Wat betekent de wet gegevensverwerking door samenwerkingsverbanden (WGS) voor betrokken organisaties?

    - / 29 January 2025

    De wet gegevensverwerking door samenwerkingsverbanden (WGS) is afgelopen zomer aangenomen en treedt per 1 maart 2025 in werking. Het doel van de wet is het regelen van gegevensdeling tussen publieke en private partijen bij de bestrijding van ondermijnende criminaliteit. De wet is een antwoord voor organisaties die al samenwerkten om criminaliteit tegen te gaan en geen duidelijk rechtskader hadden waarbinnen zij gegevens verantwoord konden delen. Voor extra informatie over de WGS, de kritiek op de wet en het BGS (waarover later meer) verwijs ik je graag door naar mijn eerste blog over de WGS  ‘De wet gegevensverwerking door samenwerkingsverbanden: waar gaat het eigenlijk over?’.

    In dit tweede blog over de WGS ga ik specifiek in op de vereisten voor deelnemers aan een samenwerkingsverband. Ik leg de reeds bestaande samenwerkingsverbanden uit, belicht de mogelijkheid om nieuwe samenwerkingsverbanden op te richten en ik ga dieper in op de waarborgen die door de samenwerkingsverbanden in acht genomen moeten worden.

    Bestaande samenwerkingsverbanden

    Op dit moment zijn er vier bestaande samenwerkingsverbanden waar de WGS op toeziet. Dat zijn het Financieel Expertisecentrum (FEC) [1], de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV)[2], de Regionale Informatie en Expertisecentra [3] en de Zorg- en Veiligheidshuizen[4]. In de WGS wordt per partij beschreven:

    • wat het doel van het samenwerkingsverband is;
    • welke activiteiten worden verricht;
    • welke deelnemers er zijn;
    • hoe de onderlinge gegevensuitwisseling is geregeld;
    • wat er gebeurt met bijzondere categorieën van persoonsgegevens en het BSN;
    • welke gegevens worden verstrekt binnen het verband; en
    • wat de grondslag is voor de verwerking van de gegevens.

    Voor elk bestaand samenwerkingsverband wordt uitvoerig beschreven wat er wel en wat er niet mag.

    Kritische noot

    Hoewel de beschrijving van de data-uitwisseling van elk samenwerkingsverband uitgebreid is, is het opvallend dat er met veel woorden in sommige gevallen weinig concreets gezegd is. iCOV heeft als een van haar doelen ‘het uitoefenen van toezicht op de goede werking van de markt’ [5]. Dit is een zeer brede formulering waarmee in wezen de hele samenleving gecontroleerd zou kunnen worden. De verwerking, met het oog op dit doel, is alleen toegestaan voor zover noodzakelijk voor de uitoefening van publiekrechtelijke taken en bevoegdheden van de deelnemers, maar creëert niet de nodige concretisering van het doel. Vergelijkbare vaagheid komt vaker naar voren en kan op de kritiek rekenen van de Nederlandse privacy toezichthouder, de Autoriteit persoonsgegevens (AP). Het kabinet heeft deze kritiek meegenomen en verwerkt in het besluit gegevensverwerking door samenwerkingsverbanden (BGS), dat als uitwerking geldt van de WGS.

    Nieuwe samenwerkingsverbanden

    Naast de bestaande samenwerkingsverbanden biedt de WGS ook de mogelijkheid om nieuwe samenwerkingsverbanden op te richten. Een nieuw samenwerkingsverband moet op dezelfde manier als een bestaand samenwerkingsverband beschrijven hoe het samenwerkingsverband in elkaar steekt, zie hiervoor de bovengenoemde opsomming. Bij algemene maatregel van bestuur (AMvB) kunnen nieuwe verbanden worden opgericht om met een doelstelling van zwaarwegend algemeen belang (in relatie tot eerdergenoemde bestrijding van criminaliteit) gegevens te delen [6].

