De wet gegevensverwerking door samenwerkingsverbanden (WGS) is afgelopen zomer aangenomen en treedt per 1 maart 2025 in werking. Het doel van de wet is het regelen van gegevensdeling tussen publieke en private partijen bij de bestrijding van ondermijnende criminaliteit. De wet is een antwoord voor organisaties die al samenwerkten om criminaliteit tegen te gaan en geen duidelijk rechtskader hadden waarbinnen zij gegevens verantwoord konden delen.
In deze eerste blog over de WGS geef ik een uitleg over de wet en sta ik stil bij de kritiek die de wet heeft opgeroepen. Benieuwd wat deze wet betekent voor de betrokken organisaties? Blijf onze blogs volgen, want in deel 2 ga ik hier dieper op in.
Waarom de WGS?
De WGS maakt het mogelijk om voor het bestrijden van criminaliteit persoonsgegevens te delen tussen overheidspartijen en het bedrijfsleven. Hoewel gegevensdeling normaal gesproken onderdeel is van de Algemene verordening gegevensbescherming (AVG), zorgt de WGS voor een duidelijk kader voor het delen van onder meer bijzondere en strafrechtelijke persoonsgegevens. Onder de AVG is het verstrekken van persoonsgegevens alleen mogelijk als dit verenigbaar is met het doel waarvoor de gegevens zijn verzameld. De WGS geeft samenwerkingsverbanden de gelegenheid om, mits hier een gegronde reden voor is, gegevens te delen in het kader van strafrechtelijk onderzoek waar private partijen bij betrokken zijn.
De inhoud van de WGS
Wat regelt de WGS?
De belangrijkste intentie van de WGS is het wettelijk regelen van de data-uitwisseling binnen samenwerkingsverbanden. Het creëert een wettelijke grondslag voor samenwerkingsverbanden om rechtmatig persoonsgegevens te delen en ambieert rekening te houden met het recht op privacy en gegevensbescherming. Met de WGS wil de wetgever de mogelijkheden om data te delen binnen een samenwerkingsverband verbeteren.
Om wie gaat het?
De data-uitwisseling die de wet realiseert, betreft samenwerkingsverbanden. Een samenwerkingsverband is een verband van deelnemers die gezamenlijk gegevens verwerken voor zwaarwegende algemene belangen. Het gaat hierbij om belangen inzake het bestrijden van:
- ernstige vormen van criminaliteit;
- grootschalig of systematisch onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen en;
- grootschalige of systematische ontduiking van wettelijke verplichtingen tot betaling van belastingen, retributies en rechten bij in- en uitvoer.
Denk hierbij bijvoorbeeld aan fraude of mensenhandel.
De WGS erkent vier bestaande samenwerkingsverbanden (waarover later meer) en regelt welke partijen deel kunnen nemen aan een (nieuw) samenwerkingsverband.
Een samenwerkingsverband bestaat uit private en publieke organisaties. Een partij kan deelnemen aan een samenwerkingsverband als de deelname noodzakelijk is voor het doel van het samenwerkingsverband. Let wel: er moeten overheidsinstanties bij het samenwerkingsverband betrokken zijn; de WGS is niet van toepassing op samenwerkingsverbanden met uitsluitend bedrijven. [1]
Hoe werken ze samen?
De WGS introduceert regels waar samenwerkingsverbanden zich aan moeten houden. In dit stuk ga ik niet in op alle specifieke randvoorwaarden van de samenwerking, maar je moet hierbij denken aan waarborgen waar de deelnemende partijen zich aan moeten houden om ervoor te zorgen dat de gegevens op een goede manier worden verwerkt. Deze waarborgen worden in het blog ‘Wat betekent de WGS voor betrokken organisaties?’ verder toegelicht.
Noodzakelijkheid als rode draad
De noodzakelijkheid van het delen van gegevens is een rode draad door de WGS. Het is niet toegestaan om meer gegevens te delen dan strikt noodzakelijk is. Dit is in lijn met het principe van dataminimalisatie uit de AVG en zorgt er zo voor dat de WGS binnen de kaders van de AVG blijft. Alle deelnemers aan samenwerkingsverbanden zijn gebonden aan geheimhouding, waardoor de gegevens ook niet buiten de besloten kring van bevoegde personen worden gedeeld. In andere wetten die ingaan op gegevensdeling, zoals de Wet politiegegevens, de Wet op financieel toezicht of de Pensioenwet, zijn ook dergelijke geheimhoudingsclausules opgenomen om ervoor te zorgen dat gevoelige gegevens niet door iedereen ingezien kunnen worden. De WGS staat in bepaalde situaties uitzonderingen toe op die geheimhoudingsclausules, mits deze uitzondering natuurlijk noodzakelijk is om het doel van het samenwerkingsverband te behalen.
Invulling AVG en waarborgen
De door de WGS gerealiseerde data-uitwisseling betreft regelmatig persoonsgegevens, waardoor de AVG van toepassing is en de WGS ook specifiek verplichtingen uit de AVG invult. De WGS benoemt bijvoorbeeld dat samenwerkende partijen gezamenlijk verwerkingsverantwoordelijke zijn, in de zin van de AVG en creëert erkenning in de wet van de grondslag ‘zwaarwegend algemeen belang’. [2]
Om ervoor te zorgen dat partijen zich aan de AVG blijven houden, zijn er een aantal waarborgen in de WGS opgenomen om ervoor te zorgen dat de rechten van personen van wie gegevens worden gedeeld zijn beschermd. De waarborgen zijn bijvoorbeeld het instellen van geautoriseerde personen, een rechtmatigheidsadviescommissie, het loggen van activiteiten en de verplichting om regelmatig een audit te laten uitvoeren, waarover in het blog ‘Wat betekent de WGS voor betrokken organisaties?’ meer.
