om ingeval van een geautomatiseerde gegevensanalyse in bepaalde fasen
pseudonimisering toe te passen (artikel 1.9, vijfde lid);

• de verplichting tot een periodiek privacy audit (artikel 1.10);

• de verplichting om een jaarverslag uit te brengen (artikel 1.12);

• de verplichting voor ontvangers van resultaten van de gegevensverwerking van het samenwerkingsverband
om ten minste jaarlijks terug te koppelen wat de effectiviteit en bruikbaarheid van
de resultaten was (artikel 1.7, vierde lid); en

• de verplichting voor de deelnemers tot periodieke evaluatie op basis van deze terugkoppeling
(artikel 1.7, vijfde lid).

Het wetsvoorstel bevat geen verplichting tot effectbeoordeling waarin partijen vastleggen
welke acties worden ondernomen om discriminatie of andere negatieve effecten te identificeren
en weg te nemen, omdat een dergelijke verplichting al voortvloeit uit artikel 35 AVG
en door de Autoriteit persoonsgegevens expliciet verplicht is gesteld voor gegevensuitwisseling
door samenwerkingsverbanden.

De meerwaarde van profilering op basis van geautomatiseerde gegevensanalyse door een
samenwerkingsverband is gelegen in die situaties waarin aan de hand van een relatief
grote hoeveelheid relevante data van de betrokken partijen analyses moeten worden
verricht om bijvoorbeeld tot een risicoprofiel te komen en op basis daarvan personen
in beeld te krijgen die aan dat profiel voldoen, zodat er voor deze partijen sturingsinformatie
ontstaat op grond waarvan zij met de hen toegewezen taken en bevoegdheden verder onderzoek
kunnen doen. Toepassing van een dergelijke methode kan vele malen sneller en beter
tot de gewenste sturingsinformatie leiden dan mogelijk zou zijn in een situatie waarin
partijen zonder geautomatiseerde gegevensanalyse moeten werken. Voor iCOV uit zich
dit in de themascan. Door gevalideerde witwasindicatoren op een representatieve dataset
los te laten ontstaan er inzichten die eerder bij de individuele deelnemers niet voorhanden
waren. Deze inzichten zijn met name relevant voor de aanpak ondermijnende criminaliteit.

Op dit moment behoort het werken met zogenaamde risicoprofielen niet tot de mogelijkheden
voor de RIEC’s, omdat de huidige protocollen daarin niet voorzien. Het wetsvoorstel
biedt een grondslag om bij amvb te regelen dat de RIEC’s geautomatiseerde gegevensverwerking
gaan toepassen, zodat zij in de toekomst met risicoprofielen kunnen gaan werken. De
RIEC’s hebben de wens daartoe. Indien van deze mogelijkheid gebruik gemaakt wordt,
zullen de RIEC’s zelf een opzet maken voor een protocol dat zij op basis van de amvb
en de daarin te stellen voorwaarden bij het gebruik van risicoprofielen zullen gaan
hanteren.

De regering ziet niet goed in waarom het werken met risicoprofielen en daaraan gekoppeld
eventuele profilering op gespannen voet met de onschuldpresumptie zou staan. De uitkomst
van de analyse kan leiden tot bijvoorbeeld een lijst waarop personen staan met kenmerken
die op een verhoogd risico wijzen dat zij beroepsfraudeur zijn, maar die nog geen
verdachte zijn. Omdat er veelal sprake is van correlatie en niet van causaliteit,
kan immers van een formele verdenking (nog) geen sprake zijn. Daarvoor dienen concrete
feiten en omstandigheden met betrekking tot de desbetreffende persoon op tafel te
komen die op fraude wijzen en die getoetst moeten worden aan de vereisten uit het
Wetboek van Strafvordering. De onschuldpresumptie is dan ook een strafvorderlijk beginsel
dat personen, zolang het tegendeel niet is bewezen, voor onschuldig houdt, maar is
geen beginsel dat aan het recht op bescherming van persoonsgegevens ten grondslag
ligt.29 Overigens neemt een en ander niet weg dat juist met het oog op de risico’s die een
gezamenlijke geautomatiseerde gegevensanalyse, waaronder profilering, kan meebrengen,
het noodzakelijk is de nodige waarborgen te treffen. Uit de eerdere antwoorden moge
blijken dat de regering meent die in voldoende mate te hebben getroffen.

Vraag 88 (ChristenUnie)

De leden van de ChristenUnie-fractie staan een grote terughoudendheid voor waar het
gaat om het toekennen van bevoegdheden voor geautomatiseerde gegevensanalyse, zoals
profilering. Zij maken zich dan ook zorgen over de toelichting bij artikel 2.18, tweede
lid. Zij vragen de regering te onderbouwen aan welke vormen van profilering gedacht
mag worden. Betekent dit dat iemand verdacht kan worden, niet op basis van feitelijke
handelingen, maar op basis van het voldoen aan kenmerken die binnen een «risicoprofiel»
passen?

Voor een antwoord op de vraag aan welke vormen van profilering wordt gedacht, verwijzen
wij naar de antwoorden die wij hiervóór aan de leden van de SP-fractie hebben gegeven
(vragen 86 en 87).

Vraag 89 (ChristenUnie)

Welke lessen die kunnen worden getrokken uit voormelde uitspraak van de rechtbank
Den Haag over SyRI en de kinderopvangtoeslagenaffaire worden bij geautomatiseerde
gegevensanalyse betrokken? Is overwogen de AP bij toekenning van bevoegdheden op basis
van dit artikel een rol te geven?

Het wetsvoorstel voorziet in strenge waarborgen en in een grondslag om bij of krachtens
amvb voorwaarden en beperkingen te stellen aan alle gegevensverwerkingen op grond
van deze wet (artikel 1.8, eerste lid). Door naleving van deze kaders, in combinatie
met de bepalingen van de AVG, wordt een herhaling van situaties als bij de toeslagenaffaire
voorkomen. De regering heeft in dit wetsvoorstel op een aantal manieren rekening gehouden
met de SyRI-uitspraak van de rechtbank Den Haag. Het belangrijkste punt is dat er
naast de algemene waarborgen in het voorgestelde artikel 1.8 die gelden voor alle
gegevensverwerking, in het voorgestelde artikel 1.9 specifieke waarborgen zijn opgenomen
voor gezamenlijke geautomatiseerde gegevensanalyse. Voor zover dit wetsvoorstel geautomatiseerde
gegevensanalyse en het gebruik van risicoprofielen in verband met de uitoefening van
toezichthoudende taken nu of in de toekomst mogelijk maakt, geldt dat gebruik van
deze methodes volgens de rechtbank Den Haag op zich niet verboden is, maar dat zij
wel voldoende inzichtelijk en controleerbaar moeten zijn en met voldoende waarborgen
moeten zijn omkleed om de toets aan artikel 8, tweede lid, van het EVRM te kunnen
doorstaan.

In het belang van de transparantie van geautomatiseerde gegevensanalyse is in het
voorgestelde artikel 1.9, derde lid, de verplichting gesteld om aan het publiek op
toegankelijke wijze uitleg te geven over de gehanteerde patronen en indicatoren of
andere onderliggende logica. Anders dan in de onverbindend verklaarde SyRI-wetgeving
zal bij het gebruik van risico-indicatoren en risicomodellen daarover zoveel mogelijk
transparantie worden betracht zodat deze zoveel als mogelijk toetsbaar zijn. Deze
verplichting is opgenomen naar aanleiding van voornoemde uitspraak. Uitzonderingen
daarop moeten restrictief worden toegepast en er moet een zwaarwegende reden zijn.
Of van dergelijke zwaarwegende redenen sprake is kan worden voorgelegd aan de coördinerende
functionaris voor de gegevensbescherming van het samenwerkingsverband of aan de rechtmatigheidsadviescommissie
van het samenwerkingsverband.

De inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse zullen
nader worden geborgd in het voorgestelde artikel 2.14, eerste lid. Deze bepaling stelt
ter zake van iCOV verplicht dat bij lagere regelgeving regels worden gesteld over
de wijze van vaststelling van indicatoren, inclusief regels over de kwaliteit en de
hypothese waarop deze zijn gebaseerd. Ook stelt het voorgestelde artikel 2.14, tweede
lid, verplicht dat er nadere regels worden gesteld over de uitvoering van de gegevensanalyse,
o.a. de wijze waarop de bescherming van de persoonlijke levenssfeer nader wordt gewaarborgd,
de methoden van verwerking en de wijze waarop verbanden tussen gegevens zichtbaar
worden gemaakt. Momenteel verrichten de RIEC’s geen geautomatiseerde gegevensanalyse,
maar in het wetsvoorstel wordt wel de mogelijkheid gecreëerd om dat in de toekomst
te gaan doen. Dezelfde regels zullen in dat geval ook gaan gelden voor de RIEC’s door
deze op te nemen in de amvb waarin dat voor de RIEC’s wordt geregeld.

De privacy audits die samenwerkingsverbanden op grond van het voorgestelde artikel
1.10 moeten verrichten en waarvan de resultaten naar de Autoriteit persoonsgegevens
worden gezonden, dienen eveneens de inzichtelijkheid en controleerbaarheid van geautomatiseerde
gegevensanalyse. Gelet op het feit dat daarbij de uitvoering van de krachtens dit
wetsvoorstel en de AVG gestelde regels wordt gecontroleerd, ligt in de rede dat de
uitvoering van geautomatiseerde gegevensanalyse daarbij wordt betrokken. Daarnaast
draagt het jaarverslag van de samenwerkingsverbanden dat op grond van het voorgestelde
artikel 1.12 dient te worden opgesteld en op internet dient te worden geplaatst, eveneens
de transparantie en controleerbaarheid van gehanteerde methodes.

Ook de overige bezwaren van de rechtbank Den Haag worden voldoende ondervangen in
dit wetsvoorstel, in het bijzonder met betrekking tot het informeren van betrokkenen,
vaststelling van het doel van het samenwerkingsverband en het verrichten van een noodzakelijkheidstoets
van de gegevensverwerking door alle deelnemers. Zo stelt de aanwijzing van de deelnemers
aan het samenwerkingsverband als gezamenlijke verwerkingsverantwoordelijken op grond
van het voorgestelde artikel 1.4, eerste lid, veilig dat betrokkenen hun recht op
grond van artikel 14 van de AVG om geïnformeerd te worden jegens elke verwerkingsverantwoordelijke
kunnen uitoefenen (artikel 26, derde lid, van de AVG). De vaststelling van het doel
van het samenwerkingsverband wordt bij wet vastgelegd en wordt dus niet ter bepaling
overgelaten aan de deelnemers van het samenwerkingsverband zelf. Ook de verstrekking
van de in het wetsvoorstel opgenomen categorieën van gegevens door deelnemers aan
het samenwerkingsverband is op grond van het voorgestelde artikel 1.5, eerste lid,
in beginsel verplicht voor zover dat noodzakelijk is voor het wettelijk bepaalde doel
van het samenwerkingsverband. Hoewel de categorieën te verstrekken gegevens in het
wetsvoorstel zijn opgesomd, heeft iedere deelnemer beoordelingsruimte bij de vraag
of in concrete gevallen gegevensverstrekking aan het samenwerkingsverband noodzakelijk
is voor het doel van dat samenwerkingsverband.

De Autoriteit persoonsgegevens is bevoegd toezicht te houden op de rechtmatigheid
van alle gegevensverwerking door de samenwerkingsverbanden en kan in het geval van
onrechtmatigheden optreden. Naar aanleiding van het advies van de Afdeling advisering
van de Raad van State is het vereiste dat de Autoriteit persoonsgegevens toestemming
zou moeten geven voor profilering door samenwerkingsverbanden geschrapt. De voornaamste
reden daarvoor was dat de Autoriteit persoonsgegevens anders intensief wordt betrokken
bij een bestuurlijke afweging, die niet gemaakt zou moeten worden door de toezichthouder
maar door het bevoegde en aanspreekbare bestuursorgaan. Dat laat onverlet dat een
samenwerkingsverband de Autoriteit persoonsgegevens ingevolge artikel 36 AVG voorafgaand
aan een voorgenomen verwerking van persoonsgegevens moet raadplegen wanneer de uitkomst
van de gegevensbeschermingseffectbeoordeling een hoog risico laat zien wanneer het
samenwerkingsverband geen maatregelen neemt om het risico te beperken. Als de Autoriteit
persoonsgegevens van oordeel is dat de voorgenomen verwerking niet aan de AVG zal
voldoen, geeft zij een schriftelijk advies binnen acht weken na het verzoek om raadpleging.
Het eventueel uitblijven van een reactie van de Autoriteit persoonsgegevens binnen
die termijn staat er overigens niet aan in de weg dat de Autoriteit persoonsgegevens
met betrekking tot de verwerking haar bevoegdheden uitoefent, met inbegrip van haar
bevoegdheid om verwerkingen te verbieden.

Vraag 90 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen of de regering kan aangeven op
welke wijze en door wie de afweging gemaakt wordt tussen het uitwisselen van data,
de daarmee voorgestelde inbreuk op grondrechten zoals privacy en het gewicht van het
algemeen belang. Kan de regering aangeven op welke wijze controlerende instanties
zoals de AP en het parlement toezicht kunnen houden op die afweging? Wordt bij elke
afweging ook onderzocht of het algemene belang ook gediend kan worden door middel
van een minder ingrijpende methode of beleidsinzet? Zo nee, waarom niet?

Het zijn primair de deelnemers aan een samenwerkingsverband die in hun rol van verwerkingsverantwoordelijken
moeten afwegen of het uitwisselen van persoonsgegevens en de verdere verwerking in
een bepaalde situatie noodzakelijk is voor het doel van dat verband. Dit noodzakelijkheidsvereiste
brengt mee dat zij de uitwisseling en verdere verwerking moeten toetsen aan de eisen
van proportionaliteit en subsidiariteit: de inbreuk die daarvan het gevolg is, moet
evenredig zijn met de zwaarte van het belang waarvoor zij dient plaats te vinden,
en dat belang kan niet op een minder ingrijpende wijze worden bereikt. De rechtmatigheidsadviescommissie
heeft bij deze afwegingen een adviserende rol.

De Autoriteit persoonsgegevens houdt toezicht op de wijze waarop de deelnemers aan
deze vereisten in de praktijk invulling geven. In dat verband wijzen wij erop dat
de Autoriteit persoonsgegevens in haar strategie «Focus AP op 2020–2023» de uitwisseling
van persoonsgegevens in samenwerkingsverbanden expliciet als aandachtsgebied voor
de uitoefening van haar toezichtstaak en bevoegdheden heeft aangewezen.30

Het parlement kan Ministers ter verantwoording roepen over de wijze waarop deelnemers
aan een samenwerkingsverband, voor zover die onder hun verantwoordelijkheid vallen,
aan genoemde afweging invulling geven.

Vraag 91 (PvdD)

Voornoemde leden vragen op welke manier de regering garandeert dat het huidige beschermingsniveau
voor bepaalde aparte categorieën data gewaarborgd blijft. Kan de regering toelichten
hoe zij data die momenteel alleen door opsporingsambtenaren bekeken mogen worden wil
gaan delen en tegelijkertijd de waarborg kan behouden dat alleen speciale opsporingsambtenaren
deze data bekijken?

Bij data die momenteel alleen door opsporingsambtenaren mogen worden bekeken, doelen
deze leden waarschijnlijk op politiegegevens. Op grond van artikel 7 van de Wet politiegegevens
(Wpg) geldt daarvoor een geheimhoudingsplicht, behoudens voor zover – onder andere
– een bij of krachtens de wet gegeven voorschrift tot verstrekking verplicht of de
Wpg verstrekking toelaat. Dit impliceert dat nu al anderen dan opsporingsambtenaren
van politiegegevens kennis mogen nemen, als de verstrekking daarvan op grond van de
eerder bedoelde uitzonderingen mogelijk of zelfs verplicht is. Artikel 4.1 van het
wetsvoorstel bevat een wijziging van artikel 20 Wpg die zo’n uitzondering schept.
Deze wijziging impliceert dat, indien de politie of de Koninklijke marechaussee deelneemt
aan een samenwerkingsverband als bedoeld in de WGS, de verwerkingsverantwoordelijke
(korpschef c.q. Minister van Defensie), in overeenstemming met het bevoegd gezag (de
officier van justitie), aan het samenwerkingsverband politiegegevens verstrekt, voor
zover dit noodzakelijk is voor het doel van dat verband, tenzij naar het oordeel van
de verwerkingsverantwoordelijke zwaarwegende redenen zich daartegen verzetten. Op
basis van artikel 46 Wpg geldt dit ook voor deelname van bijzondere opsporingsdiensten
en buitengewoon opsporingsambtenaren.

Bij zwaarwegende redenen om van verstrekking af te zien moet in ieder geval worden
gedacht aan redenen die verband houden met opsporingsbelangen, een oordeel dat is
voorbehouden aan de officier van justitie. Over de vraag of daarvan sprake is, hebben
andere deelnemers in het samenwerkingsverband dan de deelnemer die de gegevens zou
verstrekken, geen zeggenschap.

Verder bevat het gewijzigde artikel 20 Wpg de mogelijkheid om bij amvb aan verstrekkingen
als hier bedoeld voorwaarden en beperkingen te stellen. Ook deze kunnen gelegen zijn
in het beschermen van opsporingsbelangen.

Vraag 92 (PvdD)

Voorts willen de leden van de Partij voor de Dieren-fractie graag enige vragen stellen
over het gebruik van profilering. Veel van de werkzaamheden in samenwerkingsverbanden
lijken namelijk te draaien om het opstellen van risicoprofielen aan de hand waarvan
risico-inschattingen gemaakt zouden kunnen worden. Kan de regering aangeven in hoeverre
dit soort inschattingen nauwkeurig en vooral objectief zijn gebleken in de afgelopen
jaren?

Wat heeft de regering gedaan met de terechte kritiek van Amnesty International dat
beleid gebaseerd op risicoprofielen en het risico gestuurd werken een aantasting is
van het onschuldbeginsel? Heeft de regering meer actie ondernomen dan alleen het toevoegen
van enkele zwakke waarborgen en het schrappen van het woordje profilering?

Voor de aan het woord zijnde leden is niet te bevatten dat, gegeven het leed dat de
overheid zelf veroorzaakt heeft met dit soort risicoprofielen bij de toeslagenaffaire,
de regering namens diezelfde overheid nu inzet op het grootschalig gebruik van dit
soort risicoprofielen. Zij vragen de regering hoe zij garandeert dat het voorliggend
wetsvoorstel niet opnieuw tot zulke situaties gaat leiden. Deelt de regering de mening
dat het feit dat het wetsvoorstel de kans op dit soort misstanden vergroot op zichzelf
al reden genoeg is om het wetsvoorstel in zijn geheel terug te nemen? Zo nee, waarom
neemt de regering bewust dit risico op herhaling?

Voornoemde leden lezen dat de Afdeling aangeeft dat de gegevensverwerking door middel
van systematische verwerking en profilering niet noodzakelijk en niet proportioneel
is. Daarnaast geeft de Afdeling aan dat profilering een methode is waar grote risico’s
aan zijn verbonden. Toch zet de regering hier groots op in. Waarom is dit noodzakelijk
en proportioneel? Wordt de AP betrokken bij elke vorm van profilering? Is het de rol
van de AP om als toezichthouder dit soort afwegingen te maken?

Op de vraag in hoeverre inschattingen op basis van risicoprofielen nauwkeurig en vooral
objectief zijn gebleken in de afgelopen jaren, wijst de regering graag op de praktijk
bij iCOV. Zij doet dit door met menselijke tussenkomst de scores op de indicatoren
te controleren op hun juistheid. Daarbij is gebleken dat uit de data ook personen
en objecten scoren die al in beeld bij de aanvragende deelnemer waren. De data bevestigen
hierbij wat er in de praktijk al wordt waargenomen.

Voor een antwoord op de vragen van deze leden met betrekking tot het onschuldbeginsel
en de getroffen waarborgen verwijst de regering in de eerste plaats naar antwoorden
op vergelijkbare vragen die leden van de SP-fractie in deze paragraaf hebben gesteld
(vraag 87). Het wetsvoorstel voorziet in waarborgen en in een grondslag om bij of
krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen op grond van
deze wet te kunnen stellen (artikel 1.8, eerste lid). Door naleving van deze kaders,
in combinatie met de bepalingen van de AVG, wordt een herhaling van situaties als
bij de toeslagenaffaire voorkomen.

De Afdeling advisering van de Raad van State heeft over het haar voorgelegde wetsvoorstel
opgemerkt dat niet vaststaat dat de daarin vastgelegde bevoegdheden tot gegevensverwerking
(waaronder systematische verwerking en profilering) noodzakelijk en proportioneel
zijn voor alle soorten samenwerkingsverbanden die onder het voorstel gebracht kunnen
worden. Mede met het oog daarop heeft de regering de werking van het wetsvoorstel
teruggebracht tot in eerste instantie vier samenwerkingsverbanden die een belangrijke
functie vervullen bij onder meer de aanpak van ondermijnende criminaliteit en is de
mogelijkheid van geautomatiseerde gegevensanalyse beperkt tot iCOV. Voor de redenen
verwijzen wij naar de memorie van toelichting, par. 4.2 en de toelichting op artikel
2.13. Verder kunnen de RIEC’s geautomatiseerde gegevensanalyse, waaronder profilering,
uitvoeren, voor zover dat noodzakelijk is voor het doel van de RIEC’s en dat bij of
krachtens amvb is aangewezen. Voor het FEC is een soortgelijke bepaling bij nota van
wijziging aan het wetsvoorstel toegevoegd (artikel 2.5, tweede lid). De ZVH voeren
geen geautomatiseerde gegevensanalyses uit en dus ook geen vormen van profilering.

De Autoriteit persoonsgegevens hoeft niet bij elke vorm van profilering te worden
betrokken. Wel moet zij op grond van artikel 36 AVG vooraf worden geraadpleegd over
een voorgenomen vorm van profilering, als de uitkomst van de gegevensbeschermingseffectbeoordeling
een hoog risico laat zien wanneer het samenwerkingsverband geen maatregelen neemt
om het risico te beperken. Zo’n beoordeling is bij een verwerking door een samenwerkingsverband
verplicht. Zoals in reactie op een vraag van de SP-fractie al is opmerkt, bevatte
het wetsvoorstel aanvankelijk het vereiste dat de Autoriteit persoonsgegevens toestemming
zou moeten geven voor profilering door samenwerkingsverbanden, maar is dat vereiste
naar aanleiding van het advies van de Afdeling advisering van de Raad van State geschrapt.

Vraag 93 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen hoe de regering voorkomt dat
onderscheid gemaakt gaat worden in de risicoanalyses op basis van indicatoren waarvan
onze Grondwet verbiedt dat onderscheid wordt gemaakt. Hoe voorkomt de regering dat,
zoals in de toeslagenaffaire het geval bleek, er onderscheid gemaakt wordt op basis
van nationaliteit?

Voor onderscheid naar nationaliteit kan een objectieve rechtvaardiging bestaan, als
het om bijvoorbeeld de uitvoering van wetgeving gaat waarbij nationaliteit relevant
is voor de toepassing ervan. Als risicoanalyses worden uitgevoerd op basis van indicatoren
waarvoor geen objectieve rechtvaardiging kan worden gegeven, zijn deze onrechtmatig.
Om onrechtmatig uitgevoerde analyses te voorkomen bevat het wetsvoorstel verschillende
waarborgen. Artikel 1.9, eerste lid, verplicht de deelnemers aan het samenwerkingsverband
zorg te dragen voor adequate en uniforme technische en organisatorische maatregelen
in verband met onder meer de bevordering van de kwaliteit van de gezamenlijke geautomatiseerde
gegevensanalyse. Die verplichting houdt mede in dat maatregelen moeten worden getroffen
ter voorkoming van vooringenomenheid bij het uitvoeren van de analyse, omdat dit een
kwaliteitsaspect betreft. Daarnaast dienen de deelnemers op grond van artikel 1.8,
vierde lid, van het wetsvoorstel zorg te dragen voor «logging» van bij amvb te beschrijven
verwerkingen van persoonsgegevens voor de controle van onder meer de rechtmatigheid
van de gegevensverwerking. Tot slot wijzen wij op het zesde lid van artikel 1.8, dat
de deelnemers ertoe verplicht om een rechtmatigheidsadviescommissie in te stellen,
die tot taak heeft de rechtmatigheid van de verwerking van persoonsgegevens in het
samenwerkingsverband structureel te beoordelen bij nieuwe verwerkingen en wijziging
in verwerkingen en om voorstellen aan het samenwerkingsverband te doen om onrechtmatigheden
op te lossen.

Vraag 94 (PvdD)

De aan het woord zijnde leden vragen de regering of haar visie op het wetsvoorstel
nog veranderd is aan de hand van de ontwikkelingen in het dossier van de toeslagenaffaire.
Zeker nu bekend is geworden dat ook daar aan de hand van data-analyses risicogestuurd
gewerkt werd en op basis van bijvoorbeeld nationaliteiten geselecteerd werd wie extra
aandacht behoefde. Voor de leden van de Partij voor de Dieren-fractie heeft dit voorbeeld
eens temeer duidelijk gemaakt dat het eeuwige streven naar harde efficiëntiewinst
ten koste kan gaan van zachtere waarden. Het streven naar absurde niveaus van efficiëntie
leidde ertoe dat data bepaalden wie schuldig was en wie niet. Het leidde ertoe dat
elke vorm van menselijk contact uit het zicht verdween. Daarmee verdween ook de compassie
die nodig was en de mogelijkheid om iemand aan te spreken op de misstanden. Het is
het verdwijnen van dit soort zachtere waarden en het ongelimiteerde vertrouwen in
data-analyses die het mogelijk maakte dat de toeslagenaffaire de proporties kon krijgen
die ze uiteindelijk kreeg.