    Kritische noot

    Het probleem met deze werkwijze is dat een AMvB de beide Kamers buitenspel zet, omdat deze in principe zonder medewerking van de Staten-Generaal kan worden vastgesteld. Ook dit kritische punt is door het Kabinet verwerkt in het BGS.

    Wat betekent dit praktisch voor jouw bedrijf?

    Als jouw organisatie betrokken is of in de toekomst betrokken raakt bij een samenwerkingsverband, zijn er verschillende vereisten waar je aan moet voldoen.

    Het inbouwen van voldoende waarborgen in de gegevensdeling is het belangrijkste onderdeel van het samenwerkingsverband. De WGS stelt verschillende waarborgen verplicht. Zo is toegang tot de systemen is alleen voor aangewezen geautoriseerde personen. Dit is een van de eerdergenoemde waarborgen uit de WGS en is in detail uitgelegd in het BGS. Deze autorisatie wordt alleen verleend aan personen die betrokken zijn bij de uitvoering van de gegevensverwerking, de toetsing op de rechtmatigheid van de verwerking, of het onderhoud of de ondersteuning van de systemen. Het is verplicht om alle verwerkingen te loggen, zodat duidelijk vastgelegd is welke gegevensverwerkingen zijn gedaan en welke personen toegang hebben gehad tot de gegevens.

    De WGS en het BGS eisen daarnaast dat doelbinding en noodzakelijkheid van de verwerking goed zijn vastgelegd. Dit moet gebeuren door een duidelijk verzoek voor de gegevensdeling plaatsvindt waarin beschreven staat welke gegevens gedeeld moeten worden. Daarnaast moet de gegevensdeling beveiligd worden door het treffen van passende organisatorische maatregelen. Het verzoek moet ook getoetst worden op feitelijke juistheid.

    Rechtmatigheidsadviescommissie en de FG

    Het is verplicht om binnen het samenwerkingsverband een rechtmatigheidsadviescommissie in te stellen. Deze commissie beoordeelt de rechtmatigheid van de verwerkingen en waar stelt wijzigingen voor om de gegevensverwerking rechtmatig te laten verlopen.

    Het samenwerkingsverband moet daarnaast een coördinerende functionaris voor gegevensbescherming (FG) aanstellen. De taak van deze FG, die een van de betrokken overheidsinstanties aanwijst, is om de samenwerking tussen de FG’s van de deelnemers te begeleiden. Voor jouw organisaties is het dus zaak om een FG aan te wijzen (voor zover deze rol nog niet is ingevuld binnen de organisatie) die samenwerkt met de coördinerend FG en de andere FG’s van overheidsinstanties en bedrijven die betrokken zijn bij het samenwerkingsverband.

    Conclusie

    De impact van de WGS en het BGS is voor nu niet makkelijk te voorspellen. Het gestelde doel, voor de vier bestaande samenwerkingsverbanden een duidelijke wettelijke grondslag voor gegevensdeling creëren, is behaald. De ingebouwde waarborgen moeten ervoor zorgen dat er op een veilige en verantwoorde manier gegevens gedeeld kunnen worden tussen publieke en private partijen. Met een duidelijke taakomschrijving en een toets op feitelijke juistheid moeten de WGS en het BGS samenwerkingsverbanden de mogelijkheid geven om ondermijnende criminaliteit beter aan te pakken. Hoewel er nog steeds grijze gebieden bestaan waar streng op moet worden toegezien, is de WGS aangevuld door het BGS een goede brug tussen de overheid en bedrijven op het gebied van doelgerichte gegevensdeling.

    Wil jij je graag specialiseren als (aankomend) Functionaris Gegevensbescherming (FG) / Data Protection Officer (DPO)? Volg dan onze praktische opleiding.

    Meer informatie 

    [1] WGS Par. 2.1

    [2] WGS Par. 2.2

    [3] WGS Par. 2.3

    [4] WGS Par. 2.4

    [5] WGS Art. 2.10

    [6] WGS Art. 3.1
    Terug naar overzicht

    Friso Demeijer

    Legal Counsel
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram