Besluit van 29 november 2024 tot uitvoering van de Wet gegevensverwerking door samenwerkingsverbanden (Besluit gegevensverwerking door samenwerkingsverbanden) en tot vaststelling van het tijdstip van inwerkingtreding van die wet en van de Wet van 26 juni 2024 tot wijziging van de Wet gegevensverwerking door samenwerkingsverbanden in verband met het waarborgen van de parlementaire betrokkenheid bij de aanwijzing van andere samenwerkingsverbanden (Stb. 2024, 254)

NOTA VAN TOELICHTING

Inhoud

Algemeen			20
1. Inleiding			20
2. Uitgangspunten WGS en BGS			21
3. Ontvangen consultatieadviezen			22
4. Advies van de Autoriteit persoonsgegevens			23
5. Uitvoerbaarheid			29
6. Financiële gevolgen			29
7. Evaluatie			30
Artikelsgewijs			31
Hoofdstuk 1. Algemene bepalingen			31
		Artikel 1.1 Aanwijzing contactpunt	31
		Artikel 1.2 Verantwoordelijkheid voor nakoming verzoeken AVG	33
		Artikel 1.3 Verantwoordelijkheid voor nakoming informatieplicht	36
		Artikel 1.4 Verantwoordelijkheid voor nakoming meldplicht datalekken	39
		Artikel 1.5 Rechtmatig verwerkte gegevens	40
		Artikel 1.6 Kwaliteit van een aangemeld signaal, verzoek of casus	41
		Artikel 1.7 Correctie van onjuistheden tijdens gezamenlijke gegevensverwerking	41
		Artikel 1.8 Kwaliteit van de resultaten	42
		Artikel 1.9 Nationaliteit	44
		Artikel 1.10 Nadere inkadering van gegevensuitwisseling tussen samenwerkingsverbanden	45
		Artikel 1.11 Betrouwbaarheid geautoriseerde personen	49
		Artikel 1.12 Logging	51
		Artikel 1.13 Werkwijze van de rechtmatigheidsadviescommissie	52
		Artikel 1.14 Samenstelling van de rechtmatigheidsadviescommissie	57
		Artikel 1.15 Rechtmatigheidsadviescommissie voor cluster van samenwerkingsverbanden	59
		Artikel 1.16 Precisering maximale bewaartermijn	60
		Artikel 1.17 Opleiding en training ten aanzien van gegevensverwerking	63
		Artikel 1.18 Uitwerking auditbepaling	64
Hoofdstuk 2. Bepalingen inzake specifieke samenwerkingsverbanden			65
	Paragraaf 2.1 Financieel Expertisecentrum (FEC)		65
		Artikel 2.1 Aanvullende deelnemers Programma Terrorismefinanciering	65
		Artikel 2.2 Deelnemers aan publiek-private samenwerking	66
		Artikel 2.3 Beperking gegevensverstrekking over kring van personen	69
		Artikel 2.4 Criteria voor behandeling van een signaal of verzoek	70
		Artikel 2.5 Nadere waarborgen signalenoverleg en gegevensanalyse	73
	Paragraaf 2.2 Infobox Crimineel en Onverklaarbaar Vermogen (iCOV)		73
		Artikel 2.6 Aanvullende deelnemers	73
		Artikel 2.7 Beperking gegevensverstrekking over kring van personen	75
		Artikel 2.8 Criteria voor een rapportage over vermogen en inkomsten of financieel-zakelijke relaties	76
		Artikel 2.9 Vaststelling van thema voor een themarapportage	79
		Artikel 2.10 Vaststelling van indicatoren voor een themarapportage	83
		Artikel 2.11 Criteria voor behandeling van een verzoek om een themarapportage	83
		Artikel 2.12 Uitvoering van de gegevensanalyse voor een themarapportage	86
	Paragraaf 2.3 Regionale Informatie- en Expertisecentra (RIEC’s)		88
		Artikel 2.13 Territoriale werkgebieden	89
		Artikel 2.14 Nadere regels over wettelijke taken en bevoegdheden van deelnemers	89
		Artikel 2.15 Concretisering van te verstrekken gegevens	89
		Artikel 2.16 Criteria voor behandeling van een signaal	92
	Paragraaf 2.4 Zorg- en Veiligheidshuizen (ZVH)		94
		Artikel 2.17 Definitiebepaling	94
		Artikel 2.18 Territoriale werkgebieden	94
		Artikel 2.19 Beperking gegevensverstrekking over kring van personen	95
		Artikel 2.20 Criteria voor behandeling van een casus	95
		Artikel 2.21 Nadere criteria voor incidentele deelname aan Zorg- en Veiligheidshuis	97
		Artikel 2.22 Objectieve criteria voor plaatsing op een lijst van geprioriteerde casussen	101
Hoofdstuk 3. Wijziging van andere besluiten			102
		Artikel 3.1 Wijziging Besluit politiegegevens	102

Algemeen

1. Inleiding

In het onderhavige Besluit gegevensverwerking door samenwerkingsverbanden (hierna: dit besluit of BGS) wordt uitvoering gegeven aan verplichtingen uit de Wet gegevensverwerking door samenwerkingsverbanden (hierna: de wet of WGS). Ook wordt nadere invulling gegeven aan de WGS ten aanzien van de gegevensverwerkingen en de waarborgen daarbij. Tevens worden in dit besluit zorgpunten geadresseerd van het parlement, de Afdeling advisering van de Raad van State en de Autoriteit persoonsgegevens.

De WGS regelt gegevensdeling binnen het kader van samenwerkingsverbanden die zich richten op de aanpak van zware criminaliteit en ondermijning, namelijk de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionale Informatie- en Expertisecentra (RIEC’s) en het Financieel Expertisecentrum (FEC). Ook regelt de WGS de gegevensdeling in Zorg- en Veiligheidshuizen. De Zorg- en Veiligheidshuizen richten zich op complexe gevallen, waarbij sprake is van een onveilige situatie die voortvloeit uit multi-problematiek en waarbij een ketenoverstijgende aanpak nodig is. De WGS creëert heldere juridische grondslagen waardoor deelnemers aan deze samenwerkingsverbanden gegevens met elkaar mogen delen en verwerken. Ter bescherming van de privacy bevat de WGS een aantal belangrijke waarborgen voor het gebruik van de gegevens, in aanvulling op en ter specificering van de waarborgen van de AVG.

2. Uitgangspunten WGS en BGS

Verstrekking aan het samenwerkingsverband

De deelnemers aan de samenwerkingsverbanden zijn verplicht om bij of krachtens de WGS aangewezen categorieën van gegevens aan het samenwerkingsverband te verstrekken, voor zover dat noodzakelijk is voor het doel van het samenwerkingsverband, tenzij naar het oordeel van de deelnemer zwaarwegende redenen zich daartegen verzetten. Voor de vraag of gegevens aan het samenwerkingsverband moeten worden verstrekt, is dus leidend of de gegevensverstrekking noodzakelijk is voor het doel van het samenwerkingsverband en niet het individuele doel van de deelnemer. Het voorgaande volgt uit artikel 1.5 van de wet, en voor zover het gaat om de politie, de Koninklijke marechaussee en het Openbaar Ministerie, uit artikel 20, derde lid, van de Wet politiegegevens (hierna: Wpg) en de artikelen 8b, 39fa en 51ca van de Wet justitiële en strafvorderlijke gegevens (hierna: Wjsg) (toegevoegd door de artikelen 4.1 en 4.2 van de WGS). De taak van een verstrekkende deelnemer is dus niet bepalend voor gegevensverstrekking aan het samenwerkingsverband. Weliswaar dient de gegevensverwerking mede noodzakelijk te zijn voor de uitoefening van publiekrechtelijke taken en bevoegdheden van de deelnemers3 , maar welke deelnemers dit zijn kan afhankelijk van de casus verschillen.

De gegevensverstrekking van een deelnemer aan het samenwerkingsverband valt overigens onder de zelfstandige verantwoordelijkheid van de betreffende deelnemer die de gegevens verstrekt.

Verwerking binnen het samenwerkingsverband

Nadat de deelnemers de gegevens aan het samenwerkingsverband hebben verstrekt, verwerkt het samenwerkingsverband de ontvangen gegevens gezamenlijk voor het doel van het samenwerkingsverband.4 Het systeem van de WGS gaat uit van gezamenlijke verwerkingsverantwoordelijkheid van de deelnemers «voor de verwerking van persoonsgegevens door het samenwerkingsverband» (aldus artikel 1.4, eerste lid, van de wet). Dit betreft bijvoorbeeld een signalenoverleg of gegevensanalyse (FEC), het opstellen van een rapportage (iCOV), een casusoverleg (RIEC’s en Zorg- en Veiligheidshuizen) of een gebieds- of thematische scan (RIEC’s).

Verstrekking uit het samenwerkingsverband

3. Ontvangen consultatieadviezen

Voor de goede orde zij vermeld dat opmerkingen die de kaders van de voorliggende amvb te buiten gaan, buiten beschouwing zijn gelaten. Beperkte en technische aanpassingen naar aanleiding van de consultatie zijn doorgevoerd maar worden niet allemaal in de toelichting besproken. Het expliciet ingaan op alle opmerkingen zou de toelichting dermate omvangrijk en onoverzichtelijk maken dat deze niet meer hanteerbaar zou zijn.

4. Advies van de Autoriteit persoonsgegevens

Rechterlijke toets van gegevensverwerkingen

Werkbaarheid

Voornoemde bezwaren zouden ook opgaan indien niet de rechter-commissaris maar een andere rechter de preventieve toets op alle gegevensverwerkingen doet: ook dat zou voorbijgaan aan de benodigde specialistische kennis en expertise inzake de werking van de samenwerkingsverbanden en de specifiek toepasselijke regelgeving, het enorme beslag op de capaciteit van rechters, officieren van justitie en burgemeesters, en de nadelige gevolgen voor de slagkracht.

Systeem gegevensbeschermingsrecht

Een preventieve rechterlijke toets – ongeacht welke rechter het betreft – past om diverse redenen ook niet in het Unierechtelijke systeem voor de bescherming van persoonsgegevens:

• – Een voorafgaande rechterlijke toets staat haaks op de rolverdeling uit de AVG. Die rolverdeling is dat de verwerkingsverantwoordelijken – in dit geval de deelnemers aan het samenwerkingsverband – verantwoordelijk zijn voor de naleving van de regels van het gegevensbeschermingsrecht. De deelnemers dragen de gezamenlijke verwerkingsverantwoordelijkheid in de zin van artikel 26 van de AVG voor de gezamenlijke gegevensverwerking in het samenwerkingsverband, zoals toegelicht in het nader rapport inzake de WGS en de toelichting op artikel 1.4 WGS.7 Zij hebben een eigen verantwoordingsplicht op grond van de AVG (artikel 5, tweede lid, AVG). Bij niet-naleving dragen zij – en niet de rechter – de verantwoordelijkheid en kan de AP bestuursrechtelijke sancties opleggen.8 De AVG gaat dus uit van het nemen van verantwoordelijkheid, met achteraf de mogelijkheid van toetsing door de AP dan wel de rechter.

• – Met de voorgestelde toets door de rechter-commissaris zou de regelgeving ter bescherming van persoonsgegevens, die voor de overheid meer bestuursrechtelijk georiënteerd is, in een strafrechtelijke context worden geplaatst. Dit leidt echter tot complicaties, zoals ook blijkt uit de door de AP voorgestane rol van de burgemeester en de officier van justitie. De verantwoordelijkheid van deze gezagsdragers voor respectievelijk de handhaving van de openbare orde9 en de strafrechtelijke handhaving van de rechtsorde10 zijn niet verenigbaar met de bestaande verantwoordelijkheden voor het functioneren van de instanties die deelnemen aan een samenwerkingsverband. Daarmee worden de verantwoordelijkheden juist diffuser. Dat de burgemeester of de officier van justitie aan de rechter om toestemming zou moeten vragen voor een gegevensverwerking, verdraagt zich bovendien niet goed met het feit dat ook de andere deelnemers het initiatief kunnen nemen voor een gegevensverwerking. Dat hiermee het toezicht op de verwerking van persoonsgegevens over meerdere partijen en fases (vooraf en achteraf) wordt verdeeld zal leiden tot overlap en daarmee tot onduidelijkheid.

• – Een toets door de rechter-commissaris zou tot rechtsonzekerheid kunnen leiden over het toepasselijke gegevensbeschermingsrecht. Als een rechter-commissaris toestemming geeft op verzoek van een officier van justitie, wekt dat de indruk dat het gaat om de opsporing en vervolging van strafbare feiten en dat op de voorgenomen gegevensverwerking dus niet de AVG, maar de richtlijn gegevensbescherming opsporing en vervolging toepasselijk is,11 die in Nederland is geïmplementeerd in de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Vermenging van stelsels ware te voorkomen. Dat is niet alleen van belang voor de deelnemers aan de samenwerkingsverbanden, die dan zouden worden geconfronteerd met verschillende privacyregimes, maar ook voor de betrokkenen, voor wie duidelijk moet zijn wat hun rechten zijn. Beoogd is dat alleen de AVG van toepassing is op de samenwerkingsverbanden.

Stelsel Wetboek van Strafvordering

Een voorafgaande toets door de rechter-commissaris zou ook een breuk vormen met het stelsel uit het Wetboek van Strafvordering. De rechter-commissaris houdt toezicht op de voortgang en rechtmatigheid van het opsporingsonderzoek, dat onder leiding staat van de officier van justitie, en kan toestemming geven om bepaalde opsporingsmethoden in te zetten die een ernstige inbreuk op de persoonlijke levenssfeer met zich meebrengen. Bij de gegevensverwerking door de samenwerkingsverbanden is echter meestal (nog) geen sprake van een opsporingsonderzoek; het doel is immers te beoordelen welke aanpak in de voorliggende situatie het beste is. Die aanpak zal doorgaans niet strafrechtelijk zijn, maar zal dan bijvoorbeeld een bestuursrechtelijke of een sociale interventie inhouden. De WGS gaat immers over een multidisciplinaire aanpak. De opmerking van de AP, dat alle samenwerkingsverbanden in de kern in het teken staan van strafrechtelijke handhaving en handhaving van de openbare orde, laat zich dan minder goed plaatsen.

Andere waarborgen

De AP wijst er terecht op dat het van belang is dat gegevensdeling binnen de perken blijft, gelet op het uitgangspunt van dataminimalisatie dat aan de AVG ten grondslag ligt. Om de risico’s te minimaliseren, bevatten de WGS en het BGS echter talrijke waarborgen en vormen van toezicht en verantwoording in aanvulling op de AVG. Met de getroffen waarborgen kan worden volstaan. Naast de rechtmatigheidsadviescommissies gaat het dan om de onafhankelijke coördinerend functionaris voor de gegevensbescherming (FG) voor het samenwerkingsverband (artikel 1.4, tweede lid, WGS). Deze houdt samen met de FG’s van de deelnemers toezicht op de gegevensverwerking. Dit kunnen zij intensiveren afhankelijk van onder meer de risico’s en de aard en omvang van de verwerking (artikel 39, tweede lid, AVG). Verder zijn onafhankelijke, periodieke privacy audits verplicht, waarvan de resultaten aan de AP moeten worden gezonden (artikel 1.10 WGS). Ook de AP houdt toezicht en kan handhaven, evenals de rechter die de rechtmatigheid kan toetsen. De deelnemers aan de samenwerkingsverbanden hebben dan ook evident een belang bij het tegengaan van onrechtmatige gegevensverwerkingen. Een voorafgaande rechterlijke toets ligt, alles overziend, niet in de rede.

Delegatiesystematiek

Vanuit een oogpunt van wetgevingsarchitectuur en democratische legitimatie vindt de AP dat wezenlijke bepalingen uit het concept-BGS in de WGS zouden kunnen worden opgenomen en/of dat de betreffende delegatiegrondslagen zoveel mogelijk imperatief zouden kunnen worden geformuleerd. De AP zou het vanuit rechtsstatelijk en democratisch oogpunt bijvoorbeeld ook moeilijk voorstelbaar vinden indien het Wetboek van strafvordering (de formele wet) aan opsporingsambtenaren een algemeen geformuleerde aanhoudingsbevoegdheid verleent, met daarbij de bepaling dat bij amvb voorwaarden en beperkingen kunnen worden gesteld.

Evaluatie

De evaluatie ingevolge artikel 5.1 van de WGS zal zich volgens de AP ook moeten richten op de vraag of de samenwerkingsverbanden onverminderd noodzakelijk zijn en of de bescherming van persoonsgegevens uiteindelijk op een voldoende niveau in de uitvoering voldoende gestalte krijgt. De AP stelt dat de noodzaak in de toekomst een punt van aandacht blijft, omdat er voor het aanpakken van min of meer dezelfde problematiek (witwassen, ondermijning) vaak ook andere, eveneens ingrijpende wettelijke mogelijkheden zijn, zodat stelsels kunnen gaan doubleren. Er moet dan een keuze worden gemaakt, op straffe van verval van rechtmatigheid van een stelsel.

Volgens artikel 5.1 van de WGS richt de evaluatie zich op de doeltreffendheid en effecten van deze wet in de praktijk. Formeel gezien is het niet een doel van de WGS om deze samenwerkingsverbanden op te richten, aangezien ze al geruime tijd bestaan. Toch ligt het in de rede om ook de doeltreffendheid en effecten van de samenwerkingsverbanden te betrekken in de wetsevaluatie, voor zover deze verband houden met de doeltreffendheid en effecten van de WGS.

Wat betreft de noodzaak van samenwerkingsverbanden in relatie tot doublures, bestaat er enige overlap tussen de samenwerkingsverbanden FEC, iCOV en de RIEC’s, maar dat laat onverlet dat de betreffende samenwerkingsverbanden meerwaarde hebben. Dit is toegelicht in de Kamerbrief van de Minister van Justitie en Veiligheid van 17 december 2021.15 In die brief is ook beschreven dat de WGS niet overlapt met de wetgeving over witwassen.16

De vraag of de bescherming van persoonsgegevens in de uitvoering op een voldoende niveau voldoende gestalte krijgt, zal onderdeel zijn van de wetsevaluatie. De WGS is er immers bij uitstek op gericht om gegevensverwerkingen – in dit geval door samenwerkingsverbanden – in goede en rechtmatige banen te leiden. De wetsevaluatie zal daarom ook betrekking hebben op de doeltreffendheid en effecten van de waarborgen die de WGS en het BGS bevatten om de bescherming van persoonsgegevens te versterken. De onafhankelijke privacy audits kunnen voor de wetsevaluatie worden gebruikt als input.

