Terug

#Juridisch AdviesAVGCompliance

Op zoek naar een FG voor een samenwerkingsverband? Zoek niet verder!

Organisaties delen vaak integraal gegevens van verschillende betrokkenen. Daar is vaak vanwege wetgeving (bijvoorbeeld omtrent het beroepsgeheim) geen grondslag voor. Aan de andere kant is het niet uitwisselen van gegevens ook geen optie, omdat organisaties elkaar kunnen tegenwerken. Bovendien kan het onthouden van gegevens leiden tot een escalatie van problematiek, zoals bijvoorbeeld bij huiselijk geweld of kindermishandeling. In december 2020 is daarom het wetsvoorstel gegevensverwerking door samenwerkingsverbanden aangenomen door de Tweede Kamer. Dit wetsvoorstel werd echter kritisch ontvangen door de Autoriteit Persoonsgegevens (AP) en het College voor de Rechten van de Mens.

Na deze kritiek is er gesleuteld aan het voorstel en is de wet op 18 juni 2024 door de Eerste Kamer aangenomen. De voornaamste kritiek van de AP bestond uit de vraag of de Wet gegevensverwerking door samenwerkingsverbanden voldoende waarborgen biedt voor de bescherming van de privacy van de betrokkenen. Naar verwachting treedt de Wet gegevensverwerking door samenwerkingsverbanden (WGS) op 1 januari 2025 in werking.

In deze blog vertellen we je wat de wet precies inhoudt, welke bezwaren de AP heeft omtrent de WGS en welke gevolgen deze wet kan hebben voor jouw organisatie. We sluiten af met een praktische aanbeveling hoe een samenwerkingsverband zodanig in te richten dat een grondslag in het licht van de WGS de kritiek mogelijk kan doorstaan. Oftewel, de rechten van betrokkenen zo optimaal mogelijk waarborgen en dat organisaties over de noodzakelijke gegevens kunnen beschikken om hun zogenaamde ‘ketenopgave’ waar te kunnen maken.

Inhoud WGS

De Wet gegevensverwerking door samenwerkingsverbanden (WGS) heeft als doel het delen van informatie (en specifiek persoonsgegevens) binnen samenwerkingsverbanden van overheidsinstanties en private partijen, zoals het Zorgveiligheidshuis, mogelijk te maken. Daarbij ligt de focus vooral op het bestrijden van ondermijnende criminaliteit en het aanpakken van fraude. In het nieuwste wetsvoorstel dat door de Eerste Kamer is aangenomen, zijn 4 al bestaande samenwerkingsverbanden wettelijk vastgelegd:

Het Financieel Expertise Centrum (FEC). Deze organisatie heeft als doel de integriteit van de financiële sector te versterken en illegale geldstromen terug te dringen.
De Infobox Crimineel en Onverklaarbaar Vermogen (iCOV). Het iCOV stelt rapportages op waar misschien crimineel of fiscaal ondergedoken vermogen wordt verborgen.
De regionale Informatie en Expertisecentra (RIEC’s). RIEC’s strijden tegen georganiseerde en ondermijnende criminaliteit.
De Zorg- en Veiligheidshuizen. Zij helpen bij complexe situaties die het straf-, zorg- en gemeentelijk domein overstijgen, zoals bij huiselijk geweld of ernstig verward gedrag.

De wet is nodig om de kaders binnen samenwerkingsverbanden, waarin het delen van persoonsgegevens noodzakelijk is, te verduidelijken en om te voorzien in een juridische grondslag om het delen van gegevens in samenwerkingsverbanden mogelijk te maken.

Samenwerkingsverbanden, of ketens, zijn onder te verdelen in twee smaken: de eenvoudige keten en de complexe keten. In een eenvoudige keten is de verwerking vaak voorspelbaar en is de grondslag voor het uitwisselen van gegevens vaak, al dan niet sector specifiek, wettelijk verankerd. In complexe ketens is de verwerking vaak onvoorspelbaar en is van tevoren niet in te schatten wie de gegevens gaan inzien.