Uiteraard heeft de toeslagenaffaire tot reflectie op het onderhavige wetsvoorstel
geleid. Het wetsvoorstel voorziet mede daarom in waarborgen en in een grondslag om
bij of krachtens amvb voorwaarden en beperkingen aan alle gegevensverwerkingen op
grond van deze wet te kunnen stellen (artikel 1.8, eerste lid). Door naleving van
deze kaders, in combinatie met de bepalingen van de AVG, wordt een herhaling van situaties
als bij de toeslagenaffaire voorkomen.

3.5 Voorafgaande toetsende rol van de Autoriteit Persoonsgegevens

Vraag 95 (VVD)

De leden van de VVD-fractie lezen dat de AP een belangrijke toetsende rol zal gaan
spelen met betrekking tot concrete gegevensverwerkingen in samenwerkingsverbanden.
Overwegende dat de AP, naast haar toekomstige toetsende rol, ook een dagelijkse adviserende
rol heeft, vragen deze leden in hoeverre de nieuwe toetsende rol kan worden uitgevoerd
door de AP. Ook gegeven haar huidige capaciteiten, zowel bezien vanuit expertise als
vanuit de uitvoering. Welke mogelijkheden zijn er om toch over te gaan tot gegevensverwerking
in samenwerkingsverbanden als een voorgeschreven voorafgaande raadpleging van de AP
niet kan worden afgewacht? Kan dan toetsing achteraf plaatsvinden? Welke waarborgen
zijn getroffen in het wetsvoorstel om te voorkomen dat uitvoering van de wet de facto
afhankelijk wordt van dit zelfstandig bestuursorgaan? De leden van de VVD-fractie
wijzen op de lessen die kunnen worden getrokken naar aanleiding van de uitwisseling
van informatie bij de Belastingdienst. Gezamenlijke uitwisseling van gegevens en data-analyse
kan grote meerwaarde hebben bij de vervolging van criminelen en het voorkomen van
criminaliteit, maar verkeerde inschattingen van deelnemers om gegevens te verwerken
kunnen grote gevolgen hebben voor burgers. Voor gezamenlijke data-analyse is vooraf
toestemming vereist van de AP. Kan de regering motiveren waarom is gekozen voor deze
constructie? Gaat dit niet teveel ten koste van de effectiviteit van data-analyse?
Is de AP toegerust om een afweging te maken tussen het belang van gegevensverwerking
voor het belang van opsporing en criminaliteitsbestrijding enerzijds en privacy anderzijds?
Wat zal de AP nu anders gaan doen bij het geven van toestemming dan dat ze nu al doet
in haar rol als privacytoezichthouder? Krijgt de AP meer ruimte, zodat ze verwerkingen
die nu nog niet mogen, als dat nodig is voor criminaliteitsbestrijding kunnen toestaan?
Zijn er alternatieven overwogen, zoals een toets van een rechter-commissaris?

Voor het antwoord op deze vragen wordt verwezen naar het antwoord op vraag 39.

Vraag 96 (VVD)

Op welke wijze is in de samenwerkingsverbanden geborgd dat criminaliteitsbestrijding
zo transparant en rechtvaardig mogelijk is? Graag ontvangen de leden van de VVD-fractie
een reactie hierop van de regering.

Transparantie is het uitgangspunt, zoals toegelicht in paragraaf 3.4 van deze memorie
van toelichting. Op grond van de AVG gelden informatieplichten jegens betrokkenen,
maar hierop bestaan uitzonderingsgronden. Zo geldt onder meer een uitzondering indien
het verstrekken van de informatie de verwezenlijking van de doeleinden van die verwerking
onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen (artikel 14,
vijfde lid, onderdeel b, AVG). In aanvulling op paragraaf 3.4 merken wij op dat voorkomen
moet worden dat potentiële criminelen een kijkje in de keuken hebben kunnen nemen
en hun kennis over de informatiepositie en werkwijze van de handhavingsorganisaties
kunnen uitbreiden. Als (volledig) bekend wordt wat de werkwijze is, is er het risico
dat degenen op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de
bruikbaarheid van bijvoorbeeld een profiel en de effectiviteit van het toezicht worden
verminderd.

Het wetsvoorstel bevat specifieke transparantieverplichtingen binnen de grenzen van
het mogelijke: indien een samenwerkingsverband gezamenlijke geautomatiseerde gegevensanalyse
verricht, verschaft het, voor zover naar het oordeel van een deelnemer zwaarwegende
redenen zich daartegen niet verzetten, op een voor het publiek toegankelijke wijze
uitleg over de gehanteerde patronen en indicatoren of andere onderliggende logica
(artikel 1.9, derde lid).

Het wetsvoorstel schrijft bovendien voor dat het samenwerkingsverband jaarlijks een
jaarverslag opstelt waarin een verantwoording wordt gegeven van de effectiviteit en
bruikbaarheid van de resultaten van de gegevensverwerking door het verband (artikel
1.12).

Vraag 97 (VVD)

Het verstrekken van belastinggegevens door de Belastingdienst aan de politie, in de
fase waarin nog geen sprake is van een strafrechtelijke verdenking, zou kunnen helpen
voor het slagvaardig optreden bij het aantreffen van onverklaarbaar vermogen en voor
het acteren bij verdachte transacties. Welke ruimte ziet de regering tot dergelijke
afspraken te komen?

Hierin is in beginsel voorzien door het wetsvoorstel. Het voorgestelde artikel 1.5,
eerste lid, bevat een verplichting voor de deelnemers van het samenwerkingsverband
om de aangewezen categorieën gegevens te verstrekken aan het samenwerkingsverband
voor zover dat noodzakelijk is voor de vervulling van het doel van het samenwerkingsverband.
Artikel 1.5, eerste lid, doorbreekt tevens geheimhoudingsbepalingen uit andere wetten,
wanneer die de ruimte bevatten om bij wettelijk voorschrift van de geheimhoudingsplicht
af te wijken. Het gaat dan onder meer om de geheimhoudingsplicht uit artikel 67 van
de Algemene wet inzake rijksbelastingen. Dit betekent dat het wetsvoorstel ook verplicht
tot gegevensverstrekking door de Belastingdienst (indien deze deelneemt aan een samenwerkingsverband).
Als de politie eveneens deelneemt aan het samenwerkingsverband, kan zij de resultaten
van de gezamenlijke gegevensverwerking ontvangen indien dit nodig is voor haar taak,
wanneer deze taak verenigbaar is met het doel van het samenwerkingsverband (artikel
1.7, eerste lid). Wat betreft het door de leden van de VVD-fractie in deze vraag genoemde
voorbeeld inzake slagvaardig optreden bij het aantreffen van onverklaarbaar vermogen
geldt dat iCOV hierin een belangrijke rol vervult.

Vraag 98 (CDA)

De leden van de CDA-fractie lezen dat op grond van artikel 36, vierde lid, van de
AVG de AP een toetsende rol vooraf heeft met betrekking tot concrete gegevensverwerkingen
in samenwerkingsverbanden. Zij vragen de regering hoe een dergelijke toetsing in de
praktijk eruit ziet? Heeft de AP op dit moment in andere gevallen een dergelijke toetsende
rol vooraf? Ook vragen deze leden aan de regering of een dergelijke toetsende rol
vooraf niet tot onnodige verstarring en bureaucratie gaat leiden. Welke gevolgen heeft
het als de AP na toetsing een negatief advies uitbrengt?

Voor het antwoord op deze vragen wordt verwezen naar het antwoord op vraag 39.

Vraag 99 (D66)

De leden van de D66-fractie verwijzen naar de SyRI uitspraak waarin wordt gesproken
(r.o. 6.97–6.99) over een integrale toets vooraf door een onafhankelijke derde wanneer
sprake is van op grote schaal systematisch analyseren van gegevens. Die noodzakelijkheidstoets
raakt zowel het doelbindingsbeginsel als het dataminimalisatiebeginsel. Voornoemde
leden vragen hoe deze noodzakelijkheidstoets is vormgegeven in dit wetsvoorstel. Zij
vernemen dat er een voorafgaande toetsende rol is van de AP, maar alleen wanneer de
uitkomst van de gegevensbeschermingseffectbeoordeling is dat sprake is van een hoog
risico wanneer het samenwerkingsverband geen maatregelen neemt om het risico te beperken.
Waarom is er niet voor gekozen de AP altijd vooraf te laten adviseren over het systematisch
analyseren van data? Is nu de voorgestelde toetsende rol van de AP bindend? Wat gebeurt
er wanneer de AP negatief adviseert?

Voor het antwoord op deze vragen wordt verwezen naar het antwoord op vraag 39.

Vraag 100 (D66)

Is de regering van mening dat op dit punt deze wetgeving de «SyRI-toets» doorstaat?

Ja, de regering is van mening dat dit wetsvoorstel de «SyRI-toets» doorstaat. Voor
de onderbouwing verwijst de regering de leden van de D66-fractie naar de beantwoording
van de vragen van de leden van de ChristenUnie-fractie en de leden van de Partij voor
de Dieren-fractie (vragen 24 en 89).

Vraag 101 (GroenLinks)

De leden van de GroenLinks-fractie vragen welke praktische gevolgen dit wetsvoorstel
zal hebben voor de betrokkenheid van de Uitvoeringswet AVG in het algemeen en de positie
van de AP in het bijzonder. Welke rol heeft de AP precies in het voorafgaande toezicht
op de samenwerkingsverbanden en is de AP in staat om deze rol ook adequaat te vervullen?
Hoe bindend is de uitkomst van de raadpleging van de AP voor samenwerkingsverbanden?
Kan een oordeel van de AP terzijde worden geschoven? Graag ontvangen deze leden een
toelichting hierop.

Voor het antwoord op deze vragen wordt verwezen naar het antwoord op vraag 39.

4. In de wet aangewezen samenwerkingsverbanden

Vraag 102 (VVD)

De leden van de VVD-fractie vragen op welke wijze is gewaarborgd dat samenwerkingsverbanden
en deelnemende partijen afzonderlijk effectief aanspreekbaar zijn voor degenen die
politieke verantwoordelijkheid dragen voor de deelnemende partijen? De Afdeling heeft
in dit kader ook zorgen geuit over de verantwoordelijkheid voor de gegevensverwerking.
Op welke wijze is het samenwerkingsverband als geheel effectief aanspreekbaar voor
degene die politieke verantwoordelijkheid draagt? Kan de regering per samenwerkingsverband
aangeven wie politiek verantwoordelijk en aanspreekbaar is en ook hoe verantwoording
wordt afgelegd?

Op de vragen van de leden van de VVD-fractie over de politieke verantwoordelijkheid
voor de samenwerkingsverbanden, kan de regering aangeven dat de bestuursorganen die
momenteel politiek verantwoordelijk zijn voor de deelnemende partijen en de beleidsterreinen
waarop zij opereren, dat onverkort blijven onder dit wetsvoorstel. Door aanwijzing
van de samenwerkingsverbanden, de vaststelling van het doel en de aanwijzing van deelnemers,
meent de regering tegemoet te zijn gekomen aan het bezwaar van de Afdeling dat de
verantwoordelijkheid voor de gezamenlijke gegevensverwerking onduidelijk was belegd.
De regering acht het van belang dat de deelnemers aan een samenwerkingsverband de
gezamenlijke verwerkingsverantwoordelijkheid als bedoeld in artikel 26 van de AVG
voor de gezamenlijke gegevensverwerking in het samenwerkingsverband dragen. Gelet
op het feit dat dit wetsvoorstel geen nieuwe juridische entiteiten creëert, geen nieuwe
taken en bevoegdheden aan de deelnemers toekent en evenmin nieuwe taken en bevoegdheden
aan het samenwerkingsverband als zodanig toekent, wordt daarmee aangesloten bij de
bestaande situatie waarin elke deelnemer aan een samenwerkingsverband deelneemt vanuit
de verantwoordelijkheid voor de eigen taken en bevoegdheden en ook volledig verantwoordelijk
is en blijft voor de uitoefening daarvan. Met dit uitgangspunt verdraagt zich niet
dat één of enkele deelnemers verantwoordelijk zouden worden voor de gegevensverwerking
ten behoeve van de uitoefening van taken en bevoegdheden van een andere partij.

Als gevolg van deze keuze kan de politieke verantwoordelijkheid voor een samenwerkingsverband
bij meerdere bestuursorganen berusten waaronder de deelnemers ressorteren. Zo zullen
bij het FEC de verantwoordelijke bewindspersonen van het Ministerie van Financiën
en Justitie en Veiligheid door het parlement aanspreekbaar zijn; bij iCOV de verantwoordelijke
bewindspersonen van de Ministeries van Justitie en Veiligheid en van Financiën, Sociale
Zaken en Werkgelegenheid, Infrastructuur en Waterstaat en Economische Zaken en Klimaat
door het parlement; bij de RIEC’s de verantwoordelijke bewindspersonen van de Ministeries
van Justitie en Veiligheid, Financiën, Sociale Zaken en Werkgelegenheid, Economische
Zaken en Klimaat en Defensie, alsmede de burgemeester en het college van burgemeester
en wethouders door de gemeenteraad en het provinciebestuur door provinciale staten;
bij de ZVH de verantwoordelijke bewindspersonen van de Ministeries van Justitie en
Veiligheid en Volksgezondheid, Welzijn en Sport, alsmede de burgemeester en het college
van burgemeester en wethouders door de gemeenteraad. Het parlement en de gemeenteraad
kunnen hun wettelijke controlebevoegdheden uitoefenen om de voornoemde bestuursorganen
aan te spreken op de gezamenlijke gegevensverwerking door samenwerkingsverbanden.

Vraag 103 (VVD)

Daarnaast is het zo dat intergemeentelijke informatie uitwisseling nog steeds niet
mogelijk is vanwege beperkingen in sectorale wetgeving waar gemeenten aan gehouden
zijn. Wat voor oplossing ziet de regering hiervoor?

De regering begrijpt de vraag van de leden van de VVD-fractie aldus dat deze betrekking
heeft op de mogelijkheden voor informatie-uitwisseling binnen een gemeente bij de
aanpak van ondermijnende criminaliteit. Een adequate informatiepositie voor gemeenten
is volgens de regering van groot belang voor een optimale bestuurlijke bijdrage van
gemeenten aan de aanpak van ondermijning. Bij brieven van 6 juni 2019 en 11 november
2019 (Kamerstukken II 2019/20, 29 911, nr. 244 en nr. 259) heb ik uw Kamer geïnformeerd over de Voorlichting die de Afdeling advisering
van de Raad van State heeft uitgebracht naar aanleiding van de wens van gemeenten
om de mogelijkheid te krijgen om dwarsverbanden te leggen tussen de informatie waarover
zij beschikken op grond van diverse taken en om meer te kunnen doen met signalen van
ondermijning. In mijn voornoemde brief van 6 juni 2019 heb ik uw Kamer laten weten
dat ik de aanbevelingen van de Afdeling stapsgewijs opvolg. Aan de eerste stap is
reeds gevolg gegeven: bij brief van 20 februari 2020 (Kamerstukken II 2019/20, 29 911, nr. 272) heb ik uw Kamer het model privacy protocol «Handleiding binnengemeentelijke gegevensuitwisseling
ten behoeve van de bestrijding van ondermijning» gezonden.

Het modelprivacyprotocol maakt inzichtelijk op welke wijze de informatiedeling binnen
een gemeente kan worden ingericht. Het beschrijft aan de hand van een stappenplan
welke mogelijkheden gemeenten hebben om dat op een rechtmatige manier te doen, waarbij
rekening wordt gehouden met de grenzen van de AVG en geldende wetgeving om informatie
binnengemeentelijk te kunnen delen. Bij het opstellen van het model privacy protocol
is in kaart gebracht welke (sectorale) wetten een basis bieden voor het verder verwerken
van gegevens die onder sectorale wetgeving zijn verkregen. De komende tijd vinden
er diverse bijeenkomsten plaats om het modelprotocol aan gemeenten toe te lichten.
Dat biedt gemeenten tevens de mogelijkheid om concrete casuïstiek te bespreken, waardoor
voorbeelden en knelpunten kunnen worden opgehaald die als versteviging kunnen worden
toegevoegd aan het modelprivacyprotocol. Mochten in de praktijk ervaren knelpunten
niet weggenomen kunnen worden met het modelprivacyprotocol, dan zal als tweede stap
(die de Afdeling advisering van de Raad van State voorstelt) worden bezien welke andere
oplossingen mogelijk zijn. Daarbij kan ook wijziging van sectorale wetgeving aan de
orde zijn.

De WGS kan gemeenten ook meer mogelijkheden bieden in de integrale en bestuurlijke
aanpak van ondermijning. Burgemeesters en colleges van burgemeester en wethouders
worden namelijk als vaste deelnemers aangewezen aan de RIEC’s. Als deelnemers aan
de RIEC’s kunnen zij met het oog op de bestrijding van georganiseerde criminaliteit
met andere deelnemers gezamenlijk gegevens verwerken voor zover dat noodzakelijk is
voor de uitoefening van hun wettelijke taken en bevoegdheden op het terrein van bestuursrechtelijke
en fiscaalrechtelijke handhaving. Burgemeesters en colleges van burgemeester en wethouders
kunnen ten behoeve van het aanwijzen en analyseren van handhavingsknelpunten alsmede
het voeren van casusoverleggen, gegevens inbrengen in de RIEC’s die afkomstig zijn
van verschillende onderdelen van een gemeente wanneer er signalen zijn van ondermijning
en georganiseerde criminaliteit en gegevens daarover uitwisselen met andere deelnemers.
Daarbij kunnen zij – bij de verwerking van (persoons)gegevens in RIEC-verband – gebruik
maken van de grondslagen die de WGS biedt voor verstrekking aan het samenwerkingsverband
alsmede voor de verwerking van persoonsgegevens van strafrechtelijke aard en bijzondere
categorieën van persoonsgegevens alsmede van uitzonderingen op geheimhoudingsplichten
in bestaande sectorale wetgeving. Hoewel de WGS als zodanig geen voorziening biedt
voor de binnengemeentelijke informatie-uitwisseling ter bestrijding van ondermijning,
kan de WGS op het terrein van de RIEC’s dus wel een meerwaarde hebben voor gemeenten
in dit verband. Bij het bezien welke andere oplossingen mogelijk zijn voor knelpunten
die niet met het modelprivacyprocotol kunnen worden opgelost, wordt ook bekeken in
hoeverre de regeling voor de RIEC’s in de WGS tegemoet kan komen aan de wens van gemeenten
om meer mogelijkheden te hebben voor informatie-uitwisseling in het kader van de aanpak
van ondermijning en georganiseerde criminaliteit.

Vraag 104 (CDA)

De leden van de CDA-fractie constateren dat onderhavig wetsvoorstel aan vier samenwerkingsverbanden
een wettelijke basis geeft en daarmee ook een basis geeft voor onderlinge gegevensverwerking.
Deze leden vragen de regering of onderhavig wetsvoorstel ook een oplossing kan bieden
voor informatiedeling binnen een organisatie, bijvoorbeeld een gemeente. Deze leden
signaleren dat op dit moment informatiedeling binnen de gemeentelijke organisatie
vaak niet (goed) mogelijk is, bijvoorbeeld tussen de domeinen zorg en veiligheid.

De voorgenoemde leden vragen de regering wat er geregeld wordt voor informatiedeling
tussen de vier genoemde samenwerkingsverbanden, in het bijzonder informatiedeling
tussen de RIEC’s en de Zorg- en Veiligheidshuizen. De aan het woord zijnde leden signaleren
dat de aanpak van jeugdigen en het voorkomen van verdere recidive bij specifieke jeugdigen
op het grensvlak van beide samenwerkingsverbanden ligt, waardoor informatiedeling
op dat terrein van meerwaarde kan zijn. Hoe ziet de regering dat?

Dit wetsvoorstel biedt een wettelijke basis voor de gezamenlijke gegevensverwerking
van samenwerkingsverbanden, die in de regel bestaan uit deelnemers van verschillende
organisaties. Het wetsvoorstel biedt in beginsel geen regeling voor informatiedeling
binnen een organisatie, zoals een gemeente. Wel kan de WGS meerwaarde hebben voor
gemeenten doordat de burgemeester en het college van burgemeester en wethouders als
vaste deelnemers worden aangewezen van zowel de RIEC’s als de ZVH. Over de meerwaarde
die de WGS voor gemeenten als deelnemer aan de RIEC’s kan hebben bij de informatie-uitwisseling
in het kader van de integrale en bestuurlijke aanpak van ondermijning en georganiseerde
criminaliteit, is hiervoor ingegaan (vraag 103). Daarnaast kan de WGS van toegevoegde
waarde zijn voor informatiedeling voor gemeenten op het terrein van zorg en veiligheid.
Burgemeesters en colleges van burgemeester en wethouders worden namelijk als vaste
deelnemers aangewezen aan de ZVH. Als deelnemers aan de ZVH kunnen zij met het oog
op de behandeling van complexe casuïstiek op het snijvlak van zorg en veiligheid met
andere deelnemers gezamenlijk gegevens verwerken voor zover dat noodzakelijk is voor
de uitoefening, afstemming, coördinatie en inzet van de wettelijke taken en bevoegdheden
waarmee de deelnemers zijn belast en daaraan gerelateerde noodzakelijke werkzaamheden
op het terrein van strafrechtelijke en bestuursrechtelijke handhaving alsmede begeleiding
en zorg- en hulpverlening in het belang van het voorkomen van verminderen en bestrijden
van criminaliteit, en ernstige overlast en het voorkomen en verminderen van onveilige
situaties voor personen binnen een gebied. Burgemeesters en colleges van burgemeester
en wethouders kunnen ten behoeve van het voeren van casusoverleggen gegevens inbrengen
in de ZVH die afkomstig zijn van verschillende onderdelen van een gemeente wanneer
er sprake is van complexe casuïstiek op het snijvlak van zorg en veiligheid en dan
kunnen zij gegevens daarover uitwisselen met andere deelnemers. Daarbij kunnen zij
in het kader van de ZVH gebruikmaken van de grondslagen die de WGS biedt voor verstrekking
aan het samenwerkingsverband alsmede voor de verwerking van persoonsgegevens van strafrechtelijke
aard en bijzondere categorieën van persoonsgegevens, namelijk gezondheidsgegevens,
alsmede van uitzonderingen op geheimhoudingsplichten in bestaande sectorale wetgeving.

Dit wetsvoorstel behelst geen regeling voor informatiedeling tussen de vier genoemde
samenwerkingsverbanden. Dit wetsvoorstel regelt de gezamenlijke gegevensverwerking
voor vier samenwerkingsverbanden. Het doel, de werkwijze, en de aard van de gegevens
die aan de orde kunnen zijn bij de verschillende samenwerkingsverbanden is soms fundamenteel
verschillend. Dit speelt met name bij de ZVH ten opzichte van de andere drie samenwerkingsverbanden.
De doelen en werkwijzen van de samenwerkingsverbanden liggen te ver uit elkaar om
hiervoor een generieke regeling te treffen die voldoet aan de eisen die AVG en de
Grondwet stellen, en waarop de Afdeling advisering van de Raad van State ook wijst.
In specifieke gevallen kan de verwerking van bepaalde gegevens bijvoorbeeld zowel
binnen de doelstelling van een RIEC als binnen de doelstelling van een Zorg- en Veiligheidshuis
passen. Omdat het wetsvoorstel niet voorziet in de mogelijkheid om tussen de vier
samenwerkingsverbanden gegevens te delen, zal dit moeten worden opgelost door zowel
binnen het RIEC als binnen het Zorg- en Veiligheidshuis dezelfde informatievraag met
betrekking tot een bepaalde casus in te brengen. Dit wetsvoorstel regelt wel de mogelijkheid
om gegevens uit te wisselen tussen Zorg- en Veiligheidshuizen onderling en de RIEC’s
onderling, als dit noodzakelijk is gelet op het doel van de Zorg- en Veiligheidshuizen,
respectievelijk het doel van de RIEC’s.

Vraag 105 (CDA)

De aan het woord zijnde leden willen weten hoe de regering een mogelijkheid van een
samenwerkingsverband met enkel notarissen beoordeeld. Een dergelijk samenwerkingsverband
zou onder het huidige wetsvoorstel niet mogelijk zijn omdat het verband dan enkel
uit private partijen bestaat, maar het zou wel van meerwaarde zijn als notarissen
elkaar van informatie kunnen voorzien waar het gaat om twijfelachtige transacties
of personen. De leden van de CDA-fractie vragen een reactie van de regering hierop.

Zoals op 18 juni jl. gemeld in de Kamerbrief «Uitwerking breed offensief tegen georganiseerde
ondermijnende criminaliteit»31, is bezien of het notariaat onderling meer gegevens over cliënten kan delen. Dit
is reeds mogelijk onder de vigerende wetgeving met een vergunning van de Autoriteit
persoonsgegevens. Het is primair aan de beroepsgroep om een vergunningaanvraag in
te dienen. De KNB heeft aangegeven de beoordeling van de Autoriteit persoonsgegevens
met betrekking tot een soortgelijke aanvraag van de banken met belangstelling te volgen.
Over andere mogelijkheden voor samenwerking wordt het overleg voortgezet.

Vraag 106 (GroenLinks)

De leden van de GroenLinks-fractie vragen hoe dit wetsvoorstel zich verhoudt tot reeds
bestaande overheidsbevoegdheden en samenwerkingsverbanden. De Belastingdienst bijvoorbeeld
heeft convenanten met heel veel samenwerkingsverbanden. Kan via de Belastingdienst
informatie van het ene samenwerkingsverband bij het andere samenwerkingsverband landen?
Zo nee, hoe wordt dat dan in de praktijk voorkomen? De leden vragen zich verder af
wat de rol van de inlichtingen- en veiligheidsdiensten precies is. Krijgen zij toegang
tot de door samenwerkingsverbanden gedeelde en verwerkte persoonsgegevens? Zo ja,
geldt hiervoor een notificatieverplichting?