5. Uitvoerbaarheid

6. Financiële gevolgen

De Belastingdienst/Toeslagen verwacht een incidentele uitgave van € 390.000 voor automatisering en een structurele uitgave van € 540.000 voor personeel. Het UWV (dat eigener beweging een uitvoeringstoets heeft gedaan) oordeelt dat het besluit uitvoerbaar is en dat dat eenmalig 41.000 euro kost. De voornoemde kosten zullen door respectievelijk de ministeries van Financiën en SZW gedekt worden. De politie heeft geen wens tot het doen van een claim. Het OM voorziet incidentele kosten in 2025 van 2,7 miljoen en structurele kosten in 2026 en verder van 2,0 miljoen. Het OM heeft laten weten deze kosten vanaf 2025 zelf te kunnen dragen door reeds toegekende middelen voor de versterking van opsporing in het kader van ondermijning daarvoor te gebruiken. Dat betekent dat er dekking is voor de incidentele kosten in 2025 van 2,7 miljoen en de structurele kosten in 2026 e.v. van 2,0 miljoen. Daarnaast verwacht het OM incidentele kosten van 2,4 miljoen in 2024. De dekking daarvan zal komen van het ministerie van Justitie en Veiligheid, waaronder het OM ressorteert, dat hiervoor een incidentele bijdrage van 2,4 miljoen zal leveren. Deze bijdrage is afkomstig uit de beleidsbudgetten van de Directie Rechtsbestel van het Directoraat-Generaal Rechtspleging en Rechtshandhaving. Hiervoor is ruimte in het bestedingsplan van de Directie Rechtsbestel opgenomen; deze gelden zullen per Voorjaarsnota 2024 incidenteel naar het OM worden overgeheveld. De RIEC’s hebben in de consultatiereactie gewezen op de extra financiële lasten die voortvloeien uit de wet en dit besluit, bijvoorbeeld in verband met het contactpunt, de rechtmatigheidsadviescommissie, opleidingen en diverse administratieve verplichtingen. In de artikelsgewijze toelichting (in het bijzonder bij de artikelen 1.13, 2.15 en 2.16) wordt op de zorgen van de RIEC’s nader ingegaan. Zoals daaruit volgt wordt geen significante kostentoename voorzien. In aanvulling hierop merk ik op dat de financiële gevolgen beperkt kunnen blijven door de rechtmatigheidsadviescommissie zoveel mogelijk samen te stellen uit reeds bij de deelnemende organisaties werkzame personen met deskundigheid en ervaring op het gebied van de toepasselijke wetgeving inzake gegevensverwerking en de werking van het samenwerkingsverband (artikel 1.14, eerste lid). Daarnaast heeft de VNG gewezen op de impact op de gemeenten die de extra waarborgen (onder andere logging, autorisatie, inrichten van de vertrouwenspersoon17, rechtmatigheidscommissie en contactpunt) zullen hebben. Ten aanzien van logging en autorisatie geldt dat de samenwerkingsverbanden deze reeds moeten toepassen conform de AVG of de BIO. Wat betreft de instelling van het contactpunt, geldt dat aan artikel 1.2 een vierde lid is toegevoegd, mede om een significante toename van administratieve lasten te voorkomen. Op de (beperkingen op de) rol van het contactpunt wordt ingegaan in de toelichting bij artikel 1.2, eerste en vierde lid en 1.3, eerste lid. De (exacte) omvang van deze voornoemde lasten die zowel de RIEC’s als de VNG verwachten, is door hen niet toegelicht.

7. Evaluatie

8. Voorhang Eerste en Tweede Kamer

Bij brieven van 4 april 2024 is het ontwerpbesluit toegezonden aan de Eerste en Tweede Kamer (Kamerstukken II 2023/24, 35 447, nr. 28). Beide Kamers hebben niet van de mogelijkheid gebruik gemaakt zich uit te spreken over het ontwerpbesluit. De vaste commissie voor Justitie en Veiligheid van de Eerste Kamer heeft in haar vergaderingen van 9 en 23 april en 14 en 21 mei 2024 geen vragen gesteld over het ontwerpbesluit. De vaste commissie voor Justitie en Veiligheid van de Tweede Kamer heeft in haar procedurevergadering van 24 april 2024 het ontwerpbesluit voor kennisgeving aangenomen.

Artikelsgewijs

Hoofdstuk 1. Algemene bepalingen

Artikel 1.1 Aanwijzing contactpunt

(grondslag: artikel 1.4, vierde lid, onder b, WGS)

Algemeen

De artikelen over het contactpunt doen dan ook niets af aan de gezamenlijke verwerkingsverantwoordelijkheid van de deelnemers voor de gezamenlijke gegevensverwerking.

In de consultatie hebben de RIEC’s opgemerkt dat het onduidelijk is of de bepalingen over het contactpunt juridisch voldoende zijn voor alle in dit kader benodigde juridische bevoegdheden of dat er nog aanvullende mandaatregelingen, machtigingen of AVG-verwerkersovereenkomsten tussen de partners vereist zijn. De VNG heeft in haar consultatiereactie bepleit om in te gaan op mandaatregelingen. In reactie hierop wordt benadrukt dat met de artikelen 1.1 tot en met 1.4 uitdrukkelijk wordt beoogd te voorkomen dat dergelijke regelingen nodig zijn voor de afhandeling van AVG-verzoeken van betrokkenen, de informatieplicht en de meldplicht datalekken.

Het Openbaar Ministerie heeft de suggestie gedaan om een contactpunt ook aan te wijzen voor de uitvoering van bepaalde andere verplichtingen van het samenwerkingsverband, zoals dat al is gedaan voor de onder artikel 1.2 tot en met 1.4 BGS genoemde verplichtingen. Een andere optie is – volgens het OM – om per verplichting een verantwoordelijke deelnemer aan te wijzen. Deze suggestie is niet overgenomen, omdat het wenselijk is ruimte te laten voor de samenwerkingsverbanden om dit onderling te regelen. De wet en dit besluit leggen de hoofdlijnen vast. Gelet op de gezamenlijke verwerkingsverantwoordelijkheid (artikel 1.4 WGS) is het uitgangspunt dat de gezamenlijke deelnemers zorgdragen voor de nakoming van hun verplichtingen op grond van de WGS en BGS. Op welke wijze dat wordt gerealiseerd hoeft niet volledig te worden uitgewerkt. Anders dreigt overregulering, temeer omdat diverse plichten voortvloeien uit de AVG en er nu al afspraken bestaan over de wijze van uitvoering.

Eerste lid

Tweede lid

Dit lid voorziet in een vast contactpunt voor ieder samenwerkingsverband omwille van de transparantie en rechtszekerheid. Het is niet toegestaan om het contactpunt per casus te laten wisselen of per casus telkens opnieuw aan te wijzen. Weliswaar is het in de praktijk denkbaar dat het contactpunt niet betrokken is (geweest) bij de specifieke casuïstiek, maar ook in dergelijke gevallen heeft het contactpunt meerwaarde: enerzijds voor de burger die te maken heeft met één loket, anderzijds voor het samenwerkingsverband, omdat het contactpunt zorgdraagt voor een gecoördineerde afhandeling van AVG-verzoeken en een gecoördineerde toepassing van de informatieplicht.

Voor wat betreft het contactpunt is waar mogelijk gekozen voor de deelnemende overheidsinstantie waarvan het samenwerkingsverband operationele faciliteiten van die deelnemer gebruikt, zoals een gebouw of ICT, of die een grote inhoudelijke betrokkenheid bij de problematiek heeft. Bij de RIEC’s en bij de Zorg- en Veiligheidshuizen is het niet altijd voorzienbaar welke gemeente het meest te maken heeft met de problematiek. Daarom moeten de deelnemers van een RIEC in onderling overleg bepalen welke burgemeester als contactpunt optreedt.19

Voor de Zorg- en Veiligheidshuizen moeten de gezamenlijke verwerkingsverantwoordelijken – dat wil zeggen de deelnemende overheidsinstanties, bedoeld in artikel 2.27, eerste lid, van de wet – in onderling overleg bepalen van welke gemeente de burgemeester of het college als contactpunt optreedt. In het geval van RIEC’s of de Zorg- en Veiligheidshuizen is het mogelijk dat na verloop van tijd de gezamenlijke verwerkingsverantwoordelijken overeenkomen dat een andere gemeente de rol van contactpunt overneemt. Dat moet worden gepubliceerd op grond van het derde lid.

Derde lid

Dit lid bevat een verplichting tot publicatie van de naam en contactgegevens van het contactpunt op de website van het samenwerkingsverband. Dit is nodig voor de transparantie.

Artikel 1.2 Verantwoordelijkheid voor nakoming verzoeken AVG

(grondslag: artikel 1.4, vierde lid, onder a, WGS)

Dit artikel vormt de uitwerking van artikel 1.4, vierde lid, onderdeel a, van de wet, voor zover daaruit volgt dat bij amvb regels moeten worden gesteld over de werkwijze en de respectievelijke verantwoordelijkheden van de deelnemers met betrekking tot de uitoefening van de rechten van betrokkene.

Eerste lid

Dit lid regelt als uitgangspunt dat het contactpunt als enige van de deelnemers verantwoordelijk is voor de afhandeling van verzoeken van betrokkenen inzake de uitoefening van hun rechten op grond van hoofdstuk III van de AVG. In de praktijk gaat het dan om een verzoek op grond van de artikelen 15 tot en met 18, 21 en 22 van de AVG, die voorzien in het recht op inzage, rectificatie en wissing van gegevens, het recht op beperking van de verwerking, het recht om bezwaar te maken tegen de verwerking en het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming. De overheidsinstantie die optreedt als contactpunt, is in principe degene die namens de deelnemers van het samenwerkingsverband de besluiten neemt op verzoeken inzake de uitoefening van AVG-rechten. Dit draagt bij aan de eenduidige communicatie richting betrokkene: er wordt één besluit genomen jegens betrokkene. Ook is er hierdoor eenduidigheid naar betrokkenen: zowel in de fase van een AVG-verzoek als bij bezwaar en beroep is er één en hetzelfde aanspreekpunt voor betrokkenen. Vanuit de rechtszekerheid en duidelijkheid is het gewenst dat de betrokkene niet alleen voor de verzoeken op grond van de AVG naar het contactpunt kan, maar ook dat dit contactpunt vervolgens het besluit neemt op dat verzoek. Hiermee is tevens duidelijk dat er bij het contactpunt bezwaar kan worden gemaakt tegen het genomen besluit, dat er door het contactpunt op het bezwaar moet worden beslist en dat het contactpunt de verweerder is in een beroepsprocedure (wat onverlet laat dat naast het contactpunt ook een andere deelnemer als belanghebbende kan deelnemen aan een beroepsprocedure overeenkomstig artikel 8:26 Awb). Ten derde zorgt deze regeling ervoor dat het contactpunt het overzicht binnen het samenwerkingsverband behoudt, en weet of reeds is besloten op een AVG-verzoek. Tot slot wordt met deze regeling voorkomen dat er mandaatregelingen nodig zijn tussen het contactpunt en de andere deelnemers.

Verzoeken van burgers om uitoefening van hun AVG-rechten moeten in beginsel binnen een maand worden afgehandeld, met dien verstande dat deze termijn indien nodig met nog eens twee maanden kan worden verlengd, afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken (artikel 12, derde lid, AVG). Het contactpunt moet deze termijn in acht nemen. Inhoudelijke betrokkenheid van meerdere deelnemers kan maken dat sprake is van een complex verzoek als bedoeld in voornoemde bepaling.

In de consultatie hebben de RIEC’s gevraagd of het contactpunt bij een inzageverzoek alle beschikbare informatie moet verzamelen van alle betrokken partners of dat het alleen gaat om de informatie die de RIEC’s in dit kader hebben opgeslagen in hun systeem. Hierop wordt geantwoord dat het uitsluitend om dat laatste gaat. Het eerste artikellid bakent de taak van het contactpunt immers expliciet af tot persoonsgegevens die door het samenwerkingsverband worden verwerkt.

In de consultatie hebben de gemeente Rotterdam en Zorg- en Veiligheidshuis Rotterdam Rijnmond bepleit te voorzien in een klachtenregeling. In reactie hierop wordt opgemerkt dat burgers het recht hebben bij bestuursorganen te klagen over de wijze waarop zij zich in een concrete situatie hebben gedragen (artikel 9:1 Awb). Ook kunnen zij bij het contactpunt hun AVG-rechten uitoefenen en daarna in bezwaar en beroep; een klacht is dan niet aan de orde (artikel 9:8 Awb).

Tweede lid

Uit dit lid volgt dat het contactpunt voorafgaand aan het nemen van een besluit moet overleggen, in ieder geval met de deelnemers die de persoonsgegevens hebben verstrekt of als resultaat hebben ontvangen. Naar aanleiding van de consultatiereactie van onder meer het Openbaar Ministerie is deze verplichting tot overleg, voorafgaand aan het nemen van een besluit, meer expliciet in dit artikellid omschreven. De deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens kunnen immers een zwaarwegend belang hebben dat zich tegen inwilliging van het AVG-verzoek verzet, en kunnen aangeven of daarvan sprake is (bijvoorbeeld een toezichts-, opsporings- of vervolgingsbelang) en hoe zwaar dit zou moeten wegen voor eventuele beperking van de rechten van betrokkene overeenkomstig artikel 41 van de Uitvoeringswet AVG. Daarbij mag worden verwacht dat zij de benodigde motivering verstrekken aan het contactpunt ten behoeve van de motivering van het besluit. Het artikel staat er niet aan in de weg dat op die manier de feitelijke voorbereiding van het besluit geschiedt door een andere deelnemer dan het contactpunt.

Op grond van dit artikellid wijst het contactpunt het verzoek af indien of voor zover naar het oordeel van één of meer van de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens over de betrokkene, een uitzonderingsgrond van toepassing is.

Dit artikellid laat door de zinsnede «of voor zover» de mogelijkheid open dat het contactpunt een AVG-verzoek gedeeltelijk inwilligt: als bijvoorbeeld een zwaarwegend belang van één deelnemer zich tegen inzage van de door deze deelnemer ingebrachte gegevens verzet, hoeft dat niet in de weg te staan aan inzage van door andere deelnemers ingebrachte gegevens. Gedeeltelijke inwilliging van het AVG-verzoek is daarentegen niet mogelijk indien een zwaarwegend belang ertoe noopt dat helemaal geen informatie wordt verstrekt. Dit kan bijvoorbeeld het geval zijn als een iCOV-aanvraag wordt gedaan in het kader van een embargo-onderzoek door de politie.

Uit dit lid volgt dat het AVG-verzoek wordt afgewezen indien naar het oordeel van één van de betreffende deelnemers een uitzonderingsgrond zich verzet tegen (gedeeltelijke) inwilliging van het verzoek. Aldus sluit het artikel uit dat meningsverschillen tussen deelnemers in de weg staan aan het kunnen nemen van een besluit door het contactpunt. Daarbij weegt zwaar dat het niet-honoreren van zwaarwegende belangen die nopen tot toepassing van een uitzonderingsgrond, onomkeerbare gevolgen kan hebben, zoals doorkruising van opsporings- of toezichtbelangen.

Overigens bevat artikel 17, derde lid, AVG andere (technische) uitzonderingsgronden (op het recht op gegevenswissing), die niet zien op de zwaarwegende belangen van deelnemers. Daarom is het «vetorecht» uit dit lid daarop niet van toepassing. Het contactpunt kan dan volstaan met overleg.

Derde lid

Het is mogelijk dat de uitzonderingsgrond na verloop van tijd vervalt, bijvoorbeeld omdat toezichts- of opsporingsbelangen niet langer doorkruist zouden worden indien positief wordt besloten op het AVG-verzoek, zoals een inzageverzoek. Daarom regelt dit lid dat zodra naar het oordeel van de betreffende deelnemer de uitzonderingsgrond niet langer van toepassing is, de deelnemer dit zo spoedig mogelijk aan het contactpunt meldt. Hierdoor kan het contactpunt alsnog bijvoorbeeld inzage verlenen.

Vierde lid

In de consultatie hebben de RIEC’s opgemerkt dat het aanwijzen van één burgemeester als contactpunt een behoorlijke afwijking van de huidige werkwijze is, waarbij per inzageverzoek bekeken wordt welke deelnemer het verzoek afhandelt. Voor de gemeente waarvan de burgemeester als contactpunt wordt aangewezen zal dit een aanzienlijke lastenverzwaring opleveren. Zoals hierboven is toegelicht, is naar aanleiding van de consultatiereacties het onderhavige vierde lid toegevoegd, waardoor het contactpunt met een andere deelnemende overheidsinstantie kan afspreken dat die het verzoek afhandelt, indien die daartoe beter in staat is. Bijgevolg is geen sprake van een behoorlijke afwijking van de huidige werkwijze, noch van een aanzienlijke lastenverzwaring. De RIEC’s hebben overigens nu ook al een soort contactpunten, meestal de postbus van de stad met het grootste inwoneraantal in de betreffende RIEC-regio.

Artikel 1.3 Verantwoordelijkheid voor nakoming informatieplicht

(grondslag: artikel 1.4, vierde lid, onder a, WGS)

Eerste lid

Artikel 14 van de AVG verplicht elk van de deelnemers aan een samenwerkingsverband die de gezamenlijke verwerkingsverantwoordelijken zijn, om de betrokkene, behoudens uitzonderingen, te informeren over onder andere het feit dat gegevens over betrokkene worden verwerkt en voor welke doeleinden.20 Het onderhavige artikel bepaalt dat de deelnemende overheidsinstantie die optreedt als het contactpunt, zorgdraagt voor de (coördinatie bij de) nakoming van deze informatieplicht. Met dit artikel wordt invulling gegeven aan artikel 1.4, vierde lid, onder a, van de wet, dat bepaalt dat hierover bij amvb regels worden gesteld. Als beste praktijk beveelt het Europees Comité voor gegevensbescherming aan om een privacyverklaring op de website te plaatsen en de betrokkene daarnaar te verwijzen, bijvoorbeeld door een rechtstreekse link of QR-code.21 Het contactpunt kan op deze wijze zijn communicatieve rol relatief lastenluw uitvoeren.

De informatieplicht en de rechten van betrokkene, zoals het recht op inzage en het recht op bezwaar, zijn nauw met elkaar verbonden. Daarom ligt het in de rede dat het contactpunt zowel verantwoordelijk is voor de (coördinatie bij de) informatieplicht als voor de nakoming van de rechten van betrokkene. Hierdoor kan een betrokkene, na te zijn geïnformeerd door het contactpunt, vervolgens bij datzelfde contactpunt terecht voor de uitoefening van zijn rechten op grond van de AVG. Ook zorgt deze regeling ervoor dat het contactpunt het overzicht binnen het samenwerkingsverband behoudt, en weet of betrokkene is geïnformeerd.

In de consultatie heeft Reclassering Nederland voorgesteld om in het eerste lid de volgende zinsnede achterwege te laten: «mits de betrokken deelnemers aan het contactpunt de benodigde informatie verstrekken ter uitvoering hiervan». Dit voorstel is overgenomen. De zinsnede is overbodig, want de gegevens die het contactpunt nodig heeft om een betrokkene te kunnen informeren – diens identificerende of contactgegevens – volgen al uit de aanmelding door een deelnemer van een signaal, verzoek of casus bij het samenwerkingsverband. Deze gegevens moeten de deelnemers registreren in het systeem van het samenwerkingsverband.22

In de consultatie heeft een anonieme functionaris voor gegevensbescherming een aanpassing van dit lid bepleit om de indruk te vermijden dat de gezamenlijke verantwoordelijkheid wordt beperkt. In lijn met dit voorstel is «Alleen het contactpunt is verantwoordelijk» gewijzigd in «Het contactpunt draagt namens de deelnemers aan het samenwerkingsverband zorg voor de nakoming».