Zoals hierboven vermeld werd het wetsvoorstel pas aangenomen na meerdere adviezen van de AP en het College voor de Rechten van de Mens. Een reden voor deze benodigde adviezen was onder andere de vele kritiek die werd geuit op de wet. De FNV noemde de wet zelfs een nieuwe ‘Big brother-wet’. De FNV maakte zich zorgen om het feit dat gegevens gedeeld kunnen worden wanneer nog maar sprake is van een vermoeden van een strafbaar feit. Daarnaast mogen ook bijzondere persoonsgegevens, zoals gegevens over de seksuele geaardheid, onderling gedeeld worden. Niet alleen van de mogelijke verdachte, maar ook van zijn/haar omgeving.

Kritiek Autoriteit Persoonsgegevens (AP)

De AP onderkent in haar adviezen het voorkomen en bestrijden van ernstige en ondermijnende criminaliteit als een zwaarwegend belang waarbij een inbreuk op het grondrecht op bescherming van persoonsgegevens noodzakelijk kan zijn. De AP maakt wel enkele kanttekeningen. Zo geeft de WGS de overheid en private partijen ruime bevoegdheden om gegevens met elkaar te delen en zijn er (te) weinig beperkingen aan het oprichten van een samenwerkingsverband. Een grote zorg van de AP was dan ook onder meer dat er meer waarborgen in de WGS moeten komen om de burgers te beschermen en een samenwerkingsverband moet vooraf door de rechter getoetst worden. Daarnaast worden de gegevens van betrokkenen en hun omgeving verwerkt, terwijl de betrokkene niet altijd een verdachte is.

Een ander probleem is volgens de AP dat betrokkenen geen weet hebben van de verwerking en de verwerking ook niet kunnen of hoeven te verwachten. De AP heeft in het eerste advies de Eerste Kamer dan ook aangeraden om het wetsvoorstel zoals die er op dat moment lag, niet aan te nemen.

Besluit gegevensverwerking door samenwerkingsverbanden

Om tegemoet te komen aan de bezwaren van de AP, is er een uitwerking op de WGS gekomen: het Besluit gegevensverwerking door samenwerkingsverbanden (BGS). In dat besluit is vastgelegd dat, voorafgaande aan de verwerking, sprake moet zijn van ‘duidelijke en objectieve aanwijzingen voor mogelijke criminaliteit’. Daarnaast moet er door het samenwerkingsverband een deelnemende overheidsorganisatie aangewezen worden als aanspreekpunt voor betrokkenen. Ook worden er meer algemene beperkingen gesteld aan het verwerken van gegevens: zoals preciezere bewaartermijnen en de inbreng van rechtmatig verkregen persoonsgegevens.

Bovendien bevatte het wetsvoorstel de mogelijkheid om nieuwe samenwerkingsverbanden in het leven te roepen door middel van een algemene maatregel van bestuur (AMvB). De AP maakte hier bezwaar tegen en nam als standpunt in dat de formele wetgever te pas moet komen aan de totstandkoming van een nieuwe samenwerking. In het BGS is de mogelijkheid tot het ontstaan van een nieuwe samenwerking door middel van een AMvB dan ook geschrapt. Een nieuw samenwerkingsverband kan dan alleen nog ontstaan met instemming van het parlement.

Grondslag

Samenwerkingsverbanden tussen overheden en private organisaties is niet nieuw. Uitwisseling van persoonsgegevens binnen zo’n samenwerkingsverband evenmin. Het knelpunt zit hem echter in het gebruiken, of het voorhanden hebben, van een grondslag voor de uitwisseling in de Algemene Verordening Gegevensbescherming (AVG). De AVG stelt immers dat het rechtmatig uitwisselen van (bijzondere) persoonsgegevens gebaseerd moet zijn op een van de zes grondslagen van art. 6 AVG. In het geval van een eenvoudige keten is dat geen probleem. De grondslag voor het verwerken gaat mee in het geval van bijvoorbeeld een doorverwijzing naar een specialist. Bij een complexe keten, zoals het Landelijk Schakelpunt waarin elke deelnemer in principe alle gegevens in kan zien, ligt dat anders.

In het artikel ‘Toestemming bij digitale gegevensuitwisseling in samenwerkingsverbanden (ketens)’ benoemde Bonthuis al dat overheidsinstellingen in samenwerkingsverbanden zich niet zouden moeten beroepen op de grondslagen toestemming of uitvoering van de publieke taak. Daar komt bij dat de grondslag ‘gerechtvaardigd belang’ voor overheidsinstellingen sowieso is uitgesloten.

Door de komst van de WGS wordt voorzien in een grondslag voor het uitwisselen van persoonsgegevens binnen samenwerkingsverbanden, namelijk: een zwaarwegend algemeen belang. Een zwaarwegend algemeen belang is een belang die voor de samenleving van meer dan ‘gewone’ betekenis is. Deze zwaarwegende belangen staan in art. 8 lid 2 EVRM opgesomd. Het gaat onder andere om het voorkomen van wanordelijkheden en strafbare feiten, maar ook de bescherming van de gezondheid of de goede zeden. De term zwaarwegend algemeen belang is opgenomen in de WGS om te voorkomen dat persoonsgegevens te gemakkelijk gedeeld worden.

Gevolgen

Wat betekent de nieuwe wet voor jouw organisatie? De WGS moet gezien worden als een aanvulling op de AVG. Voor jouw organisatie, wanneer sprake is van een samenwerkingsverband die onder de WGS valt, moet er een FG aangesteld worden en moeten medewerkers een verplichte training doen. Daarnaast moet er een DPIA worden uitgevoerd. De uitkomsten en maatregelen die daaruit voortvloeien moeten opgenomen worden in een convenant, oftewel een regeling als in art. 26 AVG. Ook moeten er periodieke privacy audits plaatsvinden en de uitkomsten daarvan moeten gerapporteerd worden aan de AP.

Conclusie

De nieuwe Wet gegevensverwerking door samenwerkingsverbanden heeft dus kunnen rekenen op een boel kritiek. Hoewel de AP onderkent dat met de komst van het BGS en algemene verbeteringen aan het conceptvoorstel de gegevensbescherming beter op orde is, is de AP nog niet helemaal overtuigd. De WGS brengt daarnaast verschillende verplichtingen met zich mee voor organisaties die gegevens willen delen onder de WGS.

Om de werking van de wet te beoordelen komt een jaar na de inwerkingtreden een evaluatie. Dat is uitzonderlijk aangezien dat normaal gesproken pas na 5 jaar plaatsvindt. Hoe de wet gaat werken in de praktijk en of de opgenomen extra waarborgen in de wet voldoende zijn, zal nog moeten blijken.

De verplichte aanstelling van een FG binnen een samenwerkingsverband kan ervoor zorgen dat privacy concepten zoals dataminimalisatie en privacy by design gelijk vanaf het begin van de samenwerking meegenomen kunnen worden. Dat kan een hoop narigheid in de toekomst voorkomen. Bovendien kan een FG een helpende hand bieden bij het opzetten van een samenwerkingsverband door het vaststellen van het dominante ketenprobleem en het verantwoorden van de grondslag voor het uitwisselen van gegevens.

Heb je naar aanleiding van deze blog vragen over de Wet gegevensverwerking door samenwerkingsverbanden? Of ben je op zoek naar een FG om jouw samenwerkingsverband op te zetten en vorm te geven? Aarzel niet en neem contact met ons op via hallo@privacy1.nl.

[1] ‘Toestemming bij digitale gegevensuitwisseling in samenwerkingsverbanden (ketens), M.J. Bonthuis, 5 oktober 2020.

[2] ‘Big brother-wet’ gevaarlijk recept voor reeks nieuwe toeslagenaffaires’, A. de Boer, 10 juni 2024, geraadpleegd via www.fnv.nl.