Dit wetsvoorstel creëert grondslagen voor de verstrekking van gegevens aan samenwerkingsverbanden
die onder dit wetsvoorstel vallen, de verwerking van gegevens door of binnen deze
samenwerkingsverbanden en de verstrekking van resultaten vanuit deze samenwerkingsverbanden
aan deelnemers en derden. Dit wetsvoorstel laat bestaande wettelijke grondslagen voor
informatieverstrekking en -uitwisseling door afzonderlijke deelnemers (zoals de rijksbelastingdienst)
van samenwerkingsverbanden intact. De WGS heeft niet tot doel een exclusief regime
voor gegevensverwerking door samenwerkingsverbanden te creëren. Zij heeft dan ook
geen implicaties voor de talloze bestaande samenwerkingsverbanden die binnen de grenzen
van het huidige recht voldoende ruimte hebben om op de door hen gewenste wijze persoonsgegevens
te verwerken. Voor zover de rijksbelastingdienst nu op grond van convenanten die zijn
gebaseerd op bestaande wettelijke grondslagen gegevens inbrengt in verschillende samenwerkingsverbanden
die niet onder dit wetsvoorstel vallen, blijft dat mogelijk. Artikel 1.2, tweede lid,
stelt dat buiten twijfel: «Deze wet laat onverlet dat deelnemers van een samenwerkingsverband
onderling gegevens kunnen blijven verwerken bij of krachtens een andere dan deze wet.»

Voor de gezamenlijke gegevensverwerking door het FEC, iCOV en RIEC, waaraan de rijksbelastingdienst
deelneemt, regelt dit wetsvoorstel voor welke doelen, voor de uitoefening van welke
taken en bevoegdheden de rijksbelastingdienst welke gegevens mag verstrekken en verwerken
(de voorgestelde artikelen 2.4, 2.12 en 2.24) en aan wie onder welke voorwaarden de
resultaten van de gezamenlijke verwerking mogen worden doorverstrekt. Wanneer de rijksbelastingdienst
gezamenlijk gegevens verwerkt in het kader van het FEC, iCOV en RIEC stelt dit wetsvoorstel
daar dus duidelijke begrenzingen aan.

Naast de rechtstreeks werkende eisen van de AVG ter zake van rechtmatige persoonsgegevensverwerking
waaraan deelnemers zich moeten houden, stelt de WGS waarborgen die deelnemers aan
de onder dit wetsvoorstel vallende samenwerkingsverbanden dwingen deze begrenzingen
in acht te nemen. Zo bevat het voorgestelde artikel 1.8 termijnen voor de verwerking
van gegevens en de verplichting persoonsgegevens na afloop van die termijn te vernietigen
of te anonimiseren (zevende lid). Daarnaast dient het samenwerkingsverband ingevolge
het voorgestelde artikel 1.10 periodieke privacy audits te verrichten waarbij de uitvoering
van de regels van dit wetsvoorstel en de AVG worden gecontroleerd. Een afschrift van
de resultaten van de controle-resultaten moeten aan de Autoriteit persoonsgegevens
worden gezonden. Er geldt een geheimhoudingsplicht voor eenieder die betrokken is
bij het samenwerkingsverband (het voorgestelde artikel 1.11). Ook dienen de samenwerkingsverbanden
een jaarverslag op te stellen en in dit verslag op internet te plaatsen (het voorgestelde
artikel 1.12). In het geval van onregelmatigheden is de Autoriteit persoonsgegevens
bevoegd om op te treden.

Dit wetsvoorstel kent geen nieuwe taken of bevoegdheden of een speciale rol toe aan
de inlichtingen- en veiligheidsdiensten. De wettelijke taken en bevoegdheden van de
AIVD en MIVD zijn geregeld in de Wet op de inlichtingen- en veiligheidsdiensten. Dit
wetsvoorstel brengt daar geen wijzigingen in aan.

Vraag 107 (SP)

De leden van de SP-fractie vragen wat de reactie van de regering is op de oproep van
de Koninklijke Notariële Beroepsorganisatie (KNB) om de geheimhoudingsplicht voor
notarissen in stand te houden en in het wetsvoorstel dus een uitzondering op te nemen
voor gegevens van cliënten die onder de geheimhoudingsplicht van de notaris vallen
en het daaraan gekoppelde wettelijke verschoningsrecht. Ziet de regering een rol voor
notarissen in het verstrekken van gegevens in samenwerkingsverband? Zo ja, hoe ziet
zij die rol dan precies?

Het aanwijzen van notarissen als deelnemer is niet aan de orde.

Vraag 108 (SP)

Klopt het, zo vragen de aan het woord zijnde leden voorts, dat deze wet ten aanzien
van binnengemeentelijke informatiedeling geen oplossing biedt?

Voor de beantwoording van deze vraag, verwijst de regering naar de beantwoording van
de vragen van de leden van de VVD-fractie en de leden van de CDA-fractie over dit
onderwerp (vragen 103 en 104).

Vraag 109 (ChristenUnie)

De leden van de ChristenUnie-fractie constateren dat gemeenten en samenwerkingsverbanden
niet alleen problemen in de gegevensdeling onderling kennen, maar ook binnen de eigen
organisatie. Een bekend voorbeeld hiervan is de re-integratie van tbs’ers waarbij
de gemeentelijke schuldhulpverlening en zorginstanties geholpen kunnen zijn bij informatiedeling.
Zij vragen of de wet hiertoe ook mogelijkheden biedt? Voorts vragen zij of door de
regering afdoende gebruik wordt gemaakt van de mogelijkheid die artikel 18a, zesde
lid, van de Wet straffen en beschermen biedt voor gegevensdeling bij re-integratie.

Voor de beantwoording van de vragen van de leden van de ChristenUnie-fractie over
de mogelijkheden voor informatiedeling binnen gemeenten en binnen de eigen organisatie
van andere deelnemers van samenwerkingsverbanden, verwijst de regering naar de beantwoording
van de vragen van de leden van de VVD-fractie en de leden van de CDA-fractie over
dit onderwerp (vragen 103 en 104).

Dit wetsvoorstel is niet specifiek gericht op informatiedeling bij re-integratie van
tbs’ers.

Het door deze leden genoemde artikel 18a, zesde lid, van de Penitentiaire beginselenwet
(Pbw) dat is opgenomen in de Wet straffen en beschermen ziet evenmin op tbs’ers. Het
heeft uitsluitend betrekking op gedetineerden in de zin van de Pbw. Het gaat om een
grondslag voor gegevensverstrekking tussen DJI, gemeente en reclassering met het oog
op nazorg. Het biedt daarmee geen grondslag voor gegevensverstrekking aan andere partijen
of voor andere doelen. De inwerkingtreding van de Wet straffen en beschermen is voorzien
voor 1 mei 2021. Na de inwerkingtreding zal deze grondslag worden benut om gegevens
tussen voornoemde instanties uit te wisselen met het oog op het op orde krijgen van
de vijf basisvoorwaarden voor een delictvrij bestaan en de continuïteit van interventies
en zorgtrajecten.

Van de gegevensverwerking op grond van artikel 18a, zesde lid, Pbw, moet worden onderscheiden
de mogelijkheid waarin onderhavig wetsvoorstel voorziet om in Zorg- en Veiligheidshuizen
gezamenlijk gegevens te verwerken waar dat noodzakelijk is voor de behandeling van
complexe casuïstiek op het snijvlak van zorg en veiligheid. Naast DJI, gemeente en
reclassering, zijn ook andere instanties betrokken bij het Zorg- en Veiligheidshuis
en kunnen ook gegevens over andere doelgroepen dan gedetineerden (zoals tbs’ers),
in het Zorg- en Veiligheidshuis worden verwerkt.

Vraag 110 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen of de regering kan ingaan op
de juridische status van de samenwerkingsverbanden. Waarom is er niet voor gekozen
de samenwerkingsverbanden een juridische entiteit te laten worden en tegelijk de verantwoordelijkheden
zoals die nu belegd zijn bij de deelnemers te behouden? In hoeverre is vol te houden
dat deze samenwerkingsverbanden geen juridische entiteiten zijn als de samenwerkingsverbanden
wel gemandateerde beslissingsbevoegdheden kunnen krijgen? De regering geeft aan dat
regelingen getroffen moeten worden voor de huisvesting, ICT-voorzieningen, ondersteuning
en personeel. Is dan vol te houden dat er geen sprake is van een juridische entiteit?

De aanwijzing van de samenwerkingsverbanden in de zin van dit wetsvoorstel heeft inderdaad
nadrukkelijk niet tot gevolg dat er een juridische entiteit ontstaat waaraan nieuwe
eigenstandige taken en bevoegdheden – bijvoorbeeld op het terrein van de bestrijding
van georganiseerde criminaliteit – worden toebedeeld. De WGS maakt gezamenlijke gegevensverwerking
mogelijk bij de uitoefening van de bestaande taken en bevoegdheden van de deelnemers.
Deze gezamenlijke gegevensverwerking op grond van deze wet staat dus ten dienste aan
de bestaande taken en bevoegdheden van de deelnemers. De reden is dat aan dit wetsvoorstel
de maatschappelijke behoefte ten grondslag ligt aan meer mogelijkheden voor bestaande
organisaties om in samenwerkingsverbanden informatie te kunnen uitwisselen en gegevens
gezamenlijk te kunnen verwerken teneinde de integrale aanpak van verschillende vormen
van criminaliteit te versterken. In het wetsvoorstel is daarom, zoals gezegd, het
uitgangspunt dat de gezamenlijke verwerking van persoonsgegevens en andere relevante
gegevens ten dienste staat aan de uitoefening van de bestaande wettelijke taken en
bevoegdheden van de bestaande organisaties of juridische entiteiten die deelnemen
aan de samenwerkingsverbanden, zoals de politie, het OM en gemeentelijke bestuursorganen.
Voor zover dit wetsvoorstel regels bevat over de juridische verhoudingen tussen de
deelnemers, hebben die uitsluitend betrekking op de nadere uitwerking van de eisen
die de AVG stelt ter zake van de gezamenlijke verwerking, zoals de gezamenlijke verwerkingsverantwoordelijkheid.
Bovendien biedt het wetsvoorstel de mogelijkheid om – onder voorwaarden – geautomatiseerde
gegevensanalyses uit te voeren met het oog op de uitoefening van de bestaande wettelijke
taken en bevoegdheden van de afzonderlijke deelnemers.

De regeling van de organisatie, inrichting, positionering en het beheer van het samenwerkingsverband
is, voor zover daar behoefte aan is en het wetsvoorstel er niet in voorziet, voorbehouden
aan de deelnemers. Een samenwerkingsverband vraagt inderdaad om ondersteuning in de
vorm van huisvesting, ICT-voorzieningen, ondersteuning en personeel. Daar zijn verschillende
modaliteiten voor denkbaar die niet vereisen dat het samenwerkingsverband als zodanig
een juridische entiteit met eigen bevoegdheden wordt.

Deelnemers kunnen hun eigen voorzieningen aan elkaar ter beschikking stellen of afspraken
maken over gezamenlijk gebruik van deze voorzieningen en elkaar daarbij mandaat of
volmacht verlenen, met inachtneming van de regels van de Algemene wet bestuursrecht
en het Burgerlijk Wetboek. Mandaat of volmacht wordt dus in voorkomende gevallen verleend
aan de deelnemers en niet aan het samenwerkingsverband als zodanig.

4.1 Het Financieel Expertisecentrum (FEC)

Vraag 111 (VVD)

De leden van de VVD-fractie constateren dat aan het FEC, als één van de voorgestelde
samenwerkingsverbanden, ook het programma FEC terrorismefinanciering verbonden. Van
de deelnemende partijen zoals de Immigratie- en Naturalisatiedienst (IND), de Koninklijke
marechaussee, het Bureau Financieel Toezicht (BFT) en de Algemene Inlichtingen- en
Veiligheidsdiensten (AIVD) beperkt hun deelname zich tot het verstrekken van gegevens
en het verkrijgen van informatieproducten uit het programma. Hoe verhoudt deze taakverdeling
zich tot het takenpakket van andere deelnemers van het programma FEC terrorismefinanciering
zoals het OM, de politie, de Financial Intelligence Unit-Nederland, de Belastingdienst,
de Fiscale Inlichtingen- en Opsporingsdienst (FIOD), de Autoriteit Financiële markten
en de Nederlandsche bank?

Overwegende dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV)
als taak heeft het risico op terroristische aanslagen in Nederland zoveel mogelijk
te verkleinen, vragen deze leden waarom de NCTV geen onderdeel uitmaakt van het programma
FEC terrorismefinanciering?

De NCTV beschikt niet over toezichthoudende of operationele bevoegdheden. Samenwerking
tussen NCTV en het FEC is mogelijk – zonder persoonsgegevens te leveren – doordat
ten aanzien van (niet subject-gerelateerde) trends en fenomenen informatie kan worden
uitgewisseld.

Vraag 112 (D66)

De leden van de D66-fractie lezen dat, naast de in artikel 2.3 genoemde deelnemers
aan het FEC, ook een aantal private partijen (banen en verzekeraars) samenwerken met
het FEC. Deze leden vragen waarom deze private partijen niet zijn opgenomen als deelnemer.
Dezelfde vraag geldt ten aanzien van de partijen die niet in artikel 2.3 zijn genoemd,
maar wel deelnemen aan het programma FEC terrorismefinanciering. Voornoemde leden
vragen zich voorts af waarom de door de regering genoemde waarborgen, zoals aanwijzing
van een regisseur of vastlegging van het GAZO-principe niet in de wet zijn opgenomen.
Deze leden ontvangen op dit punt graag een toelichting.

De genoemde partijen zijn niet opgenomen als deelnemer omdat het voornemen bestaat
deze partijen op grond van het voorgestelde artikel 2.3, onderdeel h, bij amvb aan
te wijzen als deelnemer, waarbij hun deelname wordt beperkt tot daarbij beschreven
specifieke verwerkingen of onderdelen daarvan.

Het GAZO-principe (geen actie zonder overleg) houdt volgens artikel 4 van het Informatieprotocol
FEC 201932 in dat er geen gebruik mag worden gemaakt van de ingebrachte persoonsgegevens zonder
overleg met en instemming van de FEC-partner(s) waarvan de persoonsgegevens oorspronkelijk
afkomstig zijn.

Uit het voorgestelde artikel 1.7, eerste lid, volgt dat de resultaten van de gegevensverwerking
niet worden verstrekt als naar het oordeel van een of meer deelnemers op wier gegevens
de resultaten zijn gebaseerd, zwaarwegende redenen zich tegen de verstrekking verzetten.
De verstrekking van de resultaten aan een derde vindt niet plaats als een deelnemer
bezwaar heeft (artikel 1.7, tweede lid). Deze bepalingen zijn vergelijkbaar met het
GAZO-principe.

4.2 De Infobox Crimineel en Onverklaarbaar Vermogen (iCOV)

Vraag 113 (VVD)

De leden van de VVD-fractie lezen dat het samenwerkingsverband ICOV te maken had met
knelpunten door bestaande geheimhoudingsplichten. Er wordt gesteld dat het wetsvoorstel
een einde maakt aan dit knelpunt waardoor nu meer data van deelnemers aan het samenwerkingsverband
gecombineerd kunnen worden. Kan worden toegelicht hoe de geheimhoudingsplichten van
de deelnemende partijen van het ICOV eruit zien in het wetsvoorstel en hoe deze plicht
zich verhoudt tot de bestaande geheimhoudingsplichten?

Geheimhoudingsplichten gelden voor deelnemers van iCOV op grond van artikel 7 Wet
politiegegevens, artikel 52 Wet justitiële en strafvorderlijke gegevens en artikel
1:89 Wet op het financieel toezicht. Deze geheimhoudingsbepalingen laten het niet
toe dat een ander wettelijk voorschrift – namelijk de algemene verstrekkingsgrondslag
uit artikel 1.5 van het wetsvoorstel – daarop een uitzondering maakt. Daarom voegt
het wetsvoorstel uitzonderingen op die geheimhoudingsplichten toe in de voornoemde
wetten. Voor de Belastingdienst geldt – waar het de uitvoering van de Belastingwetten
betreft – de geheimhoudingsplicht op grond van artikel 67 van de Algemene wet inzake
rijksbelastingen (Awr). Deze geheimhoudingsplicht laat het wel toe dat een ander wettelijk
voorschrift daarop een uitzondering maakt. Dat betekent dat de algemene verstrekkingsgrondslag
uit artikel 1.5 van het wetsvoorstel een uitzondering vormt op artikel 67 Awr.

Vraag 114 (CDA)

De leden van de CDA-fractie constateren dat binnen een samenwerkingsverband zoals
het iCOV het mogelijk is door middel van rapportages inzichtelijk te maken waar het
criminele of fiscale vermogen wordt verborgen en/of welke relaties een bevraagd persoon
heeft. Deze leden begrijpen dat het iCOV alleen op verzoek werkt. Zij kunnen zich
voorstellen dat er bij het uitvoeren van een rapportage nieuwe informatie tot stand
komt, als resultaat van het met elkaar verbinden van afzonderlijke informatie. De
voorgenoemde leden vragen de regering in hoeverre deze nieuwe informatie gedeeld mag
worden binnen het samenwerkingsverband, bijvoorbeeld door een deelnemer te tippen
met de informatie, zodat een deelnemer erop kan acteren. Zit daar flexibiliteit in,
zodat ook onverwachte resultaten of informatie alsnog ingezet kan worden voor de uitvoering
van het doel van iCOV?

Ja, hier zit enige flexibiliteit in. Als het resultaat van de gegevensverwerking bestaat
uit sturingsinformatie in de zin van artikel 1.1, dan biedt artikel 1.7, eerste lid,
onder a, in samenhang gelezen met artikel 2.8, eerste lid, een basis voor verstrekking
van het resultaat aan een deelnemer voor zover de verstrekking noodzakelijk is voor
de vervulling van een publiekrechtelijke taak die aan de deelnemer is opgedragen,
wanneer deze taak verenigbaar is met het doel van het samenwerkingsverband. Dat de
gegevensanalyse volgens artikel 2.7 alleen op verzoek van een of meerdere deelnemers
plaatsvindt, sluit dus niet uit dat de resultaten aan een andere deelnemer dan de
verzoeker(s) worden verstrekt, zolang wordt voldaan aan artikel 1.7, eerste lid, onder
a, en artikel 2.8, eerste lid.

4.3 De Regionale Informatie- en Expertisecentra (RIEC’s)

Vraag 115 (VVD)

Het derde samenwerkingsverband dat met dit wetsvoorstel wettelijk wordt verankerd
betreffen de RIEC’s, zo merken de leden van de VVD-fractie op. Constaterende dat de
bevoegdheden van de deelnemers van de RIEC’s berusten op bestaande convenanten en
dat RIEC’s onderdeel zijn van de bestuurlijke aanpak georganiseerde misdaad en overwegende
dat de dreiging van de georganiseerde misdaad in Nederland toeneemt, in hoeverre biedt
het wetsvoorstel dan concreet mogelijkheden voor deelnemers aan de RIEC’s om meer
gegevens te kunnen delen? Op welke wijze is gewaarborgd dat flexibiliteit is verzekerd
voor de RIEC’s? Bij de aanpak van ondermijnende criminaliteit is het noodzakelijk
om als één overheid tijdig en efficiënt te kunnen optreden, ook binnen het samenwerkingsverband
van de RIEC’s. Het wetsvoorstel legt mogelijk een grote administratieve lastendruk
op aan de RIEC’s onder andere door het instellen van een rechtmatigheidsadviescommissie,
het opstellen van jaarplannen enzovoorts. Hier zal veel tijd mee gemoeid zijn wat
mogelijk ten koste gaat van de aanpak. Kan de regering hierop reflecteren?

In het wetsvoorstel wordt de bestaande praktijk van de RIEC’s, die nu is gebaseerd
op een convenant, gecodificeerd en toekomstbestendig gemaakt – binnen de grenzen die
de Afdeling advisering van de Raad van State stelt. De WGS biedt daarmee een duidelijk
juridisch kader voor de praktijk. Dit betekent dat de RIEC’s na inwerkingtreding van
de WGS hun bestaande praktijk ongewijzigd kunnen voortzetten. Daarbij biedt de WGS
juist het voordeel dat mogelijke onduidelijkheid over de rechtmatigheid van de huidige
praktijk wordt weggenomen. De regering heeft de zorgen van de stuurgroepen RIEC’s
over inflexibiliteit om in te spelen op toekomstige uitdagingen ter harte genomen
en het oorspronkelijke wetsvoorstel naar aanleiding daarvan op belangrijke punten
aangepast. Om de RIEC’s tegemoet te komen zijn in de WGS veel mogelijkheden gecreëerd
voor innovatie en toekomstige ontwikkelingen. Zo kunnen er bij amvb en binnen de grenzen
die de WGS daaraan stelt nieuwe deelnemers aan de RIEC’s worden toegevoegd en kunnen
er nieuwe activiteiten worden aangewezen, waaronder profilering. Ook kunnen er binnen
de kaders van de WGS nieuwe taken en bevoegdheden worden aangewezen waarvoor de deelnemers
gegevens kunnen uitwisselen en kunnen er zelfs nieuwe soorten gegevens worden toegevoegd.
Uiteraard zal de uitwerking samen met onder meer de RIEC’s moeten gebeuren en een
zorgvuldig proces moeten doorlopen. Nieuwe mogelijkheden voor de RIEC’s zullen vanzelfsprekend
ook aan de AVG moeten voldoen. Overigens is de genoemde verplichting tot het opstellen
van een jaarplan uit het ontwerpwetsvoorstel geschrapt naar aanleiding van de reactie
van de stuurgroepen RIEC’s.

De regering meent dat de WGS niet compleet is als er niet ook voldoende waarborgen
worden geregeld ter bescherming van de privacy. Het regelen van waarborgen is ook
een belangrijk eis die de Afdeling advisering van de Raad van State stelt aan een
wettelijke regeling voor gezamenlijke verwerking door samenwerkingsverbanden. Om ook
daarin de nodige flexibiliteit voor onder andere de RIEC’s te bereiken, voorziet het
wetsvoorstel in de mogelijkheid om bij of krachtens amvb nadere voorwaarden en beperkingen
aan de gegevensverwerking te stellen. Zorgen van de burgemeesters en de RIEC’s over
de invulling van de waarborgen daarvan, kunnen daarom worden geadresseerd bij de voorbereiding
van de amvb waarin de waarborgen nader worden uitgewerkt. Gelet op het voorgaande
is de regering van mening dat het aangepaste wetsvoorstel een zorgvuldig proces heeft
doorlopen, waarbij rekening is gehouden met de bestaande praktijk en de wensen van
de RIEC’s.

Vraag 116 (VVD)

Is de regering het met deze leden eens dat het wenselijk kan zijn dit eerder te evalueren
dan na vijf jaar?

Uitgangspunt is een termijn van vijf jaar (aanwijzing 5.58 Aanwijzingen voor de regelgeving).
Bij een termijn van minder dan vijf jaar moet er rekening mee worden gehouden dat
die termijn mogelijk te kort is voor een evaluatie, omdat er dan nog weinig ervaring
met de wet in de praktijk zal zijn opgedaan. In het geval van dit wetsvoorstel is
het vanwege de samenhang wenselijk om alle samenwerkingsverbanden die onder het bereik
van het wetsvoorstel vallen, in één gezamenlijke evaluatie te beoordelen. Een periode
die korter dan vijf jaar duurt, is derhalve te kort. Daarbij verdient opmerking dat
de evaluatie feitelijk reeds na ongeveer vier jaar moet worden gestart om te kunnen
voldoen aan artikel 5.1, dat ertoe verplicht om het verslag van de evaluatie «binnen
vijf jaar na inwerkingtreding» aan het parlement te zenden.

Vraag 117 (D66)

De leden van de D66-fractie lezen dat de deelname van private partijen aan het RIEC
mogelijk is bij AMvB. Deze leden vragen de regering te verduidelijken aan welke private
partijen gedacht moet worden en onder welke voorwaarden informatie met private partijen
kan worden gedeeld.

Het derde lid van het voorgestelde artikel 2.19 maakt het mogelijk om private partijen
bij of krachtens amvb als deelnemer van een RIEC aan te wijzen voor zover dit noodzakelijk
is voor het doel en het om daarbij beschreven specifieke verwerkingen of onderdelen
daarvan gaat. Er zijn nog geen concrete situaties van private deelname in voorbereiding.
Diverse RIEC’s hebben echter aangegeven deze mogelijkheid wenselijk te vinden om te
kunnen inspelen op toekomstige ontwikkelingen in de integrale aanpak van georganiseerde
criminaliteit. In dat verband kan bijvoorbeeld gedacht worden aan energiebedrijven,
(lucht)havenbedrijven, banken of postbedrijven. Indien er in de toekomst voor wordt
gekozen private partijen toe te voegen aan de RIEC’s, moet uiteraard wel worden aangetoond
dat hun deelname noodzakelijk is voor het doel van de RIEC’s. Daarnaast zullen voor
de gezamenlijke gegevensverwerking met hen de kaders en beperkingen van dit wetsvoorstel
gaan gelden.

Vraag 118 (SP)

De leden van de SP-fractie vragen op welke manier deze wet ervoor zorgt dat er sprake
zal zijn van goede informatie-uitwisseling tussen ZVH en RIEC’s. Zij vragen of de
regering het eens is met de kritiek van de RIEC’s dat het wetsvoorstel bij aanvang
al niet toekomstbestendig is en het wetsvoorstel niet gaat helpen om als overheid
effectief te kunnen optreden tegen ondermijning.