Tweede lid

In het tweede lid is de mogelijkheid opgenomen dat één of meer van de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens over de betrokkene, zich kunnen verzetten tegen het feit dat een betrokkene geïnformeerd wordt, indien naar hun oordeel op grond van artikel 14, vijfde lid, onder b, van de AVG of artikel 41 van de Uitvoeringswet AVG een uitzonderingsgrond van toepassing is op de informatieplicht. Naar aanleiding van de consultatiereacties van onder meer het Openbaar Ministerie is de verplichting tot overleg tussen het contactpunt en de betrokken deelnemers meer expliciet in dit artikellid omschreven.

Op de informatieplicht gelden verschillende uitzonderingen, onder meer in geval van het doorkruisen van toezichts- en opsporingsbelangen (artikel 41, eerste lid, onder h en e, Uitvoeringswet AVG jo. artikel 23 AVG). Dit kan betekenen dat betrokkene niet of pas na afronding van een gezamenlijk project wordt geïnformeerd. Een relevante uitzondering doet zich verder voor als het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen of indien het verstrekken van de informatie de doeleinden van de gegevensverwerking zou doorkruisen (artikel 14, vijfde lid, onderdeel b, AVG).23 Bij de vraag of de rechtstreekse informatieverstrekking aan betrokkene onevenredig veel inspanningen zou kosten, mag in aanmerking worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke passende waarborgen moeten worden ingebouwd.24 Eén passende maatregel, zoals gespecificeerd in artikel 14, vijfde lid, onder b, AVG die verwerkingsverantwoordelijken altijd moeten nemen is openbaar maken welke informatie wordt verwerkt. Een verwerkingsverantwoordelijke kan dit op verschillende manieren doen, bijvoorbeeld door de informatie op zijn of haar website te plaatsen of door proactief bekendheid te geven aan de informatie (privacy statement).25

Derde lid

Artikel 1.4 Verantwoordelijkheid voor nakoming meldplicht datalekken

(grondslag: artikel 1.4, vierde lid, onder a, WGS)

Eerste lid

Dit lid maakt duidelijk dat het contactpunt verantwoordelijk is voor de nakoming van de verplichting uit de artikelen 33 en 34 van de AVG om een inbreuk in verband met persoonsgegevens (een datalek) mede te delen aan de Autoriteit persoonsgegevens en de betrokkene (de meldplicht datalekken), mits de deelnemers aan het contactpunt zo spoedig mogelijk de informatie verstrekken die het contactpunt nodig heeft voor de uitvoering van de voornoemde artikelen. Laten deelnemers dat na, dan zijn zij daarvoor zelf aansprakelijk overeenkomstig artikel 82, vijfde lid, AVG. De melding van een datalek gebeurt in afstemming met de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens. Dit lid sluit aan bij de verantwoordelijkheden van het contactpunt voor de nakoming van de informatieplicht jegens betrokkenen (artikel 14 AVG) en de nakoming van de rechten van betrokkenen op grond van hoofdstuk III van de AVG, zoals het inzagerecht. Het onderhavige artikel is alleen van toepassing op persoonsgegevens die worden verwerkt door het samenwerkingsverband.

Tweede lid

Dit lid regelt dat het contactpunt overlegt met de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens en dat één of meer van deze deelnemers zich kunnen verzetten tegen melding van een datalek aan een betrokkene (artikel 34 AVG) indien dat naar hun oordeel noodzakelijk en evenredig is ter waarborging van een zwaarwegend belang als bedoeld in artikel 41 Uitvoeringswet AVG. Op de melding van een datalek aan de Autoriteit persoonsgegevens (artikel 33 AVG) is geen uitzondering mogelijk vanwege een zwaarwegend belang. Op grond van artikel 23, eerste lid, AVG, kan alleen artikel 34 vanwege een zwaarwegend belang buiten toepassing kan worden gelaten. In de consultatie hebben de RIEC’s en Zorg- en Veiligheidshuis Rotterdam Rijnmond hierop terecht gewezen, waarna dit artikellid in voornoemde zin is aangepast.

In de consultatie hebben onder meer Reclassering Nederland en de RIEC’s erop gewezen dat het contactpunt volgens het ontwerpbesluit niet zou hoeven te overleggen met deelnemers die geen gezamenlijke verwerkingsverantwoordelijken zijn (namelijk de private deelnemers aan een Zorg- en Veiligheidshuis), zelfs niet als zij betrokken waren bij de gegevensverwerking. Dit is aangepast, zodat het contactpunt moet overleggen met alle deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens (net als in artikel 1.2 en 1.3). Dat een deelnemer gegevens heeft ingebracht die onderdeel uitmaken van een datalek of anderszins betrokken was bij de verwerking van gegevens die onderdeel uitmaken van het datalek, rechtvaardigt dat het contactpunt met die deelnemer overlegt, ongeacht of die deelnemer behoort tot de gezamenlijke verwerkingsverantwoordelijken.

Artikelen 33, eerste lid, en 34, derde lid, AVG en artikel 42 Uitvoeringswet AVG bevatten enkele andere, meer technische, uitzonderingsgronden die het contactpunt kan toepassen. Daarvoor volstaat overleg met het contactpunt en is regeling van de wijze van besluitvorming niet nodig.

Artikel 1.5 Rechtmatig verwerkte gegevens

(grondslag: artikel 1.8, eerste lid, WGS)

Dit artikel expliciteert dat deelnemers alleen informatie mogen inbrengen in het samenwerkingsverband als zij die informatie rechtmatig verwerken. Dit is reeds beschreven in de brief van de Minister van Justitie en Veiligheid van 17 december 2021 aan de Tweede en Eerste Kamer.26 De rechtmatigheid behelst de vraag of de verstrekkende instantie de gegevens zelf mag verwerken. Met rechtmatig verwerkte gegevens wordt bedoeld dat de deelnemer een grondslag heeft om deze te verwerken. Als het gaat om persoonsgegevens moet er een grondslag zijn in de zin van artikel 6 van de AVG of, als het gaat om politiegegevens of justitiële of strafvorderlijke gegevens of tenuitvoerleggingsgegevens, een grondslag in de zin van de Wpg of Wjsg. Dit is ter beoordeling van de verstrekkende instantie. Als een deelnemer bijvoorbeeld een signaal bij het samenwerkingsverband aanmeldt, staat die deelnemer ervoor in dat hij de gegevens die hij daarbij aan het samenwerkingsverband verstrekt, zelf rechtmatig verwerkt.

Indien een deelnemer ten behoeve van de eigen taken en bevoegdheden gegevens verkrijgt of heeft verkregen van een derde en de deelnemer deze gegevens zelf mag verwerken, dan zijn dat ook rechtmatig verwerkte gegevens, zodat het onderhavige artikel zich niet verzet tegen verstrekking aan het samenwerkingsverband. Zoals opgemerkt in de memorie van toelichting bij de WGS valt te denken aan de data van het Kadaster of de Kamer van Koophandel waarvan een deelnemer voor zijn of haar taken rechtmatig gebruik mag maken27 of aan informatie uit publiek toegankelijke bronnen die door de inbrengende deelnemer rechtmatig mag worden verwerkt.28 Het is aan de betreffende deelnemer om te beoordelen of deze gegevens conform artikel 1.5 van de wet ingebracht moeten worden en of sprake is van zwaarwegende redenen die zich tegen verstrekking verzetten. In reactie op de opmerking van de RIEC’s uit de consultatie dat een grondslag voor het inbrengen van informatie uit open bronnen door de partners van het RIEC ontbreekt, wordt dan ook geantwoord dat de wet en dit besluit gaan over het gezamenlijk verwerken van gegevens waarover de betrokken deelnemers al beschikken. Dat is iets anders dan het invoeren van nieuwe bevoegdheden tot het vergaren of verzamelen van informatie.

Het onderhavige artikel verzet zich er wel tegen dat een deelnemer op verzoek van (een deelnemer van) het samenwerkingsverband gegevens bij een derde vergaart om deze vervolgens in te brengen in het samenwerkingsverband. Een (deelnemer van een) samenwerkingsverband kan geen instructie of opdracht geven aan een deelnemer om bepaalde informatie bij een derde te verzamelen. De betreffende deelnemer moet deze gegevens initieel rechtmatig mogen verwerken vanuit eigen taken en bevoegdheden en zelf de afweging maken of deze gegevens dienen te worden ingebracht conform artikel 1.5 van de wet.

Artikel 1.6 Kwaliteit van een aangemeld signaal, verzoek of casus

(grondslag: artikel 1.8, eerste lid, en artikel 1.4, vierde lid, onder a, WGS)

Eerste lid

Dit lid is een verbijzondering ten opzichte van het beginsel van juistheid, bedoeld in artikel 5, eerste lid, onder d, van de AVG. De juistheid en kwaliteit van de gegevens die bij een signaal, verzoek of casus worden verstrekt, moeten reeds vóór de aanmelding worden getoetst door de deelnemer die een signaal, verzoek of casus wil aanmelden. Hiermee wordt de verantwoordelijkheidsverdeling verduidelijkt inzake de nakoming van het beginsel van juistheid, bedoeld in artikel 5, eerste lid, onder d, AVG. Het artikel strekt zich ook uit tot andere gegevens dan persoonsgegevens, omdat ook onjuistheden in dergelijke gegevens ervoor kunnen zorgen dat ten onrechte of onjuiste persoonsgegevens worden verstrekt.

Tweede lid

Bij inbreng in het samenwerkingsverband is het van belang dat de inbrenger de ingebrachte gegevens juist en actueel houdt, ook nadat een signaal vanuit het samenwerkingsverband aan een andere deelnemer is verstrekt. Dit is in dit lid geregeld. Voorop staat immers dat de deelnemer zelf verantwoordelijk is voor de juistheid van de persoonsgegevens die deze aan het samenwerkingsverband verstrekt bij de aanmelding van een signaal, verzoek of casus. Die deelnemer beschikt immers over de context op basis waarvan de juistheid en kwaliteit van de verstrekte gegevens kan worden getoetst.

Artikel 1.7 Correctie van onjuistheden tijdens gezamenlijke gegevensverwerking

(grondslag: art. 1.4, vierde lid, onder a, 1.8, eerste lid, 2.7, tweede lid, 2.14, tweede lid, WGS)

Eerste lid

Tweede lid

Dit lid regelt een verplichting tot terugmelding van onjuistheden. Bij gebleken onjuistheden moet de deelnemer die de gegevens aan het samenwerkingsverband had verstrekt, dit – indien van toepassing – melden aan de organisatie waarvan die gegevens afkomstig zijn. Weliswaar regelt artikel 1.9, vierde lid, van de wet een soortgelijke verplichting voor het specifieke geval van «geautomatiseerde gegevensanalyse», maar een dergelijke terugmeldingsplicht is ook van belang bij de reguliere vormen van gezamenlijke gegevensverwerking. Overigens geldt de verplichting tot terugmelding van onjuistheden aan de bronhouder in aanvulling op de verplichting uit de AVG om de ontvanger van persoonsgegevens in kennis te stellen van eventuele rectificaties (artikel 19 AVG).

Artikel 1.8 Kwaliteit van de resultaten

(grondslag: artikelen 1.8, eerste lid, 2.7, tweede lid, 2.14, tweede lid, WGS)

Eerste lid (toets op juistheid en kwaliteit voor verstrekking resultaat)

Tweede lid (navolgbaarheid van de resultaten)

Artikel 1.9 Nationaliteit

(grondslag: artikel 1.8, eerste lid, WGS)

In de internetconsultatie heeft Amnesty International geadviseerd om een verbod op te nemen op de verwerking van persoonsgegevens waaruit ras of etnische afkomst blijkt, in aanvulling op het verbod op verwerking van persoonsgegevens inzake nationaliteit. In reactie hierop wordt opgemerkt dat het voorgestelde verbod al bestaat krachtens artikel 9, eerste lid, van de AVG en artikel 22, eerste lid, Uitvoeringswet AVG. De AVG en de Uitvoeringswet AVG maken hierop slechts onder voorwaarden (beperkt) uitzonderingen mogelijk. Burgers zijn derhalve reeds beschermd tegen discriminatie op grond van hun ras of etnische afkomst. Overigens bevat de WGS geen basis voor de verwerking van persoonsgegevens waaruit ras of etnische afkomst blijkt, ook niet om dit bij amvb te regelen, zoals kennelijk is verondersteld.

Het Openbaar Ministerie heeft in de consultatie voorgesteld om artikel 1.9 te herzien en alsnog dezelfde uitzonderingsmogelijkheden te regelen voor persoonsgegevens inzake nationaliteit als voor bijzondere categorieën persoonsgegevens, te weten artikel 22 en 23 Uitvoeringswet AVG. Volgens het OM wordt de informatie-uitwisseling binnen de samenwerkingsverbanden onnodig belemmerd, bijvoorbeeld bij de aanpak van mensenhandel in RIEC-verband, waar het noodzakelijk kan zijn de nationaliteit te verwerken. In reactie hierop wordt opgemerkt dat het voorbeeld inzake de aanpak van mensenhandel in zoverre wordt ondervangen dat persoonsgegevens over nationaliteit volgens artikel 1.9 wél mogen worden verwerkt als dat voor de identificatie van betrokkene onvermijdelijk is. De noodzaak van nieuwe uitzonderingen is niet dragend onderbouwd, wat wel nodig is gelet op de gevoeligheid van de gegevens.

Artikel 1.10 Nadere inkadering van gegevensuitwisseling tussen samenwerkingsverbanden

(grondslag: artikel 1.8, eerste lid, WGS)

Het onderhavige artikel heeft geen betrekking op onderlinge gegevensuitwisseling tussen meerdere RIEC’s – dat is geregeld in artikel 2.20 van de wet – en evenmin op onderlinge gegevensuitwisseling tussen meerdere Zorg- en Veiligheidshuizen – dat is geregeld in artikel 2.28 van de wet.

Eerste lid, onderdeel a (twee samenwerkingsverbanden bevoegd)

Indien twee samenwerkingsverbanden in het concrete geval38 bevoegd zijn de casus te behandelen, mogen zij op grond van dit onderdeel uitsluitend gegevens uitwisselen over welke deelnemers in beide samenwerkingsverbanden betrokken zijn of zijn geweest bij de casus. Vervolgens kan de afstemming via de reguliere weg tot stand komen. Met onderdeel a, in samenhang gelezen met artikel 1.7, achtste lid, tweede volzin, van de wet wordt invulling gegeven aan de toezegging uit de Kamerbrief van 17 december 2021 om dit te regelen.39

Het kan ook voorkomen dat een deelnemer een casus aanmeldt bij een samenwerkingsverband dat tot de conclusie komt dat een van de andere samenwerkingsverbanden het meest aangewezen is om de casus te behandelen. Het ligt dan in de rede dat het samenwerkingsverband de deelnemer adviseert de casus zelf aan te melden bij dat andere samenwerkingsverband.40

Eerste lid, onderdeel b (afstemming tussen RIEC en ZVH)

Met dit lid wordt gevolg gegeven aan de aankondiging uit de Kamerbrief van 17 december 2021 om voor gegevensuitwisseling tussen een RIEC en een Zorg- en Veiligheidshuis een alternatieve clausulering te onderzoeken, waarbij de gegevensuitwisseling wordt beperkt tot afstemming over geplande interventies in dezelfde casus.41

Nadat een Zorg- en Veiligheidshuis en een Regionaal Informatie- en Expertisecentrum via de bekendheidscheck op grond van artikel 1.7, achtste lid, tweede volzin, vaststellen dat een betrokkene bekend is bij deze beide samenwerkingsverbanden, mogen zij uitsluitend gegevens uitwisselen die noodzakelijk zijn om het plan van aanpak van de deelnemers in het Zorg- en Veiligheidshuis af te stemmen op de afspraken van de deelnemers in het RIEC over interventies. Omdat de RIEC’s tot doel hebben om georganiseerde criminaliteit te bestrijden, gaat het onder andere om situaties van mensenhandel en druggerelateerde activiteiten waarbij veelal misbruik wordt gemaakt van kwetsbare mensen. Zij worden dan bijvoorbeeld geëxploiteerd of ingezet voor criminele activiteiten. Afstemming tussen de deelnemers van een RIEC en van een Zorg- en Veiligheidshuis kan in dergelijke situaties van belang zijn. Een dergelijke samenwerking tussen Zorg- en Veiligheidshuizen met de overige WGS-samenwerkingsverbanden ligt veel minder voor de hand en valt daarom buiten de reikwijdte van deze bepaling. De analyses van financiële geldstromen of de integriteit van het financiële stelsel liggen daarvoor te ver af van het doel van het Zorg- en Veiligheidshuis.

De achtergrond voor de bevoegdheid tot informatie-uitwisseling tussen een RIEC en Zorg- en Veiligheidshuis is geweest dat VNG en Regioburgemeesters hebben aangegeven dat het uiterst omslachtig is om een bepaalde casus met dezelfde informatievraag zowel binnen een RIEC als binnen een Zorg- en Veiligheidshuis in te brengen, wanneer het bijvoorbeeld gaat om zorggegevens die nodig zijn in de aanpak van jeugdcriminaliteit en het voorkomen van jeugdige criminele aanwas.42 In dat licht is artikel 1.7, achtste lid, van de wet ingevoegd bij amendement.43 De toelichting van het amendement wijst erop dat hiermee wordt bereikt dat bijvoorbeeld een RIEC de resultaten kan delen met een Zorg- en Veiligheidshuis wanneer criminele familieleden inwonen bij kinderen met jeugdzorgproblematiek teneinde de oorzaken beter te kunnen duiden en de kinderen beter te kunnen helpen. Door de voorwaarden uit artikel 1.7, achtste lid, van de wet aan te vullen met de voorwaarden uit het onderhavige artikel wordt voorkomen dat deze informatie-uitwisseling verder gaat dan noodzakelijk. Overigens gaat het louter om het uitwisselen van noodzakelijke informatie tussen samenwerkingsverbanden; de WGS geeft geen grondslag om over en weer aan te sluiten bij de besprekingen van de verschillende samenwerkingsverbanden. Verdere afstemming kan via de reguliere weg tot stand komen. Dat gaat buiten WGS of BGS om. In de consultatie hebben de RIEC’s opgemerkt dat samenwerking tussen twee samenwerkingsverbanden soms overleg vergt, bijvoorbeeld als een casus twee RIEC’s behelst. In reactie hierop wordt gewezen op artikel 2.20 van de wet, dat de RIEC’s een grondslag biedt voor gegevensuitwisseling tussen meerdere RIEC’s, voor zover dat noodzakelijk is voor het doel van de bestrijding van de georganiseerde criminaliteit, bedoeld in artikel 2.17 van de wet.