[3] ‘Advies AP gewijzigd voorstel wgs’ – geraadpleegd via www.autoriteitpersoonsgegevens.nl.

[4] ‘Advies gegevensverwerking door samenwerkingsverbanden’, juli 2019, geraadpleegd via www.autoriteitpersoonsgegevens.nl.

[5] ‘Voor aanvaardbare WGS ontbreekt belangrijke waarborg’ – Autoriteit Persoonsgegevens via www.autoriteitpersoonsgegevens.nl.

[6] ‘Voor aanvaardbare WGS ontbreekt belangrijke waarborg’ – Autoriteit Persoonsgegevens via www.autoriteitpersoonsgegevens.nl.

[7] ‘Voor aanvaardbare WGS ontbreekt belangrijke waarborg’ – Autoriteit Persoonsgegevens via www.autoriteitpersoonsgegevens.nl.

[8] ‘Voor aanvaardbare WGS ontbreekt belangrijke waarborg’ – Autoriteit Persoonsgegevens via www.autoriteitpersoonsgegevens.nl.

[9] ‘Advies Besluit gegevensverwerking door samenwerkingsverbanden’ – Autoriteit Persoonsgegevens via www.autoriteitpersoonsgegevens.nl.

[10] ‘Advies Besluit gegevensverwerking door samenwerkingsverbanden’ – Autoriteit Persoonsgegevens via www.autoriteitpersoonsgegevens.nl.

[11] ‘Advies Besluit gegevensverwerking door samenwerkingsverbanden’ – Autoriteit Persoonsgegevens via www.autoriteitpersoonsgegevens.nl.

[12] ‘Toestemming bij digitale gegevensuitwisseling in samenwerkingsverbanden (ketens), M.J. Bonthuis, 5 oktober 2020.

[13] ‘Normuitleg grondslag ‘gerechtvaardigd belang’, Autoriteit Persoonsgegevens.p.3.

[14] Aanwijzing wet politiegegevens en de rol van de officier van justitie (2018A004), paragraaf 15.3, online via inview.nl.

[15] Wetsvoorstel gegevensverwerking door samenwerkingsverbanden, MvT, paragraaf 3.2.2.

[16] ‘Nadere memorie van antwoord – Regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden)’ via www.parlementairemonitor.nl.

[17] ‘Voor aanvaardbare WGS ontbreekt belangrijke waarborg’- Autoriteit Persoonsgegevens via. www.autoriteitpersoonsgegevens.nl.

Ook interessant:

Lees meer

#AVGJuridisch Advies

Is een commercieel belang voor het verzamelen, verwerken en delen van gegevens óók een gerechtvaardigd belang?

Met het arrest van 4 oktober 2024 heeft het Europees Hof van Justitie (het Hof) eindelijk duidelijkheid gegeven over de vraag of een commercieel belang ook een gerechtvaardigd belang kan zijn en voor eens en voor altijd een streep gehaald door de opvatting van de Autoriteit Persoonsgegevens (AP) dat een zuiver commercieel belang nóóit een gerechtvaardigd belang kan zijn. Betekent dit dat bedrijven massaal persoonsgegevens mogen verwerken omdat ze er geld mee kunnen verdienen? Kort gezegd: nee.

Lees meer

#AVGHackers en hacks

Een kans op het verwerken van persoonsgegevens, maakt je nog geen verwerker

Er bestaat een kans dat een pentester persoonsgegevens inziet, downloadt of vernietigt. Is deze ethische hacker een verwerker volgens de AVG? En moet er een verwerkersovereenkomst opgesteld worden?

Naam	Aanbieder	Doel	Vervaldatum
CookieConsent	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 jaar

Naam	Aanbieder	Doel	Vervaldatum
_ga	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	2 jaar
_gat	privacy1.nl	Gebruikt door Google Analytics om verzoeksnelheid te vertragen.	1 dag
_gid	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 dag
collect	google-analytics.com	Gebruikt om gegevens naar Google Analytics te versturen over het apparaat en het gedrag van de bezoeker.	Sessie