Dit wetsvoorstel behelst geen regeling voor informatiedeling tussen de vier genoemde
samenwerkingsverbanden. Dit wetsvoorstel regelt de gezamenlijke gegevensverwerking
voor vier samenwerkingsverbanden. Het doel, de werkwijze, en de aard van de gegevens
die aan de orde kunnen zijn bij de verschillende samenwerkingsverbanden is soms fundamenteel
verschillend. Dit speelt met name bij de ZVH ten opzichte van de andere drie samenwerkingsverbanden.
De doelen en werkwijzen van de samenwerkingsverbanden liggen te ver uit elkaar om
hiervoor een generieke regeling te treffen die voldoet aan de eisen die de AVG en
de Grondwet stellen, en waarop de Afdeling advisering van de Raad van State ook wijst.
In dergelijke situaties zullen de mogelijkheden daartoe op basis van de inhoud van
de casus en de mogelijkheden van de deelnemers aan beide samenwerkingsverbanden beoordeeld
moeten worden. Het zal immers vaak voorkomen dat dezelfde deelnemers deelnemen aan
meerdere samenwerkingsverbanden. Daarbij kan het aangewezen zijn dat deelnemers een
casus bij zowel het RIEC als bij het Zorg- en Veiligheidshuis inbrengen. Bij twijfel
kan daartoe een oordeel gevraagd worden aan de rechtmatigheidsadviescommissie. Wel
regelt dit wetsvoorstel de mogelijkheid om gegevens uit te wisselen tussen Zorg- en
Veiligheidshuizen onderling en de RIEC’s onderling, als dit noodzakelijk is gelet
op het doel van de Zorg- en Veiligheidshuizen, respectievelijk het doel van de RIEC’s.

De regering is van mening dat het wetsvoorstel van grote toegevoegde waarde is voor
de RIEC’s. Dit wetsvoorstel creëert grondslagen voor de verstrekking van gegevens
aan de RIEC’s, de verwerking van gegevens door of binnen de RIEC’s en de verstrekking
van resultaten vanuit de RIEC’s aan deelnemers en derden. Dit wetsvoorstel zorgt ervoor
dat de RIEC’s voor een adequate gegevensuitwisseling niet meer afhankelijk zijn van
enkel bestaande bilaterale grondslagen voor gegevensverstrekking. Daarnaast verkrijgen
de RIEC’s met dit wetsvoorstel een deugdelijke grondslag voor de verwerking van een
bijzondere categorie van persoonsgegevens en persoonsgegevens van strafrechtelijke
aard. Ook worden uitzonderingen op een aantal sectorale geheimhoudingsbepalingen geregeld
die ertoe dienen dat de RIEC’s meer relevante gegevens kunnen verwerken.

4.4 De Zorg- en Veiligheidshuizen (ZVH)

Vraag 119 (CDA)

De leden van de CDA-fractie begrijpen de keuze voor het opnemen van de ZVH als samenwerkingsverband
in onderhavig wetsvoorstel. Deze leden constateren echter ook dat er ook regionale
verschillen bestaan tussen de ZVH. Betekent de wettelijke vastlegging van de ZVH ook
dat er een meer uniforme samenwerkingsvorm wordt gevraagd van de ZVH? Gaat dit in
de praktijk gevolgen hebben voor de wijze waarop de verschillende ZVH zichzelf georganiseerd
hebben? Kan de regering aangeven of de door de ZVH nog steeds gevraagde flexibiliteit
geborgd is met onderhavig wetsvoorstel? Daarbij vragen deze leden of dat bij AMvB
geregeld kan worden.

De afgelopen jaren hebben ZVH al geïnvesteerd in professionalisering en een meer eenduidige
werkwijze, zonder dat dit ten koste is gegaan van de ruimte voor regionale flexibiliteit
en het kiezen van regionale speerpunten. Zo volgen de medewerkers van de ZVH dezelfde
training gegevensuitwisseling en privacy en is een gemeenschappelijke leergang voor
procesregisseurs in ontwikkeling. Een eenduidige werkwijze wordt verder bevorderd
door te werken met een gestandaardiseerd werkproces, modelconvenant en model privacy
protocol. Voorts werken de 30 ZVH met een gemeenschappelijke meerjarenagenda. Met
de WGS is herbevestigd dat de deelnemers onderling afspraken maken over de wijze waarop
het samenwerkingsverband wordt ingericht, taken stelt, prioriteiten vaststelt en zorgdraagt
voor financiering en beheer. Dat maakt een borging van deze flexibiliteit per amvb
overbodig.

Vraag 120 (CDA)

Ten aanzien van de ZVH vragen zij ook hoe het onderwijs hierbij kan aansluiten. Deze
leden menen namelijk dat onderwijs immers ook een belangrijke vindplaats is voor misstanden
in de huiselijke sfeer. Voornoemde leden wijzen hierop, aangezien in artikel 2.27
onderwijs niet is aangehaakt.

Het klopt dat het onderwijs een belangrijke vindplaats is voor misstanden in de huiselijke
sfeer. Voor die signaleringsfunctie is er al een wettelijke regeling, namelijk het
AMHK/Veilig Thuis. Ook kan het onderwijs de gemeente inschakelen op grond van de Jeugdwet.
Bijvoorbeeld als het vermoeden is dat er een Verzoek Tot Onderzoek bij de Raad voor
de Kinderbescherming gedaan moet worden. Als er dan sprake blijkt van complexe casuïstiek
zoals bedoeld in artikel 2.25 van de WGS kunnen gemeente (bijvoorbeeld in het kader
van het toezicht op de Leerplichtwet), Veilig Thuis of de Raad de casus aanmelden
bij het ZVH. In die gevallen waarin dat noodzakelijk is kan een ZVH de betrokken onderwijsinstelling(en)
uitnodigen om deel te nemen aan de casusbehandeling als incidentele deelnemer op grond
van artikel 2.31, negende lid, van de WGS.

Vraag 121 (D66)

De leden van de D66-fractie lezen dat de wettelijke taken van het OM in het kader
van de Wet verplichte geestelijke gezondheidszorg, de Wet forensische zorg en de Wet
zorg en dwang zijn opgenomen onder het regime van het wetsvoorstel. Deze leden begrijpen
dat het de bedoeling is dat betrokkenen worden besproken in een casusoverleg. Voornoemde
leden menen dat daarmee de strikte scheiding tussen het zorgdomein en het strafrechtdomein,
zoals dat in de Wet verplichte geestelijke gezondheidszorg is neergelegd, komt te
vervallen. Zij vragen de regering dat uitvoerig toe te lichten en te motiveren en
daarbij ook in te gaan op (de gevolgen voor) het medisch beroepsgeheim.

De WGS beoogt met artikel 2.29, derde lid, het mogelijk te maken voor het OM, de burgemeester,
het college van burgemeester en wethouders en de politie om Wvggz-gegevens in te brengen
als dat noodzakelijk is voor de casus en om voorwaarden te stellen aan de verdere
verwerking daarvan. Het gaat dan bijvoorbeeld over rechterlijke machtigingen die zijn
aangevraagd of afgegeven in het kader van de Wvggz. Dat is noodzakelijk omdat bij
relatief veel cliënten in het ZVH sprake is van psychische problematiek en/of problematiek
die samenhangt met een licht verstandelijke beperking (LVB). Die komen via het ZVH
in beeld. Bij het scherp krijgen van de problematiek en wat de juiste aanpak is, is
informatie over eventuele eerdere of lopende Wvggz/WZD/Wfz trajecten cruciaal. Als
die informatie niet bij elkaar komt gaan er wellicht trajecten lopen die elkaar tegenwerken.
In een casusoverleg kan ook de conclusie zijn dat het OM de zaak oppakt in het kader
van de Wvggz. Dan geldt als kader dat andere partijen geen inzage krijgen in de details
van dat Wvggz-traject. Als echter het Wvggz-traject niet leidt tot een rechterlijke
machtiging, is het van belang dat in het ZVH besproken kan worden welke andere aanpakken
mogelijk zijn om de veiligheidsrisico’s of ernstige overlast te beperken.

Vraag 122 (D66)

Het valt de aan het woord zijnde leden verder op dat het doel van de ZVH, omschreven
in artikel 2.25, zeer breed is. Dat heeft vanzelfsprekend ook gevolgen voor gegevensdeling.
Deelt de regering de mening dat de doelstellingen «voorkomen, verminderen, en bestrijden
van criminaliteit en ernstige overlast» en «het voorkomen en verminderen van onveilige
situaties voor personen» zeer veelomvattend zijn? Waarom is er voor deze brede reikwijdte
gekozen? Waarom is dit noodzakelijk? Wat wordt bijvoorbeeld bedoeld met «daaraan gerelateerde
noodzakelijke werkzaamheden op het terrein van strafrechtelijke en bestuursrechtelijke
handhaving»? Waarom is niet overwogen deze doelen verder te specificeren?

Het in artikel 2.25 omschreven doel van de ZVH is sinds jaren de gangbare praktijk
die in januari 2013 is vastgelegd in het landelijk kader Veiligheidshuizen. Deze definitie
blijft actueel ook na de ontwikkeling die Veiligheidshuizen hebben doorgemaakt naar
Zorg- en Veiligheidshuizen. De Zorg- en Veiligheidshuizen behandelen complexe casussen
waarbij problemen op het gebied van criminaliteit, overlastgevend gedrag en veiligheidsrisico’s
mede hun oorzaak vinden in sociale en/of zorgproblematiek. Het zijn de meest ingewikkelde
zaken waarop procesregie wordt gevoerd. Welke problemen in een specifieke casus relevant
zijn om mee te nemen in de analyse van de casus en de daarop gebaseerde persoonsgerichte
aanpak, zal per casus verschillen. Daarom is de behandeling van casussen in de Zorg-
en Veiligheidshuizen altijd maatwerk, waarbij de aard van de problematiek van de persoon
en de aard van de problemen die daar het gevolg van zijn, leidend dienen te zijn bij
de persoonsgerichte aanpak en de te verwerken gegevens. Elke separate persoonsgegevensverwerking
op grond van deze wet moet in overeenstemming zijn met het doel van de ZVH en daarnaast
voldoen aan de eisen van de AVG, waaronder het beginsel van minimale gegevensverwerking
(artikel 5, eerste lid, onderdeel c, van de AVG). Onderdeel daarvan is ook dat bij
elke casus in het kader van de subsidiariteit en proportionaliteit steeds een afweging
zal moeten worden gemaakt welke gegevens kunnen worden gedeeld en of dat noodzakelijk
is voor het realiseren van het doel van het samenwerkingsverband alsmede welke deelnemers
op welk moment betrokken moeten worden en dus in een concreet geval gerechtigd zijn
gezamenlijk gegevens te verwerken. Dit betekent onder andere dat per casus steeds
op basis van de aard van de problematiek bekeken zal moeten worden welke gegevens
noodzakelijk zijn om te verstrekken aan het Zorg- en Veiligheidshuis in het kader
van de activiteiten van de artikelen 2.26, 2.31 en 2.32, met het oog op het doel van
artikel 2.25.

Vraag 123 (D66)

Het valt voornoemde leden tevens op dat de lijst met deelnemers aan de ZVH lang is.
Ook worden onder artikel 2.27, tweede lid, een aantal private partijen aangewezen
als deelnemer die bij of krachtens de wet taken of bevoegdheden uitoefenen of daartoe
door een bestuursorgaan gemandateerd zijn. Echter, onder het vijfde lid wordt gesteld
dat bij of krachtens AMvB nog andere overheidsorganen óf private partijen als deelnemer
kunnen worden aangewezen, voor zover dat noodzakelijk is voor het doel, bedoeld in
artikel 2.25. Dat doel is zeer breed. Waarom is deze delegatiebepaling noodzakelijk?
Indien er verdere deelnemers verwacht worden, waarom is dit niet opgenomen in de wet?

De lijst met potentiële deelnemers is inderdaad lang. Echter via de procedure in artikel
2.31 is geborgd dat slechts die deelnemers bij een casus worden betrokken die ook
noodzakelijk zijn gezien de aard van de problematiek. Elke casus is dus maatwerk.
Partijen zijn niet standaard bij alle casussen betrokken. Dat bij amvb nog andere
overheidsorganen óf private partijen als deelnemer kunnen worden aangewezen, is noodzakelijk
voor het geval zich nieuwe organisaties aandienen bij het oplossen van complexe problematiek
zoals destijds met de instelling van Veilig Thuis of uit de aard en omvang van de
werkzaamheden blijkt dat een van de incidentele deelnemers structureel bij het samenwerkingsverband
moet worden betrokken.

Vraag 124 (D66)

Waarom is deelname van private partijen niet verder geclausuleerd? Onder welke voorwaarden
kan informatie worden gedeeld met deze private partijen?

De deelname van private partijen is reeds geclausuleerd. Private partijen zijn uitsluitend
deelnemers die weliswaar privaat zijn georganiseerd maar werkzaam zijn in het publieke
domein, en uitsluitend voor zover zij wettelijke taken uitoefenen in de keten van
strafrecht, zorg of sociaal domein, die relevant zijn gezien het doel van de zorg-
en veiligheidshuizen. Dat betreft onder meer de reclassering voor de reclasseringstaken
en een gecertificeerde instelling voor de Jeugdbeschermingstaken. Beiden zijn private
instellingen maar met eigen wettelijke taken. Met hen kunnen uitsluitend gegevens
gedeeld worden indien het noodzakelijk is hen te betrekken bij de casus, en voor zover
zij gegevens meennemen uit de casusbespreking is dat beperkt tot datgene wat noodzakelijk
is voor hun eigen taak in relatie tot de casus.

Voor zover het gaat om taken die onder mandaat van een bestuursorgaan worden uitgeoefend
vertegenwoordigt de private instelling de facto het betreffende bestuursorgaan. Dit
geldt bijvoorbeeld voor een wijkteam dat de toeleiding naar jeugdhulp of schuldhulpverlening
uitvoert namens het college van burgemeester en wethouders. De private instelling
neemt dan uitsluitend deel voor de gemandateerde taken.

Het is de instelling niet toegestaan om de gegevens die zij in het kader van het Zorg-
en Veiligheidshuis, en dus namens het bestuursorgaan ontvangen te gebruiken voor andere
taken. Uit de AVG vloeit reeds voort dat private instellingen die naast gemandateerde
taken ook andere taken uitvoeren in hun gegevenshuishouding een scheiding dienen aan
te brengen in dossiers, om te voorkomen dat er vermenging optreedt van gegevenshuishoudingen
en persoonsgegevens onrechtmatig gebruikt worden voor andere taken. Het is aan het
mandaterende bestuursorgaan om erop toe te zien dat de betreffende partij deze scheiding
ook effectueert en maatregelen neemt om het onrechtmatig gebruik van gegevens die
in het kader van de gemandateerde taak zijn ontvangen te voorkomen.

De enige private instelling die ook deel kan nemen vanuit een andere dan een specifiek
wettelijke of gemandateerde taak is de GGZ-instelling. Dit is noodzakelijk omdat er
bij cliënten in het ZVH relatief vaak sprake is van psychische problematiek en het
dan van belang is dat ook een GGZ-instelling betrokken kan worden, ook als betrokkene
niet in verplichte zorg zit. Het beleid is er immers op gericht om dergelijke verplichte
zorg te voorkomen. Daarom is samenwerking met de GGZ noodzakelijk. Daarbij laat de
WGS het medisch beroepsgeheim en het beroepsgeheim van de jeugdhulpverlener ongemoeid
(zie artikel 2.29, tweede lid).

Voor partijen als bijvoorbeeld een welzijnsstichting die de toeleiding sociaal domein
doet namens het college en ook «semi-commerciële» activiteiten ontplooit, vereist
artikel 1.4, derde lid, bovendien dat een private partij ten behoeve van de inzet
in het samenwerkingsverband slechts personen aanwijst die niet tevens worden belast
met commerciële werkzaamheden.

Vraag 125 (D66)

De leden van de D66-fractie merken op dat ditzelfde geldt voor de categorieën gegevens
die gedeeld mogen worden, geëxpliciteerd in artikel 2.30: deze categorieën zijn zeer
breed. Van identificerende en contactgegevens tot financiële gegevens en inkomensgegevens,
tot gegevens over gezondheid en zorg tot persoonsgegevens van strafrechtelijke aard.
Bovendien wordt hier aldus het doelbindingsprincipe losgelaten. Vele soorten gegevens
kunnen binnen de ZVH gedeeld worden, en ook nog tussen deze huizen (artikel 2.28),
voor zover het noodzakelijk is voor het (brede) doel. Kan de regering de noodzaak
hiervan uitgebreid toelichten?

De Zorg- en Veiligheidshuizen behandelen met name casussen waarbij problemen op het
gebied van criminaliteit, overlastgevend gedrag en veiligheidsrisico’s mede hun oorzaak
vinden in sociale en/of zorgproblematiek. Welke problemen in een specifieke casus
relevant zijn om mee te nemen in de analyse van de casus en de daarop gebaseerde persoonsgerichte
aanpak, zal per casus verschillen. De behandeling van casussen in de Zorg- en Veiligheidshuizen
is daarom altijd maatwerk, waarbij de aard van de problematiek van de persoon en de
aard van de problemen die daar het gevolg van zijn, leidend dienen te zijn bij de
persoonsgerichte aanpak en de te verwerken gegevens. Dit betekent dat de categorieën
van persoonsgegevens die potentieel aan de orde kunnen zijn in het Zorg- en Veiligheidshuis
noodgedwongen vrijwel alle leefdomeinen van een persoon kunnen omvatten. Inperking
van deze categorieën gegevens kan ertoe leiden dat onbedoeld aspecten buiten beeld
blijven die achteraf wel noodzakelijk blijken te zijn voor een succesvolle persoonsgerichte
aanpak. Hierdoor bestaat het risico dat problemen onnodig lang voortduren, of verergeren
met alle gevolgen en risico’s die daarmee gepaard kunnen gaan voor de persoon en de
mensen in de omgeving waar hij woont, werkt en leeft. Elke separate persoonsgegevensverwerking
op grond van deze wet moet in overeenstemming zijn met het doel van de ZVH en daarnaast
voldoen aan de eisen van de AVG, waaronder het beginsel van minimale gegevensverwerking
(artikel 5, eerste lid, onderdeel c, van de AVG). Onderdeel daarvan is ook dat bij
elke casus in het kader van de subsidiariteit en proportionaliteit steeds een afweging
zal moeten worden gemaakt welke gegevens kunnen worden gedeeld en of dat noodzakelijk
is voor het realiseren van het doel van het samenwerkingsverband alsmede welke deelnemers
op welk moment betrokken moeten worden en dus in een concreet geval gerechtigd zijn
gezamenlijk gegevens te verwerken. Dit betekent dat per casus steeds op basis van
de aard van de problematiek bekeken zal moeten worden welke gegevens noodzakelijk
zijn om te verstrekken aan het Zorg- en Veiligheidshuis in het kader van de activiteiten
van de artikelen 2.26, 2.31 en 2.32, met het oog op het doel van artikel 2.25. In
artikel 2.31 van dit wetsvoorstel wordt reeds invulling gegeven aan zo’n zorgvuldige
inrichting. Zo dient er, indien een casus door een deelnemer wordt aangemeld, altijd
een beoordeling plaats te vinden of de aanmelding in overeenstemming is met het doel
van artikel 2.25. Alleen als dat zo is, kan een casus in behandeling worden genomen
en kan verdere informatieverzameling plaats vinden. Anders dan de aan het woord zijnde
leden stellen, wordt het doelbindingsprincipe hier geenszins losgelaten.

Vraag 126 (D66)

Daar bovenop kunnen onder artikel 2.30, tweede lid, bij AMvB aanvullende categorieën
van gegevens worden aangewezen, voor zover noodzakelijk voor het doel, bedoeld in
artikel 2.25. Waarom is deze delegatiebepaling noodzakelijk?

Bij de totstandkoming van artikel 2.30 is zorgvuldig gekeken naar de gegevens die
thans binnen ZVH noodzakelijk zijn voor de behandeling van complexe casuïstiek. Deze
delegatiebepaling is nodig voor het geval er met het oog op het doel van artikel 2.25
in de toekomst dringend behoefte ontstaat aan een ander gegeven.

Vraag 127 (D66)

In de memorie van toelichting lezen de aan het woord zijnde leden dat aangaande de
ZVH wordt gesproken over het streven naar een «maatwerkaanpak» en een «persoonsgerichte
aanpak» in casusoverleg. Betekent dit dat door de ZVH geen geautomatiseerde gegevensanalyse
plaats zal vinden? Zo ja, waarom is dit niet in de wet expliciet gesteld?

In ZVH-verband vindt gegevensuitwisseling plaats ten behoeve van overleg over casussen
of de plaatsing van een casus op de lijst met geprioriteerde casussen. Bij nota van
wijziging wordt geregeld dat bij amvb zal worden bepaald welke activiteiten van samenwerkingsverbanden
als geautomatiseerde gegevensanalyse worden aangemerkt. De activiteiten van de ZVH,
bedoeld in het voorgestelde artikel 2.26, vallen daar niet onder.

Vraag 128 (GroenLinks)

De leden van de GroenLinks-fractie lezen in de memorie van toelichting dat dit wetsvoorstel
regels geeft voor de (verdere) verwerking om de persoonlijke levenssfeer van de betrokkene
te beschermen. Deze leden benadrukken het belang van gezamenlijk casusoverleg in ZVH,
maar zijn tevens beducht voor het delen van bijzondere categorieën persoonsgegevens,
bijvoorbeeld ten aanzien van ras, afkomst, politieke opvattingen en gezondheidstoestand.
Voornoemde leden vragen welke voorwaarden gesteld zullen worden om te voorkomen dat
dergelijke gevoelige gegevens bijdragen aan oneigenlijke afwegingen zoals bijvoorbeeld
bij de Belastingdienst hebben bijgedragen aan een soort etnische profilering bij de
uitvoering van de Kindertoeslagen.

De WGS voorziet voor de ZVH niet in de verwerking van alle categorieën bijzondere
persoonsgegevens, uitsluitend in gezondheidsgegevens en strafrechtelijke gegevens.
Er worden dus geen gegevens verwerkt met betrekking tot ras, afkomst, religie, politieke
opvattingen, of seksuele geaardheid. Er kunnen omstandigheden zijn waarbij dit wel
noodzakelijk is, zoals bijvoorbeeld bij een vraagstuk van radicalisering.

5. Verhouding tot bestaande en nieuwe samenwerkingsverbanden

Vraag 129 (VVD)

De leden van de VVD-fractie stellen dat een effectieve aanpak van ondermijning en
criminaliteit vraagt om weerbaarheid, wendbaarheid en flexibiliteit. Criminelen passen
zich immers snel aan, een trage overheid betekent, zoals het RIEC in het advies ook
stelt, dat criminelen vrij spel kunnen krijgen. De limitering aan gegevens die verwerkt
mogen worden en het feit dat nieuwe samenwerkingsverbanden bij AMvB aangewezen moeten
worden, betekent dat de mogelijkheden om effectief op te treden beperkt worden. Kan
de regering toelichten hoe rekening gehouden is met juist deze behoefte voor samenwerkingsverbanden
om snel te kunnen handelen? In dit kader ontvangen de leden van de VVD-fractie graag
ook een toelichting op de beperkte wijze waarop de werking van de gekozen samenwerkingsverbanden,
zoals de RIEC’s, is vormgegeven en of dit inderdaad betekent dat reeds bestaande activiteiten
van de genoemde samenwerkingsverbanden die niet in het wetsvoorstel zijn opgenomen,
beëindigd zullen moeten worden. Ook is de vraag relevant of er hierdoor geen nieuwe
bureaucratische processen opgezet kunnen worden? Waarom kiest de regering hier voor
het vooraf precies uitschrijven van de activiteiten en werkprocessen met het risico
dat er geen ruimte blijft voor innovatie en flexibiliteit? Kan de regering aangeven
hoe de aanwijzing bij AMvB van nieuwe samenwerkingsverbanden in verhouding staat tot
de benodigde flexibiliteit en wenbaarheid in de strijd tegen criminaliteit?

Dit wetsvoorstel kent de samenwerkingsverbanden alle nodige mogelijkheden toe om gezamenlijk
gegevens te verwerken die tevens beantwoorden aan de eisen die AVG en de Grondwet
stellen ter bescherming van de privacy van burgers. De WGS creëert namelijk grondslagen
voor de verstrekking van gegevens aan samenwerkingsverbanden die onder dit wetsvoorstel
vallen, de verwerking van gegevens door of binnen deze samenwerkingsverbanden en de
verstrekking van resultaten vanuit deze samenwerkingsverbanden aan deelnemers en derden.
De WGS maakt voor deze samenwerkingsverbanden mogelijk dat zij persoonsgegevens van
strafrechtelijke aard, en in het geval van de RIEC’s, een bijzondere categorie van
persoonsgegevens mogen verwerken. De WGS maakt voor samenwerkingsverbanden uitzonderingen
op bestaande geheimhoudingsplichten uit sectorale wetgeving. Hiermee worden samenwerkingsverbanden
optimale mogelijkheden geboden om snel en flexibel te handelen.

Op de vragen van de leden van de VVD-fractie over de volgens deze leden beperkte wijze
waarop de werking van de samenwerkingsverbanden is vormgegeven, kan de regering aangeven
dat nieuwe of verdergaande mogelijkheden tot gegevensverwerking alleen rechtmatig
zijn voor zover deze duidelijk zijn begrensd en omkleed zijn met waarborgen ter bescherming
van de privacy van burgers. Bij het voorstellen van nieuwe wetgeving waarin grondslagen
worden opgenomen voor de verwerking van persoonsgegevens, is de Nederlandse wetgever
gebonden aan de AVG, het EVRM en de Grondwet. Belangrijke eisen die de AVG aan wetgeving
van een lidstaat stelt zijn o.a. de eis dat verwerking van persoonsgegevens rechtmatig,
behoorlijk en transparant moet zijn, dat persoonsgegevens alleen voor welbepaalde,
uitdrukkelijk omschreven en gerechtvaardigde doelen mogen worden verwerkt, en dat
de gegevens toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de
doelen waarvoor gegevens worden verwerkt moeten zijn. Door de doelen, activiteiten
en werkprocessen op te nemen, voldoen de verwerkingsgrondslagen die dit wetsvoorstel
voor samenwerkingsverbanden creëert, aan deze eisen. Daarbij is aangesloten bij de
bestaande praktijk en bestaande activiteiten van de samenwerkingsverbanden zoals die
nu zijn neergelegd in convenanten en protocollen. De bedoeling van de WGS is dan ook
dat de RIEC’s hun bestaande praktijk kunnen voortzetten op een manier die in overeenstemming
is met de AVG en de Grondwet. Uiteraard zullen de samenwerkingsverbanden zich bij
de toepassing van de WGS in concrete gevallen óók aan de eisen uit de AVG moeten houden.