Eerste lid, onderdeel c (afstemming RIEC en FEC)

Het is mogelijk dat een betrokkene zowel in een FEC als in een RIEC wordt besproken, en dat het nodig is om af te stemmen over geplande interventies van deelnemers. Daarom regelt dit onderdeel dat indien het FEC en een RIEC via de bekendheidscheck op grond van artikel 1.7, achtste lid, tweede volzin, vaststellen dat een betrokkene bekend is bij deze beide samenwerkingsverbanden, zij gegevens mogen uitwisselen die noodzakelijk zijn om de interventies van deelnemers af te stemmen. In het RIEC zal doorgaans het accent meer liggen op het onderliggende delict, terwijl in het FEC meer de nadruk ligt op de financiële geldstroom. Voorbeelden van onderwerpen waar dit aan de orde kan zijn, zijn fraude met vastgoed, witwassen/ondermijning, en handel in cryptovaluta.

Eerste lid, onderdeel d (verstrekking iCOV-rapportage aan RIEC of FEC)

Indien iCOV een rapportage heeft verstrekt aan een deelnemer die ook deelneemt aan een RIEC of het FEC, moet de deelnemer deze rapportage kunnen inbrengen overeenkomstig de voorwaarden van artikel 1.7, achtste lid, eerste volzin, van de wet, indien in het RIEC of FEC een signaal wordt besproken over een persoon die onderwerp is van die rapportage. Dit is een bevoegdheid van de betreffende deelnemer; het RIEC of FEC kan geen opdracht geven om de iCOV-rapportage in te brengen. Verder is van belang dat wordt voldaan aan de voorwaarden van artikel 1.7, achtste lid, eerste volzin, van de wet. Dit betekent allereerst dat de iCOV-rapportage noodzakelijk moet zijn voor het doel van het andere samenwerkingsverband: daarvan kan sprake zijn als de iCOV-rapportage helpt om RIEC-deelnemers in staat te stellen om georganiseerde criminaliteit beter aan te pakken of als de FEC-deelnemers hierdoor risico’s van inbreuken op de integriteit van het financiële stelsel beter kunnen aanpakken.44 Tevens is vereist dat de deelnemers wier persoonsgegevens zijn gebruikt voor het opstellen van de iCOV-rapportage, instemmen met verstrekking aan een RIEC of het FEC.

Tweede lid (uitzondering beroepsgeheimen in de zorg)

In de consultatie hebben Reclassering Nederland, Zorg- en Veiligheidshuis Rotterdam Rijnmond, de Nederlandse GGZ en een anonieme functionaris voor gegevensbescherming opgemerkt dat er geheimhoudingsplichten zijn die in dit lid ontbreken. Voor gegevens die onder andere geheimhoudingsplichten vallen, volstaat dat het eerste lid de gegevensuitwisseling beperkt tot afstemmingsinformatie, en dat de deelnemers een instemmingsrecht hebben inzake de doorverstrekking van de gegevens die zij hadden ingebracht (artikel 1.7, achtste lid, WGS).

Derde lid (uitzondering verstrekking gegevens Rijksbelastingdienst)

De wet regelt in artikel 1.7, zesde lid, dat resultaten van samenwerkingsverbanden niet aan private deelnemers en private derden worden verstrekt ter behartiging van een gerechtvaardigd belang van die private deelnemer of private derde, voor zover zij mede gebaseerd zijn op gegevens van de rijksbelastingdienst, met uitzondering van de Fiscale Inlichtingen- en Opsporingsdienst. Het derde lid behelst een zelfde bepaling waar het gaat om de uitwisseling van gegevens tussen samenwerkingsverbanden, bedoeld in het eerste lid.

Artikel 1.11 Betrouwbaarheid geautoriseerde personen

(grondslag: artikel 1.8, derde lid, WGS)

Dit artikel is grotendeels een codificatie van de screeningsvereisten die al waren opgenomen in de toepasselijke protocollen en andere documenten, zoals deze luidden voor de komst van de WGS.47

Het onderhavige artikel is eveneens van toepassing op de screening van de onafhankelijke auditors die de privacy audits verrichten op grond van artikel 1.10 van de wet. Zij zijn immers «geautoriseerde personen» in de zin van artikel 1.8, tweede lid, onder b, van de wet. ICT’ers vallen ook onder het onderhavige artikel, want zij zijn geautoriseerde personen op grond van artikel 1.8, tweede lid, aanhef en onder c, van de wet: zij worden geautoriseerd vanwege het onderhoud of de ondersteuning van de systemen.

Het onderhavige artikel verzet zich geenszins tegen een strengere screening indien daartoe aanleiding is, mede gelet op de gevoeligheid van de data, bijvoorbeeld op grond van de Wet veiligheidsonderzoeken. In de Leidraad aanwijzing vertrouwensfuncties49 staat beschreven op welke gronden een minister een vertrouwensfunctie kan aanwijzen. De Wet veiligheidsonderzoeken biedt de mogelijkheid om functies waarin de nationale veiligheid geschaad kan worden, aan te wijzen als zogeheten vertrouwensfunctie.

Alle uitgegeven toegangsrechten (autorisaties) moeten minimaal eenmaal per halfjaar worden beoordeeld conform de Baseline Informatiebeveiliging Overheid (BIO).50 Artikel 1.8, achtste lid, van de wet stelt naleving van de BIO wettelijk verplicht. Dit is een minimumeis; het meest in de rede ligt om wanneer personen geautoriseerd worden ten behoeve van een samenwerking gelijktijdig te controleren of bestaande autorisaties nog noodzakelijk zijn.

Artikel 1.12 Logging

(grondslag: artikel 1.8, vierde lid, WGS)

Verplichting tot audit logging

Volgens de BIO dienen activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen te worden vastgelegd in audit-logbestanden. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. De BIO bepaalt onder meer het volgende (zie nader §12.4 van de BIO):

• – Over hetgeen moet worden gelogd: maatregel 12.4.1 (gebeurtenissen registreren) schrijft voor dat logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren behoren te worden gemaakt en bewaard. De loggingsgegevens dienen periodiek te worden beoordeeld. Maatregel 12.4.1.1 vereist dat een logregel minimaal de volgende informatie moet bevatten: de gebeurtenis, de benodigde informatie die nodig is om het incident met hoge mate van zekerheid te herleiden tot een natuurlijk persoon, het gebruikte apparaat, het resultaat van de handeling en de datum en het tijdstip van de gebeurtenis.

• – Over controles op de logs: maatregel 12.4.1.3 vereist dat de informatieverwerkende omgeving wordt gemonitord door een Security Information & Event Management (SIEM) en/of Security Operations Center (SOC) middels detectievoorzieningen.52 SOC en SIEM moeten volgens de BIO worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd. De Handreiking logging informatiebeveiligingsdienst53 benadrukt dat het belangrijk is dat een organisatie actief controles uitvoert op de verzamelde logs. Alleen op die manier kan een organisatie misbruik van de omgeving en inbraakpogingen detecteren. Immers, als er wordt gelogd maar niemand ernaar kijkt, dan zou loggen zinloos zijn, aldus de Handreiking.

• – Over de bewaartermijn van de logs: maatregel 12.4.2.2 schrijft voor dat ten behoeve van de loganalyse op basis van een expliciete risicoafweging de bewaarperiode van de logging wordt bepaald. Binnen deze periode moet de beschikbaarheid van de loginformatie worden gewaarborgd. Dit is uitgewerkt op blz. 11 van de Handreiking logging informatiebeveiligingsdienst, die uitgaat van een bewaartermijn van een half jaar, twee jaar of zeven jaar, afhankelijk van de mate van vertrouwelijkheid van de informatie.

Verplichting tot technische logging (controle van systeemgebruik)

Maatregel 9.4.4.2 van de BIO bepaalt dat het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen dient te worden gelogd. Een systeemhulpmiddel is een programma voor beheer en onderhoud van (informatie)systemen en ICT-infrastructuur. Deze logging moet een halfjaar beschikbaar zijn voor onderzoek. In de technische logging dienen gebeurtenissen te worden opgenomen zoals het gebruik van technische- en functionele beheerfuncties, handelingen van beveiligingsbeheer, verstoringen in het productieproces en beveiligingsincidenten.

Artikel 1.13 Werkwijze van de rechtmatigheidsadviescommissie

(grondslag: artikel 1.8, zesde lid, WGS)

Algemeen

De artikelen 1.13 tot en met 1.15 bevatten de uitwerking van artikel 1.8, zesde lid, van de wet door regels te stellen omtrent de werkwijze en de samenstelling van de rechtmatigheidsadviescommissie, de wijze van benoeming van haar leden en de instelling van één gezamenlijke rechtmatigheidsadviescommissie ten behoeve van een cluster van samenwerkingsverbanden. Artikel 1.13 bevat deze uitwerking voor de werkwijze van de rechtmatigheidsadviescommissie, artikel 1.14 voor de samenstelling van de rechtmatigheidsadviescommissie en artikel 1.15 voor de instelling van één gezamenlijke rechtmatigheidsadviescommissie voor een cluster van samenwerkingsverbanden.

Zoals aangekondigd in de brief van Minister van Justitie en Veiligheid van 17 december 2021 aan de Tweede en Eerste Kamer, moeten de rechtmatigheidsadviescommissies goed worden toegerust en wordt bij amvb de positie van de rechtmatigheidsadviescommissies verder versterkt. Daartoe strekt dit artikel.54

Eerste lid

In de consultatie heeft Amnesty International geadviseerd een verplichte, bindende en transparante mensenrechtentoets vast te leggen. Uit het voorgaande moge blijken dat met de rechtmatigheidsadviescommissie is voorzien in een dergelijke toetsing. Zij dient niet alleen het recht op privacy, maar moet ook aandacht hebben voor het tegengaan van risico’s op ongelijke behandeling en discriminatie (artikel 1.14, vierde lid). Wanneer er geautomatiseerde gegevensanalyse plaatsvindt, gelden er bovendien tal van aanvullende waarborgen die bedoeld zijn om discriminatie, fouten en vooroordelen tegen te gaan.59 Ook worden er afwegingskaders toegepast voor het zorgvuldige gebruik van algoritmes.60 Als iCOV tot een nieuw type gezamenlijke geautomatiseerde gegevensanalyse overgaat, moet iCOV op grond van artikel 35 AVG een gegevensbeschermingseffectbeoordeling uitvoeren en bij hoge risico’s moet iCOV de AP raadplegen op grond van artikel 36 AVG.61 Tot slot wordt aan mensenrechtelijke toetsing bijgedragen door de functionarissen voor gegevensbescherming, de coördinerend functionaris voor gegevensbescherming, periodieke onafhankelijke gegevensbeschermingsaudits en het toezicht door de AP.

Tweede lid

Zoals genoemd in de voornoemde Kamerbrief van 17 december 2021 zijn rechtmatigheidsadviescommissies bevoegd rechtstreeks aan het samenwerkingsverband te adviseren, zonder tussenkomst van leidinggevenden, en worden zij geacht hierin onafhankelijk te opereren.62 Dit is in dit lid geregeld. Het is noodzakelijk dat de leden van de rechtmatigheidsadviescommissie rechtstreeks kunnen adviseren aan de bestuurders van de deelnemende organisaties die het samenwerkingsverband aansturen, zonder afhankelijkheden of tussenkomst van management teams van de samenwerkingsverbanden. De adviezen zijn volgens artikel 1.8, zesde lid, van de wet immers bestemd voor het samenwerkingsverband, dus voor de deelnemers gezamenlijk. Daarbij behoort een duidelijke rolverdeling: de rechtmatigheidscommissie adviseert, de bestuurders van de deelnemers nemen de beslissingen. De adviezen zijn bestemd voor het leidinggevende niveau van de deelnemers die het samenwerkingsverband besturen, dat wil zeggen: de bestuurders van de deelnemers die het samenwerkingsverband aansturen. Het is belangrijk dat de adviezen daaraan worden verstrekt, gelet op de verwerkingsverantwoordelijkheid van de deelnemers.63 Concreet gaat het om de leden van de bestuurlijke gremia van de deelnemers van waaruit de samenwerkingsverbanden worden aangestuurd. Te denken valt aan de FEC-Raad, het Opdrachtgeversoverleg iCOV, de stuurgroepen RIEC’s en de stuurgroepen van de Zorg- en Veiligheidshuizen.

Derde lid

Voor het overige laat dit lid open op welke wijze de besluitvorming plaatsvindt. Het is goed mogelijk dat bepaalde vraagstukken ertoe nopen dat het belang van een bepaalde deelnemer zwaarder moet wegen dan dat van een andere deelnemer. Als in een bepaald rechtmatigheidsvraagstuk het medisch beroepsgeheim en de verwerking van gezondheidsgegevens een belangrijke rol speelt, dan zou het in die situaties voor de hand liggen dat aan de leden die voor de zorgpartijen deelnemen, een belangrijke rol wordt toebedeeld.

De wijze van besluitvorming wordt daarom verder overgelaten aan de rechtmatigheidsadviescommissie zelf. Zij heeft daarbij de bevoegdheid om nadere regels over de besluitvorming te stellen in het reglement van orde op grond van het vijfde lid.

Vierde lid

Dit lid maakt het mogelijk om bij een advies een individueel standpunt te voegen. Daarmee wordt tevens voorkomen dat in belangrijke vraagstukken principiële of fundamentele verschillen in opvatting tussen leden van de rechtmatigheidsadviescommissie dwingen tot het uitbrengen van compromis-adviezen.

Vijfde lid

De rechtmatigheidsadviescommissie kan een reglement van orde opstellen. Zo’n reglement zou bijvoorbeeld nuttig kunnen zijn voor de aanwijzing van de taken van de voorzitter, de wijze van overleg, en stemmingen. In de consultatie hebben de RIEC’s gevraagd of er een maximumtermijn kan worden gesteld aan de reactietermijn voor het geven van een advies door de rechtmatigheidsadviescommissie. Het is niet goed te overzien wat een algemene redelijke termijn zou zijn en het kan uiteenlopen hoe verstrekkend de werkzaamheden zijn. Om vertraging in de advisering te voorkomen bevat het vierde lid een oplossing om tijd te besparen bij onderlinge meningsverschillen, en bevat artikel 1.14, tweede lid, een waarnemingsregeling.

Zesde lid

Artikel 1.14 Samenstelling van de rechtmatigheidsadviescommissie

(grondslag: artikel 1.8, zesde lid, WGS)

Eerste lid (samenstelling)

Overigens verzet dit artikellid zich er niet tegen dat een rechtmatigheidsadviescommissie externe experts uitnodigt, indien het onderwerp waarover wordt geadviseerd daartoe aanleiding geeft. Het artikel biedt echter geen grondslag om met de externe experts persoonsgegevens te delen. Bij de vraag of externe experts worden uitgenodigd, ligt het voor de hand om eerst te kijken of intern – bij de deelnemers – voldoende expertise beschikbaar is. Zoals is toegelicht in §2 van het nader rapport op het advies van de Afdeling advisering van de Raad van State op dit besluit, wordt geen noodzaak gezien om extern voorzitterschap van de rechtmatigheidsadviescommissies dwingend voor te schrijven, maar kan een externe voorzitter wel worden benoemd, mits wordt voldaan aan de deskundigheids- en ervaringsvereisten uit het onderhavige artikellid en mits met de externe voorzitter geen persoonsgegevens of vertrouwelijke operationele informatie wordt gedeeld.

In de consultatie hebben Amnesty International en een oud-functionaris voor gegevensbescherming bepleit om vast te leggen dat de rechtmatigheidsadviescommissies onafhankelijk zijn. Zoals nader is toegelicht in de memorie van antwoord65, is voorzien in een stevige positie van de rechtmatigheidsadviescommissie doordat zij rechtstreeks adviseert aan de bestuurders van de deelnemers, zonder tussenkomst van een managementteam van een samenwerkingsverband (artikel 1.13, tweede lid). Een afwijking van een advies moet bovendien gerapporteerd worden aan de coördinerend functionaris voor gegevensbescherming, die zo nodig in actie kan komen (artikel 1.13, zesde lid). Hierin komt de onafhankelijke rol tot uiting. Als zou worden bedoeld dat in het besluit zou moeten worden voorgeschreven dat tot de rechtmatigheidsadviescommissie alleen externe personen kunnen toetreden, dan zou eraan voorbij worden gegaan dat juist bij de deelnemers specialistische kennis en expertise aanwezig is inzake de werking van de samenwerkingsverbanden en de specifiek toepasselijke regelgeving. Als het gaat om formeel onafhankelijk toezicht op de gegevensverwerking, zijn daarvoor beschikbaar de onafhankelijke coördinerend functionaris voor de gegevensbescherming voor het samenwerkingsverband, de onafhankelijke functionarissen voor gegevensbescherming van de deelnemers, de onafhankelijke, periodieke privacy audits en de AP. De periodieke privacy audits moeten worden verrichten door onafhankelijke auditors (artikel 1.18, derde lid, van dit besluit). De auditresultaten moeten aan de AP en de coördinerend FG worden gezonden (artikelen 1.10 van de wet en 1.18, vierde lid, van dit besluit).

Tweede lid (waarneming)

Voorkomen moet worden dat, als gevolg van de regel dat elke deelnemer ten minste één lid benoemt in de rechtmatigheidsadviescommissie, in geval van uitval of ontstentenis van één lid de werkzaamheden van de rechtmatigheidscommissie vertraging kunnen oplopen. Daarom is bepaald dat indien een lid voor een bepaalde deelnemer ontbreekt, die deelnemer aan het lid van een andere deelnemer kan verzoeken om waar te nemen. De waarneming vergt uiteraard dat de waarnemer zich bij de oordeelsvorming verplaatst in de context van de waargenomen organisatie.

Derde lid (private partijen)

In het kader van de praktische uitvoerbaarheid is toegevoegd dat deelnemende private partijen de mogelijkheid hebben om een of enkele leden te benoemen in de rechtmatigheidsadviescommissie, maar daartoe niet verplicht zijn. Deze mogelijkheid is met name van belang voor de Zorg- en Veiligheidshuizen, waar deelnemende private partijen uit de zorg een rol spelen vanwege onder meer het beroepsgeheim en tuchtrecht. Met deelnemende private partijen wordt gedoeld op deelnemers van het samenwerkingsverband die geen overheidsorgaan of overheidsinstantie zijn. Uit artikel 1.5, vierde lid, van de wet volgt overigens dat de private leden geen gegevens van de Belastingdienst mogen ontvangen.

Vierde lid

Dit lid vereist dat de leden zorgdragen dat in de rechtmatigheidsadviescommissie ook aandacht is voor het tegengaan van risico’s op ongelijke behandeling en discriminatie. Zoals bevestigd in de brief van Minister van Justitie en Veiligheid van 17 december 2021 aan de Tweede en Eerste Kamer,66 past dit binnen de taak van rechtmatigheidsadviescommissies op grond van artikel 1.8, zesde lid, van de wet om de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen: deze taak ziet ook op het signaleren van mogelijke discriminatierisico’s bij de gezamenlijke gegevensverwerking. De fase die volgt op de verstrekking van de resultaten aan de deelnemers – die naar aanleiding daarvan eventuele concrete interventies uitvoeren – valt buiten de reikwijdte van de WGS, zoals ook de Afdeling advisering opmerkt, net zoals de fase van verstrekking aan het samenwerkingsverband.67 De deelnemers en de rechtmatigheidsadviescommissies moeten in de fase van gezamenlijke gegevensverwerking voor zover mogelijk anticiperen op mogelijke discriminatie of ongelijke behandeling die kan voortvloeien uit het verstrekken van resultaten.

