• 1. Inleiding

  Dit artikel bespreekt het wetsvoorstel gegevensverwerking door samenwerkingsverbanden, afgekort: de WGS, dat in april 2020 voor behandeling bij de Tweede Kamer is ingediend.¹xKamerstukken II 2019/20, 35447, nr. 2 (Voorstel van wet) en nr. 3 (Memorie van toelichting). Samenwerkingsverbanden, zoals bedoeld in dit wetsvoorstel, bestaan al geruime tijd, in verschillende soorten en maten.²xEen overzicht van samenwerkingsverbanden die in 2014 werkzaam waren, is te vinden in de bijlage bij het rapport van de Werkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79. Bekende voorbeelden zijn de Regionale Informatie en Expertisecentra (RIEC’s) die zich richten op de aanpak van de ondermijnende criminaliteit. Maar ook kan aan de Zorg- en Veiligheidshuizen worden gedacht, een samenwerkingsverband dat zich richt op domeinoverstijgende complexe zorg- en veiligheidsproblemen.³xMeer informatie over de doelen en activiteiten van samenwerkingsverbanden zoals die genoemd in de hoofdtekst, is te vinden op de betreffende websites. Zie www.riec.nl en www.veiligheidshuizen.nl. Onder meer het Openbaar Ministerie en de Nationale Politie wisselen via deze en andere samenwerkingsverbanden (strafrechtelijke) gegevens uit met partijen uit andere domeinen, waaronder met gemeenten, de Belastingdienst en ook met private partijen.⁴xDit laatste geldt voor de Zorg- en Veiligheidshuizen waaraan zorginstellingen deelnemen, en ook voor het Financieel Expertise Centrum (FEC) waaraan banken deelnemen.

  De WGS is in hoofdzaak erop gericht om de verwerking van de gegevens door samenwerkingsverbanden in goede en rechtmatige banen te leiden, gelet op de vereisten die onder meer de Algemene verordening gegevensbescherming (AVG) stelt aan de bescherming van persoonsgegevens.⁵xVerordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46, PbEU 2016, L 119. Tot nog toe vindt gegevensuitwisseling plaats op basis van uitgebreide protocollen en specifieke sectorale wetten waarin beperkte grondslagen voor de uitwisseling van persoonsgegevens zijn opgenomen. Maar, inmiddels beginnen deze grondslagen te ‘knellen’.⁶xDe bestaande knelpunten worden beschreven in hoofdstuk 3 van het rapport van de Werkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79. De vrees is dat de integrale aanpak van belangrijke maatschappelijke problemen, waarin gegevensuitwisseling een steeds belangrijkere rol begint te spelen, hierdoor wordt belemmerd. De WGS moet daarom een duidelijk juridisch kader en ruimere mogelijkheden voor gegevensuitwisseling gaan bieden zodat ernstige vormen van criminaliteit en ondermijning ‘slimmer’ kunnen worden aangepakt.⁷xZie het bericht van 29 april 2020 op www.rijksoverheid.nl/actueel/nieuws/2020/04/29/slimmere-aanpak-criminaliteit-door-betere-uitwisseling-van-gegevens.

  Dit artikel gaat nader in op de betekenis van de WGS en de problemen die momenteel spelen bij de gegevensuitwisseling door samenwerkingsverbanden. De focus ligt daarbij op vraagstukken rondom de bescherming van persoonsgegevens. De WGS zelf bevat vrijwel uitsluitend bepalingen die zijn gericht op de gegevensverwerkingen en de bescherming van persoonsgegevens. Toch is het ook nuttig te bezien wat de WGS nog niet regelt. Er doen zich meer (juridische) vraagstukken voor. In een eerdere bijdrage in dit tijdschrift is de WGS dan ook vanuit andere perspectieven belicht (zie de bijdrage van Luchtman).

  In het vervolg van deze bijdrage komt eerst enige achtergrond van de WGS aan bod. Paragraaf 2 bespreekt welke grondslagen samenwerkingsverbanden momenteel gebruiken om gegevens uit te wisselen en welke knelpunten zij daarin ervaren. Verder komt aan de orde hoe de Unierechtelijke regels voor de bescherming van persoonsgegevens precies op de gegevensverwerkingen door samenwerkingsverbanden zijn toe te passen. Paragraaf 3 bespreekt daarna kort de kritiek die de Autoriteit Persoonsgegevens en de Raad van State gaven op een eerder voorstel voor de WGS. Dat voorstel ging nog uit van een zeer ruime reikwijdte. Ook wordt de uitspraak van de rechtbank Den Haag inzake het Systeem Risico Indicatie (SyRI) besproken, met name vanwege de betekenis daarvan voor de regulering van samenwerkingsverbanden. Vervolgens bespreekt paragraaf 4 welke belangrijke elementen de huidige versie van de WGS bevat. Paragraaf 5 bevat daarna een conclusie. Een voorbehoud bij deze bespreekpunten is wel op zijn plaats: dit artikel beoogt slechts in algemene zin een indruk te geven van de inhoud en betekenis van de WGS. Verscheidene belangrijke onderwerpen worden daarom in dit artikel niet volledig uitgediept.⁸xOver het fenomeen van de samenwerkingsverbanden, en over de bescherming van persoonsgegevens in de gegevensuitwisseling die daarbij plaatsvindt, is op zichzelf nog niet zoveel geschreven. Wat betreft gegevensbescherming in lokale samenwerkingsverbanden, zie A.E. van Rooij, ‘Privacy in het semipublieke domein’, De Gemeentestem 2017/133.

• 2. Achtergrond van het wetsvoorstel: het huidige ‘knellende’ juridische kader

  2.1 Nationale bepalingen over gegevensverwerking door samenwerkingsverbanden

  Wettelijke grondslagen voor de uitwisseling van persoonsgegevens tussen twee (overheids)instanties zijn er te over. Ook voor strafrechtelijke gegevens geldt dat deze zeker niet altijd in handen van (een van de) partijen uit de strafrechtsketen blijven. Illustratief daarvoor is het Besluit politiegegevens. In paragraaf 4 van dit besluit is een hele reeks aan bepalingen te vinden die de uitwisseling van politiegegevens, eventueel met tussenkomst van de minister van Justitie en Veiligheid of het Openbaar Ministerie, aan derden toestaan.⁹xArtikel 18, eerste lid, Wet politiegegevens biedt hiervoor de grondslag. Zo worden strafrechtelijke gegevens aan de Immigratie- en Naturalisatiedienst verstrekt, onder meer, ten behoeve van beslissingen over het verblijf en de ongewenstverklaring van vreemdelingen, maar ook aan luchtvaartmaatschappijen ten behoeve van, onder andere, het voorkomen van overtredingen van de Opiumwet. In de betreffende bepalingen is telkens duidelijk aangegeven aan welke partij de gegevens worden verstrekt, om welke soort politiegegevens het gaat, en voor welke taakuitoefening of voor welk doel de gegevensverstrekking noodzakelijk is, of in concrete gevallen kan zijn.¹⁰xArtikel 4:1, eerste lid, onder a, onderdeel 2, en onder b, Besluit politiegegevens.