Het besluit gegevensverwerking door samenwerkingsverbanden
Als aanvulling op de WGS heeft het Kabinet ook het besluit gegevensverwerking door samenwerkingsverbanden (BGS) opgesteld. In het BGS zijn een aantal artikelen uit de WGS verder uitgewerkt. Ook is er met voortschrijdend inzicht een verdere uitwerking aangebracht ten opzichte van de WGS, na kritiek van onder andere de privacy toezichthouder, de Autoriteit Persoonsgegevens (AP).
Het BGS regelt dat er pas overgegaan mag worden tot gegevensdeling als een verzoek daartoe is getoetst op feitelijke juistheid. [3] Hiermee moet de doelbinding en de noodzakelijkheid worden gestoeld op duidelijke en objectieve aanwijzingen voor criminaliteit in plaats van op vage doelstellingen. Een samenwerkingsverband kan dus alleen gegevens delen als er gecontroleerd is of de gegevensdeling direct gekoppeld is aan een aanwijzing van criminaliteit. Met deze aanvulling concretiseert het BGS bepaalde vage bewoordingen uit de WGS.
Daarnaast zijn in het BGS waarborgen verder uitgewerkt. Hiermee is het voor deelnemers aan een samenwerkingsverband duidelijker wat er van ze wordt verwacht.
Verder schrapt het BGS de mogelijkheid om middels een AMvB een nieuw samenwerkingsverband te creëren. In plaats daarvan ligt de bevoegdheid om een nieuw samenwerkingsverband te creëren weer bij de Kamer. Hiermee zorgt het BGS dat de WGS is bijgestuurd op basis van kritiek geleverd door de AP.
Kritiek op de wet
De AP heeft meerdere malen aangegeven dat de WGS te verstrekkende gevolgen heeft voor de persoonsgegevens van burgers. De AP heeft de Eerste Kamer bij de eerste versie van de WGS zelfs geadviseerd om tegen te stemmen, omdat de bevoegdheden voor het delen van persoonsgegevens van potentieel criminele personen zeer ruim waren, wat grote gevolgen kan hebben voor de betrokkenen. Hierbij refereert de AP bijvoorbeeld aan de toeslagenaffaire, waaruit is gebleken dat mensen die per abuis op een verkeerde lijst zijn geplaatst snel in de knel kunnen komen te zitten. Sindsdien is de WGS aangepast en zijn er betere waarborgen ingebouwd en uitgewerkt in het BGS.
Verder vindt de AP dat de doelen uit de WGS vaag zijn geformuleerd. Hoewel doelbinding en de noodzakelijkheid van het delen van gegevens kernpunten uit de WGS zijn, wordt hier niet verder over uitgeweid. Zo kan ‘bestrijding van zware criminaliteit’ een doel zijn waarvoor het noodzakelijk is om gegevens te delen met private partijen, maar hoeft niet gespecificeerd te worden om wat voor criminaliteit het gaat, en hoe zwaar de criminaliteit is. De AP concludeert daaruit dat er geen duidelijke grenzen zijn gesteld en dat de WGS daarmee het risico creëert dat er op grote schaal persoonsgegevens worden verzameld en gedeeld zonder een vastomlijnd doel. Het BGS heeft deze kritiek opgevangen en ervoor gezorgd dat een verzoek tot gegevensdeling alleen wordt toegekend als deze is getoetst op feitelijke juistheid.
De AP stelt daarnaast dat de WGS in huidige vorm niet genoeg waarborgen bevat om de noodzaak van een verwerking te garanderen. Zij wil daarom dat er bij iedere voorgenomen gegevensverwerking een rechterlijke toets uitgevoerd moet worden om te bepalen of de gegevensverwerking voldoet aan de wettelijke criteria, met welke deelnemers de informatie wordt gedeeld en welke informatie relevant is om te delen.
De kritiek van het AP om een rechterlijke toets uit te laten voeren voor iedere voorgenomen gegevensverwerking is niet overgenomen in het BGS. Uit praktisch oogpunt, maar ook omdat de WGS al meerdere waarborgen bevat en de AVG en het stelsel uit het Wetboek van Strafvordering de verantwoordelijkheid niet bij de rechter leggen, maar bij de verwerkingsverantwoordelijke(n) en de officier van justitie.
Conclusie
De WGS op zichzelf is een goed initiatief, maar geen goede uitwerking. Er zijn nog te veel losse eindjes en vaagheden. Gelukkig verklaart de BGS een aantal zaken en zorgt het voor uitwerkingen op vragen uit de WGS. Zo voegt de BGS de eis toe dat gegevensdeling gebaseerd is op feitelijke juistheid. Ook biedt de wet een optie om nieuwe samenwerkingsverbanden op te laten zetten door de Kamer, mocht dat nodig zijn. Daarnaast zijn de waarborgen voor de deelnemende organisaties ook duidelijk beschreven. Als je hier meer over wilt weten, houd dan onze blogs in de gaten, want in deel twee ga ik hier verder op in.
[1] WGS art. 1.3
[2] WGS art. 1.6
[3] BGS Art. 1.6