Artikel 1.15 Rechtmatigheidsadviescommissie voor cluster van samenwerkingsverbanden

(grondslag: artikel 1.8, zesde lid, WGS)

Eerste lid

Dit lid regelt dat de RIEC’s over één gezamenlijke rechtmatigheidsadviescommissie beschikken en de Zorg- en Veiligheidshuizen eveneens. Hiermee wordt de grondslag gebruikt uit artikel 1.8, zesde lid, van de wet om dit te regelen. Voor de instelling van de gezamenlijke rechtmatigheidsadviescommissies wordt aanleiding gezien, omdat hierdoor uiteenlopende rechtmatigheidsadviezen tussen de verschillende regio’s worden voorkomen. Dit is van belang voor de rechtszekerheid en voorspelbaarheid voor burgers. Bovendien worden met de instelling van één commissie de krachten gebundeld en de uitvoeringslasten beperkt. Gelet daarop ligt het niet in de rede dat de tien RIEC’s en alle 33 Zorg- en Veiligheidshuizen ieder voor zich rechtmatigheidsadviescommissies zouden moeten instellen.

Op de werkwijze van een gezamenlijke rechtmatigheidscommissie is artikel 1.13 van toepassing.

Tweede lid

De bepaling sluit niet uit dat de rechtmatigheidsadviescommissie bepaalde lokale of regionale deelnemers uitnodigt om in een concreet geval hun expertise in te brengen. Een lokale of regionale deelnemer van het samenwerkingsverband kan zich hiertoe ook op eigen initiatief melden bij de rechtmatigheidsadviescommissie. De leden van de rechtmatigheidsadviescommissie worden geacht de deelnemers te informeren over de agenda. In het reglement van orde, bedoeld in artikel 1.13, vijfde lid, kan de werkwijze zo nodig worden uitgewerkt.

Artikel 1.16 Precisering maximale bewaartermijn

(grondslag: artikel 1.8, negende lid, WGS)

De hoofdregel van de maximale bewaartermijn is neergelegd in artikel 1.8, zevende lid, WGS: de persoonsgegevens die door het samenwerkingsverband gezamenlijk worden verwerkt, worden vernietigd of geanonimiseerd zodra zij niet langer noodzakelijk zijn voor het doel van het samenwerkingsverband, en worden in ieder geval uiterlijk vijf jaar na de datum van eerste verwerking verwijderd uit de systemen van het samenwerkingsverband of geanonimiseerd. Het onderhavige artikel bevat enkele preciseringen: enerzijds van gevallen waarin de gegevens in ieder geval eerder dan na vijf jaar dienen te worden gewist, anderzijds van de bijzondere gevallen waarin hernieuwde verwerking kan plaatsvinden volgens artikel 1.8, zevende lid, tweede volzin, WGS.

Eerste lid

In dit lid wordt geregeld dat de gezamenlijk verwerkte persoonsgegevens moeten worden gewist in het geval dat de analyse en bewerkingen door het samenwerkingsverband geen verdere aanwijzingen voor risico’s met het oog op de doelen van het verband of sturingsinformatie hebben opgeleverd. Dit is aangekondigd in de brief van Minister van Justitie en Veiligheid van 17 december 2021 aan de Tweede en Eerste Kamer, in reactie op de aanbeveling van de Autoriteit persoonsgegevens om dit te regelen.69 De gegevens dienen ook direct te worden gewist indien een aangemeld signaal, verzoek of casus niet in behandeling wordt genomen door het samenwerkingsverband. Dat kan voorkomen als niet is voldaan aan de vereisten voor gezamenlijke gegevensverwerking. Met het eerste lid is niet beoogd om uitputtend te regelen wanneer de persoonsgegevens moeten worden vernietigd of geanonimiseerd. Daarom is de zinsnede «onverminderd artikel 1.8, zevende lid, van de wet» opgenomen.

Tweede lid

Artikel 1.8, zevende lid, tweede volzin, van de wet geeft aan dat «in bijzondere gevallen» deelnemers persoonsgegevens ter beschikking kunnen stellen voor hernieuwde verwerking, mits dat noodzakelijk is voor het doel van het samenwerkingsverband. Zij moeten instemming hebben verkregen van de deelnemers die de betreffende persoonsgegevens hebben verstrekt. De onderhavige bepaling specificeert de bijzondere gevallen uit artikel 1.8, zevende lid, van de wet. Het moet gaan om een casus die in een Zorg- en Veiligheidshuis wordt behandeld en die voldoet aan onderdeel a of b van het onderhavige artikellid. Ook deze specificering van de bijzondere gevallen is aangekondigd in de voornoemde Kamerbrief van Minister van Justitie en Veiligheid van 17 december 2021.70

De bepaling verduidelijkt allereerst dat de bevoegdheid tot hernieuwde verwerking alleen betrekking heeft op Zorg- en Veiligheidshuizen. Zoals aangegeven in de memorie van toelichting bij de WGS, is deze mogelijkheid opgenomen met het oog op de Zorg- en Veiligheidshuizen, omdat er soms gevallen zijn waarbij langdurige betrokkenheid van het Zorg- en Veiligheidshuis noodzakelijk is, namelijk bij langlopende casussen.71 Anders dan bij de andere samenwerkingsverbanden in de WGS kan de uitvoering van een plan van aanpak in het Zorg- en Veiligheidshuis soms een langdurige periode van betrokkenheid vergen. Zoals aangegeven in de memorie van toelichting, speelt dit bijvoorbeeld bij personen met een hoog veiligheidsrisico als gevolg van chronische, ernstige psychische stoornissen. Het Zorg- en Veiligheidshuis vervult dan een cruciale rol bij het duurzaam verbinden van de ketens van strafrecht, openbare orde en veiligheid, zorg en sociaal domein. In dergelijke situaties kan de termijn voor vernietiging, anonimisering of verwijdering van artikel 1.8, zevende lid, eerste volzin, van de wet te kort blijken. Het gaat immers over complexe problematiek waarbij soms lange tijd ondersteuning nodig is om tot een duurzame oplossing te komen, of waarbij het risico bestaat op terugval.

Bij de toepassing van het onderhavige artikel dient rekening te worden gehouden met bewaar- en vernietigingstermijnen uit bijzondere wetten. Weliswaar zijn die niet van toepassing op gezamenlijke gegevensverwerkingen in het samenwerkingsverband omdat de wet en dit besluit daarvoor de termijnen al regelen, maar voor de invulling van de noodzaak tot langdurige bewaring kan wel aansluiting worden gezocht bij een bijzondere wet. Zo kunnen op grond van de wet vanuit het OM gegevens worden ingebracht (met beperking tot bepaalde artikelen) vanuit de Wvggz-taak van het OM. In de Wvggz zijn bewaar- en vernietigingstermijnen opgenomen met betrekking tot die gegevens. De mogelijkheden tot hernieuwde verwerking moeten er niet toe leiden dat Wvggz-gegevens langer bewaard worden in het Zorg- en Veiligheidshuis dan de bedoeling is op grond van de Wvggz (veelal maximaal 20 jaar), in het geval dat bijvoorbeeld ook Wvggz-gegevens opgenomen zijn in het plan van aanpak dat opgeslagen is in het systeem van het Zorg- en Veiligheidshuis. Het voorgaande geldt mutatis mutandis voor gegevens die zijn ingebracht op grond van de Wzd. Dit betekent dat de deelnemers in het Zorg- en Veiligheidshuis bij de beoordeling of hernieuwde verwerking noodzakelijk is op grond van artikel 1.16, tweede en derde lid, voor zover het gaat om Wvggz of Wzd-gegevens aansluiting kunnen zoeken bij de bewaartermijnen uit de Wvggz en Wzd. Verder is van belang dat de bewaartermijn in de wet en dit besluit uitsluitend ziet op de gegevens die in het samenwerkingsverband worden verwerkt. Dit betreft dus niet de fase waarin een deelnemer gegevens voor de eigen taak verwerkt na het resultaat van de gezamenlijke gegevensverwerking van het samenwerkingsverband te hebben ontvangen op grond van artikel 1.7 van de wet.

Het kan ook gaan om casuïstiek waarbij crimineel gedrag in combinatie met sociale problematiek van generatie op generatie wordt overgedragen. In dergelijke situaties is ook vaak een langdurige aanpak nodig om een betrokkene duurzaam uit deze vicieuze cirkel te trekken.

Onderdeel b maakt het mogelijk om de gegevens ter beschikking te stellen voor hernieuwde verwerking als de casus minder dan een jaar voor het verstrijken van de maximale bewaartermijn van vijf jaar is afgesloten. Daaraan is de voorwaarde verbonden dat dit alleen kan als de deelnemers, gezien de complexiteit van de problematiek, van oordeel zijn dat er een groot risico bestaat op terugval waardoor de casus binnen korte tijd opnieuw voldoet aan de criteria voor behandeling in het Zorg- en Veiligheidshuis. Dat betekent dat de gegevens nog enige tijd beschikbaar kunnen blijven voor het geval die terugval ook daadwerkelijk optreedt. Zo wordt voorkomen dat gegevens worden vernietigd en korte tijd later blijkt dat de casus weer opgestart moet worden en daarmee ook de gegevensverzameling weer opnieuw gestart moet worden.

Derde lid

Artikel 1.17 Opleiding en training ten aanzien van gegevensverwerking

(grondslag: artikel 1.8, negende lid, WGS)

De Afdeling advisering van de Raad van State heeft in haar voorlichting over de WGS terecht benadrukt dat niet alles bij wet kan worden voorzien en dat de wetgever moet kunnen vertrouwen op een kwalitatief goede uitvoeringspraktijk. Volgens de Afdeling advisering is de adequate en zorgvuldige uitvoering en het investeren in professionaliteit en (juridische) deskundigheid op de werkvloer randvoorwaardelijk en daarmee urgent, ook voor wat betreft bijvoorbeeld de werking van algoritmen.72 In reactie hierop is in de brief van de Minister van Justitie en Veiligheid aan de Eerste en Tweede Kamer van 17 december 2021 aangegeven dat de overheid vanzelfsprekend dient te waarborgen dat wordt geïnvesteerd in professionaliteit en (juridische) deskundigheid op de werkvloer, evenals in een cultuur waarin kan en mag worden afgeweken van algoritmische uitkomsten. Met het onderhavige artikel wordt beoogd daaraan bij te dragen door middel van een verplichting voor de deelnemers om ervoor te zorgen dat de medewerkers en de leden van de rechtmatigheidsadviescommissie passende opleidingen en trainingen krijgen op het gebied van een zorgvuldige omgang met persoonsgegevens, de regels die op het samenwerkingsverband van toepassing zijn, de werkprocessen van het samenwerkingsverband, methoden en technieken van informatieanalyse, informatiebeveiliging en data-ethiek. Bij data-ethiek en zorgvuldige omgang met persoonsgegevens komt ook het tegengaan van (onbewuste) discriminatie aan de orde.

Artikel 1.18 Uitwerking auditbepaling

(grondslag: artikel 1.10, vijfde lid, WGS)

Dit artikel is een uitwerking van artikel 1.10, vijfde lid, van de wet, dat de verplichting bevat om nadere regels te stellen over de inhoud en wijze van controle door middel van periodieke privacy audits. Het onderhavige artikel zorgt ervoor dat de regels over audits uniform zijn voor alle samenwerkingsverbanden in de zin van de WGS.

De privacy audits zien volgens artikel 1.10, eerste lid, van de wet op «de uitvoering van de bij of krachtens deze wet gegeven regels en de Algemene verordening gegevensbescherming».

Eerste lid

Met deze nadere regels over de frequentie van de audits is aangesloten bij artikel 6:5 van het Besluit politiegegevens, dat ertoe verplicht om audits op grond van de Wet politiegegevens twee jaren na inwerkingtreding van die wet te houden, en vervolgens eenmaal in de vier jaren.

Tweede lid

Derde lid

Dit artikellid verduidelijkt dat de auditor onafhankelijk moet zijn ten opzichte van de deelnemers van het samenwerkingsverband. Deze onafhankelijkheid betekent bijvoorbeeld dat de auditor niet in dienst mag zijn bij de deelnemer. Aan de eis van onafhankelijkheid is bijvoorbeeld wel voldaan in het geval van de Auditdienst Rijk.

Ook moet de auditor volgens dit artikellid beschikken over «deskundigheid en ervaring op het gebied van de werking van het samenwerkingsverband en de toepasselijke wetgeving inzake gegevensverwerking».

Volledigheidshalve wordt opgemerkt dat artikel 1.11 van dit besluit ook van toepassing is als minimumvereiste voor de screening van de onafhankelijke auditors die de privacy audits verrichten op grond van artikel 1.10 van de wet. Ook zij zijn immers «geautoriseerde personen» in de zin van de wet (artikel 1.8, tweede lid, onder b, WGS).

Hoofdstuk 2. Bepalingen inzake specifieke samenwerkingsverbanden

Paragraaf 2.1 Financieel Expertisecentrum (FEC)

Artikel 2.1 Aanvullende deelnemers Programma Terrorismefinanciering

(grondslag: artikel 2.3, eerste lid, onder h, WGS)

De samenwerking in het Programma Terrorismefinanciering geschiedt concreet in het FEC Terrorismefinanciering Analyseteam. Dat is belast met de analyse van de tussen deelnemers uitgewisselde informatie op het gebied van bestrijding van terrorismefinanciering ten behoeve van de samenwerking op het gebied van bestrijding van terrorismefinanciering. Het FEC Terrorismefinanciering analyseteam verzamelt, ordent, rangschikt, verrijkt, analyseert en registreert informatie in een signalendatabase met het oog op de uitvoering van haar taken. Hierop zijn de artikelen 2.6 (signalenoverleg) en 2.7 (gegevensanalyse) van de wet van toepassing, evenals de bijbehorende uitwerking in de artikelen 2.3 tot en met 2.5 van dit besluit.

Het Programma Terrorismefinanciering moet worden onderscheiden van de Taskforce Terrorismefinanciering van het FEC. In het Programma Terrorismefinanciering gaat het om de vraag waar risico's en bepaalde netwerken zich bevinden. Dit kan bijvoorbeeld leiden tot het ontdekken van stichtingen die in verband kunnen worden gebracht met terrorismefinanciering, waarna interventies kunnen worden afgesproken. Bij het Programma Terrorismefinanciering wordt uitsluitend door overheidsinstanties samengewerkt. Bij de Taskforce Terrorismefinanciering wordt daarentegen samengewerkt met banken en heeft de samenwerking een andere insteek (zie hierover de toelichting op artikel 2.2).

Artikel 2.2 Deelnemers aan publiek-private samenwerking

(grondslag: artikel 2.3, eerste lid, onder h, WGS en artikel 1.8, eerste lid, WGS)

Noodzaak publiek-private samenwerking binnen FEC

Aanpak van misbruik financiële stelsel voor criminaliteit

Publieke partijen: OM, politie, FIU-Nederland en FIOD (artikel 2.2, onderdeel a)

Tot op heden nemen aan de Taskforce Terrorismefinanciering en de Serious Crime Taskforce van de publieke deelnemers van het FEC uitsluitend OM, politie, FIU-Nederland en FIOD deel. Zij zijn aangesloten omdat zij zich bezighouden met (voorbereiding van) opsporing en vervolging. Het onderhavige artikel bepaalt dat uitsluitend deze vier van de in artikel 2.3 in de wet genoemde partijen deelnemen aan de gegevensverwerkingen in de taskforces. Van de overige reguliere FEC-deelnemers is deelname niet benodigd voor deze taskforces. Uit artikel 1.4, eerste lid, van de wet volgt dat deze niet-deelnemers geen verwerkingsverantwoordelijkheid dragen voor de taskforces.

Taskforce Terrorismefinanciering

Serious Crime Taskforce

Door de Serious Crime Taskforce is het mogelijk dat politie en FIOD in afstemming met het OM namen van adviseurs of rechtspersonen die in beeld zijn, doorgeven aan de deelnemende banken. De banken kunnen die namen op hun beurt weer koppelen aan bepaalde ongebruikelijke transacties. Wanneer de gegevens over die transacties worden teruggeleverd aan politie en FIOD kunnen die een opsporingsonderzoek beginnen. Het gaat om subjecten tegen wie nog geen concrete verdenking is in een situatie dat er wel duidelijke en objectieve aanwijzingen bestaan als bedoeld in artikel 2.4. Met Serious Crime wordt in het bijzonder gedoeld op criminaliteitsvormen waarbij tussenpersonen het financiële stelsel misbruiken voor het verplaatsen van omvangrijke criminele winsten en omzetten, zoals de handel in en de productie van harddrugs, het verhullen en witwassen van crimineel vermogen en het faciliteren van betalingen voor extreem geweld en corruptie, zoals geduid in het Nationaal Inlichtingen Beeld Ondermijning. De werkwijze van de Serious Crime Taskforce vertoont veel parallellen met de hiervoor beschreven werkwijze van de Taskforce Terrorismefinanciering, met dien verstande dat bij de Serious Crime Taskforce specifiek wordt gezocht naar andere typen transacties, namelijk transacties die zicht geven op het mogelijk criminele (faciliterende) netwerk van het ingebrachte subject, zoals transacties die zicht kunnen geven op een (financiële) modus operandi en transacties met witwaskenmerken. De Serious Crime Taskforce is beschreven in een convenant uit 2019.80

Artikel 2.3 Beperking gegevensverstrekking over kring van personen

(grondslag: artikel 2.4, tweede lid, WGS)

Eerste lid

Dit lid regelt dat de deelnemers ten behoeve van het Programma FEC Terrorismefinanciering en de publiek-private taskforces tot maximaal drie directe lijnen vanaf de betrokken persoon gegevens verwerken over relevante relaties of contacten als bedoeld in artikel 2.4, eerste lid, onderdeel e, van de wet. Dat betreft relevante relaties of contacten van natuurlijke personen of rechtspersonen die mogelijk in verband gebracht kunnen worden met mogelijke financiering van terrorisme, met onverklaarbare of criminele vermogensbestanddelen of witwasconstructies, of andere financieel-economische criminaliteit. Dat er gegevens worden verwerkt tot en met de tweede graad – dat wil zeggen: drie lijnen – is conform de praktijk in het Programma Terrorismefinanciering en de publiek-private taskforces. Hierbij vindt een proportionaliteitstoets plaats, dus zodat aan de tweede graad alleen wordt toegekomen indien dat proportioneel is. De proportionaliteit van het verwerken van deze gegevens moet worden getoetst door de gevolgen voor de persoonlijke levenssfeer van betrokkenen af te wegen tegen het zwaarwegend algemeen belang van het voorkomen en bestrijden van het gebruik van het financiële stelsel voor terrorismefinanciering, financieel-economische criminaliteit en andere ernstige vormen van criminaliteit.

Tweede lid

Artikel 2.4 Criteria voor behandeling van een signaal of verzoek

(grondslag: artikel 2.6, tweede lid, en 2.7, tweede lid, WGS)

In het FEC bestaat het startpunt van de gegevensverwerking concreet uit ingebrachte signalen (artikel 2.6 WGS) of een verzoek tot gezamenlijke gegevensanalyse (artikel 2.7 WGS). Het onderhavige artikel stelt cumulatieve criteria aan het signaal of verzoek. Wanneer niet wordt voldaan aan één of meerdere criteria, mogen signalen of verzoeken over een persoon niet in het FEC worden behandeld. Met dit artikel wordt tevens invulling gegeven aan de toezegging uit de Kamerbrief van 17 december 2021 om het startpunt van de gegevensverwerking zoveel mogelijk te concretiseren.81

Eerste lid (criteria voor aanmelding signaal of verzoek)

Criterium a waarborgt dat er duidelijke en objectieve aanwijzingen moeten zijn dat het signaal of verzoek is gerelateerd aan een risico van een inbreuk op de integriteit van het financiële stelsel, zoals omschreven in artikel 2.2 van de wet. Dit criterium vereist dat duidelijk gemaakt wordt dat het signaal of verzoek past binnen het doel van het FEC. Dit betekent dat de signalen of verzoeken betrekking moeten hebben op risico’s van inbreuken op de integriteit van het financiële stelsel die door de uitoefening van publiekrechtelijke taken en bevoegdheden van de deelnemers kunnen worden bestreden of weggenomen. De integriteit van het financiële stelsel kan bedreigd worden door onder meer witwassen van criminele gelden (in de vastgoedsector), illegaal bankieren, beleggingsfraude of fiscale fraude. De signalen of verzoeken zien op alle onderwerpen van financieel economische criminaliteit in het financiële stelsel, zoals witwassen, belastingontwijking, overtredingen van sanctieregelgeving, fraude en oplichting, illegaliteit en het niet voldoen aan eisen van integere bedrijfsvoering zoals opgenomen in de Wft en de Wwft.85

Criterium c vereist dat de analyse van het verzoek of signaal naar verwachting de samenwerking vergt met meerdere deelnemers van het Financieel Expertisecentrum. Immers, als het evident is dat de analyse van het signaal adequaat kan plaatsvinden met bevoegdheden tot onderlinge gegevensuitwisseling tussen twee deelnemers bij of krachtens een andere wet dan de WGS, dan moet die weg worden bewandeld. Dan zou behandeling in het FEC niet voldoen aan de vereisten van noodzakelijkheid, subsidiariteit en proportionaliteit. Overigens is voor dit criterium niet relevant of een signaal of verzoek naar verwachting slechts relevant is voor de taakuitoefening van één deelnemer.

Criterium d vereist dat het signaal of verzoek een vermelding omvat van de onderliggende feiten, omstandigheden en gedragingen, de betrokken rechtspersoon, natuurlijke persoon of het object en, indien een verzoek wordt gedaan tot een gegevensanalyse, een afbakening van de benodigde informatie.

Uit artikel 1.6 volgt overigens dat de deelnemer die het signaal of verzoek aanmeldt, bij de aanmelding bevestigt dat hij de daarbij verstrekte gegevens overeenkomstig artikel 1.6, eerste lid, voor zover mogelijk heeft getoetst op feitelijke juistheid en de kwaliteit.

Tweede lid (startpunt gegevensverwerking taskforces)

In de FEC Taskforce Terrorismefinanciering en de FEC Serious Crime Taskforce bestaat het startpunt van de gegevensverwerking uit concrete aanknopingspunten van politie en/of FIOD die financiële instellingen moeten helpen gerichter te zoeken naar aanwijzingen voor financiering van terrorisme of (financiering van) serious crime. Dit betreft informatie over subjecten die in verband kunnen worden gebracht met (de financiering van) terrorisme of (financiering van) serious crime. De informatie bestaat uit NAW-gegevens, geboortedatum, indicatie van de periode die relevant is voor het onderzoek en indien noodzakelijk contextinformatie.

Derde lid (omschrijving andere ernstige vormen van criminaliteit)

Dit lid omschrijft uitsluitend andere ernstige vormen van criminaliteit dan financieel-economische criminaliteit en terrorismefinanciering. Artikel 2.2 van de wet maakt bij de omschrijving van het doel van het FEC onderscheid tussen financieel-economische criminaliteit, andere ernstige vormen van criminaliteit en vormen van terrorismefinanciering. De termen terrorismefinanciering en financieel-economische criminaliteit vallen niet onder de definitie van dit lid. Zoals opgemerkt in de nota naar aanleiding van het verslag bij de WGS, is financieel-economische criminaliteit geen statisch begrip en is het daarom niet goed in wetgeving te definiëren. Wel is in de nota naar aanleiding van het verslag een toelichting gegeven.86

Het criterium is gecodificeerd in het onderhavige artikellid. Daar is het vereiste aan toegevoegd dat de betreffende misdrijven tevens de integriteit van het financiële stelsel raken. Voor zover het FEC is gericht op signalen of verzoeken die zien op andere ernstige vormen van criminaliteit, gaat het dus om (aanwijzingen van) misdrijven die een ernstige inbreuk op de rechtsorde vormen, mits die de integriteit van het financiële stelsel raken.

Artikel 2.5 Nadere waarborgen signalenoverleg en gegevensanalyse

(grondslag: artikel 2.7, tweede lid, en 1.8, negende lid, WGS)

Dit artikel regelt voor het signalenoverleg en de gegevensanalyse binnen het FEC een aantal waarborgen in aanvulling op de waarborgen uit de wet en dit besluit, zoals artikel 2.4.

Onderdeel a bepaalt dat de deelnemer die het signaal of verzoek aanmeldt, moet zorgdragen dat uit de aanmelding blijkt in hoeverre is voldaan aan de criteria, bedoeld in artikel 2.4, eerste lid. De verplichting uit onderdeel c om het signaal of verzoek te registreren met de vermelding of naar het oordeel van de deelnemers is voldaan aan de criteria, is opgenomen om achteraf te kunnen vaststellen of hieraan is voldaan. De wijze waarop dit gebeurt, wordt aan de praktijk gelaten. Dit kan bijvoorbeeld blijken uit het aanmeldformulier of het dossier.

Paragraaf 2.2 Infobox Crimineel en Onverklaarbaar Vermogen (iCOV)

Artikel 2.6 Aanvullende deelnemers

(grondslag: artikel 2.11, eerste lid, onder j, WGS)

Onderdeel a (deelname AFM)

Onderdeel b (deelname Koninklijke Marechaussee)

Artikel 2.7 Beperking gegevensverstrekking over kring van personen

(grondslag: artikel 2.12, derde lid, WGS)

Eerste lid

De iCOV Rapportage Relaties (iRR), ook wel relatiescan genoemd, bedoeld in artikel 2.13, aanhef en onderdeel b, van de wet is een rapportage die een overzicht geeft van de relevante relaties van natuurlijke of rechtspersonen die mogelijk in verband kunnen worden gebracht met mogelijke onverklaarbare of criminele vermogensbestanddelen of witwas- of fraudeconstructies.91 Zoals toegelicht in paragraaf 4.2 van de memorie van toelichting bij de wet, komen in de iRR financieel-zakelijke relaties in beeld, maar ook directe familieleden en (ex-)partners. Bij een BV of VOF komt ook de eigenaar van het bedrijf in beeld en bij stichtingen en verenigingen komen eventuele bestuursfuncties in beeld. De relatiescan geeft een weergave tot drie lagen vanaf het bevraagde subject. In de memorie van toelichting is aangegeven dat dit inhoudt dat tot drie stappen vanaf het bevraagde subject de relevante relaties worden weergegeven.92 Vermogen wordt vaak verhuld verderop in het netwerk van de betrokkene, niet zozeer bij de directe relaties. Daarom is het noodzakelijk om meerdere lagen in kaart te brengen.

Tweede lid

Vanwege constructies waarbij het vermogen verderop in de keten wordt verhuld (bijvoorbeeld door ingewikkelde bedrijfsstructuren), bepaalt dit lid dat tot een ruimere verstrekking van gegevens over relaties of contacten kan worden overgegaan. Hiervan kan sprake zijn bij een keten van vermogensverschaffers, leidinggevenden, zeggenschaphebbenden of van personen die in een zakelijk samenwerkingsverband staan tot de betrokken natuurlijk persoon of rechtspersoon. Hieronder vallen ook de achterliggende belanghebbenden of «Ultimate Benificial Owners (UBO’s) van rechtspersonen. De deelnemer die een verzoek doet om een iRR motiveert aan de hand van diens taakstelling waarom de gegevensverwerking in meer dan drie lagen noodzakelijk is. Die motivering is naar zijn aard niet altijd vooraf te geven en kan er daarom ook uit bestaan dat vermoedelijk sprake is van complexe criminele structuren, waarin relaties vaak diep verborgen zijn, die inzichtelijk moeten worden door de rapportage.

In de consultatie heeft de AP geadviseerd om te verduidelijken dat de gegevensverstrekking in méér dan drie lijnen vanaf de betrokkene alleen is toegestaan over relaties of contacten die in verband staan met de hiervoor bedoelde keten. Daartoe is, conform het advies van de AP, «indien» vervangen door «voor zover» in dit artikellid.

Artikel 2.8 Criteria voor een rapportage over vermogen en inkomsten of financieel-zakelijke relaties

(grondslag: artikel 1.8, eerste lid, WGS)

Eerste lid, onderdeel a (duidelijke en objectieve aanwijzingen)

Eerste lid, onderdeel b (noodzaak voor taak deelnemer met het oog op doel iCOV)

Eerste lid, onderdeel c (samenwerking nodig met meerdere deelnemers)

Dit onderdeel vereist dat het samenstellen van de rapportage naar verwachting de samenwerking met meerdere deelnemers van iCOV vergt. Deze samenwerking kan, mits is voldaan aan onderdeel b, er ook uit bestaan dat via de infrastructuur van iCOV de rapportages op een efficiënte en betrouwbare manier opgesteld kunnen worden. Als het evident is dat de deelnemer die het verzoek doet van slechts één andere deelnemer informatie nodig heeft en voor de analyse van die informatie geen samenwerking via iCOV nodig is, moet hij die op bilaterale wijze opvragen bij die andere deelnemer en is geen samenwerking nodig met meerdere deelnemers van iCOV. Dan zou behandeling in iCOV niet voldoen aan de subsidiariteitseis, omdat een lichter alternatief bestaat.

Eerste lid, onderdeel d (administratieve vereisten)

Subonderdeel 1° (vermelding taak deelnemer en subdoelstelling iCOV)

Dit subonderdeel vereist dat de deelnemer die om een iRVI of iRR verzoekt, aangeeft voor welke van zijn taken hij deze rapportage nodig heeft. In het verzoek tot een rapportage moet ter verantwoording worden geregistreerd met het oog op welke publiekrechtelijke taak of bevoegdheid de deelnemer een rapportage vraagt.96 Bovendien moet de relatie tot het doel van iCOV worden geregistreerd. Dit kan door aan te geven binnen welk van de vier subdoelstellingen van iCOV uit artikel 2.10 van de wet het verzoek valt.

Subonderdeel 2° (vermelding van personen of objecten)

Subonderdeel 3° (beschrijvingen feiten en omstandigheden)

Het is voor de bepaling welke informatie in de iRR moet worden opgenomen, van belang dat een bij iCOV ingediend verzoek om een iRR de feiten en omstandigheden vermeldt die relevant zijn om te kunnen bepalen welke relaties gezien de casus relevant zijn om op te nemen in een iRR.

Tweede lid (verantwoording)

Het verzoek moet toelichten in hoeverre is voldaan aan de criteria uit het eerste lid, zo volgt uit dit lid. Gelet op de verplichting tot dataminimalisatie en de mogelijkheid dat sprake is van een (strafvorderlijk) onderzoek onder embargo heeft deze bepaling in beginsel geen betrekking op het verstrekken van onderliggende zaaksinformatie. Het is aan de verzoeker zelf om die informatie op te nemen in de eigen administratie, zodat de verzoeker achteraf, bijvoorbeeld in de richting van de AP of de rechter, kan verantwoorden waarom aan de criteria is voldaan. Dit in het kader van de verantwoordingsplicht uit artikel 5, tweede lid, van de AVG.

Een rapportage is bestemd voor de deelnemer of deelnemers die het verzoek om de rapportage hebben gedaan. Bovendien kan een rapportage alleen worden verstrekt aan gemachtigde medewerkers van de betreffende deelnemer. Dit volgt uit de verplichting tot beveiliging van gegevensverwerkingen die in acht moet worden genomen (artikel 32 AVG). ICOV geeft hieraan invulling door het werkproces zodanig vorm te geven dat een verzoek uitsluitend kan worden gedaan door medewerkers van de deelnemers die daarvoor gemachtigd zijn door hun eigen organisatie. De machtigingen en de verzoeken om rapportages worden geregistreerd door middel van de systemen waarin de deelnemers gezamenlijk persoonsgegevens verwerken.

Artikel 2.9 Vaststelling van thema voor een themarapportage

(grondslag: artikel 2.14, tweede lid, WGS)

Themarapportages van iCOV

Volgens de definitie uit artikel 2.13, onder c, van de wet is een iCOV Rapportage Thema (iRT NN)97 een «geanonimiseerde rapportage, op te stellen aan de hand van vooraf vastgestelde indicatoren en gegevens over bepaalde gepseudonimiseerde natuurlijke personen of rechtspersonen, die een ontwikkeling of trend in een bepaalde regio of met betrekking tot een bepaald fenomeen weergeeft teneinde inzicht te krijgen in problematiek met betrekking tot het doel van iCOV in de zin van het in artikel 2.10 van de wet vastgestelde doel». Zoals de aanhef van artikel 2.13 van de wet beschrijft, gaat aan de rapportage altijd vooraf een verzoek van één of meer deelnemers.

De iRT NN is erop gericht om inzicht te bieden in de mate en manier waarop een bepaald fenomeen zich voordoet. De onderzochte fenomenen richten zich op gedragingen die wijzen op het onrechtmatig behalen van financieel gewin. Het samenbrengen van data van de verschillende deelnemers is noodzakelijk om inzicht in dit soort fenomenen te krijgen. Het analyseren van een fenomeen geschiedt met gebruikmaking van vooraf vastgestelde indicatoren. Zo kan iCOV bijvoorbeeld een rapportage samenstellen die vanuit vogelvluchtperspectief laat zien hoe vaak bepaalde indicatoren van bijvoorbeeld witwassen via vastgoed voorkomen in een bepaald gebied. Denk bijvoorbeeld aan panden die gefinancierd worden via een van de risicolanden zoals gedefinieerd door de Financial Action Task Force (FATF). De iRT NN geeft onder andere een overzicht zonder identificatiegegevens waarin per object en per subject wordt aangegeven hoe vaak er op de indicatoren wordt gescoord. De iRT NN bevat alleen informatie van subjecten die aan de vooraf vastgestelde minimumdrempel voldoen. Een nadere toelichting op de iRT NN is te vinden in de memorie van toelichting.98

De iRT NN meet overigens geen toekomstig gedrag, maar detecteert wat er is gebeurd op basis van gevalideerde indicatoren waarvan wetenschappers en experts veronderstellen dat deze samenhangen met gedrag uit het verleden, bijvoorbeeld witwassen met vastgoed. De iRT NN kan iets zeggen over de mogelijkheid c.q. een verhoogd risico dat dit gedrag zich heeft voorgedaan en zich wellicht nog steeds voordoet in een vooraf gespecifieerde onderzoeksgroep.

Vaststelling van een gestandaardiseerde themarapportage

Het onderhavige artikel gaat over het ontwikkelen van een gestandaardiseerde iRT NN. Voordat een iRT NN daadwerkelijk aangevraagd kan worden moet deze namelijk eerst zijn ontwikkeld en door de rechtmatigheidsadviescommissie zijn beoordeeld. Bij de ontwikkeling van een gestandaardiseerde themarapportage komen de volgende onderdelen aan de orde: 1) het vaststellen van het thema, 2) de productbeschrijving en 3) de vaststelling van de indicatoren. Deze drie elementen komen overeen met de indeling van dit artikel en artikel 2.10. Een productbeschrijving gaat onder meer in op de relatie tot het doel van iCOV, de gehanteerde databronnen, methode en indicatoren, de invulling van de waarborgen en de manier waarop de resultaten worden gerapporteerd. Bij een aanvraag om een iRT voor het betreffende thema moet de gestandaardiseerde iRT NN die volgens dit artikel is vastgesteld, in acht worden genomen. Indien een deelnemer daadwerkelijk een iRT NN aanvraagt, moet hij de concrete onderzoeksgroep bepalen en de concrete noodzaak van de rapportage onderbouwen (zie artikel 2.11). Het thema, de indicatoren en de methode liggen dan vast.

Eerste lid (vaststelling thema)

Tweede lid (productbeschrijving)

Onderdeel a (beschrijving relatie tot doel iCOV, subsidiariteit en proportionaliteit)

Onderdeel b (beschrijving te hanteren indicatoren, methode en gegevens)

Onderdeel c (beschrijving invulling waarborgen)

Op grond van dit onderdeel moet de productbeschrijving ook een toelichting geven op de wijze waarop invulling wordt gegeven aan de waarborgen, bedoeld in de artikelen 2.11 en 2.12 van dit besluit en artikel 1.9 van de wet. Daartoe kan gebruik worden gemaakt van het bestaande format verantwoord datagebruik, dat is goedgekeurd door de deelnemers.

Onderdeel d (beschrijving relevante resultaten en ondergrens)

Artikel 2.10 Vaststelling van indicatoren voor een themarapportage

(grondslag: artikel 2.14, eerste lid, WGS)

Volledigheidshalve wordt opgemerkt dat artikel 1.7, vierde en vijfde lid, van de wet verplichten tot een periodieke terugkoppeling van de effectiviteit en bruikbaarheid van de resultaten. Daarbij moeten de gehanteerde indicatoren aan de hand van de ontvangen terugkoppelingen periodiek worden geëvalueerd ten behoeve van de verbetering van die indicatoren. De periodieke evaluatie wordt in het kader van haar wettelijke taak beoordeeld door de rechtmatigheidsadviescommissie.

Op grond van artikel 1.9, derde lid, van de wet moet er aan het publiek op toegankelijke wijze uitleg worden verschaft over de gehanteerde indicatoren.

Artikel 2.11 Criteria voor behandeling van een verzoek om een themarapportage

(grondslag: artikel 2.14, tweede lid, WGS en artikel 1.8, eerste lid, WGS)

Het onderhavige artikel geeft voor wat betreft de iCOV Rapportage Thema NN en de iCOV Rapportage Thema compact, samen met artikel 2.9, invulling aan de aankondiging uit de Kamerbrief van 17 december 2021 dat het startpunt van de gegevensverwerking zoveel mogelijk wordt geconcretiseerd.100

Eerste lid (criteria iRT NN)

In overleg tussen de deelnemer die het verzoek wil doen en medewerkers van iCOV wordt het verzoek voor een specifieke iRT NN opgesteld. Het thema, de methode, de indicatoren en de te gebruiken databronnen staan vast (zie artikel 2.9 en 2.10).