  De regulering van de gegevensverwerkingen door samenwerkingsverbanden ziet er minder overzichtelijk uit. Artikel 20 van de Wet politiegegevens, bijvoorbeeld, bepaalt vrij algemeen dat politiegegevens voor ‘zwaarwegende algemene belangen’ kunnen worden verstrekt aan samenwerkingsverbanden voor ‘het voorkomen en opsporen van strafbare feiten, het handhaven van de openbare orde, het verlenen van hulp van hen die deze behoeven en voor het uitoefenen van toezicht op het naleven van regelgeving’. Om welke samenwerkingsverbanden het gaat, wie de deelnemers daarvan zijn, voor welke concrete doelen en in welke omstandigheden de gegevens worden verstrekt, blijft onduidelijk.¹¹xOp grond van artikel 20, tweede lid, Wet politiegegevens is de verwerkingsverantwoordelijke verplicht om vast te leggen wanneer verstrekkingen worden gedaan, om welk zwaarwegend algemeen belang de verstrekkingen plaatsvinden, aan wie, om welke politiegegevens het gaat, en welke voorwaarden aan de verstrekkingen worden verbonden.

  Artikel 64 van de Wet structuur uitvoeringsorganisatie werk en inkomen (de Wet SUWI) kent, in vergelijking met het voorgaande voorbeeld, een duidelijkere wettelijke regeling. Het bepaalt dat gegevensuitwisseling is toegestaan ‘ten behoeve van een integraal overheidsoptreden ten aanzien van de voorkoming en bestrijding van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, de voorkoming en bestrijding van belasting- en premiefraude en het niet naleven van de arbeidswetten’.¹²xArtikel 64, eerste lid, aanhef, Wet SUWI. Naast het doel van het samenwerkingsverband, worden ook de deelnemers aangewezen (onder meer colleges van burgemeesters en wethouders, het UWV, de Sociale Verzekeringsbank, de Belastingdienst en de Inspectie SZW), en wordt aangegeven dat de gegevensverwerking door het samenwerkingsverband is toegestaan. Ook regelt artikel 64 Wet SUWI expliciet dat moet worden uitgegaan van een gezamenlijke verwerkingsverantwoordelijkheid als bedoeld in de AVG.¹³xArtikel 64, eerste lid, onder a t/m d, tweede en derde lid, Wet SUWI.

  Voor de meeste samenwerkingsverbanden bestaan nog geen specifieke wettelijke regelingen, terwijl samenwerkingsverbanden op verschillende terreinen al actief zijn.¹⁴xRelevant is ook artikel 33, eerste lid, onder b, Uitvoeringswet Algemene verordening gegevensbescherming die specifiek bepaalt dat strafrechtelijke gegevens mogen worden verwerkt door en ten behoeve van ‘publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken’. Er bestaan samenwerkingsverbanden om verschillende vormen van criminaliteit te voorkomen en terug te dringen: georganiseerde en ondermijnende criminaliteit, verschillende vormen van fraude (zorgfraude, uitkeringsfraude, belastingfraude, betaalpasfraude), terrorisme, crimineel vermogen, witwassen, matchfixing, invoer en uitvoer van verdovende middelen, voertuigcriminaliteit, ram- en plofkraken, internetoplichting, en milieuovertredingen.¹⁵xZie voor een overzicht uit 2014 de bijlage bij het rapport van de werkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79. De meeste samenwerkingsverbanden gebruiken bilaterale grondslagen om (persoons)gegevens uit te wisselen met de andere deelnemers van het samenwerkingsverband, en daarnaast baseren ze zich op rechtvaardigingsgronden die in de AVG zijn opgenomen. Zo wordt de gegevensuitwisseling binnen het samenwerkingsverband gerechtvaardigd geacht omdat dit ‘(…) noodzakelijk is vanwege de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke’.¹⁶xArtikel 6, eerste lid, AVG bevat een reeks ‘rechtvaardigingsgronden’ om persoonsgegevens te kunnen verwerken. In het geval van samenwerkingsverbanden blijken vooral de grondslag onder e (de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang) en de grondslag onder f (de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke) lastig om toe te passen.

  Problematisch is dat de bestaande bilaterale grondslagen en de rechtvaardigingsgronden uit de AVG vaak geen heldere grondslagen bieden voor de verstrekking van persoonsgegevens aan alle deelnemers van een samenwerkingsverband. Ook bieden ze geen heldere basis voor de gezamenlijke gegevensverwerking. Hiernaast hebben de afzonderlijke deelnemers geregeld te maken met bepaalde geheimhoudingsplichten die beperkingen opleggen aan de verstrekking van gegevens aan de andere deelnemers van het samenwerkingsverband. Verder is de vraag wie binnen het samenwerkingsverband naleving verzekert van de rechten die op grond van de AVG toekomen aan degenen wiens persoonsgegevens worden verwerkt (de ‘betrokkenen’). En, ten slotte is een niet onbelangrijke kwestie of nieuwe technologieën om gegevens te bewerken of te ‘verrijken’, zoals door profilering, mogen worden toegepast door samenwerkingsverbanden.¹⁷xWerkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79, met name hoofdstuk 3.

  De voorgaande punten vormen knelpunten, zoals is aangegeven in een rapport uit 2014 van een werkgroep die in opdracht van de minister van (toen) Veiligheid en Justitie uitzocht of een kaderwet bepaalde generieke knelpunten in de gegevensuitwisseling op het brede terrein van fraudebestrijding zou kunnen oplossen. Op die vraag kwam een positief antwoord. De betreffende werkgroep concludeerde dat de bestaande sectorale regelingen over gegevensuitwisseling onvoldoende rekening houden met het bestaan van samenwerkingsverbanden. Samenwerkingsverbanden staan symbool voor de integrale aanpak van maatschappelijke problemen en gaan juist uit van een cross-sectorale benadering. De huidige (sectorale) grondslagen brengen volgens deze werkgroep geen duidelijkheid over wat samenwerkingsverbanden wel en niet mogen.¹⁸xWerkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79, p. 5. Een (overkoepelende) kaderwet zou hierin verbeteringen kunnen brengen. Daarin zouden niet alleen de wettelijke grondslagen moeten worden opgenomen om onder andere de gegevensverwerking door het samenwerkingsverband toe te staan, maar ook (aanvullende) waarborgen om een zorgvuldige(re) gegevensuitwisseling te verzekeren.¹⁹xWerkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79, p. 20-21. Het zou de gegevensuitwisseling zowel moeten legitimeren, faciliteren als normeren.²⁰xWerkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79, p. 40-43.

  2.2 Het Unierechtelijk kader voor de bescherming van persoonsgegevens

  Sinds enkele jaren vormt de AVG het belangrijkste, algemene, kader voor de bescherming van persoonsgegevens.²¹xIn belangrijke mate bouwt het voort op al langer bestaande beginselen rondom de bescherming van persoonsgegevens. Voorloper van de AVG was Richtlijn 94/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEU 1995, L 281, die was omgezet in de Wet bescherming persoonsgegevens, die is komen te vervallen. Deze verordening werkt rechtstreeks door en bepaalt onder welke voorwaarden persoonsgegevens mogen worden verwerkt, aan welke verplichtingen ‘verwerkingsverantwoordelijken’ moeten voldoen, en welke rechten aan ‘betrokkenen’ (degenen wiens persoonsgegevens worden verwerkt) toekomen. Een kaderwet die de verwerking van persoonsgegevens door samenwerkingsverbanden reguleert kan hieraan dan ook geen afbreuk doen. Gelet op het gegeven dat verschillende samenwerkingsverbanden via gegevensuitwisseling een bijdrage beogen te leveren aan het voorkomen en opsporen van verschillende vormen van criminaliteit, komt de vraag op of ook de specifieke richtlijn voor de bescherming van persoonsgegevens in het kader van het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen (Richtlijn 2016/680, hierna: de richtlijn) op samenwerkingsverbanden van toepassing kan zijn.²²xRichtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad, PbEU 2016, L 119.

  Gelijktijdige toepassing van de AVG en de richtlijn moet echter worden voorkomen.²³xDe vraag naar de toepassing van de richtlijn komt kort aan de orde in de memorie van toelichting op de WGS, aan het slot van par. 3.4. Zie over de verhouding van de AVG en de richtlijn ook par. 2.3 van de memorie van toelichting bij de Uitvoeringswet Algemene verordening gegevensbescherming, Kamerstukken II 2017/18, 34851, nr. 3. Uitgangspunt is een exclusieve toepassing: de AVG is niet van toepassing als de richtlijn al van toepassing is en vice versa.²⁴xArtikel 2, tweede lid, onder d, AVG. De richtlijn is (alleen) van toepassing op ‘bevoegde autoriteiten’ met het oog op de doeleinden van de richtlijn (dat wil zeggen de verwerking van persoonsgegevens in het kader van het onderzoek, de opsporing en de vervolging van strafbare feiten en de tenuitvoerlegging van straffen).²⁵xArtikel 1, eerste lid, en artikel 2, eerste lid, van de richtlijn. De richtlijn gaat ervan uit dat een bevoegde autoriteit ‘(…) ieder orgaan [kan zijn] dat of iedere andere entiteit die krachtens het lidstatelijk recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen voor de doeleinden van deze richtlijn’.²⁶xZie hiernaast ook overweging 34 van Richtlijn (EU) 2016/680 en overweging 19 van de AVG. In overweging 12 van de richtlijn is opgenomen dat de lidstaten de bevoegde autoriteiten ook kunnen belasten met andere taken ‘die niet noodzakelijkerwijs worden verricht met het oog op de voorkoming, het onderzoek, de opsporing, en de vervolging van strafbare feiten, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden, voor zover zij binnen het toepassingsgebied van het Unierecht valt, binnen het toepassingsgebied van Verordening (EU) 2016/679 valt’. Naast de strafrechtelijke autoriteiten hebben verschillende andere deelnemers van samenwerkingsverbanden maar beperkte bevoegdheden op het terrein van de opsporing van bepaalde strafbare feiten. Voor de meeste deelnemers geldt dat zij persoonsgegevens aan het samenwerkingsverband verstrekken die zij voor andere taken hebben verzameld, en niet voor strafrechtelijke doeleinden. De formele scheidingslijn tussen de werkingssferen van de AVG en de richtlijn gaat daarmee op samenwerkingsverbanden niet gelijk op.

  In het algemeen wordt wel ervan uitgaan dat de AVG het relevante regime is voor de gegevensverwerking door samenwerkingsverbanden. Alleen de AVG bevat specifieke bepalingen over het zogenoemde ‘secundaire gebruik van persoonsgegevens’. Hiermee wordt bedoeld de verwerking van persoonsgegevens voor andere doelen dan het doeleinde waarvoor de gegevens aanvankelijk zijn verzameld.²⁷xH.R. Kranenborg en L.F.M. Verhey, De Algemene Verordening Gegevensbescherming in Europees en Nederlands perspectief, Deventer: Wolters Kluwer 2018, p. 137. Dit is bij uitstek relevant voor de gegevensuitwisselingen die binnen samenwerkingsverbanden plaatsvinden.

  Artikel 6, vierde lid, van de AVG bevat de criteria om te bepalen wanneer de verdere verwerking van gegevens verenigbaar is met het doel waarvoor de gegevens aanvankelijk zijn verzameld (de ‘verenigbaarheidstoets’). Rekening moet, onder meer, worden gehouden met ‘ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking’, ‘het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft’, en met ‘de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen’. Het gaat hierbij om vrij open normen en het betreft een niet-limitatieve lijst. Bovendien noemt overweging 50 van de preambule van de AVG nog andere criteria waarmee rekening moet worden gehouden, zoals ‘de redelijke verwachtingen van de betrokkene op basis van hun verhouding tot de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan’.

  De voorgaande zinsneden uit de AVG volstaan waarschijnlijk wel om te illustreren dat het niet gemakkelijk is om de verenigbaarheidstoets toe te passen. Het levert (de deelnemers van de) samenwerkingsverbanden nu veel rechtsonzekerheid op, of op die grond het secundaire gebruik van persoonsgegevens is toegestaan. Voor het zogeheten ‘onverenigbaar gebruik’ van persoonsgegevens is een wettelijke grondslag vereist. Dit staat de AVG toe ‘voor zover de verdere verstrekking een in een democratische samenleving noodzakelijke en evenredige maatregel vormt ter waarborging van bepaalde doelstellingen’, waaronder op het terrein van de openbare orde, en de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat (artikel 23, lid 1). Precies deze ruimte wordt op nationaal niveau nu gebruikt om de gegevensverwerkingen binnen een samenwerkingsverbanden mogelijk te maken. In veel gevallen gaat het om het ‘onverenigbaar gebruik’ van persoonsgegevens.

  Hiernaast kent de AVG (en de richtlijn) geen specifieke, op samenwerkingsverbanden toegespitste of afwijkende, bepalingen. Samenwerkingsverbanden moeten dus ‘gewoon’ voldoen aan algemene beginselen, zoals het doelbindingsbeginsel, wat inhoudt dat persoonsgegevens ‘voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt’; het beginsel van minimale gegevensverwerking, wat betekent dat persoonsgegevens ‘toereikend zijn, ter zaken dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt’; en het beginsel van rechtmatigheid, behoorlijkheid en transparantie wat betekent dat persoonsgegevens ‘moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is’.²⁸xArtikel 5, eerste lid, onder a, b en c, AVG. Zie ook artikel 8 van het Handvest van de grondrechten van de Europese Unie dat specifiek de bescherming van persoonsgegevens garandeert en ook expliciet bepaalt dat gegevens alleen ‘voor bepaalde doeleinden’ mogen worden verwerkt.

  Verder is de bepaling over gezamenlijke verwerkingsverantwoordelijkheid in het bijzonder relevant ‘wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen’.²⁹xZie artikel 1.4 WGS. Voor zover de deelnemers van een samenwerkingsverband aan dit criterium voldoen, betekent dit dat zij op transparante wijze moeten regelen hoe zij nakoming verzekeren van met name de rechten die betrokkenen hebben op informatie over de verwerking van hun persoonsgegevens binnen het samenwerkingsverband (artikelen 13 en 14 AVG).

• 3. Kritische adviezen over de WGS en de uitspraak inzake SyRI

  Aanvankelijk werd besloten om aan de WGS een ruime reikwijdte te geven, in navolging van de aanbevelingen van de eerder besproken werkgroep verkenning kaderwet. Deze werkgroep bood een inventarisatie van de samenwerkingsverbanden die in 2014 bestonden, en concludeerde vanwege de diversiteit aan terreinen waarop deze samenwerkingsverbanden actief waren, dat de kaderwet ook een ruime reikwijdte zou moeten krijgen.³⁰xAanvankelijk kreeg deze werkgroep als opdracht van de minister van (toen) Veiligheid en Justitie om te verkennen of een kaderwet bepaalde generieke knelpunten in de gegevensuitwisseling (alleen) op het brede terrein van fraudebestrijding zou kunnen oplossen. De WGS strekte zich daarom eerst uit tot samenwerkingsverbanden die zwaarwegende algemene belangen nastreven inzake ‘a) het voorkomen van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen en het bevorderen dat aan wettelijke verplichtingen wordt voldaan tot betaling van belastingen, retributies en rechten bij in- en uitvoer; b) het uitoefenen van toezicht op de naleving van wettelijke voorschriften; c) het handhaven van de openbare orde of veiligheid, en d) het voorkomen, opsporen en vervolgen van strafbare feiten of de tenuitvoerlegging van straffen.’³¹xArtikel 2 van het voorstel zoals opgenomen op www.internetconsultatie.nl/wgs.

  Deze wel zeer ruime reikwijdte stuitte op stevige kritiek van zowel de Autoriteit Persoonsgegevens als van de Raad van State. Beide gaven aan dat een voorstel voor een kaderwet – waarin de op specifieke samenwerkingsverbanden toegespitste regels en verschillende algemene waarborgen nog ontbraken – onvoldoende tegemoetkwam aan rechtstatelijke beginselen en beginselen van het gegevensbeschermingsrecht (zoals het doelbindingsbeginsel).³²xZie, onder meer, het advies van de Autoriteit Persoonsgegevens van 4 januari 2019, opgenomen als bijlage bij Kamerstukken II 2019/20, 35447, nr. 3, p. 2-7. De Autoriteit Persoonsgegevens adviseerde om na te denken over andere mechanismes om de integrale aanpak van belangrijke maatschappelijke problemen te verbeteren. De Autoriteit Persoonsgegevens gaf aan dat, naar het voorbeeld van het meldpunt ongebruikelijke transacties voor de aanpak van witwaspraktijken, op gelijke wijze en onder strikt geobjectiveerde criteria, meldingen verplicht zouden kunnen worden gesteld, en meldpunten onder het gezag en de verantwoordelijkheid van de overheid zouden kunnen worden gebracht.³³xAdvies van de Autoriteit Persoonsgegevens van 4 januari 2019, p. 8. Ook de Raad van State adviseerde voor een andere opzet te kiezen: in plaats van een heel ruime kaderwet voor alle samenwerkingsverbanden, zouden voor de belangrijkste samenwerkingsverbanden, of voor onderling samenhangende clusters van samenwerkingsverbanden, aparte wetten tot stand moeten worden gebracht.³⁴xAdvies van de Afdeling advisering van de Raad van State, Kamerstukken II 2019/20, 35447, nr. 4, punten 2, 6 en 7.

  Naast de voorgaande kritiek, kwam kritiek op de regulering van samenwerkingsverbanden, vlak voor het indienen van de WGS bij de Tweede Kamer, nog uit een andere hoek. Op 5 februari 2020 deed de rechtbank Den Haag uitspraak over de inzet van SyRI. SyRI vindt zijn basis in artikel 65 Wet SUWI, en werd ingezet om de databestanden van verschillende overheidsinstanties aan elkaar te koppelen en te analyseren om fraude op het terrein van sociale zekerheid, toeslagen en belastingen te bestrijden. Het gaat om de overheidsinstanties – onder andere het college van burgemeesters en wethouders, het UWV, de Belastingdienst en de Inspectie SZW – die op grond van artikel 64 Wet SUWI ook samenwerkingsverbanden kunnen vormen (zie hiervoor paragraaf 2.1). Op basis van de data-analyse konden risicomeldingen worden verstrekt aan de deelnemende overheidsinstanties, en aan het Openbaar Ministerie en de politie. Het besluit SUWI geeft een nadere uitwerking van de voorwaarden waaraan een SyRI-project moest voldoen.³⁵xHet gaat om hoofdstuk 5a van het Besluit SUWI.

  De rechtbank oordeelde dat de SyRI-wetgeving onvoldoende bescherming bood aan het recht op respect voor het privéleven, dat wordt beschermd door artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). Op grond van artikel 8 EVRM rust op de staat een bijzondere verantwoordelijkheid om een juiste afweging te maken tussen de voordelen die nieuwe technologieën bieden voor de voorkoming en bestrijding van fraude en de inbreuk die dat op het recht op respect voor het privéleven kan opleveren.³⁶xDe rechtbank verwijst hierbij naar een Grote Kamer-uitspraak van het EHRM van 4 december 2008 (S. and Marper t. het Verenigd Koninkrijk), ECLI:CE:ECHR:2008:1204JUD003056204, par. 112. De rechtbank erkent in deze uitspraak dat nieuwe technologische mogelijkheden ter voorkoming en bestrijding van fraude moeten worden benut, dat de SyRI-wetgeving in het belang van het economisch welzijn is en een legitiem doel dient, en dat niet per se sprake is van een ongeschikt en onevenredig instrument. Maar er zijn onvoldoende waarborgen geboden om het recht op respect voor het privéleven van degenen wiens gegevens in SyRI kunnen worden verwerkt, te beschermen.³⁷xRechtbank Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:1878, overwegingen 6.4, 6.74, 6.77-6.78, 6.85

  Met name problematisch is volgens de rechtbank het gebrek aan transparantie over de precieze werking van het systeem. SyRI wordt in ‘probleemwijken’ ingezet, er worden grote hoeveelheden data en risicoprofielen gebruikt, en daarmee bestaat het risico dat onbedoeld verbanden worden gelegd op basis van bias.³⁸xRechtbank Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:1878, overwegingen 6.87 en 6.91 t/m 6.93. Volgens de rechtbank kan op basis van de SyRI-wetgeving niet worden beoordeeld of dit risico voldoende is ondervangen. De vereiste ‘fair balance’ is daarom niet gevonden. Daarnaast komen volgens de rechtbank ook het doelbindingsbeginsel en het beginsel van dataminimalisatie in het gedrang vanwege de grote hoeveelheid gegevens die in de analyses worden gebruikt.³⁹xRechtbank Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:1878, overwegingen 6.87 en 6.91 t/m 6.93, overwegingen 6.96 t/m 6.98. De rechtbank concludeerde dat de SyRI-wetgeving onverbindend moest worden verklaard.

  De uitspraak van de rechtbank had direct consequenties voor de inzet van het specifieke systeem SyRI om daarmee fraude te kunnen opsporen.⁴⁰xDe minister van Sociale Zaken en Werkgelegenheid heeft bekendgemaakt niet in beroep te gaan tegen deze uitspraak. Maar, aan de uitspraak moeten ook bredere consequenties worden verbonden. De rechtbank heeft zich immers in meer algemene zin uitgesproken over het gebruik van nieuwe technologieën bij de analyse van grote hoeveelheden (onder andere ook bijzondere) persoonsgegevens en de toepassing van risicoprofielen daarbij. Als de wetgever een wettelijke basis biedt voor het gebruik van deze nieuwe technologieën in de gegevensverwerking door samenwerkingsverbanden, dient hij op grond van deze uitspraak de risico’s te ondervangen die daarbij kunnen ontstaan voor de bescherming van het recht op respect voor het privéleven. Deze lijken met name te ontstaan waar bijzondere persoonsgegevens worden verwerkt en risicoprofielen worden toegepast.