De regering heeft de zorgen van de stuurgroepen RIEC’s over inflexibiliteit om in
te spelen op toekomstige uitdagingen ter harte genomen en het wetsvoorstel naar aanleiding
daarvan op belangrijke punten aangepast. Om met name de RIEC’s tegemoet te komen,
is de WGS zodanig vormgegeven dat deze niet onnodig in weg staat aan innovatie en
rekening houdt met mogelijke toekomstige ontwikkelingen. Zo kunnen er bij amvb nieuwe
deelnemers aan de RIEC’s worden toegevoegd en kunnen er nieuwe activiteiten worden
aangewezen, waaronder profilering. Ook kunnen er nieuwe taken en bevoegdheden worden
aangewezen waarvoor de deelnemers gegevens kunnen uitwisselen en kunnen er zelfs nieuwe
soorten gegevens worden toegevoegd. Uiteraard zal de uitwerking samen met onder meer
de RIEC’s moeten gebeuren en een zorgvuldig proces moeten doorlopen. Nieuwe mogelijkheden
voor de RIEC’s zullen uiteraard ook aan de eisen van de AVG moeten voldoen.

Op de vraag van de leden van de VVD-fractie hoe de aanwijzing bij amvb van nieuwe
samenwerkingsverbanden in verhouding staat tot de benodigde flexibiliteit en wendbaarheid
in de strijd tegen criminaliteit, kan de regering aangeven dat deze amvb-mogelijkheid
daar juist voor is bedoeld. De Afdeling advisering van de Raad van State heeft in
haar advies bij dit wetsvoorstel aangegeven dat de hoofdelementen van gezamenlijke
gegevensverwerking door samenwerkingsverbanden bij wet in formele zin moeten worden
geregeld. Dit wetsvoorstel geeft daar uitvoering aan voor het FEC, iCOV, RIEC en ZVH.
Om voldoende flexibiliteit te houden voor het aanwijzen van andere of nieuwe samenwerkingsverbanden,
wordt met hoofdstuk 3 een delegatiegrondslag voorgesteld op basis waarvan een nieuw
samenwerkingsverband bij amvb kan worden aangewezen. Daarbij wordt een bijzondere
nahangprocedure voorgesteld om het parlement ook bij de aanwijzing en regeling van
dit nieuwe verband te betrekken.

Vraag 130 (D66)

De leden van de D66-fractie merken op dat het wetsvoorstel «niet tot doel heeft een
exclusief regime voor gegevensverwerking door samenwerkingsverbanden te creëren.»
Voor zover er samenwerkingsverbanden zijn die gemeenschappelijke casusanalyses of
data-analyses willen verrichten waarvoor thans geen of hooguit een suboptimale grondslag
bestaat, kan worden overwogen deze tot een samenwerkingsverband om te vormen dat bij
of krachtens het wetsvoorstel wordt aangewezen. Dat hoeft dus niet. Ook de AP en de
Afdeling spreken over het facultatieve karakter van dit wetsvoorstel dat niet leidt
tot regulering en harmonisatie van de gegroeide praktijk aan samenwerkingsverbanden.
«Het is immers onzeker of samenwerkingsverbanden op grond van het wetsvoorstel zullen
besluiten om onder het regime van de wet te worden gebracht. Er kunnen allerlei overwegingen
van bijvoorbeeld bestuurlijke en praktische aard zijn om dat niet te doen. In dat
geval zullen de genoemde doelen van het voorstel niet of maar in beperkte mate worden
bereikt,» zo schrijft de Afdeling. Naast de vier bestaande samenwerkingsverbanden
die wel onder de wet komen te vallen, lezen de aan het woord zijnde leden in hoofdstuk
5 van de memorie van toelichting dat andere samenwerkingsverbanden zelf mogen beoordelen
of zij «onder de werking van de WGS willen gaan vallen». Waarom worden bestaande samenwerkingsverbanden
waarbij geen grondslag voor dataverwerking bestaat niet formeel wettelijk onder het
wetsvoorstel gebracht? Graag ontvangen voornoemde leden een reactie.

Een exclusief regime is niet opportuun gelet op de verscheidenheid aan samenwerkingsverbanden.
Het is bovendien niet nodig om samenwerkingsverbanden onder de reikwijdte van dit
wetsvoorstel te brengen wanneer die ook kunnen volstaan met de bestaande regels, bijvoorbeeld
omdat zij geen persoonsgegevens verwerken of, als zij dat wel doen, kunnen volstaan
met bestaande wettelijke grondslagen, omdat zij persoonsgegevens slechts verwerken
voor doeleinden die verenigbaar zijn met de oorspronkelijke doeleinden van de gegevensverwerking
en er geen geheimhoudingsplichten aan de samenwerking in de weg staan. Sommige samenwerkingsverbanden
kunnen bovendien volstaan met de bestaande mogelijkheid om persoonsgegevens verder
te verwerken voor wetenschappelijk onderzoek en statistiek. Op grond van artikel 5,
onder b, AVG wordt immers de verdere verwerking van gegevens voor wetenschappelijke
en statistische doeleinden als niet onverenigbaar beschouwd met het oorspronkelijke
doel waarvoor de desbetreffende gegevens zijn verzameld, mits wordt voldaan aan de
waarborgen van artikel 89 AVG. Uitsluitend wanneer bestaande samenwerkingsverbanden
binnen de grenzen van het huidige recht onvoldoende ruimte hebben om op de benodigde
wijze persoonsgegevens te verwerken en wanneer zij een zwaarwegend algemeen belang
dienen, is er aanleiding om te overwegen deze onder het bereik van het wetsvoorstel
te brengen.

Vraag 131 (D66)

In dit verband vragen de aan het woord zijnde leden ook waarom de nieuwe Multidisciplinair
Interventieteams (MIT) niet zijn opgenomen in het wetsvoorstel.

Op dit moment wordt verkend wat er op het terrein van de gezamenlijke gegevensverwerking
voor het MIT noodzakelijk is om effectief te kunnen opereren. Mocht het noodzakelijk
blijken de gezamenlijke verwerking van gegevens door het MIT onder de WGS te brengen,
dan zou dat mogelijk zijn op basis van de delegatiegrondslag in het voorgestelde hoofdstuk
3. Op grond daarvan kan de gezamenlijke gegevensverwerking bij amvb worden geregeld
voor andere of nieuwe samenwerkingsverbanden. Daarbij wordt een bijzondere nahangprocedure
voorgesteld om het parlement ook bij de aanwijzing en regeling van dit nieuwe verband
te betrekken.

Vraag 132 (GroenLinks)

Er is kans dat criminelen hun gedrag aanpassen in reactie op observatiepraktijken,
zo constateren de leden van de GroenLinks-fractie. Het is daarom van belang om de
uitkomsten van big data-analyses voortdurend te analyseren en periodiek de gebruikte
indicatoren te herzien. Wordt dit ook gedaan? Op welke wijze kan de Kamer hierover
geïnformeerd worden? Een effectiviteitstoets van big data is methodologisch moeilijk.
Hoe gaat de regering dit toch aanpakken?

De regering onderschrijft het belang van het doorlopend analyseren van de uitkomsten
van gegevensanalyses. Dat geldt niet alleen voor big data-analyses, maar ook voor
andere gegevensanalyses. Daarom is in artikel 1.7, vierde lid, een verplichting opgenomen
voor degenen die de resultaten van de gegevensverwerking door het samenwerkingsverband
ontvangen, om ten minste jaarlijks de effectiviteit en de bruikbaarheid aan het samenwerkingsverband
terug te koppelen, en, indien de ontvangst van de resultaten niet tot vervolgacties
heeft geleid, de redenen hiervan. Daarnaast verplicht artikel 1.7, vijfde lid, de
deelnemers om periodiek de gehanteerde werkwijze te evalueren en, indien van toepassing,
tevens gehanteerde patronen en indicatoren te evalueren aan de hand van de ontvangen
terugkoppelingen, ten behoeve van de verbetering van die patronen en indicatoren.

In het belang van de transparantie verplicht het wetsvoorstel een samenwerkingsverband
om bij gezamenlijke geautomatiseerde gegevensanalyse aan het publiek op toegankelijke
wijze uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende
logica (artikel 1.9, derde lid). Ook is een jaarverslag verplicht, waarin de effectiviteit
en de bruikbaarheid van de resultaten aan bod komen (artikel 1.12). Het jaarverslag
moet worden bekendgemaakt door plaatsing op internet (artikel 1.12, tweede lid).

6. Grondrechtelijke aspecten

Vraag 133 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen of de regering de stelling deelt
dat een inbreuk op de privacy alleen gemaakt zou kunnen worden middels een wet in
materiële zin die voldoende specifieke waarborgen kent zoals artikel 8 van het EVRM
dat vereist. Klopt het dat ook de AP aangaf dat het eerbiedigen van de persoonlijke
levenssfeer zich vertaalt in een opdracht aan de wetgever om beperkingen van en inbreuken
op dat recht in nauwkeurig geformuleerde wetgeving neer te leggen? Waarom voldoet
de regering daar niet aan?

Het College voor de Rechten van de Mens stelt verder nog dat er een aantal wettelijke
vereisten zijn waaraan een dergelijke wet minimaal moet voldoen om niet strijdig te
zijn met het EVRM. Kan de regering voor elk van de door het College genoemde punten
aangeven op welke wijze dit in het wetsvoorstel verwerkt is? Kan de regering aangeven
waarom zij van mening is dat deze oplossingen en daarmee de wet stand zullen houden
bij de (Europese) rechter?

Verder lezen de aan het woord zijnde leden dat de regering in de memorie van toelichting
regelmatig verwijst naar artikel 6 van de AVG. Daarin staat omschreven wanneer verwerking
rechtmatig is. Een artikel waarvan bekend is dat Nederland er in Europa op aangestuurd
heeft om daarin een «loophole» op te nemen. Deelt de regering de stelling van Privacy
First dat het gebruik van artikel 6 zoals voorgesteld in het voorliggend wetsvoorstel
in strijd is met het EVRM en het Handvest van de grondrechten van de Europese Unie,
wetgeving die van een hoger niveau is dan die zoals vastgelegd in de AVG of in het
voorliggende wetsvoorstel? Zo nee, waarom niet? Graag ontvangen voornoemde leden een
uitvoerige uitleg.

De regering onderschrijft de stelling van de Partij voor de Dieren-fractie dat een
inbreuk op de privacy alleen gemaakt kan worden door een wet in materiële zin die
voldoende specifieke waarborgen kent zoals artikel 8 van het EVRM vereist. De WGS
voldoet daaraan. De regering deelt niet de stelling dat het gebruik van artikel 6
van de AVG zoals voorgesteld in dit wetsvoorstel in strijd is met het EVRM en het
Handvest van de grondrechten van de Europese Unie. Naar aanleiding van het advies
van de Afdeling advisering van de Raad van State en de adviezen van de Autoriteit
persoonsgegevens en onder andere Privacy First bij het oorspronkelijke wetsvoorstel,
is de aansluiting van dit wetsvoorstel op voornoemde regelgeving op belangrijke punten
verbeterd. Daarbij zijn alle door de Afdeling advisering genoemde hoofdelementen van
de gezamenlijke gegevensverwerking in het wetsvoorstel opgenomen voor de vier samenwerkingsverbanden
FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen. Het gaat daarbij onder meer om
het doel van het samenwerkingsverband, welke partijen deelnemen met het oog op de
opgesomde taken en bevoegdheden, de activiteiten die zij verrichten, welke gegevens
zij daarbij mogen verwerken (waaronder soms bijzondere persoonsgegevens), onder welke
randvoorwaarden en welke waarborgen voor de gezamenlijke gegevensverwerking gelden.
Aan de hand van deze elementen creëert het wetsvoorstel in overeenstemming met artikel
6 van de AVG grondslagen voor de verstrekking van gegevens aan samenwerkingsverbanden
die onder dit wetsvoorstel vallen, de verwerking van gegevens door of binnen deze
samenwerkingsverbanden en de verstrekking van resultaten vanuit deze samenwerkingsverbanden
aan deelnemers en derden.

Voor een nadere toelichting op de wijze waarop dit wetsvoorstel invulling geeft aan
artikel 6 van de AVG, verwijst de regering naar de beantwoording van vraag 57.

Naast het creëren van deze mogelijkheden, stelt het wetsvoorstel een groot aantal
waarborgen ter bescherming van de privacy van burgers. Zo geldt er op grond van het
voorgestelde artikel 1.11 een geheimhoudingsplicht voor een ieder die betrokken is
bij de werkzaamheden van het samenwerkingsverband. In de voorgestelde artikelen 1.8
en 1.9 worden waarborgen gesteld die onder meer tegengaan dat persoonsgegevens onrechtmatig
worden verwerkt. Verder dient het samenwerkingsverband ingevolge het voorgestelde
artikel 1.10 periodieke privacy audits te verrichten waarbij de uitvoering van de
regels van dit wetsvoorstel en de AVG worden gecontroleerd. Een afschrift van de resultaten
van de controle-resultaten moeten aan de Autoriteit persoonsgegevens worden gezonden.
Indien uit de controle-resultaten blijkt dat niet wordt voldaan aan het bij of krachtens
dit wetsvoorstel bepaalde, dient het samenwerkingsverband maatregelen te nemen en
binnen een jaar een hercontrole uit te voeren. Ook die hercontrole-resultaten moeten
aan de Autoriteit persoonsgegevens worden gezonden. In het geval van onregelmatigheden
is de Autoriteit persoonsgegevens bevoegd om op te treden. Daarnaast dienen de samenwerkingsverbanden
een jaarverslag op te stellen en in dit verslag op internet te plaatsen (het voorgestelde
artikel 1.12). De regering is van mening met dit wetsvoorstel een evenwichtig kader
te hebben gecreëerd voor de gezamenlijke gegevensverwerking door samenwerkingsverbanden
dat in overeenstemming is met het EVRM, het Handvest van de Grondrechten van de Europese
Unie, de AVG en de Grondwet.

7. Financiële aspecten

Vraag 134 (VVD)

De leden van de VVD-fractie merken op dat de regering stelt dat het wetsvoorstel,
voor zover het bestaande verwerkingsactiviteiten van de vier samenwerkingsverbanden
codificeert, geen administratieve lasten of bestuurslasten zijn. Toch heeft de VNG
onlangs nog gewaarschuwd voor een stapeling van administratieve waarborgen en verplichtingen,
met name door het opstellen van privacy jaarplannen en jaarverslagen en het verplicht
delen van de audits met de AP. De uitvoering van de wet wordt hierdoor te complex,
dubbelgeregeld en kostbaar om hieraan te voldoen, zo waarschuwt de VNG. Graag ontvangen
de leden van de VVD-fractie een reactie van de regering hierop.

De genoemde verplichting tot het opstellen van een jaarplan is uit het ontwerpwetsvoorstel
geschrapt. Wat betreft de verplichting om een jaarverslag uit te brengen (artikel
1.12) is bij nota van wijziging de mogelijkheid toegevoegd dat een cluster van samenwerkingsverbanden
(RIEC’s of Zorg- en Veiligheidshuizen) kan beslissen om één gezamenlijk jaarverslag
uit te brengen. Hiermee kunnen de krachten worden gebundeld en uitvoeringslasten worden
beperkt.

Het wetsvoorstel biedt mogelijkheden tot gegevensverwerking die naast kansen voor
de aanpak van bijvoorbeeld de ondermijnende criminaliteit, ook risico’s oplevert.
Het voorstel bevat daarom, mede naar aanleiding van het advies van de Afdeling advisering
van de Raad van State, een aantal waarborgen om die risico’s weg te nemen of te beperken.
Daarbij hebben we ons uiteraard rekenschap gegeven van het feit dat deze waarborgen
mogelijk uitvoeringslasten zullen meebrengen, met dien verstande dat een deel van
deze waarborgen kan worden aangemerkt als waarborgen ter nadere invulling van voorschriften
die ook al uit de AVG voortvloeien. Een voorbeeld daarvan is het registreren van bepaalde
onderdelen van de verwerkingen met het oog op controle en toezicht op de naleving
van de verplichtingen die op de samenwerkingsverbanden rusten bij het verwerken van
persoonsgegevens (artikel 1.8, vierde lid). Niettemin zal ook bij de verdere vormgeving
van de waarborgen bij of krachtens amvb terdege op de uitvoeringslasten worden gelet.

8. Overige consultatiereacties

Vraag 135 (CDA)

De leden van de CDA-fractie constateren dat verschillende organisaties in de consultatieronde
hebben aangekaart dat er een gebrek is aan transparantie en dat de rechtsbescherming
ontbreekt. Er wordt onder meer gesteld dat als iemand niet weet op welke lijstjes
hij voorkomt, hij daartegen ook geen verweer kan voeren. De reactie op deze punten
gaan niet in op het punt dat iemand niet altijd kan weten op welke lijstjes hij voorkomt,
zo constateren deze leden. Zij vragen de regering welke waarborgen voor dat punt in
de wet zijn opgenomen. In andere woorden vragen deze leden wat de regering van mensen
verwacht ten aanzien van het bewaken van hun eigen gegevens. In hoeverre kan van mensen
verwacht worden dat zij een besef zullen hebben van wat er met hun gegevens gebeurt?

Het wetsvoorstel bevat geen specifieke waarborgen om iemand te laten weten of hij
op een bepaald lijstje van een samenwerkingsverband voorkomt. Die zijn niet nodig,
omdat in beginsel ook voor samenwerkingsverbanden de informatieverplichting op grond
van artikel 14 AVG geldt, die deze verbanden, kortweg, verplicht om betrokkenen bepaalde
informatie te verschaffen over de verwerking van hen betreffende persoonsgegevens.
In par. 3.4. van de memorie van toelichting is vermeld dat er echter ook verscheidene
uitzonderingen op deze verplichting bestaan die in die paragraaf zijn beschreven.
Zo geldt onder meer een uitzondering indien het verstrekken van de informatie de verwezenlijking
van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het
gedrang dreigt te brengen (artikel 14, vijfde lid, onderdeel b, AVG). In het geval
van de samenwerkingsverbanden waarvoor de WGS is bedoeld, kan van zo’n uitzondering
zeer wel sprake zijn. Of daarvan daadwerkelijk sprake is, hangt af van de concrete
omstandigheden van het geval. Dat laat onverlet dat het wetsvoorstel wel een waarborg
bevat om voor transparantie in meer algemene zin te zorgen. Artikel 1.9, derde lid,
bepaalt dat, indien een samenwerkingsverband gezamenlijke geautomatiseerde gegevensanalyse
verricht, het, voor zover naar het oordeel van een deelnemer zwaarwegende redenen
zich daartegen niet verzetten, op een voor het publiek toegankelijke wijze uitleg
geeft over de gehanteerde patronen en indicatoren of andere onderliggende logica.
Verder kan een betrokkene een beroep doen op de rechten die de AVG hem al geeft, zoals
het recht op inzage, het recht op rectificatie, het recht op gegevenswissing en het
recht op beperking van de verwerking (artt. 15–18 AVG). Zo kan betrokkene desgewenst
grip op de hem betreffende persoonsgegevens houden.

Vraag 136 (SP)

De leden van de SP-fractie horen graag hoe wordt gereageerd op de kritiek van de Nederlandse
vereniging van Banken (NVB), dat het wettelijk regelen van de samenwerkingsverbanden
in een AMvB tijdrovend zal zijn en dat men alsnog besluit om minder efficiënt samen
te werken door samenwerkingen aan te gaan buiten het wetsvoorstel. Ziet de regering
het gevaar dat, omwille van de tijd en efficiëntie, men straks kiest om een samenwerkingsverband
alsnog buiten een AMvB om op te zetten en het beoogde harmoniserend effect dus alsnog
zal worden ondermijnd? Zo nee, waarom niet? Zo ja, wat wordt gedaan om dit te voorkomen?
De NVB wijst erop dat het wetsvoorstel niet in de weg lijkt te staan aan bestaande
publiek-private samenwerkingsverbanden, samenwerkingsverbanden waarvoor de banken
nu convenanten hebben gesloten en die niet onder het wetsvoorstel vallen. Klopt dat?
Zo ja, wat voegt het wetsvoorstel nu precies toe aan het palet aan mogelijkheden dat
reeds nu bestaat in het kader van samenwerkingsverbanden waarbij gegevens worden gedeeld?

Zoals blijkt uit het antwoord op vraag 130, is het geen doel op zich om een samenwerkingsverband
onder de reikwijdte van dit wetsvoorstel te brengen, als het ook kan volstaan met
de bestaande regels, bijvoorbeeld omdat dat verband geen persoonsgegevens verwerkt
of wel persoonsgegevens verwerkt, maar uitsluitend voor doeleinden die verenigbaar
zijn met de oorspronkelijke doeleinden van de gegevensverwerking, en zonder dat een
geheimhoudingsplicht aan de samenwerking in de weg staat. Het wetsvoorstel voegt daaraan
toe dat de in antwoord op vraag 18 samengevatte juridische knelpunten worden opgelost
in die gevallen waarin deze knelpunten in de weg staan aan een optimale, nog effectievere
samenwerking in het kader van een zwaarwegend algemeen belang. In paragraaf 3.3 van
de memorie van toelichting is dit nader toegelicht. In de gevallen waarin deze knelpunten
zich voordoen en een oplossing behoeven in de vorm van wetgeving, is het inderdaad
wenselijk dat hiervoor een relatief snelle procedure voorhanden is. Zoals toegelicht
in antwoord op vraag 30 is dit één van de redenen waarom de mogelijkheid om bij amvb
samenwerkingsverbanden te kunnen aanwijzen, wordt voorgesteld.

Vraag 137 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen welke input geleverd is door
het bedrijfsleven, wat voor overleg gevoerd is met het bedrijfsleven en wat de uitkomst
daarvan was. Zij willen daarover graag alle stukken en een uitvoerig verslag dat teruggaat
tot het eerste moment dat over een soortelijke wet gesproken werd. De reden dat deze
leden om deze informatie vragen (waar zij grondwettelijk gezien recht op hebben) is
omdat het Ministerie van Justitie en Veiligheid in 2016 nog een zeer zorgwekkend convenant
over gegevensuitwisseling met het bedrijfsleven achterhield voor de Kamer en de Minister
van Justitie en Veiligheid weigert de daarover gestelde schriftelijke vragen (2020Z06848) binnen de termijn te beantwoorden. De rapportage daarover in de Groene Amsterdammer
vonden deze leden erg zorgwekkend.33 Deelt de regering de mening dat het waarborgen van publieke belangen een publieke
taak is?

Er is geen input geleverd door het bedrijfsleven of overleg gevoerd met het bedrijfsleven
over dit wetsvoorstel. Wel zijn consultatiereacties ontvangen van de Nederlandse Vereniging
van Banken en het Verbond van Verzekeraars. Deze reacties zijn als bijlagen bij de
memorie van toelichting meegezonden aan uw Kamer bij de indiening van dit wetsvoorstel.
De consultatiereacties zijn behandeld in paragraaf 10 van de memorie van toelichting.

De aangehaalde schriftelijke vragen van het lid Van Raak (SP) met kenmerk 2020Z06848 zijn inmiddels beantwoord.34 Er is geen sprake geweest van een convenant, maar van een intentieverklaring, zoals
toegelicht in de antwoorden op de vragen van de leden Van Dam (CDA) en Verhoeven (D66).35 Deze intentieverklaring had betrekking op informatie-uitwisseling van met sensoren
verkregen informatie tussen de politie en de beveiligingsbranche. Het wetsvoorstel
gaat daar niet over. Daarom heeft het onderwerp uit het aangehaalde artikel uit de
Groene Amsterdammer geen raakvlak met het onderhavige wetsvoorstel.

Zoals opgemerkt in de antwoorden op voornoemde Kamervragen van het lid Van Raak, is
veiligheid een belangrijke taak van de overheid, maar ook een gedeelde verantwoordelijkheid
van alle burgers in Nederland. Ik acht het dan ook waardevol dat de overheid samen
kan werken met andere partijen, waaronder bedrijven, om binnen de kaders van de wet
samen te werken aan een veilig Nederland.

Vraag 138 (PvdD)

De aan het woord zijnde leden lezen in de memorie van toelichting dat belangenorganisaties
tevreden zijn over de wijze waarop het medisch beroepsgeheim wordt gerespecteerd.
Kan de regering aangeven in welke mate het relevant is vanuit het perspectief van
de burger en het waarborgen van zijn rechten dat brancheorganisaties of instellingen
vinden dat het beroepsgeheim voldoende gewaarborgd is? Heeft de regering deze vraag
ook aan burgerrechten- en privacy-organisaties gesteld? Zijn zij ook van mening dat
het medisch beroepsgeheim met het voorliggende wetsvoorstel nog voldoende geborgd
is? Is de regering bereid hen deze vraag voor te leggen? Zo nee, waarom niet?

De regering acht het relevant dat geraadpleegde brancheorganisaties onderschrijven
dat het medisch beroepsgeheim voldoende gewaarborgd is in dit wetsvoorstel. De regering
heeft er namelijk bewust voor gekozen in het wetsvoorstel op te nemen dat het medisch
beroepsgeheim onverkort blijft gelden voor deelnemers aan de ZVH waarop het wettelijk
medisch beroepsgeheim van toepassing is op grond van artikel 457 van Boek 7 van het
Burgerlijk Wetboek, artikel 88 van de Wet op de beroepen in de individuele gezondheidszorg
of artikel 7.3.11 van de Jeugdwet bij het beoordelen van de verstrekking op grond
van het voorgestelde artikel 1.5, eerste lid, van gegevens over onder andere gezondheid.
Het gaat hier om een uitzondering op de verplichting tot verstrekking van gegevens,
bedoeld in artikel 1.5, eerste lid. Dat betekent dat deze deelnemers gegevens over
een betrokkene die zij in het kader van een behandeling hebben verkregen, uitsluitend
aan een ZVH verstrekken indien zij daarvoor uitdrukkelijke toestemming hebben verkregen
van de betrokkene, behoudens de gevallen waarin enig wettelijk voorschrift een deelnemer
verplicht gegevens te verstrekken of enig wettelijk voorschrift toestaat gegevens
zonder uitdrukkelijke toestemming van betrokkene te verstrekken of deze verstrekking
noodzakelijk is uit het oogpunt van goed hulpverlenerschap. Dit laatste verwijst naar
het conflict van plichten zoals dat nader is uitgewerkt in beroepscodes, in het bijzonder
in de richtlijn van de Koninklijke Nederlandsche Maatschappij tot bevordering der
Geneeskunst (KNMG).36

Gelet op het feit dat dit wetsvoorstel de huidige reikwijdte van het medisch beroepsgeheim
en het beroepsgeheim van de jeugdhulpverlener niet wijzigt of aantast, ziet de regering
geen aanleiding om burgerrechten- of privacy-organisaties om hun standpunt hierover
te vragen. De regering sluit op dit punt immers volledig aan bij de bestaande, geldende
regels. Wanneer de regering wel voornemens zou zijn geweest een wijziging door te
voeren, zou het uiteraard in de rede hebben gelegen deze wijziging uitdrukkelijk aan
het medisch veld en andere belanghebbenden voor te leggen. Daarvan is hier echter
geen sprake.