Onderdeel a (onderzoeksvraag en onderzoeksgroep)

De deelnemer die het verzoek doet bepaalt in samenspraak met iCOV de onderzoeksgroep (bijvoorbeeld natuurlijke personen of rechtspersonen of objecten binnen een bepaald geografisch gebied) en onderzoeksvraag. Daarbij wordt kritisch gekeken naar mogelijke herleidbaarheid van subjecten. Herleidbaarheid kan ontstaan als de onderzoeksgroep onvoldoende groot of divers is zoals het bevragen van objecten binnen een bepaalde straat in plaats van een stad. De aanvrager verantwoordt de keuze van de onderzoekspopulatie voor zover dit mogelijk is kijkend naar onderzoeks- en opsporingsbelangen.

Onderdeel b (aanleiding en duidelijke en objectieve aanwijzingen)

Onderdeel b vereist dat een beschrijving wordt opgenomen voor de aanleiding en achtergrond van de onderzoeksvraag, met een vermelding van duidelijke en objectieve aanwijzingen dat bij de beoogde onderzoeksgroep sprake is van het type onrechtmatig financieel gewin waar het vastgestelde thema zich op richt. Deze motivering hoeft overigens niet zodanig gedetailleerd te zijn dat informatie wordt gegeven over de inhoud van een opsporings- of toezichtprocedure, aangezien dit opsporings- of toezichtbelangen zou kunnen doorkruisen.

Onderdeel c (noodzakelijkheid)

Onderdeel c vereist dat de deelnemer die een iRT NN aanvraagt, toelicht waarom de rapportage noodzakelijk is voor zijn taken en bevoegdheden, bedoeld in artikel 2.11 van de wet of artikel 2.6 van dit besluit. Ook hier geldt het voorbehoud uit de vorige alinea over de mate van detaillering van de toelichting.

Onderdeel d (proportionaliteit)

Tweede lid (criteria iRT compact)

Algemeen: iRT compact

Voorwaarden

Volgens dit artikellid kan een iRT compact alleen worden aangevraagd ten aanzien van (tot dan toe) gepseudonimiseerde personen ten aanzien van wie op basis van de vooraf vastgestelde indicatoren duidelijke en objectieve aanwijzingen blijken dat op onrechtmatige wijze financieel gewin is of wordt behaald. Daarbij zijn de aanvraagcriteria die gelden voor een iRVI of iRR (artikel 2.8) van overeenkomstige toepassing.

Artikel 2.12 Uitvoering van de gegevensanalyse voor een themarapportage

(grondslag: art. 1.1, derde streepje, 1.9, vijfde lid, en 2.14, tweede lid, WGS)

Het onderhavige artikel stelt nadere regels over de uitvoering van de gegevensanalyse in het kader van de geanonimiseerde themarapportage (iRT NN). Het artikel stelt een aantal aanvullende waarborgen om een zorgvuldige analyse te bereiken. In de toelichting op artikel 2.9 van dit besluit is reeds een inleiding gegeven op wat wordt bedoeld met de bevoegdheid uit artikel 2.13, onder c, van de wet om een iRT NN op te stellen, evenals de bevoegdheid uit artikel 2.13, onder d, van de wet om een «iRT compact» op te stellen.

Eerste lid (omschrijving vormen van geautomatiseerde gegevensanalyse)

In de consultatie heeft het Openbaar Ministerie gevraagd of het aanwijzen van één soort analyse als geautomatiseerde gegevensanalyse betekent dat de overige vormen van gegevensverwerking door iCOV niet als geautomatiseerde gegevensanalyse worden aangemerkt. Dit is een juiste conclusie. Uit artikel 2.12, eerste lid, volgt dat alleen een themarapportage iRT NN wordt opgesteld op basis van een geautomatiseerde gegevensanalyse. De overige vormen van gegevensverwerking door de deelnemers van iCOV betreffen geen geautomatiseerde gegevensanalyse in de zin van de wet (artikel 1.1 van de WGS).

Tweede lid (in acht nemen productbeschrijving)

Een iRT NN brengt een bepaald fenomeen vanuit een afgebakende onderzoeksgroep gepseudonimiseerd in kaart om vervolgens door verschillende analysetechnieken de elementen te belichten die voor de domeinen opsporing, toezicht of inning van overheidsvorderingen relevant zijn. De indicatoren en de gebruikte methode zijn vastgelegd in de productbeschrijving, bedoeld in artikel 2.9. De gegevensanalyse moet deze vastgestelde indicatoren en onderzoeksmethode volgen, zo volgt uit dit lid.

Derde lid (in acht nemen aanvraag)

De aanvrager bepaalt in samenspraak met een medewerker van iCOV de onderzoeksgroep en onderzoeksvraag (zie artikel 2.11, eerste lid). De analyse beperkt zich tot het thema, de gedefinieerde onderzoeksgroep en de onderzoeksvraag.

Vierde lid (aanvullende voorwaarden)

Onderdeel a (representativiteit onderzoeksgroep)

Ook moet aandacht worden besteed aan het op dusdanige wijze selecteren van de onderzoeksgroep dat vooringenomenheid zoveel mogelijk wordt voorkomen.

Onderdeel b (uitlegbare en navolgbare methodiek)

Onderdeel b waarborgt dat de gehanteerde methodiek van de gegevensverwerking voor de themarapportage voldoet aan de eisen van uitlegbaarheid, navolgbaarheid en controleerbaarheid. Dit is van belang voor de validatie, transparantie en verantwoording. Dit wordt in de praktijk bevorderd door de productbeschrijving van de themarapportage, waarin een verantwoording wordt gegeven van voornoemde eisen.

Onderdeel c (fasen van pseudonimisering)

Onderdeel c wijst aan in welke fase van de gegevensverwerking pseudonimisering plaatsvindt. Pas nadat de ontvanger van de iRT NN ten aanzien van een bepaald subject een verzoek heeft gedaan om een iRT Compact (dat voldoet aan de voorwaarden), worden er identificerende gegevens toegevoegd. Dit is vastgelegd in onderdeel c. Hiermee wordt invulling gegeven aan artikel 1.9, vijfde lid, van de wet.

Er staan geen identificerende gegevens in de themarapportage NN. Als er gegevens in staan die te herleiden zijn naar een persoon dan worden deze gegevens niet opgenomen in de rapportage. Dat volgt uit artikel 2.13, onder c, van de wet. Voor de ontvanger is een iRT NN een geanonimiseerde rapportage. Vanuit iCOV gezien is een iRT NN gepseudonimiseerd. Zowel de betreffende medewerker die de rapportage opstelt als de ontvanger van de rapportage hebben geen toegang tot deze sleutel. Dit volgt uit artikel 1.9, vijfde lid, van de wet, dat verplicht tot het «apart bewaren» van de sleutel.

Onderdeel d (horizon)

Onderdeel d bepaalt dat, in verband met de actualiteit van de data, een verzoek om een iRT compact hooguit tot twee jaar na de verstrekking van de iRT-NN kan worden ingediend. Idealiter geschiedt dit overigens binnen één jaar.

Paragraaf 2.3 Regionale Informatie- en Expertisecentra (RIEC’s)

De activiteiten van de RIEC’s mogen overigens geen geautomatiseerde gegevensanalyse in de zin van de wet omvatten, aangezien de mogelijkheid om bij amvb de bevoegdheid tot geautomatiseerde gegevensanalyse te regelen in dit besluit niet is ingevuld. Dit is toegelicht in de memorie van antwoord bij de wet.105 In de consultatie heeft het Openbaar Ministerie gevraagd of dit betekent dat de toegestane vormen van gegevensverwerking door het RIEC niet als geautomatiseerde gegevensanalyse moeten worden aangemerkt. De toegestane gegevensverwerkingen door het RIEC betreffen inderdaad geen geautomatiseerde gegevensanalyse.106 Geautomatiseerde gegevensanalyse is een analyse van persoonsgegevens waarbij tijdens de analyse geen menselijke tussenkomst plaatsvindt, maar nadat de analyse is voltooid menselijke tussenkomst plaatsvindt ter controle van het resultaat op de zorgvuldige totstandkoming, alvorens dit te verstrekken (art. 1.1 en 1.9, tweede lid, WGS).107

Artikel 2.13 Territoriale werkgebieden

(grondslag: artikel 2.16, tweede lid, WGS)

Voor de kenbaarheid is het van belang dat wordt gepubliceerd wat het territoriale gebied is van elk Regionaal Informatie- en Expertisecentrum, zodat duidelijk is welke gemeenten en andere deelnemers aan de respectievelijke RIEC’s deelnemen. Daarom moeten de RIEC’s op grond van het onderhavige artikel de territoriale indeling publiceren op internet. De wijze van publicatie op internet is daarin niet voorgeschreven: dit kan op de site van een RIEC, maar kan ook voor alle RIEC’s centraal worden gepubliceerd.

Artikel 2.14 Nadere regels over wettelijke taken en bevoegdheden van deelnemers

(grondslag: artikel 2.19, tweede lid, WGS)

Artikel 2.15 Concretisering van te verstrekken gegevens

(grondslag: artikel 2.22, tweede lid, WGS)

Dit artikel geeft uitvoering aan artikel 2.22, tweede lid, van de wet. Artikel 2.22 van de wet bepaalt dat bij algemene maatregel van bestuur nadere regels worden gesteld over de categorieën van gegevens en de concretisering daarvan en de bronnen van waaruit die gegevens afkomstig zijn en dat aanvullende categorieën gegevens kunnen worden aangewezen, voor zover dat noodzakelijk is voor het doel van de RIEC’s. Het onderhavige artikel codificeert de gegevens die volgens de procesbeschrijvingen van de RIEC’s uit 2019 worden verwerkt.108 Het onderhavige artikel heeft geen betrekking op de aanmelding van een signaal bij een RIEC op grond van artikel 2.23, eerste lid, van de wet, maar wel op de gezamenlijke gegevensverwerking die daarop volgt.

Hoewel het voorgestelde artikel een uitwerking biedt van de te verstrekken categorieën gegevens, laat dat onverlet dat de leverende deelnemers zelf beoordelen welke precieze persoonsgegevens, vergaard vanuit de eigen taakstelling, in het concrete geval noodzakelijk zijn om een goede invulling te kunnen geven aan de doelstelling van de RIEC’s en dus moeten worden verstrekt. Het onderhavige artikel laat bovendien de voorwaarden uit artikel 1.5 van de wet onverlet, namelijk dat de verstrekking noodzakelijk moet zijn voor het doel van het samenwerkingsverband en dat zwaarwegende redenen zich niet tegen verstrekking mogen verzetten.

Op getrapte wijze verstrekken de deelnemers gegevens ten behoeve van het doel van de RIEC’s op basis van signalen van de deelnemers. Dit geschiedt in maximaal drie fasen. Daarbij kan aan de tweede of derde fase eventueel worden toegekomen wanneer de deelnemers na een zorgvuldige afweging concluderen dat met de gegevens die in de eerdere fase zijn verstrekt het doel van de RIEC’s nog niet (voldoende) kan worden bereikt en dat de verstrekking van de zwaardere categorieën gegevens noodzakelijk is. Deze afweging hangt onder meer af van de ernst van het signaal. Beginselen van proportionaliteit en subsidiariteit zijn in dit proces leidend. Er mogen niet meer gegevens worden verwerkt dan strikt noodzakelijk is ter verwezenlijking van het doel van de RIEC’s. De belangenafweging vindt in het concrete geval plaats. Deze afweging geldt voor elke stap in het proces en wordt mede geborgd door de uitgewerkte fasering. Op basis van het verkregen inzicht in de (mogelijke) aard en omvang van de georganiseerde criminaliteit kan uiteindelijk een integraal interventieadvies worden geformuleerd, waarna de effectiviteit en bruikbaarheid hiervan moeten worden geëvalueerd (artikel 1.7, vierde lid, WGS).

In de memorie van toelichting bij artikel 2.23 van de wet is de indeling in fasen toegelicht.109 Aldaar is onder meer toegelicht: «Met dit stapsgewijze proces waarin verschillende categorieën van persoonsgegevens naar de mate van relatieve zwaarte worden verwerkt voor zover dat noodzakelijk is voor het doel, bedoeld in artikel 2.17, wordt invulling gegeven aan de beginselen van subsidiariteit en proportionaliteit. (...) Het kan in de praktijk van de RIEC’s voorkomen dat een signaal al na ontvangst als dusdanig ernstig wordt beschouwd, dat het noodzakelijk kan zijn al direct over te gaan tot het gezamenlijk verwerken van de zwaardere typen categorieën gegevens. Deze bepaling staat dat toe, mits de deelnemers zich ervan rekenschap geven dat zij daartoe pas overgaan na zorgvuldige afweging met het oog op het doel van artikel 2.17.»

Met het voorliggende artikel wordt tevens een afbakening gegeven van de categorie gegevens over seksueel gedrag of seksuele gerichtheid. Zoals gesteld in de memorie van toelichting111 en de nota naar aanleiding van het verslag112 bij de wet, is het voor het doel van de RIEC’s noodzakelijk om bijzondere persoonsgegevens over seksueel gedrag te kunnen verwerken. Daarbij is erop gewezen dat bij de aanpak van mensenhandel in RIEC-verband namelijk ook onderzoeken plaatsvinden naar illegale prostitutie en uitbuiting, waarbij gegevens over seksueel gedrag verwerkt (moeten) worden. Het onderhavige artikel verduidelijkt dat het dus uitsluitend gaat om persoonsgegevens met betrekking tot iemands seksueel gedrag wanneer de verwerking noodzakelijk is voor onderzoeken in het kader van bestrijding van mensenhandel, illegale prostitutie en uitbuiting, in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard. Hiermee is deze gegevenscategorie uit artikel 2.21 van de wet scherper afgebakend en in overeenstemming gebracht met datgene wat volgens artikel 23, onder c, van de Uitvoeringswet AVG reeds is toegestaan. In het onderhavige artikel is de verwerking van persoonsgegevens met betrekking tot seksuele gerichtheid uitgesloten. Dit is aangepast conform een toezegging tijdens de plenaire behandeling van de wet in de Eerste Kamer op 11 juni 2024.

In de consultatie hebben de RIEC’s opgemerkt dat het onduidelijk is of het fasegewijs proces uit het onderhavige artikel ook van toepassing is op de indiening van een signaal. In reactie hierop wordt opgemerkt dat het fasegewijs proces niet van toepassing is op de indiening van signalen. Dit volgt uit de zinsnede in artikel 2.23, zesde lid, van de wet, waaruit blijkt dat wordt toegekomen aan fase 1 «indien een signaal aanleiding geeft tot gezamenlijke verwerking van gegevens». Dit betekent dat moet worden teruggevallen op artikel 2.23, eerste lid, van de wet: een deelnemer kan een signaal melden, mits dat verband houdt met het doel van het RIEC, en daartoe gegevens verwerken. Op grond van artikel 2.16, tweede lid, van dit besluit moet bij de aanmelding van het signaal worden toegelicht in hoeverre is voldaan aan de criteria. Daarbij kan de deelnemer die het signaal aanmeldt gegevens verwerken die nodig zijn om de deelnemers in staat te stellen om te bepalen of het signaal in overeenstemming is met het doel van de RIEC’s. Welke gegevens dat zijn, hangt af van het geval.

Artikel 2.16 Criteria voor behandeling van een signaal

(grondslag: artikel 2.23, negende lid, WGS)

Eerste lid

In het Privacyprotocol is georganiseerde criminaliteit omschreven als «misdaadverschijnselen met een maatschappij ondermijnend karakter, die tot stand komen in samenwerking tussen personen en worden gepleegd met het oog op het gezamenlijk behalen van financieel of materieel gewin».116 De Afdeling advisering van de Raad van State heeft in haar voorlichting over de rol van gemeenten in de bestuurlijke en integrale aanpak van ondermijning een aantal concrete kenmerken genoemd, die nader duiden wat moet worden verstaan onder georganiseerde criminaliteit, zoals dat hiermee meestal grote hoeveelheden geld worden verdiend, dat de grote winsten worden gebruikt om de bovenwereld te ondermijnen en dat de ondermijning dreigt door te werken naar de overheid.117

Criterium d gaat over de verwachting dat het signaal de gezamenlijke aanpak met meerdere deelnemers van het RIEC vergt. Bij dit criterium is het van belang dat de betreffende deelnemer de intentie heeft om het signaal gezamenlijk met meerdere deelnemers op te pakken. De deelnemer heeft beoordeeld dat het oppakken van het signaal (enkel) monodisciplinair vanuit het eigen vakgebied niet het meest opportuun wordt gevonden. Als de deelnemer door zelf interventies te plegen het probleem voldoende kan aanpakken, moet die weg eerst worden bewandeld. Het kan echter ook op voorhand duidelijk zijn dat een integrale aanpak nodig is.

Op grond van criterium e moet worden getoetst of het signaal naar verwachting betrekking heeft op de regio van het betreffende RIEC. Het signaal moet ten minste binnen die regio vallen. Dat een signaal op meerdere regio’s betrekking kan hebben is geen beletsel. Mocht gegevensuitwisseling tussen meerdere RIEC’s nodig blijken voor het doel van de RIEC’s, dan is dat mogelijk onder de voorwaarden van artikel 2.20 van de wet.

Tweede lid

De verplichting voor de deelnemer die het signaal aanmeldt om toe te lichten in hoeverre is voldaan aan de criteria is opgenomen om achteraf te kunnen vaststellen of hieraan is voldaan. De wijze waarop dit gebeurt, wordt aan de praktijk gelaten. Dit kan bijvoorbeeld blijken uit het aanmeldformulier of het dossier.

In de consultatie hebben de RIEC’s en VNG voorgesteld om mogelijk te maken dat, voorafgaand aan de melding van een signaal door een deelnemer, persoonsgegevens gedeeld kunnen worden door het RIEC en die inbrengende deelnemer («verkennende fase») zodat signalen vervolgens conform de vereisten kunnen worden opgebouwd. In reactie hierop wordt opgemerkt dat een deelnemer zelfstandig een signaal kan aanmelden bij het RIEC en dat die deelnemer moet toetsen in hoeverre het signaal voldoet aan de criteria voor het in behandeling nemen van een signaal. Op grond van dit artikellid moet de deelnemer dit toelichten, bijvoorbeeld via het aanmeldformulier. Daarna dienen ook de andere deelnemers te beoordelen of naar hun oordeel is voldaan aan de criteria (artikel 2.23, tweede en derde lid, van de wet). De deelnemers registreren vervolgens in het systeem of naar hun oordeel is voldaan aan de criteria en nemen het signaal al dan niet in behandeling. Als het signaal niet voldoet, kunnen andere deelnemers inzichtelijk maken wat eventueel mist voor het in behandeling nemen van een signaal. Als met de consultatiereactie bedoeld zou zijn dat er in RIEC-verband moet kunnen worden overlegd indien een deelnemer constateert dat hij een signaal niet kan aanmelden omdat het niet voldoet aan de criteria – waarvan het belang door de RIEC’s wordt onderschreven – dan zouden deze criteria zinledig zijn als informatiedeling met het RIEC ook mag plaatsvinden als aan die criteria niet is voldaan. Wel is denkbaar dat een deelnemer, voor zover bestaande bevoegdheden tot bilaterale gegevensuitwisseling dat toelaten, met een andere deelnemer overlegt alvorens een signaal aan te melden bij het RIEC.

De RIEC’s hebben in de consultatie ook opgemerkt dat signalen vanuit het buitenland slechts zeer beperkt via RIEC-deelnemers in RIEC-samenwerkingsverbanden worden besproken. Zij verzoeken om te onderzoeken of buitenlandse overheidsorganen onder voorwaarden (tijdelijk) kunnen deelnemen aan een RIEC. In reactie hierop wordt opgemerkt dat de RIEC-deelnemers bij wet zijn aangewezen en dat zij krachtens hun eigen bevoegdheden en op grond van artikel 1.2, tweede lid, van de wet bilateraal internationale contacten onderhouden en indien nodig de resultaten daarvan binnen het RIEC inbrengen.

Paragraaf 2.4 Zorg- en Veiligheidshuizen (ZVH)

Artikel 2.17 Definitiebepaling

Artikel 2.26 van de wet gebruikt de term «gezamenlijke strategie voor de uitoefening van de wettelijke taken en bevoegdheden waarmee de deelnemers zijn belast alsmede daaraan gerelateerde noodzakelijke werkzaamheden die worden verricht door de deelnemers». In de praktijk van de Zorg- en Veiligheidshuizen is dat het zogeheten plan van aanpak. Gelet daarop en om wetseconomische redenen wordt de term gedefinieerd als plan van aanpak.

Artikel 2.18 Territoriale werkgebieden

(grondslag: artikel 2.24, tweede lid, WGS)

Voor de kenbaarheid is het van belang dat wordt gepubliceerd wat het territoriale gebied is van elk Zorg- en Veiligheidshuis, zodat duidelijk is welke gemeenten en andere deelnemers aan de respectievelijke Zorg- en Veiligheidshuizen deelnemen. Daarom moeten de Zorg- en Veiligheidshuizen op grond van het onderhavige artikel de territoriale indeling publiceren op internet. De wijze van publicatie op internet is daarin niet voorgeschreven: dit kan op de site van een Zorg- en Veiligheidshuis, maar kan ook voor alle Zorg- en Veiligheidshuizen centraal worden gepubliceerd. Mochten de territoriale werkgebieden wijzigen, dan moet de bekendgemaakte informatie uiteraard worden geactualiseerd.

Artikel 2.19 Beperking gegevensverstrekking over kring van personen

(grondslag: artikel 2.30, tweede lid, WGS)

De AP heeft in haar nadere advies over de WGS geadviseerd om de categorieën van te verstrekken persoonsgegevens bij de Zorg- en Veiligheidshuizen te beperken tot directe sociale contacten van betrokkene, en dus gegevensverstrekking over de tweede en derde schil rondom betrokkene uit te sluiten. De AP heeft gesignaleerd dat er een oneindig aantal schillen rondom een betrokkene kan ontstaan. Eerst de directe sociale omgeving, dan de sociale omgeving van mensen in die sociale omgeving, et cetera. Inderdaad kan de formulering van artikel 2.30 van de wet op dit punt aanleiding geven tot onduidelijkheid. Een oneindig aantal schillen is niet beoogd. Om dit buiten twijfel te stellen is conform het advies van de AP in het onderhavige artikel voor de Zorg- en Veiligheidshuizen geregeld dat de gegevensverstrekking wordt beperkt tot de eerste schil rond een betrokkene. Dit is aangekondigd in de Kamerbrief van de Minister van Justitie en Veiligheid van 17 december 2021 in reactie op het nadere advies van de AP over de WGS.119

Gegevensverwerking over de eerste schil rond betrokkene is voldoende ten behoeve van het achterliggende doel van de gegevensverwerking over directe sociale contacten van de betrokkene, zoals toegelicht in de memorie van toelichting bij de WGS.120

Artikel 2.20 Criteria voor behandeling van een casus

(grondslag: artikel 2.31, twaalfde lid, WGS)

Eerste lid

Bij aanvang van een casus staat niet 100% vast dat de betreffende problemen zich zullen (blijven) voordoen. Deel van het werk is immers het verder onderzoeken en analyseren van de casus om zicht te krijgen op de problemen die er spelen, en om tot een goede aanpak te komen. De aanmelder zal voldoende aannemelijk moeten maken dat de casus aan de criteria voldoet.

Onderdeel a (problemen bij betrokkene of relevante problemen in zijn gezinssituatie)

Onderdeel b (meerdere leefgebieden)

Onderdeel b noemt de term «leefgebieden». Zoals opgemerkt in de memorie van toelichting bij de WGS gaat het om «leefgebieden met criminogene factoren, zoals deze ook in diverse instrumenten worden gehanteerd, zoals: werk en inkomen, financiën, onderwijs, psychische en fysieke gezondheid, wonen, relaties».123 Kortom, het gaat om aspecten van het leven die criminogene factoren kunnen bevatten, zoals financiën, wonen, zorg, gezin en werk.

Onderdeel c (ernstige overlast, criminaliteit of onveilige situaties)

Onderdeel c vereist als criterium voor behandeling van de casus dat de problemen door toedoen van betrokkene tot ernstige overlast, criminaliteit of onveilige situaties voor personen of binnen een gebied leiden, hebben geleid, of zonder interventie, zouden gaan leiden, gelet op duidelijke en objectieve aanwijzingen daarvoor. Dit vereiste is het spiegelbeeld van artikel 2.25 van de wet, dat bepaalt dat de Zorg- en Veiligheidshuizen zijn gericht op het voorkomen, verminderen en bestrijden van criminaliteit en ernstige overlast en het voorkomen en verminderen van onveilige situaties voor personen of binnen een gebied. Het criterium omvat dus mede de situaties die een hoog risico inhouden op afglijden naar ernstige overlast, criminaliteit of onveilige situaties. Daarover moeten dan duidelijke en objectieve aanwijzingen bestaan dat, indien niet wordt geïntervenieerd, de problemen daartoe zullen leiden. Dat betekent dat «niets doen» vrijwel zeker leidt tot het veroorzaken van genoemde problemen. Betrokkene hoeft zich nog niet per se schuldig gemaakt te hebben aan die gedragingen.

Onderdeel d (multidisciplinaire samenwerking nodig)

Onderdeel d geeft aan dat samenwerking tussen meerdere ketens noodzakelijk moet zijn. Gedoeld wordt op samenwerking tussen deelnemers van het Zorg- en Veiligheidshuis uit enerzijds het strafrecht- of openbare orde en veiligheidsdomein met anderzijds deelnemers uit het zorg en/of sociaal domein.

Tweede lid (afstemming meerdere casussen)

Derde lid (registreren of aan de criteria is voldaan)

De verplichting om te registreren of is voldaan aan de criteria dient meerdere doelen. Registratie maakt het mogelijk om aan betrokkene te kunnen verantwoorden waarom tot behandeling in het Zorg- en Veiligheidshuis is over gegaan. Een tweede doel is dat het hierdoor mogelijk wordt om in de audit op grond van artikel 1.10 van de wet na te gaan of de criteria in de praktijk ook op de juiste wijze worden gehanteerd. Ook kunnen de deelnemers deze informatie gebruiken voor eigen evaluaties. Ten derde kan de informatie gebruikt worden om zicht te krijgen op typen problematiek ten behoeve van beleidsinformatie. Bij de verwerking voor evaluatie en beleid zal uiteraard in passende waarborgen voor de privacy van betrokkene(n) moeten worden voorzien.

Artikel 2.21 Nadere criteria voor incidentele deelname aan Zorg- en Veiligheidshuis

(grondslag: artikel 2.31, twaalfde lid, WGS)

Zoals opgemerkt in de memorie van toelichting bij de wet kan incidentele deelname nodig zijn indien dat naar het oordeel van de betrokken deelnemers voor een goede behandeling van complexe persoonsgebonden casuïstiek noodzakelijk is.124 Bij amvb kunnen uitdrukkelijke criteria worden gesteld op grond van artikel 2.31, twaalfde lid, van de wet. Daartoe dient het onderhavige artikel. Hiermee wordt tevens gevolg gegeven aan de aankondiging uit de Kamerbrief van 17 december 2021 dat uitdrukkelijk wordt voorzien in criteria voor incidentele deelname van derden aan de Zorg- en Veiligheidshuizen.125 Volgens artikel 2.31, negende lid, van de wet moeten de in artikel 2.27, eerste lid, van de wet bedoelde deelnemers (de reguliere publieke deelnemers), indien zij een casus in behandeling nemen, beoordelen of het voor het doel van de Zorg- en Veiligheidshuizen noodzakelijk is om een partij als incidentele deelnemer te betrekken. Zoals Reclassering Nederland in de consultatie terecht heeft opgemerkt, kan een reguliere private deelnemer kenbaar maken dat zij aanleiding ziet om een derde als incidentele deelnemer te betrekken; het is echter alleen aan de reguliere publieke deelnemers om te beslissen over die incidentele deelname. Dit vloeit voort uit de artikelen 2.27 en 2.31, negende lid, van de wet.

Eerste lid, algemeen

Dit lid stelt nadere criteria voor de incidentele deelname van derden door de voorwaarden waaronder zij deel mogen nemen te specificeren. Incidentele deelname aan een casusoverleg is mogelijk indien deze derden (1.) over deskundigheid beschikken die noodzakelijk is bij de aanpak van een specifieke casus en (2.) zij gelet op hun onderscheidenlijke wettelijke of publieke taken en bevoegdheden een rol kunnen vervullen bij het opstellen, uitvoeren of evalueren van het integrale plan van aanpak. Een publieke taak is een taak die niet wettelijk is geregeld, die een maatschappelijke of politieke relevantie kent en waarbij de overheid betrokken is bij het beleidsterrein waartoe de taak gerekend kan worden.126

In de consultatie hebben de Samenwerkende Zorg- en Veiligheidshuizen bepleit dat ook CJIB/AICE moet kunnen deelnemen, omdat dit ten goede komt aan het plan van aanpak voor de besproken cliënten. Bij het CJIB is het Administratie- en Informatiecentrum voor de Executieketen (AICE) ingericht, dat als ketenregisseur namens de minister verantwoordelijk is voor de tenuitvoerlegging van strafrechtelijke beslissingen. Onder de voorwaarden van het onderhavige artikellid kan AICE incidenteel deelnemen aan een casusoverleg, indien dat noodzakelijk is.

Deelname persoon uit directe kring betrokkene

Voor zover dat naar het oordeel van de deelnemers, bedoeld in artikel 2.27, eerste lid, van de wet, een bijdrage levert aan het analyseren van de problematiek of het opstellen, uitvoeren of evalueren van het plan van aanpak, kunnen zij ook mensen uit de directe kring van betrokkene uitnodigen. Bij de complexe problematiek die in het Zorg- en Veiligheidshuis aan de orde is, is betrokkenheid van het sociale systeem rond betrokkene vaak van belang om de interventies, hulpverlening of ondersteuning succesvol te laten zijn en tot een duurzame oplossing te komen. Te denken valt aan situaties van ernstig en structureel huiselijk geweld waar bepaalde personen uit de omgeving een positieve invloed kunnen hebben, of jongvolwassenen bij wie ouders, grootouders of een oudere broer of zus een positieve rol kunnen spelen om verder afglijden naar criminaliteit te voorkomen. Een dergelijke rol heeft echter alleen zin als betrokkene daar zelf ook de waarde van inziet, en er geen conflicten of belangentegenstellingen spelen. Mede daarom is deelname van deze incidentele deelnemers alleen mogelijk met uitdrukkelijke toestemming van betrokkene. Gedoeld is hierbij op toestemming als bedoeld in artikel 6, eerste lid, onder a, gelezen in samenhang met artikel 9, tweede lid, onder a, van de AVG. Onder toestemming verstaat de AVG «elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt» (artikel 4, onderdeel 11, AVG). Er mag geen druk worden uitgeoefend op de betrokkene om diens toestemming te verkrijgen. Toestemming is immers geen geldige rechtsgrond voor de gegevensverwerking in een specifiek geval wanneer er sprake is van een duidelijke disbalans tussen de betrokkene en de verwerkingsverantwoordelijke, bijvoorbeeld als de verwerkingsverantwoordelijke een overheidsinstantie is én dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend (overweging 43 van de AVG). De toestemming moet dus daadwerkelijk vrijelijk zijn verleend. Bij de beoordeling is in de praktijk van belang dat een deel van de besproken betrokkenen in beeld is bij justitie of dat er sprake is van ten minste een vermoeden van psychiatrische problematiek. Hiermee dient rekening te worden gehouden bij de vraag of toestemming zou voldoen aan de voornoemde vereisten.

Deelname door betrokkene

Tweede lid (geheimhoudingsverklaring)

Dit lid bepaalt dat incidentele deelnemers een geheimhoudingsverklaring moeten tekenen. De geheimhoudingsplicht geldt op grond van de artikelen 1.11 en artikel 2.31, tiende lid, van de wet ook voor derden die op incidentele basis deelnemen. Met de geheimhoudingsverklaring verklaart de derde dat hij bekend is met deze geheimhoudingsplicht en deze zal naleven.

In de consultatie hebben de Samenwerkende Zorg- en Veiligheidshuizen opgemerkt dat de geheimhoudingsplicht in artikel 1.11 van de wet niet van toepassing is «voor wie reeds uit hoofde van ambt, beroep of wettelijk voorschrift ter zake van die gegevens een geheimhoudingsplicht geldt». Zij vragen of er dan nog een separate geheimhoudingsverklaring benodigd is. Het is inderdaad niet beoogd om hier een doublure te creëren, maar in een dergelijke situatie mag van de derde wel worden verwacht om te verklaren dat hij bij de gegevensverwerking gebonden is aan een bijzonder geheimhoudingsregime uit hoofde van zijn ambt of beroep of een wettelijk voorschrift.

Derde lid (geen autorisatie voor systemen)

Dit lid concretiseert artikel 2.31, negende lid, van de wet, dat bepaalt dat de derden uitsluitend toegang krijgen tot de persoonsgegevens die in het Zorg- en Veiligheidshuis worden verwerkt voor zover dat noodzakelijk is voor het doel, bedoeld in artikel 2.25. Derden krijgen geen toegang tot de systemen. Deze beperking vooraf voorkomt onnodige risico’s, onder meer omdat derden in principe niet worden gescreend voor een incidentele deelname. Wel kan de derde voor een beperkt deel in kennis worden gesteld van beschikbare informatie. Daarom opent het derde lid de mogelijkheid dat deelnemers, bedoeld in artikel 2.27, eerste lid, van de wet, aan de derde relevante persoonsgegevens verstrekken om de derde in staat te stellen zijn rol uit te voeren.

Artikel 2.22 Objectieve criteria voor plaatsing op een lijst van geprioriteerde casussen

(grondslag: artikel 2.32, vijfde lid, WGS)

Artikel 2.32, eerste lid, van de wet bepaalt dat de objectieve criteria voor plaatsing op een lijst met geprioriteerde casussen openbaar moeten worden gemaakt. Onderdeel c van het onderhavige artikellid voegt daaraan toe dat dit geschiedt op internet.

Hoofdstuk 3. Wijziging van andere besluiten

Artikel 3.1 Wijziging Besluit politiegegevens

(grondslag: artikel 4.1 WGS)

Hoofdstuk 4. Slotbepalingen

Artikel 4.1 Inwerkingtreding

Dit artikel regelt dat de wet, dit besluit en de wijzigingswet WGS128 in werking treden met ingang van 1 maart 2025. Deze datum is enerzijds gekozen vanwege de Aanwijzingen voor de regelgeving, die voorschrijven dat de termijn tussen de publicatiedatum en het tijdstip van inwerkingtreding minimaal drie maanden is, indien een regeling direct relevant is voor medeoverheden (aanwijzing 4.17, vierde lid) en anderzijds vanwege signalen uit de betrokken samenwerkingsverbanden, dat de komende periode noodzakelijk is voor de implementatie van nieuwe waarborgen uit de wet en dit besluit. Het gaat dan onder meer om de aanwijzing van de coördinerend FG’s, rechtmatigheidsadviescommissies en contactpunten, het aanpassen van werkprocessen en het voorlichten van de medewerkers over de nieuwe regels.

Met deze inwerkingtredingsdatum wordt afgeweken van de vaste verandermomenten, omdat niet kan worden gewacht tot 1 juli 2025. Deze afwijking is gerechtvaardigd omdat de wet en dit besluit essentieel zijn voor de integrale aanpak van ernstige, ondermijnende vormen van criminaliteit en van complexe problemen op het snijvlak van zorg en veiligheid, waarbij informatiedeling tussen ketenpartners cruciaal is. Het is urgent dat de wet en dit besluit zorgen voor een helder juridisch kader om gegevens gezamenlijk te verwerken voor deze belangrijke gemeenschappelijke doeleinden. Hiermee worden aanmerkelijke ongewenste publieke nadelen voorkomen als bedoeld in aanwijzing 4.17, vijfde lid, aanhef en onder a, van de Aanwijzingen voor de regelgeving.

Voor de artikelen 1.3, vijfde lid, WGS en 1.4, derde lid, eerste volzin, WGS geldt een afwijkende inwerkingtredingsdatum, namelijk 1 juli 2025. Deze bepalingen regelen dat het personeel dat gegevens verwerkt, niet in dienst mag zijn van een aparte rechtspersoon, maar in dienst moet zijn van de deelnemers van het samenwerkingsverband. In sommige Zorg- en Veiligheidshuizen is dit personeel nu in dienst van stichtingen of gemeenschappelijke regelingen met rechtspersoonlijkheid. Zij hebben tot 1 juli nodig voor de aanpassingen in de rechtspersoonlijkheid en om op zorgvuldige wijze ervoor te zorgen dat dit personeel in dienst komt van de deelnemers.

Voor de inwerkingtreding van de artikelen 2.1, 2.2 en 2.6 van dit besluit – die aanvullende deelnemers aan iCOV en het FEC aanwijzen – is een separaat koninklijk besluit nodig, want daarbij geldt de verplichting tot het volgen van een parlementaire nahangprocedure op grond van de artikelen 2.3, derde lid, en 2.11, derde lid, van de wet. Volgens laatstgenoemde artikelen kan het inwerkingtredingsbesluit dat daarop betrekking heeft, niet eerder worden vastgesteld dan vier weken na de start van de nahangprocedure, welke procedure niet eerder kan starten dan na vaststelling van het onderhavige besluit, het BGS. Het streven is dat de artikelen 2.1, 2.2 en 2.6 per 1 maart ingaan.

De Minister van Justitie en Veiligheid, D.M. van Weel