• 4. Inhoud van de WGS

  4.1 Een kaderwet plus

  Na de voorgaande kritische adviezen en de uitspraak inzake SyRI is de WGS in gewijzigde vorm bij de Tweede Kamer ingediend.⁴¹xVgl. ook het nader rapport op het advies van de Raad van State, Kamerstukken II 2019/20, 35447, nr. 4, reactie op punten 1 en 2. Het wetsvoorstel is op verschillende punten aanzienlijk aangepast, maar het idee van een kaderwet is op zichzelf niet verlaten (zie eerder paragraaf 2.1).⁴²xHoofdstuk 1 van de WGS. De WGS bevat in het eerste hoofdstuk een belangrijk algemeen kader voor de gegevensverwerking door samenwerkingsverbanden. Het bepaalt onder meer dat deelnemers altijd bij wet of bij algemene maatregel van bestuur (AMvB) moeten worden aangewezen, en dat er van gezamenlijke verwerkingsverantwoordelijkheid moet worden uitgegaan. De gegevensverwerkingen die, onder meer, binnen het samenwerkingsverband plaatsvinden worden in de WGS van een wettelijke grondslag voorzien (zie hierna paragraaf 4.2), en de WGS bevat verschillende nieuwe en belangrijke waarborgen om de bescherming van persoonsgegevens te versterken in de specifieke situatie van gegevensuitwisseling door samenwerkingsverbanden (zie hierna paragraaf 4.3). Deze waarborgen komen naast de algemene waarborgen van de AVG te staan.

  Afgezien van dit algemene kader bevat de WGS ook nadere regels voor vier samenwerkingsverbanden. Specifieke regels voor de RIEC’s, de Zorg- en Veiligheidshuizen, het Financieel Expertisecentrum (FEC) en de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV) zijn ondergebracht in vier hoofdstukken.⁴³xHoofdstukken 2 t/m 5. In deze hoofdstukken worden de samenwerkingsverbanden, evenals hun doelen, hun deelnemers en de taken waarvoor zij aansluiten bij het samenwerkingsverband, aangewezen. Verder bepaalt de WGS welke specifieke (typen) (persoons)gegevens in de afzonderlijke samenwerkingsverbanden mogen worden ingebracht en verder mogen worden verwerkt. Daarnaast geven de bepalingen over de vier samenwerkingsverbanden een inkijkje in de concrete activiteiten die zij verrichten. Duidelijk is dat er ‘signaaloverleggen’ en ‘casusoverleggen’ plaatsvinden, er ‘handhavingsknelpunten’ worden geanalyseerd, en ‘gebiedscans’ worden uitgevoerd.

  De WGS bepaalt ook dat andere samenwerkingsverbanden alsnog via een AMvB onder het bereik van de WGS kunnen worden gebracht.⁴⁴xArtikel 3.3 WGS. Via een zogeheten nahangprocedure zal een AMvB over een nieuw samenwerkingsverband nog aan de Tweede en de Eerste Kamer moeten worden voorgelegd. Deze kúnnen dan aangeven dat het samenwerkingsverband bij (formele) wet moet worden geregeld zodat alsnog een wetsvoorstel moet worden voorbereid. Het moet dan gaan om samenwerkingsverbanden die een zwaarwegend algemeen belang nastreven inzake het voorkomen en bestrijden van ernstige vormen van criminaliteit, van grootschalig of systematisch gebruik van overheidsgelden of overheidsvoorzieningen, of van grootschalige of systematische ontduiking van wettelijke verplichtingen tot betalingen, retributies en rechten bij in- en uitvoer.⁴⁵xArtikel 3.1 WGS. Hiermee lijkt het zwaartepunt van de typen samenwerkingsverbanden die onder de WGS kunnen vallen, te liggen bij samenwerkingsverbanden die zich richten op ernstige criminaliteit en fraude. De Zorg- en Veiligheidshuizen vallen echter binnen een ander domein: ernstige problematiek op het terrein van zorg en veiligheid.

  De WGS kan vanwege de voorgaande optie nog van betekenis zijn voor andere samenwerkingsverbanden. Voor zover samenwerkingsverbanden gemeenschappelijke casusanalyses of data-analyses willen verrichten, is aanwijzing op grond van de WGS ook nodig. Toch is het oogmerk niet om een exclusief regime voor gegevensverwerking door samenwerkingsverbanden te bieden, zo wordt opgemerkt in de memorie van toelichting bij het voorstel.⁴⁶xToelichting, paragraaf 5. Artikel 3.1 WGS gaat bovendien ook uit van een kan-bepaling. De mogelijkheid blijft bestaan, mede vanwege de beperktere reikwijdte die de WGS nu kent, dat samenwerkingsverbanden alsnog via aparte sectorale wetten worden gereguleerd. Zoals eerder besproken bevat de Wet SUWI al een aparte wettelijke regeling voor de bestrijding van fraude onder andere op het terrein van de sociale zekerheid. Ook is een aparte wet in de maak die beoogt het Informatieknooppunt zorgfraude (IKZ) te reguleren via een sectorale wet.⁴⁷xVoorstel voor een Wet bevorderen samenwerking en rechtmatige zorg, Kamerstukken II 2019/20, 35515, nr. 3 (Voorstel van wet) en nr. 4 (Memorie van toelichting). Zie hierover ook het advies van de Afdeling advisering van de Raad van state, Kamerstukken II 2019/20, 35515, nr. 4. Dit wetsvoorstel bevat wettelijke grondslagen voor de (verplichte) gegevensverstrekking aan het samenwerkingsverband wanneer sprake is van een gerechtvaardigde overtuiging dat de betreffende personen zorgfraude hebben gepleegd. Onder meer wordt bepaald dat persoonsgegevens, gegevens over gezondheid, en strafrechtelijke gegevens in dat verband worden uitgewisseld. Het algemene kader van de WGS is op deze samenwerkingsverbanden dan ook niet van toepassing.

  4.2 Nieuwe wettelijke grondslagen voor de gegevensverwerkingen

  Een van de belangrijkste onderdelen van de WGS, zoals al is aangegeven (zie paragraaf 2.1), zijn de wettelijke grondslagen die het bevat voor de gegevensverwerkingen door het samenwerkingsverband. De WGS bevat wettelijke grondslagen voor drie verschillende typen gegevensverwerking.

  Als eerste regelt de WGS dat de deelnemers van het samenwerkingsverband bepaalde categorieën van persoonsgegevens – deze worden bij AMvB aangewezen – dienen te verstrekken aan het samenwerkingsverband voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband.⁴⁸xArtikelen 1.5 WGS. Ten tweede regelt de WGS dat het samenwerkingsverband in gezamenlijkheid gegevens mag verwerken voor het doel van het samenwerkingsverband, waaronder persoonsgegevens van strafrechtelijke aard.⁴⁹xArtikel 1.6, WGS. Ten derde regelt de WGS dat de resultaten van de gegevensverwerking door het samenwerkingsverband dienen te worden verstrekt aan de deelnemers van het samenwerkingsverband voor zover dat noodzakelijk is voor de vervulling van de publiekrechtelijke taken van de deelnemers of voor de behartiging van de ‘gerechtvaardigde belangen’ of de ‘uitvoering van wettelijke verplichtingen’.⁵⁰xArtikel 1.7, eerste lid, WGS. Het gaat hier om rechtvaardigingsgronden voor verwerkingen die in de AVG zijn opgenomen.

  De drie typen wettelijke grondslagen voor de gegevensverwerkingen brengen de nodige duidelijkheid over de verwerkingen die zullen (moeten) plaatsvinden binnen het samenwerkingsverband. Deze zekerheid zal kunnen leiden tot een efficiëntieslag in de gegevensverwerkingen en het effectiever functioneren van de samenwerkingsverbanden.

  Met deze bepalingen verdwijnt wel de ‘vrijheid’ van de deelnemers om te besluiten over de verstrekking van persoonsgegevens aan het samenwerkingsverband en over de verdere verwerking van deze gegevens. Weliswaar is bepaald dat bij de verstrekking aan het samenwerkingsverband en de verdere verstrekking van de resultaten aan de deelnemers, de deelnemers zich daartegen kunnen verzetten vanwege ‘zwaarwegende redenen’, maar niet nader is ingevuld wat daaronder dan moet worden verstaan. De lat om een verstrekking of verwerking te weigeren lijkt door de gebruikte terminologie in ieder geval bewust hoog te zijn gelegd.

  Toch moeten de wettelijke grondslagen niet als een vrijbrief worden gezien voor het verrichten van alle soorten verwerkingen die maar passen binnen het ruime doel dat de samenwerkingsverbanden nastreven.⁵¹xVan belang te vermelden is dat niet voor elke afzonderlijke verwerking van persoonsgegevens wetgeving hoeft te worden vastgesteld. ‘Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen’, zie overweging 45 van de AVG, en vgl. verder de beoordeling van een Unierechtelijke grondslag voor gegevensverwerking in HvJEU 16 januari 2019, C-496/17, ECLI:EU:C:2019:26. Bij concrete verwerkingen en verstrekkingen van gegevens dient nog altijd te worden gekeken of de verstrekkingen werkelijk noodzakelijk zijn. Dit kan ook niet anders, omdat deze eis past bij het beginsel van de minimale gegevensverwerking van de AVG.⁵²xArtikel 5, eerste lid, aanhef en onder c, AVG. Ook waar het gaat om de verwerkingen die een samenwerkingsverband in gezamenlijkheid uitvoert, is van belang dat vooraf de concrete doelen worden vastgesteld en ‘passende en organisatorische maatregelen’ worden getroffen om ervoor te zorgen dat de gegevens enkel voor dat doel worden verwerkt.⁵³xZie ook artikel 1.8, vijfde lid, WGS. Dit betekent dat in de praktijk telkens nog moet worden beoordeeld of aan het algemene doelbindingsbeginsel van de AVG in de concrete gevallen wordt voldaan.

  Verder is van belang dat de verstrekking van de resultaten aan derden (partijen die buiten het samenwerkingsverband vallen) minder dwingend is voorgeschreven, en dat verstrekking van bijzondere persoonsgegevens en gegevens van strafrechtelijke aard alleen kunnen worden verstrekt aan derden als de deelnemer die de betreffende gegevens heeft ingebracht daarmee heeft ingestemd.⁵⁴xArtikel 1.7, tweede en derde lid, WGS.

  4.3 Waarborgen

  De WGS bevat een reeks aan bepalingen die nieuwe waarborgen bieden voor de gegevensverwerking door samenwerkingsverbanden. Veel van deze bepalingen waren in het aanvankelijke voorstel voor de WGS nog niet opgenomen.

  Het gaat, onder andere, om een beperking van het aantal personen dat toegang krijgt tot de systemen waarin de deelnemers gezamenlijk gegevens verwerken. Alleen door de deelnemers geautoriseerde personen kunnen toegang krijgen.⁵⁵xArtikel 1.8, tweede lid, WGS. Een rechtmatigheidsadviescommissie moet worden ingesteld om de verwerkingen van het samenwerkingsverband structureel te beoordelen.⁵⁶xArtikel 1.8, zesde lid, WGS. Een periodieke privacy-audit moet worden uitgevoerd waarvan afschriften aan de Autoriteit Persoonsgegevens moeten worden verzonden.⁵⁷xArtikel 1.10 WGS. Verder dient een samenwerkingsverband een jaarverslag op te stellen waarin terugkoppelingen over de bruikbaarheid van de resultaten worden gegeven door de personen en instanties die deze resultaten ontvangen van het samenwerkingsverband.⁵⁸xArtikel 1.7, vierde lid, en artikel 1.12 WGS.

  Ook zijn bijzondere waarborgen opgenomen voor het geval geautomatiseerde gegevensanalyses worden uitgevoerd.⁵⁹xArtikel 1.9 WGS. Uitsluitend na menselijke tussenkomst kan het resultaat van een dergelijke verwerking worden verstrekt aan een deelnemer van het samenwerkingsverband of aan een derde. Verder dient aan het publiek op toegankelijke wijze uitleg te worden gegeven over de gehanteerde patronen en indicatoren of andere onderliggende logica bij gezamenlijke geautomatiseerde gegevensanalyse door het samenwerkingsverband. Tegelijkertijd is hierbij wel een uitzonderingsclausule opgenomen: zwaarwegende redenen van een van de deelnemers kunnen zich verzetten tegen deze openbaarmaking.⁶⁰xArtikel 1.9, derde lid, WGS.

  Voor een zeker deel geven deze bepalingen een nadere uitwerking van verplichtingen die in de AVG al voor verwerkingsverantwoordelijken zijn opgenomen. Zo stelt artikel 22 AVG voor de toepassing van geautomatiseerde gegevensverwerkingen, onder andere, als voorwaarde dat menselijke tussenkomst nodig is voordat een besluit met rechtsgevolgen voor een betrokkene daarop wordt gebaseerd.⁶¹xArtikel 22, derde lid, AVG. Verder is de verplichting om in een jaarverslag verantwoording te geven over de effectiviteit en bruikbaarheid van de resultaten van gegevensverwerkingen door het samenwerkingsverband, bedoeld om aan het vereiste van noodzakelijkheid te voldoen dat onderdeel vormt van het algemene beginsel van minimale gegevensverwerking van de AVG, aldus de toelichting op het voorstel.⁶²xToelichting, paragraaf 8.2.

  De nieuwe waarborgen van de WGS moeten verder niet helemaal los worden gezien van de uitspraak van de rechtbank Den Haag inzake SyRI. Groot kritiekpunt van de rechtbank Den Haag was het gebrek aan transparantie over en de inzichtelijkheid in de precieze werking van het specifieke systeem van SyRI. In de aangepaste versie van de WGS die is ingediend bij de Tweede Kamer, zijn, zoals hiervoor is aangegeven, veel verschillende bepalingen opgenomen waardoor juist de transparantie over de verwerkingen en de activiteiten van de samenwerkingsverbanden zelf kunnen worden vergroot.⁶³xZie echter ook paragraaf 3.4 van de toelichting, waarin nader wordt uitgelegd dat van de mogelijkheden van artikel 23 AVG gebruik wordt gemaakt om de rechten op informatie van artikelen 13 en 14 AVG te beperken. De uitspraak inzake SyRI heeft daarmee duidelijk een weerslag gehad op de WGS.⁶⁴xHet verband tussen de uitspraak inzake SyRI en de WGS wordt inmiddels ook onderkend door de minister in de nota naar aanleiding van het verslag van 16 oktober 2020, onder punt 24.

  Anders dan artikel 65 Wet SUWI, regelt de WGS echter niet expliciet dat specifieke nieuwe technologieën (denk aan profilering en zelflerende algoritmes) door de samenwerkingsverbanden kunnen worden ingezet. Toch is bekend dat de behoefte daaraan wel bestaat. De WGS bevat een grondslag om bij AMvB nadere regels te stellen over de uitvoering van de gegevensanalyse, waaronder over de methoden waarop de gegevens vergeleken kunnen worden, en de wijze waarop de verbanden zichtbaar worden gemaakt.⁶⁵xArtikel 2.7, tweede lid, aanhef en onder b en e, WGS. Mogelijk zullen deze AMvB’s nog duidelijkheid kunnen bieden over de specifieke technologieën die zullen worden ingezet.

• 5. Conclusie

  De WGS is een belangrijk wetsvoorstel. Het bevat de noodzakelijke wettelijke grondslagen om de verstrekking van persoonsgegevens aan een samenwerkingsverband (als geheel) toe te staan, en om de gegevensverwerking door het samenwerkingsverband in gezamenlijkheid mogelijk te maken. Maar de WGS biedt deze grondslagen vooralsnog alleen voor vier samenwerkingsverbanden: de RIEC’s, de Zorg- en Veiligheidshuizen, het Financieel Expertisecentrum (FEC) en de infobox Crimineel en Onverklaarbaar Vermogen (iCOV). Het bereik van de WGS kan op grond van het huidige voorstel nog worden uitgebreid tot andere samenwerkingsverbanden, als die zich richten op – kortgezegd – de aanpak van ernstige criminaliteit en fraude.

  Naast de wettelijke grondslagen, bevat de WGS ook een aantal aanvullende waarborgen voor de gegevensverwerking door samenwerkingsverbanden. Het gaat, onder andere, om een rechtmatigheidsadviescommissie en een verplicht jaarverslag over de effectiviteit en de bruikbaarheid van resultaten van samenwerkingsverbanden. Wanneer geautomatiseerde gegevensverwerking en profilering plaatsvindt, zal, zoals aan de orde is gekomen in de uitspraak inzake SyRI, ook duidelijkheid moeten worden gebracht over de precieze werking van de (technische) systemen die kunnen worden ingezet door de samenwerkingsverbanden. Daarover bestaan nog veel zorgen en vragen, zoals blijkt uit de vragen die in de voorbereiding van de behandeling van het wetsvoorstel in de Tweede Kamer al zijn opgekomen.⁶⁶xZie de nota naar aanleiding van het verslag van 16 oktober 2020.

  De aanvullende waarborgen bieden wellicht de grootste toegevoegde waarde van de WGS. De genoemde waarborgen kunnen er immers voor gaan zorgen dat er meer inzicht komt over de concrete activiteiten die de samenwerkingsverbanden verrichten, en de resultaten die zij via gegevensuitwisseling boeken. Daarover is tot nog toe niet zoveel bekend. Dergelijk inzicht is uiteindelijk ook van belang voor een adequate bescherming van persoonsgegevens en het recht op respect voor het privéleven. Hoewel de AVG het belangrijkste kader voor de bescherming van persoonsgegevens vormt, zijn daarin geen specifieke bepalingen te vinden die precies zijn geënt op de gegevensverwerkingen die binnen samenwerkingsverbanden plaatsvinden. De WGS kan daarom van aanvullende betekenis zijn.

  Toch zullen, ook na de mogelijke regulering van samenwerkingsverbanden door de WGS, er vragen blijven bestaan over de eerbiediging van het recht op bescherming van persoonsgegevens en het recht op respect voor het privéleven. Samenwerkingsverbanden zullen er voor moeten blijven waken dat zij aan de algemene beginselen van de AVG voldoen. Maar waar liggen nu precies de grenzen van het doelbindingsbeginsel en het beginsel van minimale gegevensverwerking, als het om de activiteiten van samenwerkingsverbanden gaat? Op deze vraag kan een wettelijk kader geen precies antwoord geven. De activiteiten van samenwerkingsverbanden zullen daarom in de rechtspraktijk nog nader moeten worden bezien en de regels zullen daarna verder moeten worden verfijnd.

Noten

• * Dit artikel is op persoonlijke titel geschreven.

• 1 Kamerstukken II 2019/20, 35447, nr. 2 (Voorstel van wet) en nr. 3 (Memorie van toelichting).

• 2 Een overzicht van samenwerkingsverbanden die in 2014 werkzaam waren, is te vinden in de bijlage bij het rapport van de Werkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79.

• 3 Meer informatie over de doelen en activiteiten van samenwerkingsverbanden zoals die genoemd in de hoofdtekst, is te vinden op de betreffende websites. Zie www.riec.nl en www.veiligheidshuizen.nl.

• 4 Dit laatste geldt voor de Zorg- en Veiligheidshuizen waaraan zorginstellingen deelnemen, en ook voor het Financieel Expertise Centrum (FEC) waaraan banken deelnemen.

• 5 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46, PbEU 2016, L 119.

• 6 De bestaande knelpunten worden beschreven in hoofdstuk 3 van het rapport van de Werkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79.

• 7 Zie het bericht van 29 april 2020 op www.rijksoverheid.nl/actueel/nieuws/2020/04/29/slimmere-aanpak-criminaliteit-door-betere-uitwisseling-van-gegevens.

• 8 Over het fenomeen van de samenwerkingsverbanden, en over de bescherming van persoonsgegevens in de gegevensuitwisseling die daarbij plaatsvindt, is op zichzelf nog niet zoveel geschreven. Wat betreft gegevensbescherming in lokale samenwerkingsverbanden, zie A.E. van Rooij, ‘Privacy in het semipublieke domein’, De Gemeentestem 2017/133.

• 9 Artikel 18, eerste lid, Wet politiegegevens biedt hiervoor de grondslag.

• 10 Artikel 4:1, eerste lid, onder a, onderdeel 2, en onder b, Besluit politiegegevens.

• 11 Op grond van artikel 20, tweede lid, Wet politiegegevens is de verwerkingsverantwoordelijke verplicht om vast te leggen wanneer verstrekkingen worden gedaan, om welk zwaarwegend algemeen belang de verstrekkingen plaatsvinden, aan wie, om welke politiegegevens het gaat, en welke voorwaarden aan de verstrekkingen worden verbonden.

• 12 Artikel 64, eerste lid, aanhef, Wet SUWI.

• 13 Artikel 64, eerste lid, onder a t/m d, tweede en derde lid, Wet SUWI.

• 14 Relevant is ook artikel 33, eerste lid, onder b, Uitvoeringswet Algemene verordening gegevensbescherming die specifiek bepaalt dat strafrechtelijke gegevens mogen worden verwerkt door en ten behoeve van ‘publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken’.

• 15 Zie voor een overzicht uit 2014 de bijlage bij het rapport van de werkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79.

• 16 Artikel 6, eerste lid, AVG bevat een reeks ‘rechtvaardigingsgronden’ om persoonsgegevens te kunnen verwerken. In het geval van samenwerkingsverbanden blijken vooral de grondslag onder e (de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang) en de grondslag onder f (de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke) lastig om toe te passen.

• 17 Werkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79, met name hoofdstuk 3.

• 18 Werkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79, p. 5.

• 19 Werkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79, p. 20-21.

• 20 Werkgroep verkenning kaderwet gegevensuitwisseling, ‘Kennis delen geeft kracht’, bijlage bij Kamerstukken II 2014/15, 32761, nr. 79, p. 40-43.

• 21 In belangrijke mate bouwt het voort op al langer bestaande beginselen rondom de bescherming van persoonsgegevens. Voorloper van de AVG was Richtlijn 94/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEU 1995, L 281, die was omgezet in de Wet bescherming persoonsgegevens, die is komen te vervallen.

• 22 Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad, PbEU 2016, L 119.

• 23 De vraag naar de toepassing van de richtlijn komt kort aan de orde in de memorie van toelichting op de WGS, aan het slot van par. 3.4. Zie over de verhouding van de AVG en de richtlijn ook par. 2.3 van de memorie van toelichting bij de Uitvoeringswet Algemene verordening gegevensbescherming, Kamerstukken II 2017/18, 34851, nr. 3.

• 24 Artikel 2, tweede lid, onder d, AVG.

• 25 Artikel 1, eerste lid, en artikel 2, eerste lid, van de richtlijn.

• 26 Zie hiernaast ook overweging 34 van Richtlijn (EU) 2016/680 en overweging 19 van de AVG. In overweging 12 van de richtlijn is opgenomen dat de lidstaten de bevoegde autoriteiten ook kunnen belasten met andere taken ‘die niet noodzakelijkerwijs worden verricht met het oog op de voorkoming, het onderzoek, de opsporing, en de vervolging van strafbare feiten, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden, voor zover zij binnen het toepassingsgebied van het Unierecht valt, binnen het toepassingsgebied van Verordening (EU) 2016/679 valt’.

• 27 H.R. Kranenborg en L.F.M. Verhey, De Algemene Verordening Gegevensbescherming in Europees en Nederlands perspectief, Deventer: Wolters Kluwer 2018, p. 137.

• 28 Artikel 5, eerste lid, onder a, b en c, AVG. Zie ook artikel 8 van het Handvest van de grondrechten van de Europese Unie dat specifiek de bescherming van persoonsgegevens garandeert en ook expliciet bepaalt dat gegevens alleen ‘voor bepaalde doeleinden’ mogen worden verwerkt.

• 29 Zie artikel 1.4 WGS.

• 30 Aanvankelijk kreeg deze werkgroep als opdracht van de minister van (toen) Veiligheid en Justitie om te verkennen of een kaderwet bepaalde generieke knelpunten in de gegevensuitwisseling (alleen) op het brede terrein van fraudebestrijding zou kunnen oplossen.

• 31 Artikel 2 van het voorstel zoals opgenomen op www.internetconsultatie.nl/wgs.

• 32 Zie, onder meer, het advies van de Autoriteit Persoonsgegevens van 4 januari 2019, opgenomen als bijlage bij Kamerstukken II 2019/20, 35447, nr. 3, p. 2-7.

• 33 Advies van de Autoriteit Persoonsgegevens van 4 januari 2019, p. 8.

• 34 Advies van de Afdeling advisering van de Raad van State, Kamerstukken II 2019/20, 35447, nr. 4, punten 2, 6 en 7.

• 35 Het gaat om hoofdstuk 5a van het Besluit SUWI.

• 36 De rechtbank verwijst hierbij naar een Grote Kamer-uitspraak van het EHRM van 4 december 2008 (S. and Marper t. het Verenigd Koninkrijk), ECLI:CE:ECHR:2008:1204JUD003056204, par. 112.

• 37 Rechtbank Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:1878, overwegingen 6.4, 6.74, 6.77-6.78, 6.85

• 38 Rechtbank Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:1878, overwegingen 6.87 en 6.91 t/m 6.93.

• 39 Rechtbank Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:1878, overwegingen 6.87 en 6.91 t/m 6.93, overwegingen 6.96 t/m 6.98.

• 40 De minister van Sociale Zaken en Werkgelegenheid heeft bekendgemaakt niet in beroep te gaan tegen deze uitspraak.

• 41 Vgl. ook het nader rapport op het advies van de Raad van State, Kamerstukken II 2019/20, 35447, nr. 4, reactie op punten 1 en 2.

• 42 Hoofdstuk 1 van de WGS.

• 43 Hoofdstukken 2 t/m 5.

• 44 Artikel 3.3 WGS. Via een zogeheten nahangprocedure zal een AMvB over een nieuw samenwerkingsverband nog aan de Tweede en de Eerste Kamer moeten worden voorgelegd. Deze kúnnen dan aangeven dat het samenwerkingsverband bij (formele) wet moet worden geregeld zodat alsnog een wetsvoorstel moet worden voorbereid.

• 45 Artikel 3.1 WGS.

• 46 Toelichting, paragraaf 5. Artikel 3.1 WGS gaat bovendien ook uit van een kan-bepaling.

• 47 Voorstel voor een Wet bevorderen samenwerking en rechtmatige zorg, Kamerstukken II 2019/20, 35515, nr. 3 (Voorstel van wet) en nr. 4 (Memorie van toelichting). Zie hierover ook het advies van de Afdeling advisering van de Raad van state, Kamerstukken II 2019/20, 35515, nr. 4. Dit wetsvoorstel bevat wettelijke grondslagen voor de (verplichte) gegevensverstrekking aan het samenwerkingsverband wanneer sprake is van een gerechtvaardigde overtuiging dat de betreffende personen zorgfraude hebben gepleegd. Onder meer wordt bepaald dat persoonsgegevens, gegevens over gezondheid, en strafrechtelijke gegevens in dat verband worden uitgewisseld.

• 48 Artikelen 1.5 WGS.

• 49 Artikel 1.6, WGS.

• 50 Artikel 1.7, eerste lid, WGS.

• 51 Van belang te vermelden is dat niet voor elke afzonderlijke verwerking van persoonsgegevens wetgeving hoeft te worden vastgesteld. ‘Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen’, zie overweging 45 van de AVG, en vgl. verder de beoordeling van een Unierechtelijke grondslag voor gegevensverwerking in HvJEU 16 januari 2019, C-496/17, ECLI:EU:C:2019:26.

• 52 Artikel 5, eerste lid, aanhef en onder c, AVG.

• 53 Zie ook artikel 1.8, vijfde lid, WGS.

• 54 Artikel 1.7, tweede en derde lid, WGS.

• 55 Artikel 1.8, tweede lid, WGS.

• 56 Artikel 1.8, zesde lid, WGS.

• 57 Artikel 1.10 WGS.

• 58 Artikel 1.7, vierde lid, en artikel 1.12 WGS.

• 59 Artikel 1.9 WGS.

• 60 Artikel 1.9, derde lid, WGS.

• 61 Artikel 22, derde lid, AVG.

• 62 Toelichting, paragraaf 8.2.

• 63 Zie echter ook paragraaf 3.4 van de toelichting, waarin nader wordt uitgelegd dat van de mogelijkheden van artikel 23 AVG gebruik wordt gemaakt om de rechten op informatie van artikelen 13 en 14 AVG te beperken.

• 64 Het verband tussen de uitspraak inzake SyRI en de WGS wordt inmiddels ook onderkend door de minister in de nota naar aanleiding van het verslag van 16 oktober 2020, onder punt 24.

• 65 Artikel 2.7, tweede lid, aanhef en onder b en e, WGS.

• 66 Zie de nota naar aanleiding van het verslag van 16 oktober 2020.