9. Overig

Vraag 139 (VVD)

De leden van de VVD-fractie constateren dat de regering heeft besloten geen hoger
beroep aan te tekenen tegen de uitspraak van de rechtbank Den Haag van 5 februari
2020 (ECLI:NL:RBDHA:2020:1878) waarin de SyRI-wetgeving onverbindend is verklaard.
Welke waarborgen zijn getroffen om te voorkomen dat onderhavig wetsvoorstel onverbindend
wordt verklaard op basis van de criteria die de rechter in die uitspraak heeft geformuleerd?
Deelt de regering de mening van voornoemde leden dat het onaanvaardbaar is voor de
veiligheid van Nederlanders als één of meerdere samenwerkingsverbanden in het geheel
geen gegevens meer zou kunnen verwerken? Deelt de regering voorts de mening dat de
onverbindend verklaring rechtstreeks ten koste zou gaan van de inzet die door verschillende
organisaties wordt gepleegd om ondermijnende criminaliteit aan te pakken?

Zolang de verplichtingen van de AVG en de strenge waarborgen uit dit wetsvoorstel
in acht worden genomen, is er geen reden om een herhaling van de genoemde situaties
te verwachten. De regering heeft in dit wetsvoorstel namelijk verschillende waarborgen
getroffen, rekening houdend met de SyRI-uitspraak van de rechtbank Den Haag. Belangrijk
is dat in het voorgestelde artikel 1.9 specifieke waarborgen zijn opgenomen voor gezamenlijke
geautomatiseerde gegevensanalyse, naast de algemene waarborgen uit het voorgestelde
artikel 1.8 die gelden voor alle gegevensverwerkingen. Voor zover dit wetsvoorstel
geautomatiseerde gegevensanalyse en het gebruik van risicoprofielen in verband met
de uitoefening van toezichthoudende taken nu of in de toekomst mogelijk maakt, geldt
dat gebruik van deze methodes volgens de rechtbank Den Haag op zich niet verboden
is, maar dat zij wel voldoende inzichtelijk en controleerbaar moeten zijn en met voldoende
waarborgen moeten zijn omkleed om de toets aan artikel 8, tweede lid, van het EVRM
te kunnen doorstaan.

In het belang van de transparantie van een gezamenlijke geautomatiseerde gegevensanalyse
is daarom in het voorgestelde artikel 1.9, derde lid, de verplichting gesteld om aan
het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen en
indicatoren of andere onderliggende logica. Anders dan in de onverbindend verklaarde
SyRI-wetgeving zal bij het gebruik van risico-indicatoren en risicomodellen daarover
zoveel mogelijk transparantie worden betracht zodat deze zoveel als mogelijk toetsbaar
zijn. Deze verplichting is opgenomen naar aanleiding van voornoemde uitspraak. Uitzonderingen
daarop moeten restrictief worden toegepast en er moet een zwaarwegende reden voor
zijn. Of van dergelijke zwaarwegende redenen sprake is kan worden voorgelegd aan de
coördinerende functionaris voor de gegevensbescherming van het samenwerkingsverband
of aan de rechtmatigheidsadviescommissie van het samenwerkingsverband.

De inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse zullen
nader worden geborgd in het voorgestelde artikel 2.14, eerste lid. Deze bepaling stelt
ter zake van iCOV (het enige samenwerkingsverband dat op dit moment geautomatiseerde
gegevensanalyse uitvoert) verplicht dat bij lagere regelgeving regels worden gesteld
over de wijze van vaststelling van indicatoren, inclusief regels over de kwaliteit
en de hypothese waarop deze zijn gebaseerd. Ook stelt het voorgestelde artikel 2.14,
tweede lid, verplicht dat er nadere regels worden gesteld over de uitvoering van de
gegevensanalyse, o.a. de wijze waarop de bescherming van de persoonlijke levenssfeer
nader wordt gewaarborgd, de methoden van verwerking en de wijze waarop verbanden tussen
gegevens zichtbaar worden gemaakt. Momenteel verrichten de RIEC’s geen geautomatiseerde
gegevensanalyse, maar in het wetsvoorstel wordt hiertoe wel de mogelijkheid gecreëerd
om dat in de toekomst te gaan doen. Dezelfde regels zullen in dat geval ook gaan gelden
voor de RIEC’s door deze op te nemen in de amvb waarin dat voor de RIEC’s wordt geregeld.

De privacy audits die samenwerkingsverbanden op grond van het voorgestelde artikel
1.10 moeten verrichten en waarvan de resultaten naar de Autoriteit persoonsgegevens
worden gezonden, dienen eveneens de inzichtelijkheid en controleerbaarheid van geautomatiseerde
gegevensanalyse. Gelet op het feit dat daarbij de uitvoering van de krachtens dit
wetsvoorstel en de AVG gestelde regels wordt gecontroleerd, ligt in de rede dat de
uitvoering van geautomatiseerde gegevensanalyse daarbij wordt betrokken. Daarnaast
draagt het jaarverslag van de samenwerkingsverbanden dat op grond van het voorgestelde
artikel 1.12 dient te worden opgesteld en op internet dient te worden geplaatst eveneens
de transparantie en controleerbaarheid van gehanteerde methodes.

Voor een toelichting op hoe de regering in dit wetsvoorstel verder rekening houdt
met de SyRI-uitspraak, verwijst de regering de leden van de VVD-fractie naar de beantwoording
van de vragen van de leden van de ChristenUnie-fractie en de leden van de Partij voor
de Dieren-fractie (vragen 24 en 89).

De regering acht het versterken van de informatiepositie van samenwerkingsverbanden
in het belang van de veiligheid van groot belang. Daarom creëert de regering een integraal
kader waarin mogelijkheden voor gegevensuitwisseling gepaard gaan met sterke waarborgen.
Naar de mening van de regering biedt dit wetsvoorstel samenwerkingsverbanden een heldere
basis om in overeenstemming met de AVG (persoons)gegevens te kunnen verwerken.

Vraag 140 (VVD)

Voornoemde leden constateren dat in dit wetsvoorstel nauwelijks wordt gesproken over
de verwerking van bijzondere persoonsgegevens (bijvoorbeeld religie), terwijl de verwerking
van deze gegevens in sommige situaties zeer wenselijk is, met name in het kader van
terrorismefinanciering van jihadistische aard. Overwegende dat dit wetsvoorstel niet
voorziet in een wettelijke uitzondering voor de verwerking van eerdergenoemde gegevens,
kan de regering toelichten waarom dit wetsvoorstel niet voorziet in een dergelijke
wettelijke uitzondering?

Het wetsvoorstel heeft in beginsel op bijzondere categorieën van persoonsgegevens
geen betrekking. Uit de AVG en UAVG vloeit namelijk voort dat de verwerking van bijzondere
categorieën van persoonsgegevens verboden is, tenzij is voldaan aan de voorwaarden
van een van de uitzonderingsgronden, genoemd in artikel 9, tweede lid, AVG. De AVG
bevat een aantal rechtstreeks werkende uitzonderingsgronden. Daarnaast bevat de UAVG
een aantal nationaalrechtelijke uitzonderingen op het verbod om bijzondere categorieën
van persoonsgegevens te verwerken, die zijn gebaseerd op artikel 9, tweede lid, AVG.
Een relevante uitzondering is het bestaande artikel 23, onder c, UAVG. Daarin is geregeld
dat het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van
toepassing is, indien «de verwerking noodzakelijk is in aanvulling op de verwerking
van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens
worden verwerkt». Het gaat hierbij om de situatie waarin persoonsgegevens van strafrechtelijke
aard mogen worden verwerkt, én dat deze gegevens tevens betrekking hebben op een bijzonder
persoonsgegeven. Voor zover daarbij bijzondere persoonsgegevens moeten worden vastgelegd,
laat het bestaande artikel 23, onder c, UAVG dat toe.

In het geval van gegevens over terrorismefinanciering gaat het om persoonsgegevens
van strafrechtelijke aard. Het onderhavige wetsvoorstel regelt dat persoonsgegevens
van strafrechtelijke aard mogen worden verwerkt (artikel 1.5, derde lid, artikel 1.6,
tweede lid, artikel 1.7, zevende lid). Op grond van artikel 23, onder c, UAVG mogen
in dit voorbeeld ook bijzondere categorieën van persoonsgegevens worden verwerkt,
indien de verwerking noodzakelijk is in aanvulling op de verwerking van persoonsgegevens
van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt.
Indien het samenwerkingsverband zich mede richt op de aanpak van terrorismefinanciering
geldt aldus een afgeleide uitzondering op het verbod om bijzondere categorieën van
persoonsgegevens te verwerken. Dit is de reden dat voor terrorismefinanciering geen
separate uitzondering is opgenomen op het verbod om bijzondere categorieën van persoonsgegevens
te verwerken. Voor de verstrekking van gegevens door de politie, een bijzondere opsporingsorganisatie
of het OM op grond van de Wpg onderscheidenlijk Wjsg geldt het voorgaande mutatis
mutandis (op grond van de artikelen 5 Wpg en 39c, derde lid, Wjsg in samenhang gelezen
met de bepalingen die de verstrekking aan het samenwerkingsverband regelen).

Vraag 141 (CDA)

De leden van de CDA-fractie lezen dat de aanleiding van het wetsvoorstel de aanpak
van fraude is. Onder meer om het wetsvoorstel voldoende reikwijdte te geven is gekozen
voor een grondslag die verder strekt dan enkel de aanpak van fraude. Een samenwerkingsverband
mag gezamenlijk gegevens verwerken voor zover dat noodzakelijk is voor een bij of
krachtens deze wet vastgesteld doel van zwaarwegend algemeen belang. De aan het woord
zijnde leden wijzen hierbij op voormelde uitspraak van de rechtbank Den Haag waar
onder meer gesproken wordt over het belang van het bereiken van een «fair balance»
waarbij de mogelijke inbreuk op privéleven noodzakelijk, evenredig en proportioneel
dient te zijn in verhouding tot de doelen in de wet. Vanzelfsprekend zijn goede waarborgen,
een duidelijke wettelijke basis en inzichtelijkheid in de processen daarbij van belang,
zo constateren deze leden. Zij vragen de regering of zij het ook van belang acht dat,
in het kader van het transparantiebeginsel, er ofwel in de wet ofwel in de AMvB aangetoond
moet kunnen worden waarom bepaalde gegevens tot de conclusie kunnen leiden dat sprake
is van een verhoogd risico. De leden van de CDA-fractie menen dat het van belang is
dat onderbouwd wordt dat gegevensverstrekking en -verwerking überhaupt leidt tot betere
bereiken van de doelen van de samenwerkingsverbanden. Hoe ziet de regering dit? Kunnen
de samenwerkingsverbanden aangeven waarom bepaalde gegevensverzameling of -deling
daadwerkelijk nodig is om risico’s te kunnen signaleren en in kaart te brengen, zonder
daarbij geheel inzichtelijk te maken hoe deze verbanden te werk gaan?

Het wetsvoorstel bevat in aanvulling op al bestaande waarborgen in de AVG verscheidene
waarborgen die invulling geven aan het transparantiebeginsel, zoals de al eerder genoemde
verplichting voor een samenwerkingsverband dat gezamenlijke geautomatiseerde gegevensanalyse
verricht, om, voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich
daartegen niet verzetten, op een voor het publiek toegankelijke wijze uitleg te geven
over de gehanteerde patronen en indicatoren of andere onderliggende logica. Dit impliceert
dat bijvoorbeeld in geval van een analyse om vastgoedfraude tegen te gaan, variabelen
bekend dienen te worden gemaakt die in een dergelijke analyse gehanteerd worden. Te
denken valt aan het aantal hypotheken op één naam, omdat een groot aantal hypotheken
op één naam, naast andere indicatoren, kan wijzen op een zogenoemde katvangerconstructie.
De drempelwaarden die men daarbij gebruikt in de vorm van het minimum aantal hypotheken
op één naam, zullen echter niet bekend worden gemaakt. Als die wel bekend zouden worden
gemaakt, zou dat onder fraudeurs tot calculerend gedrag kunnen leiden. Dat kan als
een zwaarwegende reden worden gezien die zich tegen openbaarmaking verzet. Het is
niet wenselijk om dergelijke patronen en indicatoren of andere logica in de wet of
een amvb op te nemen, omdat het hier om zaken gaat die op basis van nieuwe inzichten
veelvuldig kunnen veranderen, zodat vastlegging daarvan bij wet of amvb te weinig
flexibiliteit zou geven.

De regering is met de leden van deze fractie van oordeel dat het van belang is dat
onderbouwd wordt dat de gegevensverwerking onder de WGS ertoe leidt dat de doelen
van de samenwerkingsverbanden beter bereikt worden. Daarom dient een samenwerkingsverband
op grond van artikel 1.12 van het wetsvoorstel jaarlijks een jaarverslag op te stellen,
waarin het de verplichte terugkoppelingen van de effectiviteit en de bruikbaarheid
van de resultaten beschrijft, voor zover de bekendmaking van deze gegevens de verwezenlijking
van de doeleinden van het samenwerkingsverband niet onmogelijk dreigt te maken of
ernstig in het gedrang dreigt te brengen. Dat jaarverslag moet worden bekendgemaakt
door plaatsing op internet.

Vraag 142 (D66)

De leden van de D66-fractie herinneren de regering aan de discussie over het systeem
SyRi, een wettelijk instrument dat de overheid gebruikte voor de bestrijding van fraude
op bijvoorbeeld het terrein van uitkeringen, toeslagen en belastingen, en de daarover
gevoerde rechtszaak. Zij vragen de regering uitvoerig in te gaan op die discussie
en daarbij specifiek aan te geven welke waarborgen het onderhavige wetsvoorstel kent
om een herhaling van de problemen te voorkomen.

In het bijzonder hebben de aan het woord zijnde leden nog enkele vragen over voormelde
uitspraak van de rechtbank Den Haag betreffende SyRI. Is de regering van mening dat
aan de voorwaarden die in de uitspraak geschetst worden voor het gebruik van systematische
gegevensanalyse door de overheid in dit wetsvoorstel is gedaan? De rechtbank stelt
dat op grond van artikel 8 EVRM op Nederland als lidstaat bij de toepassing van nieuwe
technologieën een bijzondere verantwoordelijkheid rust. Daarbij gaat het om de juiste
balans in de weging van enerzijds de voordelen die aan het gebruik van die technologieën
verbonden zijn tegenover anderzijds de inmenging die dat gebruik op het recht op respect
voor het privéleven kan maken. Kan de regering toelichten hoe zij deze bijzondere
verantwoordelijkheid invult?

In reactie op de vragen van de leden van de D66-fractie om uitvoerig in te gaan op
de discussie omtrent het systeem SyRI en om specifiek aan te geven welke waarborgen
het wetsvoorstel kent om een herhaling van problemen te voorkomen, kan de regering
aangegeven dat het onderhavige wetsvoorstel volgens de regering om de volgende redenen
in overeenstemming is met de SyRI-uitspraak.

In de eerste plaats verschilt de WGS in fundamentele zin van de in de voormelde uitspraak
onverbindend verklaarde wetgeving ter zake van de inzet van het systeem SyRI. Dit
wetsvoorstel regelt weliswaar gezamenlijke gegevensverwerking door samenwerkingsverbanden,
maar stelt geen systeem zoals SyRI in dat aan de hand van niet-toetsbare risico-modellen
en indicatoren grote hoeveelheden bestandsgegevens aan elkaar koppelt en analyseert
met het oog op risico-meldingen zonder de betrokkene daarover te informeren. De kritiek
van de rechtbank Den Haag heeft betrekking op de inzet van het systeem SyRI en niet
op de gegevensuitwisseling in het samenwerkingsverband als zodanig.

De regering hecht eraan te benadrukken dat de rechtbank Den Haag in voormelde uitspraak
heeft geoordeeld dat de gegevensuitwisseling als zodanig ten behoeve van een samenwerkingsverband
met het oog op het voorkomen en bestrijden van onrechtmatig gebruik van o.a. sociale
zekerheidsvoorzieningen verenigbaar is met het EVRM (artikel 8, tweede lid). De WGS
heeft ten doel de gezamenlijke verwerking van gegevens door samenwerkingsverbanden
te regelen ten behoeve van het voorkomen en bestrijden van verschillende vormen van
criminaliteit, of op het snijvlak van zorg en veiligheid. Voormelde uitspraak bevestigt
het standpunt van de regering dat de WGS daarmee een legitiem doel dient, zoals artikel
8, tweede lid, van het EVRM vereist.

In de tweede plaats volgt uit de uitspraak dat geautomatiseerde gegevensanalyse en
het gebruik van risicoprofielen in verband met de uitoefening van toezichthoudende
taken op zich niet verboden is, maar dat dergelijke methodes wel voldoende inzichtelijk
en controleerbaar moeten zijn en met voldoende waarborgen moeten zijn omkleed om de
toets aan artikel 8, tweede lid, van het EVRM te kunnen doorstaan. Voor zover dit
wetsvoorstel gezamenlijke geautomatiseerde gegevensanalyse nu of in de toekomst mogelijk
maakt, in het bijzonder voor ICOV, worden daaraan specifieke waarborgen verbonden
in het voorgestelde artikel 1.9. Daarbij wordt in het belang van de transparantie
in het bijzonder de verplichting gesteld om aan het publiek op toegankelijke wijze
uitleg te geven over de gehanteerde patronen en indicatoren of andere onderliggende
logica. Anders dan in de onverbindend verklaarde SyRI-wetgeving zal bij het gebruik
van risico-indicatoren en risicomodellen daarover zoveel mogelijk transparantie worden
betracht zodat deze toetsbaar zijn. Deze verplichting is opgenomen naar aanleiding
van voornoemde uitspraak.

De uitzondering op deze verplichting die inhoudt dat van deze uitleg kan worden afgezien
voor zover naar het oordeel van een deelnemer zwaarwegende redenen zich daartegen
verzetten, moet volgens de regering restrictief worden uitgelegd. Bij deze zwaarwegende
redenen moet in ieder geval worden gedacht aan de situatie waarin het verstrekken
van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, of
dat de informatieverstrekking de verwezenlijking van de doeleinden van de gegevensverwerking
onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Als door het
geven van voor het publiek toegankelijke wijze informatie bijvoorbeeld (volledig)
bekend wordt hoe een profiel werkt, is er het risico dat degenen op wie het toezicht
is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid van het profiel
en de effectiviteit van het toezicht worden verminderd.

Daarnaast geldt dat met het gebruik van de woorden «voor zover» is beoogd te regelen
dat de informatieverstrekking minder specifiek kan zijn als er zwaarwegende redenen
zijn. Nadrukkelijk is niet beoogd dat dan geen informatieverstrekking plaatsvindt.

Of van dergelijke zwaarwegende redenen sprake is kan worden voorgelegd aan de coördinerende
functionaris voor de gegevensbescherming van het samenwerkingsverband of aan de rechtmatigheidsadviescommissie
van het samenwerkingsverband.

De inzichtelijkheid en controleerbaarheid van geautomatiseerde gegevensanalyse zullen
nader worden geborgd in het voorgestelde artikel 2.14, eerste lid. Deze bepaling stelt
ter zake van iCOV verplicht dat bij lagere regelgeving regels worden gesteld over
de wijze van vaststelling van indicatoren, inclusief regels over de kwaliteit en de
hypothese waarop deze zijn gebaseerd. Ook stelt het voorgestelde artikel 2.14, tweede
lid, verplicht dat er nadere regels worden gesteld over de uitvoering van de gegevensanalyse,
o.a. de wijze waarop de bescherming van de persoonlijke levenssfeer nader wordt gewaarborgd,
de methoden van verwerking en de wijze waarop verbanden tussen gegevens zichtbaar
worden gemaakt. Momenteel verrichten de RIEC’s geen geautomatiseerde gegevensanalyse,
maar in het wetsvoorstel wordt hiertoe wel de mogelijkheid gecreëerd om dat in de
toekomst te gaan doen. Dezelfde regels zullen in dat geval ook gaan gelden voor de
RIEC’s, door deze op te nemen in de amvb waarin dat voor de RIEC’s wordt geregeld.

De privacy audits die samenwerkingsverbanden op grond van het voorgestelde artikel
1.10 moeten verrichten en waarvan de resultaten naar de Autoriteit persoonsgegevens
worden gezonden, dienen eveneens de inzichtelijkheid en controleerbaarheid van geautomatiseerde
gegevensanalyse. Gelet op het feit dat daarbij de uitvoering van de krachtens dit
wetsvoorstel en de AVG gestelde regels wordt gecontroleerd, ligt in de rede dat de
uitvoering van geautomatiseerde gegevensanalyse daarbij wordt betrokken. Daarnaast
draagt het jaarverslag van de samenwerkingsverbanden dat op grond van het voorgestelde
artikel 1.12 dient te worden opgesteld en op internet dient te worden geplaatst, eveneens
de transparantie en controleerbaarheid van gehanteerde methodes.

Ook de overige bezwaren van de rechtbank Den Haag worden voldoende ondervangen in
dit wetsvoorstel, in het bijzonder met betrekking tot het informeren van betrokkenen,
vaststelling van het doel van het samenwerkingsverband en het verrichten van een noodzakelijkheidstoets
van de gegevensverwerking door alle deelnemers. Zo stelt de aanwijzing van de deelnemers
aan het samenwerkingsverband als gezamenlijke verwerkingsverantwoordelijken op grond
van het voorgestelde artikel 1.4, eerste lid, veilig dat betrokkenen hun recht op
grond van artikel 14 van de AVG om geïnformeerd te worden jegens elke verwerkingsverantwoordelijke
kunnen uitoefenen (artikel 26, derde lid, van de AVG). De vaststelling van het doel
van het samenwerkingsverband wordt bij wet vastgelegd en wordt dus niet ter bepaling
overgelaten aan de deelnemers zelf. Ook de verstrekking van de in het wetsvoorstel
opgenomen categorieën van gegevens door deelnemers aan het samenwerkingsverband is
op grond van het voorgestelde artikel 1.5, eerste lid, in beginsel verplicht voor
zover dat noodzakelijk is voor het wettelijk bepaalde doel van het samenwerkingsverband.
Hoewel de categorieën te verstrekken gegevens in het wetsvoorstel zijn opgesomd, heeft
iedere deelnemer beoordelingsruimte bij de vraag of in concrete gevallen gegevensverstrekking
aan het samenwerkingsverband noodzakelijk is voor het doel van dat samenwerkingsverband.

De regering onderschrijft het standpunt van de rechtbank Den Haag in de SyRI-uitspraak
dat op grond van artikel 8 EVRM op Nederland als lidstaat bij de toepassing van nieuwe
technologieën een bijzondere verantwoordelijkheid rust. Daarom past de regering in
dit wetsvoorstel geautomatiseerde gegevensanalyse uitsluitend toe waar dat strikt
noodzakelijk is gebleken. Daarbij worden algemene en specifieke waarborgen gesteld
ter bescherming van de persoonlijke levenssfeer, in het bijzonder een transparantieverplichting
ter zake van het gebruik van risico-indicatoren en risicomodellen. Ook is er intern
toezicht in de vorm van de coördinerende functionaris voor de gegevensbescherming
en de rechtmatigheidsadviescommissie.

Vraag 143 (D66)

Kan zij hierbij tevens ingaan op het «Ongevraagd advies over de effecten van de digitalisering
voor de rechtstatelijke verhoudingen» dat de Afdeling aan het kabinet heeft uitgebracht
waarin wordt ingegaan op profileren? Verder vragen deze leden of onder het wetsvoorstel
het gebruik van deep learning (zelflerende systemen) mogelijk is? Kan de regering
ingaan op de bezwaren die de Afdeling in het ongevraagd advies uit over het gebruik
van zelflerende systemen door de overheid, namelijk dat een bestuursorgaan daardoor
slecht zijn optreden kan verantwoorden omdat de menselijke gebruiker vaak niet begrijpt
waarom een zelflerend systeem een verband ziet?

De Afdeling advisering van de Raad van State wijst in genoemd advies er onder meer
op dat de burger geconfronteerd kan worden met besluiten die berusten op profilering
en statistische verbanden. Er is dan niet aangetoond dat de burger verwijtbaar heeft
gehandeld; er is alleen een vermoeden op basis van algemene kenmerken. Tegen de achtergrond
van deze overweging en overwegingen die op andere vormen van digitaal overheidsoptreden
betrekking hebben, adviseert de Afdeling om de beginselen van behoorlijk bestuur,
en in het bijzonder het motiveringsbeginsel en het zorgvuldigheidsbeginsel, verscherpt
te interpreteren in de context van digitalisering. Dat betekent onder meer dat in
een besluit moet worden toegelicht welke beslisregels (algoritmen) zijn gebruikt en
welke gegevens zijn overgenomen van andere bestuursorganen.37

Van belang is dat de resultaten van de gegevensverwerking door samenwerkingsverbanden
niet als besluiten in de zin van de Algemene wet bestuursrecht kunnen worden aangemerkt.
Deze verbanden zijn immers geen bestuursorgaan en nemen dan ook geen besluiten. Wel
leveren die resultaten sturingsinformatie op die de deelnemers aan een verband naast
andere informatie kunnen gebruiken om op basis van de hen toebedeelde bevoegdheden
zo nodig besluiten te nemen. Dergelijke besluiten dienen uiteraard aan de door de
Afdeling genoemde beginselen van behoorlijk bestuur te voldoen, waarbij de regering
de door de Afdeling genoemde noodzaak onderschrijft deze beginselen in de context
van digitalisering op de door haar beschreven wijze verscherpt te interpreteren. Dit
impliceert dat besluiten nimmer op louter sturingsinformatie gebaseerd kunnen worden,
omdat deze informatie berust op profilering en correlaties, waarbij een rechtsgeldige
causaliteit ontbreekt.

Het wetsvoorstel sluit het gebruik van deep learning (zelflerende systemen) niet uit.
Wel wijst de Afdeling advisering er in haar advies terecht op dat het bij deep learning
om algoritmen gaat die niets anders doen dan statistische verbanden zoeken. Zo’n statistisch
verband of correlatie wijst slechts op een verhoogde waarschijnlijkheid dat er ook
feitelijk een verband is. Om die reden kan ook deep learning niet meer dan sturingsinformatie
opleveren. En, zoals gezegd, zal een besluit van een deelnemer nimmer op louter sturingsinformatie
kunnen worden gebaseerd, omdat voor een besluit een rechtsgeldige causaliteit moet
worden aangetoond. Voor zover een deelnemer meent een besluit behalve op causale verbanden
mede op sturingsinformatie te moeten baseren, zal hij dat alleen kunnen doen, als
hij de logica achter deze informatie kan uitleggen. Controleerbaarheid impliceert
uitlegbaarheid. Daarbij gaat het erom dat de uitkomsten van data-analyses en hoe deze
tot stand zijn gekomen, in begrijpelijke taal moeten kunnen worden verklaard aan betrokkenen.
Gedacht kan worden aan maatregelen die duidelijkheid geven over het toegepaste model
of algoritme, het doel dat daarmee wordt nagestreefd, de procedures die door het algoritme
worden gevolgd, de gebruikte datasets inclusief de kwaliteit en herkomst daarvan en
de variabelen en/of beoordelingscriteria die doorslaggevend zijn geweest voor de uitkomst.
Zoals de regering in een brief van 8 oktober 2019 aan uw Kamer heeft laten weten,
zou in het verlengde hiervan als uitgangspunt moeten gelden dat overheidsorganisaties
geen algoritmes mogen hanteren die te complex zijn om redelijkerwijs te kunnen worden
uitgelegd.38

Vraag 144 (GroenLinks)

De leden van de GroenLinks-fractie constateren dat de plannen om grootschalige gegevensuitwisseling
mogelijk te maken niet nieuw zijn. Ook de voorgangers van deze regering hebben er
werk van gemaakt. In 2015 heeft de Kamer een tussenrapportage ontvangen waarin informatiestromen
binnen het Rijk in beeld zijn gebracht. Is daar inmiddels een eindrapportage van?

Voornoemde leden wijzen voorts op het gevaar van function creep. In het rapport «Big
Data in een vrije en veilige samenleving» (2016) stelt de WRR: «function creep zorgt
ervoor dat we via allerlei incrementele en op zichzelf te verdedigen keuzes over het
toevoegen van functies, data, koppelingen en deelnemers eindigen met systemen die
als geheel, en in één keer, waarschijnlijk nooit goedgekeurd waren» (pag. 88). Hoe
kan de Kamer nu volledig overzicht hebben over de wijze waarop burgers worden gemonitord,
en zo helpen voorkomen dat het totaalplaatje een te grote inbreuk vormt op het recht
op privacy?

De eindrapportage over informatiestromen binnen het Rijk is uw Kamer toegezonden bij
brief van 1 oktober 2015 van de toenmalige Minister van Veiligheid en Justitie.39

Voor zover de leden van deze fractie met monitoring van burgers doelen op de verwerking
van gegevens over burgers door samenwerkingsverbanden, kan de Kamer een overzicht
daarvan hebben in de vorm van de jaarverslagen die deze verbanden op grond van artikel
1.12 van het wetsvoorstel dienen op te stellen en op internet bekend te maken.

Vraag 145 (GroenLinks)

De aan het woord zijnde leden vragen hoe de Wet bevordering integriteitsbeoordelingen
door het openbaar bestuur en de datadeling met het oog op het aanpakken van de georganiseerde
misdaad zich tot elkaar verhouden.

De Wet Bibob werpt een barrière op voor criminele organisaties om voor hun criminele
activiteiten gebruik te maken van legale structuren en beoogt daarmee bij te dragen
aan het tegengaan van vermenging van de boven- en onderwereld. Het Bibob-instrument
is nadrukkelijk niet bedoeld om criminele activiteiten op te sporen of te vervolgen.
Dat is immers niet een taak van bestuursorganen; het beschermen van de eigen integriteit
tegen het ongewild faciliteren van criminele activiteiten wel. De Wet Bibob vormt
aldus een bijzondere vorm van preventie40 in aanvulling op de integrale aanpak van ondermijnende criminaliteit. Het Bibob-instrumentarium
werkt door middel van screening van personen met wie de overheid zaken doet in criminaliteitsgevoelige
omstandigheden, om te voorkomen dat de overheid onbedoeld besluiten neemt die de criminele
activiteiten van de onderwereld faciliteren.

Als de leden van de GroenLinks-fractie doelen op de verhouding tussen het onderhavige
wetsvoorstel en het wetsvoorstel tweede tranche Bibob, kan ik daarover het volgende
opmerken. Beide wetsvoorstellen verruimen de mogelijkheden voor informatiedeling in
geval van ondermijnende criminaliteit. De doelstelling van de Wet Bibob is echter
anders dan de doelstellingen van de samenwerkingsverbanden. Het wetsvoorstel tweede
tranche Bibob verruimt de bevoegdheden tot informatiedeling tussen het Landelijk Bureau
Bibob en bestuursorganen die de Wet Bibob mogen toepassen, en tussen deze bestuursorganen
onderling. Anders dan bij de WGS gaat het bij de Wet Bibob niet om gezamenlijke, multilaterale
gegevensverwerking in samenwerkingsverbanden, maar gaat het om een centrale administratie
bij het Landelijk Bureau Bibob die kan worden bevraagd door bestuursorganen en om
bilaterale gegevensuitwisseling tussen twee bestuursorganen onderling. Het wetsvoorstel
tweede tranche Bibob regelt ook andere onderwerpen dan informatiedeling, zoals de
uitbreiding van de reikwijdte van de Wet Bibob.

Vraag 146 (GroenLinks)

Is het mogelijk dat een vergunning geweigerd wordt op basis van informatie uit het
samenwerkingsverband zonder dat getoetst is of die informatie naar alle verwachting
klopt?

Op welke gronden en op basis van welke informatie een vergunning kan worden geweigerd,
is afhankelijk van de regels die op het betreffende vergunningstelsel van toepassing
zijn. Dit maakt deze vraag lastig te beantwoorden in zijn algemeenheid. Van belang
is dat een bestuursorgaan op grond van artikel 3:2 Awb verplicht is om alvorens een
besluit te nemen – over bijvoorbeeld een vergunning – de nodige kennis omtrent de
relevante feiten en de af te wegen belangen te vergaren. Bij het zorgvuldigheidsbeginsel
hoort een zorgvuldig onderzoek naar de feiten en belangen. Daarbij past de nuancering
dat de vergunningaanvrager in beginsel verantwoordelijk is voor de juistheid van de
gegevens en bescheiden die hij op grond van artikel 4:2, tweede lid, Awb verschaft
voor de beoordeling van de vergunningaanvraag. Niettemin verplichten het zorgvuldigheidsbeginsel
en het evenredigheidsbeginsel bestuursorganen om een kritische blik te waarborgen
op de verzamelde gegevens en op de uitkomsten van eventuele algoritmes, teneinde te
overwegen of het voorgenomen bestuurshandelen tot een onvoorzien en onredelijk benadelend
gevolg zou kunnen leiden voor de betreffende burger of onderneming. Verder is relevant
dat het bestuursorgaan voorafgaand aan het nemen van een (belastend) besluit in beginsel
verplicht is om de belanghebbende in staat te stellen om te reageren op het voornemen
om een besluit te nemen of op de onderliggende gegevens (artikel 4:7 en 4:8 Awb).
Voorts wordt verwezen naar het antwoord op vraag 143 ten aanzien van het verscherpt
interpreteren van de algemene beginselen van behoorlijk bestuur in de context van
digitalisering.

Vraag 147 (SP)

De leden van de SP-fractie zijn op de hoogte van voormelde uitspraak van de rechtbank
Den Haag dat SyRI in strijd was met het recht op privacy, omdat SyRi onvoldoende was
begrensd en geen effectieve waarborgen bood tegen misbruik en willekeur. Waarom denkt
de regering dat verwerking van gegevens onder het wetsvoorstel wel stand houdt bij
de rechter, terwijl het wetsvoorstel niet meer is dan een kaderwet en samenwerkingsverbanden
zijn opgenomen die formeel wettelijk niet begrensd zijn? Kan dit uitgebreid worden
gemotiveerd?

De regering begrijpt de vragen van de leden van de SP-fractie aldus dat deze betrekking
hebben op het oorspronkelijke wetsvoorstel zoals dat is voorgelegd aan de Afdeling
advisering van de Raad van State en de Autoriteit persoonsgegevens. Het oorspronkelijke
wetsvoorstel was inderdaad vormgegeven als kaderwet. Naar aanleiding van het advies
van de Afdeling en de adviezen van de Autoriteit persoonsgegevens bij het oorspronkelijke
wetsvoorstel, is het wetsvoorstel ingrijpend aangepast en zijn alle door de Afdeling
genoemde hoofdelementen van de gezamenlijke gegevensverwerking in het wetsvoorstel
opgenomen voor de vier samenwerkingsverbanden FEC, iCOV, de RIEC’s en Zorg- en Veiligheidshuizen.
Het gaat daarbij onder meer om het doel van het samenwerkingsverband, welke partijen
deelnemen met het oog op de opgesomde taken en bevoegdheden, de activiteiten die zij
verrichten, welke gegevens zij daarbij mogen verwerken (waaronder soms bijzondere
persoonsgegevens), onder welke randvoorwaarden, en welke waarborgen voor de gezamenlijke
gegevensverwerking gelden. Het aangepaste wetsvoorstel bevat een omvattende regeling
voor de gezamenlijke gegevensverwerking door de vier genoemde samenwerkingsverbanden
en niet meer slechts een kader daarvoor. De regering is van mening daarmee een heldere
juridische basis te hebben gecreëerd voor de vier samenwerkingsverbanden.

De regering kan niet vooruitlopen op uitspraken van de rechter over de toepassing
van dit wetsvoorstel, maar meent dat dit wetsvoorstel in overeenstemming is met de
uitspraak van de rechtbank Den Haag in de zaak SyRI. Voor een uitvoerige onderbouwing
van de redenen daarvoor verwijst de regering de leden van de SP-fractie naar de beantwoording
van de vragen van de leden van de VVD-fractie, de leden van de D66-fractie, de leden
van de ChristenUnie-fractie en de leden van de Partij voor de Dieren-fractie (vragen
24 en 89, 139 en 142) over de betekenis van de SyRI-uitspraak voor dit wetsvoorstel.

Vraag 148 (SP en ChristenUnie)

Voornoemde leden vragen voorts hoe de regering staat tegenover een evaluatie van de
wet na één jaar, om dan al te kijken naar de werkbaarheid en uitvoerbaarheid van de
wet in de praktijk?

Zoals gezegd begrijpen de leden van de ChristenUnie-fractie ook de zorgen over de
uitvoerbaarheid van onder andere gemeenten. Zij vragen derhalve of gezien de vragen
die er nog zijn over de uitwerking van de wet in de praktijk, een evaluatiebepaling
van minder dan vijf jaar niet voor de hand ligt.

Voor het antwoord op deze vraag wordt verwezen naar het antwoord op vraag 116.

Vraag 149 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen in hoeverre de regering zich
genoodzaakt ziet het wetsvoorstel aan te passen naar aanleiding van de uitspraak van
de rechtbank Den Haag inzake SyRi. De rechtbank heeft in die uitspraak nadrukkelijk
geoordeeld dat de fair-balance tussen de nagestreefde publieke belangen en de daarvoor
benodigde inbreuk op het privéleven niet gerechtvaardigd is. De rechter oordeelde
verder dat de werkwijze en inzet onvoldoende inzichtelijk en controleerbaar waren.
Hoe kan de regering van mening zijn dat met het wetsvoorstel voldoende zicht en controle
op de gegevensuitwisseling en de gevolgen van die gegevensuitwisseling bestaat? Op
welke wijze geeft de regering invulling aan de bijzondere verantwoordelijkheid die
lidstaten wordt opgelegd bij het toepassen van nieuwe technologieën? De aan het woord
zijnde leden verwachten dat het begrip «nieuwe technologieën», waar de rechter SyRi
ook onder schaarde, ook zal gelden voor nieuwe samenwerkingsverbanden.

Om herhaling te voorkomen verwijst de regering de leden van de Partij voor de Dieren-fractie
naar de naar de beantwoording van de vragen van de leden van de VVD-fractie, de leden
van de D66-fractie, de leden van de ChristenUnie-fractie en de leden van de Partij
voor de Dieren-fractie (vragen 24 en 89, 139 en 142) over de betekenis en gevolgen
van de SyRI-uitspraak voor dit wetsvoorstel.

Vraag 150 (PvdD)

Net als in de memorie van toelichting staat, zo stelde de Staat in de rechtbank dat
de SyRi wetgeving en werkwijze uitging van objectieve criteria en procedurele en materiële
waarborgen bevatte, zo constateren de aan het woord zijnde leden. De regering moet
ervan op de hoogte zijn dat de rechter hier niet in meeging. Welke aanleiding heeft
de regering dan nog om op dit moment te concluderen dat het wetsvoorstel voldoende
waarborgen bevat?

Kan de regering ook ingaan op het punt van controleerbaarheid? In de rechtbank voerde
de Staat namelijk aan dat inzage in de werkwijze van SyRi niet aan de orde kon zijn
omdat burgers hun gedrag daarop aan zouden kunnen passen. Kan de regering aangeven
op welke wijze Kamerleden (of andere toezichthouders) hun controlerende taak zouden
moeten kunnen uitvoeren als dit soort informatie niet openbaar mag worden?

In reactie op de vragen van de leden van de Partij voor de Dieren-fractie over of
het wetsvoorstel nog voldoende waarborgen bevat na de SyRI-uitspraak en de controleerbaarheid
van geautomatiseerde gegevensanalyse, verwijst de regering de leden van de Partij
voor de Dieren-fractie naar de beantwoording van de vragen van de leden van de VVD-fractie,
de leden van de D66-fractie, de leden van de ChristenUnie-fractie en de leden van
de Partij voor de Dieren-fractie (vragen 24 en 89, 139 en 142) over de betekenis en
gevolgen van de SyRI-uitspraak voor dit wetsvoorstel.

Ter zake van de controleerbaarheid van gehanteerde methodes door Kamerleden en de
Autoriteit persoonsgegevens, kan de regering daar nog aan toevoegen dat de informatieverstrekking
over de samenwerkingsverbanden valt onder de inlichtingenplicht van de bewindspersonen
die verantwoordelijk zijn voor een bepaald samenwerkingsverband. Uw Kamer kan de verantwoordelijke
bewindspersonen daarop aanspreken. De Autoriteit persoonsgegevens kan gebruikmaken
van haar toezichthoudende bevoegdheden, bijvoorbeeld de bevoegdheid om inlichtingen
te vorderen wanneer de Autoriteit persoonsgegevens beslist onderzoek te doen naar
geautomatiseerde gegevensanalyse in het samenwerkingsverband.

Vraag 151 (PvdD)

De leden van de Partij voor de Dieren-fractie vragen de regering of zij in de voorbereiding
van het wetsvoorstel heeft stilgestaan bij de publieke discussie die is gevoerd rondom
de invoering van de Wet op de inlichtingen- en veiligheidsdiensten 2017. Daarin is
uitvoerig stilgestaan bij de mate waarin burgers het wenselijk vinden dat hun data
ten behoeve van het algemeen belang verzameld en gedeeld worden. De weerstand daartegen
was groot en bij meerderheid adviseerde de bevolking de regering ook om dat wetsvoorstel
niet aan te nemen.

Kan de regering aangeven op basis van welke informatie zij tot de conclusie is gekomen
dat in het geval van het wetsvoorstel de burgers het wel wenselijk achten dat, ondanks
dat zij onschuldig zijn aan enig misdrijf, hun data verzameld en gedeeld gaat worden?
Voornoemde leden zien in de beide wetten een grote overeenkomst.

Op grond van het onderhavige wetsvoorstel worden, anders dan in de Wet op de inlichtingen-
en veiligheidsdiensten 2017, geen bevoegdheden voorgesteld om gegevens te kunnen vergaren.
Dit wetsvoorstel gaat uitsluitend over het gezamenlijk verwerken van gegevens waarover
deelnemers van een samenwerkingsverband reeds beschikken. De WGS gaat dus niet over
initiële gegevensverzameling, maar over verdere verwerking. Analoge toepassing van
de minimumvereisten voor heimelijke surveillance en toezicht zoals in de Wet op de
inlichtingen- en veiligheidsdiensten 2017 is daarom niet aan de orde.

Vraag 152 (PvdD)

De aan het woord zijnde leden doen vanwege alle bovenstaande argumenten dan ook de
oproep aan de regering om het wetsvoorstel in te trekken. Wederom lijkt de regering
van mening dat burgerrechten opgegeven dienen te worden ten behoeve van de openbare
orde en veiligheid. Een valse tegenstelling die de leden van de Partij voor de Dieren-fractie
verre van zich werpen. Wederom komt de regering met een wet die iedereen verdachte
maakt zonder dat daar aanleiding voor is. Wederom komt de regering met een inperking
van klassieke grondrechten. Wederom acht de regering het waarschijnlijk dat het verzamelen
van zoveel mogelijk data de oplossing is terwijl daar weinig tot geen bewijs voor
is. Dit wetsvoorstel moet van tafel, een verdere behandeling is dan ook zonde van
de tijd.

Het moge uit de beantwoording van de gestelde vragen duidelijk zijn dat de regering
het volstrekt oneens is met het standpunt van de leden van de Partij voor de Dieren-fractie
betreffende het wetsvoorstel.

ARTIKELSGEWIJZE TOELICHTING

Artikel 1.1 (Definities)

Vraag 153 (CDA en D66)

De leden van de CDA-fractie lezen in het advies van de KNB dat zij ingaat op mogelijke
deelname aan een samenwerkingsverband. Mede omdat de KNB een publiekrechtelijke beroepsorganisatie
is en openbaar lichaam, maar de notaris zelf als private partij wordt aangemerkt,
ontstaat in het wetsvoorstel onduidelijkheid zo menen deze leden. Zij vragen de regering
of de definities «overheidsorgaan», «overheidsinstantie» en «private partij» in de
zin van onderhavig wetsvoorstel gedefinieerd kunnen worden.

De leden van de D66-fractie stellen vast dat de definitiebepaling geen omschrijving
kent van de begrippen «overheidsorgaan», «overheidsinstantie» en «private partij».
Deze leden vragen de regering waarom er niet voor is gekozen deze begrippen te definiëren.
Zij vragen de regering voorts toe te lichten wat zij onder deze begrippen verstaat.

De term overheidsinstantie is opgenomen om aan te sluiten bij de AVG, die de termen
overheidsorgaan en overheidsinstantie naast elkaar gebruikt. De AVG definieert deze
termen niet. Omdat met het wetsvoorstel niet wordt beoogd om het begrip overheidsinstantie
of overheidsorgaan op nationaal niveau een andere invulling te geven dan krachtens
de AVG, zijn geen definities opgenomen. Dat laat onverlet dat een gebruikelijke definitie
van overheidsorgaan is: organen van krachtens publiekrecht ingestelde rechtspersonen,
alsmede andere met enig openbaar gezag beklede personen of colleges.41

De term overheidsinstantie uit dit wetsvoorstel heeft aanvullende waarde ten opzichte
van de term overheidsorgaan, omdat hierdoor ook overheidsdiensten kunnen worden begrepen,
zoals de Immigratie- en Naturalisatiedienst, de Dienst Justitiële Inrichtingen en
gemeentelijke gezondheidsdiensten.

Onder private partij moeten in de regel privaatrechtelijke rechtspersonen worden begrepen.
Omdat bij sommige samenwerkingsverbanden, zoals de Zorg- en Veiligheidshuizen, ook
natuurlijke personen moeten kunnen deelnemen, is geen beperking aangebracht tot rechtspersonen.
Het gaat daarbij om derden die op incidentele basis deelnemen aan het casusoverleg,
namelijk partijen die actief zijn op uiteenlopende gebieden zoals huisvesting, zorg,
maatschappelijke opvang, jeugdhulp, crisisopvang, woonbegeleiding, beschermd wonen,
begeleiding bij geestelijke of licht verstandelijke beperkingenproblematiek, maatschappelijk
werk, slachtofferzorg en huisartsenzorg, alsmede curatoren, bewindvoerders of mentoren.

Vraag 154 (D66)

Voornoemde leden menen dat het begrip sturingsinformatie belangrijk is. Zij begrijpen
dat het hierbij niet gaat om een verdenking in de zin van artikel 27 van het Wetboek
van Strafvordering. Kan de regering dat bevestigen?

Ja, de regering kan dit bevestigen. Bij sturingsinformatie zoals gedefinieerd in artikel
1.1 van dit wetsvoorstel gaat het niet om een verdenking in de zin van artikel 27
van het Wetboek van Strafvordering. De definitie van sturingsinformatie bevat om deze
reden de formulering «een eerste vermoeden dat sprake is van onrechtmatige activiteiten,
of voornemens daartoe». Artikel 27 Sv vereist daarentegen een «redelijk vermoeden
van schuld», wat impliceert dat het vermoeden sterker is. De sturingsinformatie levert
derhalve nog geen verdenking op, maar kan als uitkomst van de analyse binnen een samenwerkingsverband
meewegen bij de beslissing van OM of politie om al dan niet een strafrechtelijk onderzoek
te starten. Voor de opsporingsdiensten en het OM geldt ook dat sturingsinformatie
niet direct als bewijs kan worden gebruikt zonder dat er eerst nog nader opsporingsonderzoek
plaatsvindt. Van een verdenking in de zin van artikel 27 van het Wetboek van Strafvordering
is sprake indien in het strafrechtelijk onderzoek door politie en OM concrete feiten
en omstandigheden met betrekking tot de desbetreffende persoon op tafel komen die
op een strafbaar feit wijzen.

Vraag 155 (D66)

Kan de regering ook nader ingaan op het begrip sturingsinformatie, en daarbij betrekken
dat in de artikelen 2.8 en 2.15 expliciet wordt gesteld dat het resultaat van verwerkingen
sturingsinformatie oplevert, maar dat ten aanzien van de RIEC’s, de ZVH en eventueel
bij AMvB aan te wijzen samenwerkingsverbanden een dergelijke clausule ontbreekt. Deze
leden menen dat, bij samenwerkingsverbanden hoofdzakelijk bestaande uit private partijen,
moet worden voorkomen dat te eenvoudig in allerlei gegevens wordt gesnuffeld om maar
te bezien of er tot sturingsinformatie kan worden gekomen.

De voorgestelde artikelen 2.8 en 2.15 bepalen dat sturingsinformatie het resultaat
is van de gegevensverwerking door het FEC en door iCOV. Deze bepalingen die het resultaat
definiëren, zijn bedoeld als beperking, omdat op grond van artikel 1.7 alleen resultaten
mogen worden verstrekt vanuit het samenwerkingsverband. Bij de RIEC’s, de Zorg- en
Veiligheidshuizen en bij amvb aangewezen samenwerkingsverbanden is sprake van de volgende
resultaten van de gezamenlijke gegevensverwerking:

– Bij de RIEC’s kan de gezamenlijke gegevensverwerking volgens artikel 2.23, zevende
lid, resulteren in een interventieadvies. Deze bepaling definieert daarmee het resultaat,
bedoeld in artikel 1.7. Zoals toegelicht in de artikelsgewijze toelichting bij artikel
2.23, zevende lid, stelt een interventieadvies de betrokken deelnemers in staat hun
wettelijke taken en bevoegdheden uit te oefenen. Het advies kan worden gebruikt om
te bepalen of interventie wenselijk en noodzakelijk is, of deze in afstemming tussen
bepaalde deelnemers moet gebeuren en welke deelnemers betrokken moeten zijn alsmede
welke deelnemer verantwoordelijk is voor de gezamenlijk te verrichten interventie
of interventies. Zoals toegelicht in de artikelsgewijze toelichting bij artikel 2.23,
achtste lid, bevat het advies slechts die gegevens die nodig zijn om het gegeven advies
te onderbouwen en een gedegen afweging van de mogelijke interventies te maken.

– Bij de Zorg- en Veiligheidshuizen bestaat het resultaat van de gegevensverwerking
uit de uitkomsten van casusoverleggen. Deze geven een beeld van wie welke interventie
gaat plegen en welke casus als prioriteit worden behandeld.

– Voor wat betreft samenwerkingsverbanden die bij amvb worden aangewezen, geldt dat
het in de rede ligt om bij die amvb de resultaten van de gegevensverwerking te definiëren.
Artikel 1.8, eerste lid, biedt daarvoor een grondslag.

Artikel 1.3 (Deelnemers)

Vraag 156 (D66)

De leden van de D66-fractie lezen dat aanwijzing van een overheidsinstantie of overheidsorgaan
kan plaatsvinden, indien die deelname noodzakelijk is. Deze leden vragen wie beoordeelt
of aan dat criterium is voldaan en op basis van welke criteria dit gebeurt.

In geval van aanwijzing van de deelnemer bij formele wet is dit primair aan de wetgever
ter beoordeling en in geval van aanwijzing bij amvb is dit aan de regering ter beoordeling,
met dien verstande dat het parlement hierover vervolgens in de voorgestelde nahangprocedure
kan oordelen. Voor aanwijzing van een overheidsinstantie of overheidsorgaan als deelnemer
is vereist dat de deelname noodzakelijk is voor het doel van het samenwerkingsverband.
Dit wordt, afhankelijk van het type samenwerkingsverband, beoordeeld aan de hand van
de vraag of de overheidsinstantie of het overheidsorgaan beschikt over gegevens die
het samenwerkingsverband in staat stellen om zijn doel te vervullen en die noodzakelijk
zijn voor het doel, dan wel of sprake is van wettelijke bevoegdheden en taken die
op elkaar moeten worden afgestemd om een integrale aanpak te bereiken van de doelstelling
waarop het samenwerkingsverband zich richt.

Vraag 157 (D66)

Voornoemde leden lezen eveneens dat een private partij kan worden aangewezen als deelnemer,
indien er tevens overheidsinstanties of overheidsorganen deelnemen. De aan het woord
zijnde leden vragen of dit de mogelijkheid in zich heeft dat een samenwerkingsverband
bestaat uit meer private partijen dan overheidsinstanties en vragen de regering in
te gaan op de wenselijkheid daarvan.

Bevordering van de veiligheid is een belangrijke taak van de overheid, maar ook een
gedeelde verantwoordelijkheid van alle burgers in Nederland. Ik acht het dan ook waardevol
dat de overheid samen kan werken met andere partijen, waaronder bedrijven, om binnen
de kaders van de wet samen te werken aan een veilig Nederland. Dat laat onverlet dat
het wetsvoorstel niet bedoeld is voor samenwerkingsverbanden die overwegend uit private
partijen bestaan, aangezien het hier gaat om zwaarwegende algemene belangen. Het is
overigens lastig om dit aan wettelijke criteria te verbinden, omdat het niet alleen
gaat om de getalsmatige verhouding tussen publieke en private partijen, maar ook om
de aard van hun rol in het samenwerkingsverband. Bij de aanwijzing van de deelnemers
zal ervoor worden gewaakt dat een samenwerkingsverband niet overwegend uit private
partijen bestaat.

Artikel 1.4 (Gezamenlijke verwerkingsverantwoordelijkheid)

Vraag 158 (D66)

De leden van de D66-fractie lezen dat een private partij slechts personen aan mag
wijzen die niet tevens zijn belast met commerciële werkzaamheden. Dat lijkt deze leden
wijs, maar zij vragen wel wie en op welke wijze hierop wordt toegezien en wat de consequenties
zijn als aan deze voorwaarde niet is voldaan, dan wel er discussie ontstaat over het
al dan niet vervuld zijn van deze eis. Graag krijgen zij van de regering een toelichting
op dit punt.

Een van de waarborgen ter bescherming van de privacy van burgers die in het wetsvoorstel
is opgenomen, is het voorgestelde artikel 1.4, derde lid. Deze bepaling strekt ertoe
dat een private deelnemer ten behoeve van de inzet in het samenwerkingsverband slechts
personen aanwijst die niet tevens worden belast met commerciële werkzaamheden voor
die private partij. Hoe een deelnemer gevolg geeft aan deze eis zal afhangen van de
wijze waarop zijn organisatie is ingericht. Bij de private partijen die uitsluitend
publieke doelen nastreven, kan in beginsel elke medewerker in aanmerking komen. Deelnemende
private partijen kunnen hun deelname aan een samenwerkingsverband alleen effectueren
wanneer de organisatie medewerkers in dienst hebben die voldoen aan deze norm. Het
is in eerste plaats aan de organisatie zelf, en aan de coördinerende functionaris
voor de gegevensbescherming van het samenwerkingsverband (het voorgestelde artikel
1.4, tweede lid), om erop toe te zien dat alleen in aanmerking komende personen worden
ingezet ten behoeve van het samenwerkingsverband.

Daarnaast bevat het wetsvoorstel een aantal waarborgen die er mede toe dienen de werkwijze
van samenwerkingsverbanden, onder andere op dit punt, inzichtelijk te maken. Zo dient
het samenwerkingsverband ingevolge het voorgestelde artikel 1.10 periodieke privacy
audits te verrichten waarbij de uitvoering van de regels van dit wetsvoorstel en de
AVG worden gecontroleerd. Een afschrift van de controle-resultaten moet aan de Autoriteit
persoonsgegevens worden gezonden. Ook dienen de samenwerkingsverbanden een jaarverslag
op te stellen en in dit verslag op internet te plaatsen (het voorgestelde artikel
1.12). De rechtmatigheidsadviescommissie die op grond van het voorgestelde artikel
1.8, zesde lid, wordt ingesteld, heeft tot taak de rechtmatigheid te beoordelen en
kan uit dien hoofde bij discussies daarover om advies worden gevraagd. De rechtmatigheidsadviescommissie
kan ook voorstellen aan het samenwerkingsverband doen om onrechtmatigheden op te lossen.
De Autoriteit persoonsgegevens houdt toezicht op de gezamenlijke gegevensverwerking
door samenwerkingsverbanden en is bevoegd om op te treden wanneer er in strijd met
dit wetsvoorstel toch personen met commerciële taken zouden worden ingezet ten behoeve
van het samenwerkingsverband.

Artikel 1.7 (Verstrekking van de resultaten aan deelnemers en derden)

Vraag 159 (D66)

De leden van de D66-fractie lezen dat de resultaten van gegevensverwerking kunnen
worden verstrekt aan een private deelnemer indien de «behartiging van gerechtvaardigde
belangen (...) verenigbaar zijn met het doel van het samenwerkingsverband.» Dat criterium
komt deze leden vrij ruim voor. Deelt de regering de mening dat gegevens alleen zouden
moeten worden verstrekt indien het gaat om een publiek belang dat de private deelnemer
behartigt?

De regering bevestigt dat van een verdere verwerking voor gerechtvaardigde belangen
in de gevallen van de samenwerkingsverbanden doorgaans uitsluitend sprake is indien
de private partij een publiek belang behartigt. Wat onder de voorgestelde wet zou
kunnen, is publiek-private samenwerking binnen het FEC, of – via een toekomstige amvb
– een samenwerkingsverband tussen politie, OM en bedrijven ter bestrijding van ernstige
vormen van criminaliteit. In dergelijke gevallen valt het private gerechtvaardigde
belang grotendeels samen met het publieke belang om dergelijke criminaliteit aan te
pakken. Het wetsvoorstel beoogt dergelijke publiek-private samenwerking voor een zwaarwegend
algemeen belang mogelijk te maken. Relevant is verder dat de resultaten van de gezamenlijke
gegevensverwerking op grond van het voorgestelde artikel 1.7, eerste lid, uitsluitend
aan een (al dan niet private) deelnemer worden verstrekt voor een doel dat verenigbaar
is met het doel van het samenwerkingsverband. De mogelijkheid van verdere verwerking
is daardoor gelimiteerd. Voor wat betreft de toetsing van de vraag of het doel van
de gegevensverwerking door de private deelnemer verenigbaar is met het doel van het
samenwerkingsverband, kan worden aangesloten bij de criteria die artikel 6, vierde
lid, onder a tot en met e, AVG, geeft voor de afweging of er sprake is van verdere
verwerking voor een verenigbaar doel.

Artikel 1.8 (waarborgen)

Zevende lid

Vraag 160 (CDA)

De leden van de CDA-fractie vragen de regering hoe geregeld zal worden dat gegevens
na de verstreken termijn daadwerkelijk vernietigd zullen worden? Hoe wordt toezicht
gehouden op de daadwerkelijke vernietiging van deze gegevens?

Informatiesystemen kunnen met toepassing van het in artikel 25 AVG vastgelegde principe
van «Privacy by Design» zo worden ingericht dat gegevens uiterlijk vijf jaar na de
datum van eerste verwerking automatisch worden vernietigd. Ook kunnen er andere technische
en organisatorische maatregelen worden getroffen om gegevens niet langer te bewaren
dan is voorgeschreven. Wel zal daarbij op grond van de laatste volzin van dit artikellid
rekening moeten worden gehouden met de mogelijkheid om in bijzondere gevallen en voor
zover dat noodzakelijk is voor het doel van het samenwerkingsverband persoonsgegevens
die worden bewaard, in opdracht van de deelnemers, na verkregen instemming van de
deelnemer die de betreffende persoonsgegevens heeft verstrekt, ter beschikking te
stellen voor hernieuwde verwerking.

Het toezicht op de daadwerkelijke vernietiging vindt in eerste instantie plaats door
middel van de privacy audits die in artikel 1.10 van het wetsvoorstel zijn voorgeschreven.
Verder kan ook de Autoriteit persoonsgegevens onderzoek naar de naleving van de voorschriften
over de vernietiging van de verwerkte persoonsgegevens doen.

Artikel 1.9 (Bijzondere waarborgen inzake geautomatiseerde gegevensanalyse)

Vraag 161 (D66)

De leden van de D66-fractie lezen dat in artikel 1.9, tweede lid menselijke tussenkomst
gewaarborgd is bij het verstrekken van het resultaat van de geautomatiseerde gegevensverwerking,
waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen.
In principe zijn voornoemde leden van mening dat dit een positieve toevoeging is aan
het wetsvoorstel. Zij vragen zich echter wel af of deze beoordeling mogelijk is bij
systemen die gebruik maken van deep learning?

Voor een reactie op deze vraag verwijzen wij naar ons antwoord op vragen over deep
learning die deze leden in par. 9 hebben gesteld (vraag 143).

Vraag 162 (D66)

Voorts vragen de aan het woord zijnde leden naar de openbaarheid en transparantie
van geautomatiseerde gegevensanalyse. Een belangrijke waarborg met het oog op discriminatie
en misbruik is dat het samenwerkingsverband algemene gegevens over systematische gegevensverwerking
toegankelijk moet maken; deze waarborg geeft uitwerking aan het beginsel van transparantie.
Het samenwerkingsverband hoeft echter geen gegevens over geautomatiseerde gegevensanalyse
toegankelijk te maken als een (publieke of private) deelnemer van oordeel is dat zwaarwegende
redenen zich daartegen verzetten. Dit staat in artikel 1.9, derde lid. Wat voor «zwaarwegende
reden» kan dit zijn? Hoe definieert de regering deze? Verwacht de regering dat dit
vaak zal worden ingeroepen? De Afdeling acht het niet onaannemelijk dat deze uitzondering
op het terrein dat door het wetsvoorstel wordt bestreken relatief vaak zal worden
ingeroepen. Bij SyRI, het systeem tegen sociale en fiscale fraude, is informatieverstrekking
stelselmatig achterwege gebleven, om te voorkomen dat de «modus operandi» bekend wordt.
In hoeverre is deze bepaling dan effectief en is er sprake van daadwerkelijke transparantie?
Ook in de artikelsgewijze toelichting bij artikel 1.9 wordt hier niet op ingegaan,
zo constateren de aan het woord zijnde leden.

Bij deze zwaarwegende redenen moet in ieder geval worden gedacht aan de situatie waarin
het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning
zou vergen, of dat de informatieverstrekking de verwezenlijking van de doeleinden
van de gegevensverwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt
te brengen. Als door het geven van voor het publiek toegankelijke wijze informatie
bijvoorbeeld (volledig) bekend wordt hoe een profiel werkt, is er het risico dat degenen
op wie het toezicht is gericht hun gedrag daarop aanpassen, waardoor de bruikbaarheid
van het profiel en de effectiviteit van het toezicht worden verminderd.

Van belang is overigens dat artikel 1.9, derde lid, transparantie over de gehanteerde
patronen en indicatoren of andere onderliggende logica voorschrijft «voor zover naar
het oordeel van een deelnemer zwaarwegende redenen zich daartegen niet verzetten».
Met het gebruik van de woorden «voor zover» is beoogd te regelen dat de informatieverstrekking
minder specifiek kan zijn als er zwaarwegende redenen zijn. Niet beoogd is dat dan
geen informatieverstrekking plaatsvindt.

Vraag 163 (SP)

De leden van de SP-fractie constateren dat in artikel 1.9 de verplichting is opgenomen
om aan het publiek op toegankelijke wijze uitleg te geven over de gehanteerde patronen
en indicatoren of andere onderliggende logica als een samenwerkingsverband geautomatiseerde
gegevensanalyse verricht. Wat betekent «op toegankelijke wijze»? Waarom wordt niet
gewoon gekozen dit geheel openbaar te maken? Wat zou daarop tegen zijn? Voorts geldt
hier de beperking «voor zover naar het oordeel van een deelnemer zwaarwegende redenen
zich daartegen niet verzetten». Betekent dit nu dat een deelnemer deze transparantie
kan tegenhouden? Wanneer geldt iets als zwaarwegende reden? Wie bepaalt dat en hoe
wordt dat getoetst?

«Op toegankelijke wijze» wil zeggen dat men weinig moeite hoeft te doen om toegang
tot de informatie te krijgen. Opneming daarvan in een privacystatement op de eigen
website met een duidelijke link op de homepage kan daaraan bijdragen.42

Er is niet voor gekozen om de informatie waar het hier om gaat, te allen tijde geheel
openbaar te doen zijn. Bij het betrachten van transparantie zal immers rekening moeten
worden gehouden met het risico van «gaming the system»: wanneer (veel) inzicht in
methoden en data wordt gegeven kunnen kwaadwillenden hier misbruik van maken. Zo kan
het wenselijk zijn dat een overheidsdienst in haar privacystatement wel informatie
verschaft over variabelen die zij in haar analyses hanteert, maar niet over drempelwaarden.43 In antwoord op vraag 141 van de CDA-fractie is daarvan een voorbeeld gegeven in een
situatie dat een samenwerkingsverband vastgoedfraude bestrijdt. Het tegengaan van
«gaming the system» kan inderdaad een zwaarwegende reden opleveren op grond waarvan
een deelnemer van oordeel kan zijn dat over bepaalde aspecten, bijvoorbeeld de gehanteerde
drempelwaarden, geen uitleg wordt gegeven. Het is aan de Autoriteit persoonsgegevens
en uiteindelijk de rechter om, zo nodig, te toetsen of die reden zwaarwegend genoeg
is.

Een en ander laat onverlet dat samenwerkingsverbanden bij verwerking van persoonsgegevens
in een data-analyse op grond van artikel 14 AVG een betrokken burger individueel over
verwerking van hem betreffende persoonsgegevens moeten informeren, maar ook dat zij
deze verplichting op grond van artikel 41 van de Uitvoeringswet AVG in individuele
zaken buiten toepassing kunnen laten.44

Artikel 2.2 (Doel)

Vraag 164 (D66)

De leden van de D66-fractie vragen de regering toe te lichten wat zij verstaat onder
financieel-economische criminaliteit.

Financieel-economische criminaliteit werd door de toenmalige Minister van Justitie
in 2001 aangeduid als «een verzamelbegrip voor een groot aantal verschijningsvormen
van criminaliteit, die in de volksmond vaak worden aangeduid als «fraude»».45

De term «fraude» omvat de meer klassieke vormen van financieel-economische criminaliteit,
zoals valsheid in geschrifte, oplichting, bedrog, verduistering, (bedrieglijke) bankbreuk
en corruptie.

Onder financieel-economische criminaliteit vallen ook andere varianten, die niet zozeer
zijn aan te merken als fraude, zoals witwassen, overtreding van handels- en financiële
sancties, handel met voorwetenschap, marktmanipulatie en de financiering van terrorisme.46

Dit kan gepaard gaan met het misbruiken van het financiële stelsel voor oneigenlijke
of criminele doelen.

Financieel-economische criminaliteit is geen statisch begrip en is daarom niet goed
te definiëren in dit wetsvoorstel. Door de jaren heen komen nieuwe verschijningsvormen
aan de oppervlakte. Voorbeelden hiervan zijn de manipulatie van financiële benchmarks
(LIBOR-fraude) en cybercrime.

Met de term financieel-economische criminaliteit wordt in dit wetsvoorstel niet alleen
gedoeld op strafrechtelijke gedragingen. De bestrijding van criminaliteit is immers
al lang niet meer voorbehouden aan alleen het strafrecht. Zoals blijkt uit de opsomming
van de wetten ten behoeve van de uitvoering waarvan de deelnemers van het FEC worden
aangewezen (artikel 2.3), gaat het bij financieel-economische criminaliteit in dit
wetsvoorstel eveneens over niet-naleving van bepaalde bestuursrechtelijke wetten en
prudentiële wetgeving.

Artikel 2.21 (verwerking bijzondere categorieën van persoonsgegevens en burgerservicenummer)

Vraag 165 (ChristenUnie)

De leden van de ChristenUnie-fractie lezen in artikel 2.21 dat in het kader van onderzoeken
naar illegale prostitutie en mensenhandel registratie van bijzondere persoonsgegevens
mogelijk is. Moeten hiervoor harde signalen van mensenhandel zijn, of hebben RIEC’s
ook de mogelijkheid bij vermoedens van mensenhandel en/of gedwongen prostitutie tot
registratie en verwerking over te gaan? Biedt dit artikel ook een mogelijkheid voor
het vervolgens delen van deze informatie met het oog op opsporing van illegale prostitutie
en mensenhandel? Biedt dit artikel ook de grondslag voor gemeentelijke toezichthouders
informatie aan de politie door te geven bij signalen van dwang en misbruik voor de
bestrijding van misbruik en mensenhandel in de prostitutie?

Ook een vermoeden kan leiden tot het voeren van een casusoverleg. Opsporing van strafbare
feiten kan plaatsvinden op basis van informatie verkregen uit een analyse.

Onder artikel 2.17 is opgenomen dat de RIEC’s uitsluitend gegevens verwerken voor
zover dat noodzakelijk is voor de uitoefening van de wettelijke taken en bevoegdheden
van de deelnemers op het terrein van strafrechtelijke, bestuursrechtelijke en fiscaalrechtelijke
handhaving in het belang van de bestrijding van georganiseerde criminaliteit. In het
artikelsgewijze deel van de memorie van toelichting is hierbij ook opgenomen dat,
om een nadere focus aan te brengen binnen deze doelen, een aantal verschijningsvormen
is benoemd waar de samenwerkende deelnemers specifiek aandacht aan besteden. Een van
deze verschijningsvormen is mensenhandel. Mensenhandel is strafbaar gesteld in artikel
273f van het Wetboek van Strafrecht. Artikel 2.21 ziet slechts specifiek op het verwerken
van persoonsgegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
Artikelen 2.22 en 2.23 bieden de grondslag voor de verstrekking van gegevens aan respectievelijk
de verwerking van gegevens binnen de RIEC’s.

Artikel 2.22 (verstrekking van gegevens aan het samenwerkingsverband)

Vraag 166 (CDA)

De leden van de CDA-fractie constateren dat in de lijst van categorieën gegevens die
verstrekt mogen worden aan het RIEC ook de gegevens over het seksueel gedrag of seksuele
gerichtheid van een persoon zijn opgenomen. Kan de regering de noodzaak toelichten
voor het mogelijk maken van verstrekking van dergelijke gegevens?

Voor het doel van de RIEC’s is het noodzakelijk om bijzondere persoonsgegevens over
het seksueel gedrag of seksuele gerichtheid te kunnen verwerken. Bij de aanpak van
mensenhandel vinden in RIEC-verband namelijk ook onderzoeken plaats naar illegale
prostitutie en uitbuiting, waarbij gegevens over seksueel gedrag en seksuele gerichtheid
verwerkt (moeten) worden.

Artikel 2.27 (deelnemers)

Vraag 167 (VVD)

De leden van de VVD-fractie vinden het belangrijk dat gegevensdeling met woningcorporaties
makkelijker verloopt, zodat zij beter de woonoverlast kunnen bestrijden. Deze leden
lezen in artikel 2.27 dat de woningcorporaties niet tot de ZVH’s behoren. Welke mogelijkheden
ziet de regering om deze aansluiting beter te regelen, zoals bijvoorbeeld de woningcorporaties
ofwel tot de ZVH’s te laten behoren ofwel aan te wijzen voor een samenwerkingsverband
bij AMvB?

De leden van de VVD-fractie hebben ook een vraag met betrekking tot woonfraude. Welke
mogelijkheden biedt deze wet om gegevens uit de Basisregistratie Personen te kunnen
delen met verhuurders?

Niet alle vormen van woonoverlast komen in aanmerking voor behandeling in de ZVH.
Dat kan wel het geval zijn bij een complexe casuïstiek waar woonoverlast een belangrijk
onderdeel van uitmaakt. Er is voor gekozen om uitsluitend bestuursorganen, private
partijen met een eigen wettelijke taak, of private partijen die een wettelijke taak
uitvoeren onder mandaat van een bestuursorgaan als deelnemer te benoemen. De enige
uitzondering is de GGZ als behandelaar, aangezien er relatief vaak sprake is van GGZ-problematiek
bij de doelgroep van de ZVH. De woningcorporaties hebben geen eigenstandige wettelijke
taak waarop hun bemoeienis met het behandelen van individuele casuïstiek gebaseerd
kan worden. Zij hebben ook geen grondslag om bijvoorbeeld gezondheidsgegevens of strafrechtelijke
gegevens te verwerken. Waar het noodzakelijk is om een woningcorporatie bij de beeldvorming
en de aanpak te betrekken hebben de ZVH de mogelijkheid deze uit te nodigen om deel
te nemen aan een casusoverleg als incidentele deelnemer op grond van artikel 2.31,
negende lid.

De WGS stelt de ZVH in staat grondiger complexe casuïstiek te behandelen op uiteenlopende
terreinen. De WGS voorziet niet in de mogelijkheid om daarbuiten ten behoeve van de
aanpak van woonfraude structureel informatie te delen uit de Basisregistratie Personen
met verhuurders.

Artikel 3.1 (Aanwijzing samenwerkingsverbanden bij amvb)

Vraag 168 (D66)

De leden van de D66-fractie vragen de regering toe te lichten wat precies wordt verstaan
onder de onder a tot en met c opgenomen doelstellingen van zwaarwegend algemeen belang.

Voor het antwoord op deze vraag wordt voor wat betreft de term «zwaarwegend algemeen
belang» verwezen naar het antwoord op vraag 46. Voor wat betreft de betekenis van
de onderdelen a tot en met c van artikel 3.1 kan daaraan het volgende worden toegevoegd.

Onder «het voorkomen en bestrijden van ernstige vormen van criminaliteit» in de zin
van artikel 3.1, onderdeel a, moet in ieder geval worden verstaan het voorkomen en
bestrijden van «misdrijven die een ernstige inbreuk op de rechtsorde opleveren». Dergelijke
formules komen voor in artikel 10 Wpg, diverse artikelen uit het Wetboek van Strafvordering
en artikel 3.22 Telecommunicatiewet. Aangezien het in dit wetsvoorstel niet alleen
gaat om misdrijven, maar ook om bestuurlijk beboetbare feiten, is gekozen voor de
bredere term «criminaliteit» in plaats van «misdrijven».

In de memorie van toelichting47 bij de invoering van dit criterium in het Wetboek van Strafvordering is dat als volgt
toegelicht: «De concrete feiten en omstandigheden dienen meegewogen te worden bij
de beoordeling of sprake is van een ernstige inbreuk op de rechtsorde. Het kan gaan
om misdrijven als moord, handel in drugs, mensenhandel, omvangrijke milieudelicten,
wapenhandel maar ook ernstige financiële misdrijven, zoals omvangrijke ernstige fraude,
bijvoorbeeld een BTW-carrousel. Dergelijke misdrijven schokken de rechtsorde ernstig
door hun gewelddadige karakter of door hun omvang en gevolgen voor de samenleving.
Ook minder ernstige misdrijven kunnen een ernstige inbreuk maken op de rechtsorde,
doordat zij in combinatie met andere misdrijven worden gepleegd, bijvoorbeeld valsheid
in geschrifte in combinatie met omkoping van ambtenaren met het oog op verkrijging
van vergunningen voor bedrijven, of kleine fraudes waarvan, gelet op de aard, kan
worden vermoed dat deze deel uitmaken van een omvangrijke en ernstige vorm van fraude.»
Verderop in die memorie van toelichting is ook witwassen als voorbeeld genoemd.48

Deze voorbeelden moeten omwille van de toekomstbestendigheid en flexibiliteit overigens
niet uitputtend worden opgevat, maar zij geven een indicatie van de ernst van de criminaliteit
in de zin van het voorgestelde artikel 3.1, onderdeel a, van het onderhavige wetsvoorstel.

De onderdelen b en c van artikel 3.1 dienen mutatis mutandis op dezelfde wijze als
onderdeel a te worden gelezen voor wat betreft het vereiste grootschalige of systematische
karakter van de in onderdelen b en c bedoelde vormen van onrechtmatig gebruik van
overheidsgelden en overheidsvoorzieningen of van ontduiking van wettelijke verplichtingen
tot betaling van belastingen, retributies en rechten bij in- en uitvoer.

Artikel 3.2 (Delegatiegrondslag)

Vraag 169 (D66)

De leden van de D66-fractie vragen de regering te bevestigen dat het niet de bedoeling
is te komen tot een samenwerkingsverband dat uitsluitend en hoofdzakelijk bestaat
uit private partijen. Zo ja, kan dit niet beter worden geclausuleerd dan nu is gedaan?

Het voorgestelde artikel 1.3, derde lid, bepaalt dat aanwijzing van een private partij
als deelnemer slechts mogelijk is indien – voor zover hier relevant – «tevens overheidsinstanties
of overheidsorganen deelnemen». Daarmee is uitgesloten dat een samenwerkingsverband
onder dit wetsvoorstel of in een amvb op grond van dit wetsvoorstel bestaat uit uitsluitend
private partijen.

Voor het antwoord op de vraag of het mogelijk is om uit te sluiten dat een samenwerkingsverband
«hoofdzakelijk» uit private partijen bestaat, verwijs ik naar het antwoord op vraag 157.

De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus