Informatieprotocol FEC 2014

De verwerking van persoonsgegevens door het Financieel Expertise Centrum (FEC)

De FEC-partners als bedoeld in artikel 1 van het Convenant FEC 2014

Gelet op:

  • Het bepaalde in de Wet bescherming persoonsgegevens (Wbp) en de overige voor de FEC-partners relevante wetten met betrekking tot het verwerken van persoonsgegevens;

  • De wettelijke taken van de FEC-partners;

  • Het Convenant FEC 2014 (Staatscourant 2014 nr. 2351).

Overwegende dat:

  • Het gezamenlijke doel van de FEC-partners het versterken van de integriteit van de financiële sector is;

  • De FEC-partners met het oog daarop een samenwerkingsverband zonder rechtspersoonlijkheid, het FEC, zijn aangegaan;

  • De missie van het FEC is om de versterking van de integriteit te realiseren door de onderlinge samenwerking tussen FEC-partners te stimuleren, te coördineren en te vergroten door het uitwisselen van informatie en het delen van inzicht, kennis en vaardigheden;

  • De taken van het FEC zijn: 1) het creëren van structurele informatie-uitwisseling tussen FEC-partners, 2) het realiseren van een kenniscentrum, van, voor en door de FEC-partners op de voor het FEC relevante kennisgebieden en 3) het uitvoeren van projecten met het oog op concrete, operationeel bruikbare, resultaten;

  • De FEC-eenheid belast is met de uitvoering van deze taken;

  • De FEC-eenheid een entiteit is van de FEC-partners, die werkzaamheden verricht voor de FEC-partners en bemand wordt door de FEC-partners;

  • De FEC-eenheid met het oog op de uitvoering van haar taken binnen de bestaande wettelijke kaders informatie verzamelt, analyseert en verspreidt van en naar de betrokken FEC-partners en ten behoeve van de FEC-partners daarover kan adviseren;

  • De FEC-eenheid in dat kader mede (bijzondere) persoonsgegevens in de zin van de Wet bescherming persoonsgegevens verwerkt; en

  • De FEC-partners het noodzakelijk vinden dat de vervulling van de taken van de FEC-eenheid de eisen die uit de Wet bescherming persoonsgegevens (of uit andere relevante wetgeving) met betrekking tot het verwerken van persoonsgegevens worden nageleefd en er zo voor betrokkenen sprake is van een transparant werkproces.

Komen het volgende overeen:

Paragraaf 1 Algemene bepalingen

Artikel 1 Definities en afkortingen

In dit protocol wordt verstaan onder:

a. Beheerder:

medewerker van een afzonderlijke FEC-partner die verantwoordelijk is voor de borging van de doelbinding binnen de eigen organisatie.

b. Betrokkene:

degene op wie een persoonsgegeven betrekking heeft (artikel 1 onder f Wbp);

c. Bijzondere persoonsgegevens:

strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, alsmede een persoonsgegeven betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven alsmede het lidmaatschap van een vakvereniging (artikel 16 Wbp);

d. Cbp:

College bescherming persoonsgegevens;

e. Centrale persoonsgegevensverwerking:

geïntegreerde verwerking van persoonsgegevens door de FEC-eenheid waaraan meer dan één FEC-partner deelneemt of heeft deelgenomen en waarbij een apart gezamenlijk bestand wordt gecreëerd;

f. Convenant FEC 2014:

Convenant houdende afspraken over de samenwerking in het kader van het Financieel Expertise Centrum (Staatscourant 2014 nr. 2351));

g. FEC-eenheid:

entiteit van de FEC-partners, die werkzaamheden verricht voor de FEC-partners en bemand wordt door medewerkers van de FEC-partners. De FEC-eenheid kan persoonsgegevens ontvangen, verwerken, analyseren en doorverstrekken naar FEC-partners;

h. FEC-partner:

de organisaties zoals genoemd in artikel 1, lid 1 van het Convenant FEC 2014;

i. FEC-raad:

de vertegenwoordigers van de FEC-partners op bestuurlijk niveau.

j. FEC-samenwerking:

iedere samenwerking tussen de FEC-partners met de FEC-eenheid onder auspiciën van de FEC-raad;

k. FEC-verband:

het samenwerkingsverband op nationaal niveau waarvan de formele afspraken met betrekking tot de coördinatie, de samenwerking en informatie-uitwisseling zijn neergelegd in het Convenant FEC 2014 en dit protocol;

l. FEC-waarnemer:

de waarnemers zoals genoemd in artikel 4, lid 3 en 4 van het Convenant FEC 2014;

m. Ontvanger:

degene aan wie de persoonsgegevens worden verstrekt (artikel 1 onder h Wbp);

n. Persoonsgegeven:

elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 1 onder a Wbp);

o. Regisseur:

de persoon als bedoeld in artikel 10 van dit protocol;

p. Verantwoordelijke:

de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1 onder d Wbp);

q. Verstrekken van persoonsgegevens:

het bekend maken of ter beschikking stellen van persoonsgegevens (artikel 1 onder n Wbp);

r. Verwerking van persoonsgegevens:

elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van ter beschikking stelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens (artikel 1, onder b van de Wbp);

s. Wbp:

Wet bescherming persoonsgegevens;

t. Wbp-taken:

de verplichtingen van de verantwoordelijke voor de persoonsgegevensverwerking door de FEC-eenheid zoals bedoeld in de artikelen 15, 27, 33, 34, 35 en 36 Wbp.

Paragraaf 2 Inleidende bepalingen

Artikel 2 Doelstelling FEC

  • 1. Het gezamenlijke doel van de FEC-partners is het versterken van de integriteit van de financiële sector door onderlinge samenwerking tussen de partners te stimuleren, te coördineren en te vergroten door het uitwisselen van informatie en het delen van kennis, inzicht en vaardigheden.

  • 2. De beoogde versterking van de integriteit van de financiële sector wordt gerealiseerd door middel van preventieve, bestuursrechtelijke 1 en strafrechtelijke aanpak van bedreigingen van de integriteit van de financiële sector. Daartoe worden door de FEC-partners, binnen de bestaande wettelijke kaders, in FEC-verband informatie gedeeld die noodzakelijk is voor onder andere:

    • a. het realiseren van een gecombineerde en onderling samenhangende inzet, onder meer door een analyse van de huidige situaties door middel van scans en inventarisaties van de beschikbare kennis en ervaring;

    • b. het terugdringen van negatieve invloeden op de financiële sector;

    • c. het opwerpen van drempels en het afbreken van gelegenheidsstructuren;

    • d. het daar waar nodig versterken dan wel versnellen van reeds ingezette maatregelen en het ontwikkelen van nieuwe werkwijzen of maatregelen die kunnen bijdragen aan de versterking van de integriteit van de financiële sector.

  • 3. De doelstellingen van de FEC-samenwerking worden ieder jaar nader geconcretiseerd in een jaarplan FEC. Dit jaarplan is openbaar en staat op de website van het FEC, www.fec-partners.nl.

Artikel 3 Doelstellingen verwerking persoonsgegevens door de FEC-eenheid

De FEC-eenheid draagt zorg voor de uitvoering van de in artikel 3 van het Convenant FEC 2014 en in de toelichting bij het Convenant genoemde taken. Om deze taken succesvol te kunnen uitvoeren is uitwisseling van persoonsgegevens noodzakelijk. Daarom worden door de FEC-eenheid voor de volgende doeleinden persoonsgegevens verwerkt:

  • I. Het creëren van structurele informatie-uitwisseling tussen FEC-partners:

    • Het binnen de bestaande wettelijke kaders uitwisselen van persoonsgegevens over (actuele) ontwikkelingen, bedreigingen voor de integriteit of over casusposities waarvoor een besluit over handhaving gewenst is om een essentiële bijdrage te leveren aan een behoorlijke vervulling van de wettelijke taken van elk der FEC-partners;

    • Het opstellen van strategische, tactische en operationele analyses ten behoeve van FEC-partners om trends en ontwikkelingen te signaleren en om activiteiten van de FEC-partners beter op elkaar aan te laten sluiten.

  • II. Het realiseren van een kenniscentrum van, voor en door de FEC-partners op de voor het FEC relevante kennisgebieden:

    • Het verzamelen, opslaan en analyseren van persoonsgegevens met het oog op het zo vroeg mogelijk signaleren van en het ontwikkelen van kennis over activiteiten, handelingen, trends, typologieën en gelegenheidsstructuren die de integriteit van de financiële sector negatief raken, zodat deze kennis kan worden gedeeld met de FEC-partners;

    • Het inventariseren van thema’s die leidraad vormen bij werkzaamheden van het FEC.

  • III. Het uitvoeren van projecten met het oog op, concrete, operationeel bruikbare, resultaten:

    • Het verzamelen, opslaan en analyseren van persoonsgegevens met het oog op het initiëren, coördineren en de dagelijkse uitvoering van FEC-projecten;

Daarnaast wordt door de FEC-eenheid in het kader van de beheertaken persoonsgegevens verwerkt.

  • IV. Beheeraangelegenheden van de FEC-eenheid:

    • Het voeren van een secretariaat en de uitvoering van de planning en controlcyclus;

    • Het vastleggen van persoonsgegevens van medewerkers van FEC-partners en derden (publiek of privaat) die op verzoek van het FEC als samenwerkingsverband werkzaamheden verrichten ter uitvoering van het Convenant FEC 2014 voor organisatorische en beheersdoeleinden.

Artikel 4 Gazo-principe (geen actie zonder overleg)

Gedurende de verwerking van persoonsgegevens binnen de FEC-samenwerking geldt het gazo-principe. Dit houdt in dat er door de FEC-eenheid en door de FEC-partner(s) gedurende de FEC-samenwerking geen gebruik mag worden gemaakt van de ingebrachte persoonsgegevens zonder overleg met de FEC-partner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn.

Paragraaf 3 Verstrekking aan de FEC-eenheid

Artikel 5 De herkomst van persoonsgegevens

  • 1. De FEC-partners verbinden zich met betrekking tot het verstrekken van persoonsgegevens aan de FEC-eenheid voor zover dit ingevolge de genoemde wetten is toegelaten, tot het volgende:

    • a. De Autoriteit Financiële Markten verstrekt relevante toezichtinformatie. Hierbij gelden de regimes van de volgende financiële toezichtwetten: Wet op het financieel toezicht, Wet toezicht effectenverkeer 1995, Pensioenwet, Wet verplicht beroepspensioenregeling, Wet ter voorkoming van witwassen en financieren van terrorisme, Sanctiewet 1977, Wet toezicht accountantsorganisaties, Wet toezicht financiële verslaggeving en Wet handhaving consumentenbescherming;

    • b. De Nederlandsche Bank verstrekt relevante toezichtinformatie. Hierbij gelden de regimes van de volgende toezichtwetten: Wet op het financieel toezicht, Pensioenwet, Wet verplichte beroepspensioenregeling, Wet verplichte deelneming in een bedrijfstakpensioenfonds, Wet toezicht trustkantoren, Wet ter voorkoming van witwassen en financieren van terrorisme, Sanctiewet 1977 en Zorgverzekeringswet;

    • c. De Belastingdienst verstrekt relevante fiscale toezichtinformatie. Hierbij gelden de regimes van de volgende wetten: Algemene wet inzake rijksbelastingen, Algemene Douanewet en Invorderingswet;

    • d. De Financial Intelligence Unit Nederland verstrekt relevante informatie voor zover deze is opgenomen in het databestand ‘Verdachte transacties’ en eigen onderzoeksinformatie. Hierbij gelden de regimes van de Wet politiegegevens en het Besluit politiegegevens. Voor overige verstrekkingen geldt de Wet ter voorkoming van witwassen en financieren van terrorisme en internationale afspraken;

    • e. De Fiscale Inlichtingen en Opsporingsdienst verstrekt relevante politiegegevens, voor zover deze ook ten behoeve van de eigen politietaak zijn verwerkt. Hierbij geldt het regime Wet politiegegevens;

    • f. De politie verstrekt relevante politiegegevens en persoonsgegevens, voor zover deze ook ten behoeve van de eigen politietaak zijn verwerkt. Hierbij gelden de regimes van de Wet politiegegevens respectievelijk Wbp;

    • g. Het Openbaar Ministerie verstrekt relevante strafvorderlijke gegevens en justitiële gegevens. Hierbij geldt het regime van de Wet justitiële en strafvorderlijke gegevens;

  • 2. Op incidentele basis kunnen relevante persoonsgegevens van andere organisaties, zoals bedoeld in artikel 1 sub 3 van het Convenant FEC 2014, aan de FEC-eenheid worden verstrekt. Hierbij geldt het wettelijke regime van de desbetreffende organisatie.

  • 3. De FEC-waarnemers verstrekken geen persoonsgegevens aan de FEC-eenheid.

Artikel 6 Juridische toets en randvoorwaarden

  • 1. De FEC-partners verstrekken binnen de bestaande wettelijke kaders persoonsgegevens aan de FEC-eenheid.

  • 2. Bij een verstrekking van persoonsgegevens aan de FEC-eenheid, geeft de verstrekkende FEC-partner aan voor welk doel de persoonsgegevens worden verwerkt en aan welke FEC-partner(s) de persoonsgegevens niet kunnen worden doorverstrekt.

Paragraaf 4 Verwerking van persoonsgegevens door de FEC-eenheid

Artikel 7 Regime Wbp

  • 1. Gegevensverwerking ten behoeve van de FEC-samenwerking vindt plaats door middel van een centrale gegevensverwerking door de FEC-eenheid.

  • 2. Op deze centrale verwerking van persoonsgegevens door de FEC-eenheid is het regime van de Wbp van toepassing.

Artikel 8 Grondslagen, doelomschrijving en verenigbaar gebruik (verdere) verwerking (bijzondere) persoonsgegevens

  • 1. Door de FEC-eenheid worden persoonsgegevens, inclusief bijzondere persoonsgegevens, verwerkt.

  • 2. Elke verwerking van persoonsgegevens door de FEC-eenheid is gebaseerd op één van de zes in artikel 8 Wbp genoemde grondslagen.

  • 3. Persoonsgegevens worden door de FEC-eenheid slechts (verder) verwerkt voor zover noodzakelijk om de doelstellingen omschreven in artikel 3 van dit protocol te bereiken.

  • 4. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze zijn verkregen.

Artikel 9 Verantwoordelijke Wbp

  • 1. Voor de verwerking van persoonsgegevens door de FEC-eenheid zijn de FEC-partners gezamenlijk de verantwoordelijke.

  • 2. De verantwoordelijke draagt zorg voor de uitvoering van de Wbp-taken.

Artikel 10 Regisseur

  • 1. Het Hoofd FEC-eenheid is aangewezen als regisseur.

  • 2. De regisseur heeft tot taak te waarborgen dat de verantwoordelijke op een zorgvuldige wijze uitvoering geeft aan de Wbp-taken.

  • 3. De regisseur geeft inhoudelijk invulling aan de Wbp-taken.

Artikel 11 Melding persoonsgegevensverwerking

  • 1. De verwerking van persoonsgegevens door de FEC-eenheid wordt door de regisseur gemeld aan het Cbp.

  • 2. Wanneer er sprake is van relevante wijzigingen in het Convenant FEC 2014 of het Informatieprotocol FEC wordt daarvan door de verantwoordelijke opnieuw melding gedaan bij het Cbp.

  • 3. Indien sprake is van een nieuwe persoonsgegevensverwerking door de FEC-eenheid waarvan nog geen melding is gemaakt wordt melding gedaan bij het Cbp.

Artikel 12 Bewaartermijnen

De persoonsgegevens, die door de FEC-eenheid worden verwerkt, worden niet langer bewaard dan noodzakelijk is voor het doel waarvoor ze worden verwerkt.

Artikel 13 Beveiliging

De verantwoordelijke voor de centrale persoonsgegevensverwerking door de FEC-eenheid is verplicht om passende technische en organisatorische maatregelen te treffen ter beveiliging van persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Artikel 14 Geheimhouding

De FEC-eenheid is verplicht tot geheimhouding van de in het kader van het Convenant FEC 2014 ontvangen persoonsgegevens, gegevens over de FEC-organisatie en over al hetgeen waarvan redelijkerwijs is aan te nemen dat bekendmaking en/of ander gebruik daarvan de belangen van de FEC-partner(s) zou schaden, behoudens voor zover de uitvoering van de taak met het oog waarop de gegevens zijn verkregen tot het ter kennis brengen daarvan noodzaakt.

Artikel 15 Doelafwijkend verwerken

  • 1. Persoonsgegevens worden door de FEC-eenheid verwerkt voor de doelen waarvoor ze zijn verstrekt.

  • 2. Verwerking van persoonsgegevens door de FEC-eenheid voor een ander doel dan het doel waarvoor ze oorspronkelijk zijn verstrekt, vindt niet plaats zonder instemming van de FEC-partner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn.

Paragraaf 5 Verstrekking van persoonsgegevens door de FEC-eenheid

Artikel 16 Toets voorafgaand aan de verstrekking van persoonsgegevens

Nadat de persoonsgegevens voor één van de taken als bedoeld in artikel 3, van het Convenant FEC 2014 zijn verwerkt, gaat de FEC-eenheid alleen over tot verstrekking van persoonsgegevens, wanneer de FEC-partner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn, heeft getoetst of de beoogde verstrekking:

  • in overeenstemming is met het (oorspronkelijke) doel waarvoor de persoonsgegevens zijn verzameld; en

  • om andere reden op bezwaren stuit.

Artikel 17 Ontvangers persoonsgegevens

  • 1. Persoonsgegevens worden door de FEC-eenheid verstrekt aan FEC-partner(s).

  • 2. Op incidentele basis kan de FEC-eenheid persoonsgegevens verstrekken aan andere organisaties, zoals bedoeld in artikel 1, sub 3, van het Convenant FEC 2014.

  • 3. De door de FEC-eenheid ontvangen persoonsgegevens mogen alleen worden verwerkt als de beoogde verwerking verenigbaar is met het doel waarvoor de persoonsgegevens (oorspronkelijk) zijn verstrekt.

  • 4. De FEC-partners treffen passende maatregelen om deze doelbinding uit het vorige lid na ontvangst te borgen. Daartoe stellen zij een beheerder aan.

Paragraaf 6 Verwerking van persoonsgegevens na verstrekking door de FEC-eenheid

Artikel 18 Doorverstrekking persoonsgegevens aan derden

Doorverstrekking door de ontvangende FEC-partner(s) van persoonsgegevens aan een derde, niet zijnde een FEC-partner of de FEC-eenheid vindt alleen plaats met instemming van de FEC-partner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn.

Artikel 19 Verwerking of doorverstrekking persoonsgegevens voor ander doel

Verwerking of doorverstrekking door de ontvangende FEC-partner(s) van persoonsgegevens voor een ander doel dan het doel waarvoor ze oorspronkelijk zijn verstrekt, vindt alleen plaats met instemming van de FEC-partner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn.

Paragraaf 7 De betrokkene

Artikel 20 Informatieplicht en rechten betrokkene

  • 1. De verantwoordelijke is als gevolg van het bepaalde in Hoofdstuk 5 van de Wbp verplicht om de betrokkene op eigen initiatief op de hoogte te stellen van de persoonsgegevensverwerking (informatieplicht), tenzij er sprake is van een situatie als bedoeld in artikel 43 Wbp.

  • 2. De betrokkene richt een verzoek tot uitoefening van diens rechten ten aanzien van de op hem betrekking hebbende gegevens ingevolge Hoofdstuk 6 van de Wbp aan de FEC-eenheid: Financieel Expertise Centrum, Postbus 98, 1000 AB Amsterdam of fec@fec-partners.nl.

  • 3. De verantwoordelijke beslist binnen vier weken overeenkomstig het bepaalde in Hoofdstuk 6 van de Wbp op het verzoek. Bij de behandeling van verzoeken om inzage wordt rekening gehouden met de belangen van de deelnemende FEC-partner(s), die de persoonsgegevens heeft aangeleverd, en de belangen van betrokkene. Wanneer sprake is van één van de situaties zoals genoemd in artikel 43 Wbp kan het verzoek worden afgewezen. De beslissing is een besluit in de zin van de Algemene wet bestuursrecht.

Paragraaf 8 Slotbepalingen

Artikel 21 Evaluatie persoonsgegevensverwerking

De werking van de afspraken in dit protocol en de verwerking van persoonsgegevens in FEC-verband wordt driejaarlijks geëvalueerd.

Artikel 22 Overeenkomstige toepassing Informatieprotocol FEC 2014

  • 1. De bepalingen uit dit protocol zijn van overeenkomstige toepassing op andere gegevens dan persoonsgegevens die binnen de FEC-samenwerking worden verwerkt, met uitzondering van de artikelen 7, 8, 9, 10, 11, 12, en 19 van dit protocol.

  • 2. Indien andere organisaties als bedoeld in artikel 1 sub 3 van het Convenant FEC 2014 of de FEC-waarnemers deelnemen aan activiteiten van het FEC-samenwerkingsverband, is dit protocol onverkort op hen van toepassing.

Artikel 23 Inwerkingtreding

Dit Informatieprotocol FEC 2014 treedt in werking met ingang van 1 januari 2014. Hierbij vervalt het Informatieprotocol FEC 2011.

Artikel 24 Citeertitel

Dit protocol wordt aangehaald als: Informatieprotocol FEC 2014.

Het Informatieprotocol FEC 2014, met de toelichting wordt als bijlage 1 gevoegd bij het Convenant FEC 2014 en maakt daarvan onderdeel uit.

Amsterdam, 27 februari 2014,

Stichting Autoriteit Financiële Markten H.W.O.L.M. Korte

Belastingdienst Th.W.M. Poolen

De Nederlandsche Bank N.V. A.J. Kellermann

Financial Intelligence Unit Nederland H.M. Verbeek-Kusters

Fiscale Inlichtingen en Opsporingsdienst J. van der Vlist

Politie P.J. Aalbersberg

Openbaar Ministerie M.C.W.M. van Nimwegen

Ministerie van Financiën G.J. Salden

Ministerie van Veiligheid en Justitie A. IJzerman

TOELICHTING INFORMATIEPROTOCOL FEC 2014

1. ALGEMEEN

1.1 Doel van het Informatieprotocol FEC 2014

Het Informatieprotocol FEC 2014 vervangt het Informatieprotocol FEC 2011 (Stcrt 2011 nr. 21708)2. Het doel van het Informatieprotocol FEC 2014 is drieledig. Het Informatieprotocol formaliseert afspraken tussen de FEC-partners over de wijze waarop informatie met elkaar wordt gedeeld. Het gaat hierbij grotendeels over de verwerking van persoonsgegevens. Het protocol draagt bij aan een zorgvuldige verwerking van persoonsgegevens binnen de FEC-samenwerking. Dat wil zeggen dat persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. En het Informatieprotocol draagt bij aan een transparant FEC, transparantie richting de betrokkene, wiens persoonsgegevens worden verwerkt, en naar de buitenwereld.

1.2 Aard en reikwijdte van het Informatieprotocol FEC 2014

In het Convenant FEC 2014 is opgenomen dat voor een effectieve en efficiënte FEC-samenwerking het van belang is dat de FEC-partners zich committeren aan het FEC. Met inachtneming van de wet- en regelgeving stellen zij voldoende informatie, expertise en personele capaciteit ter beschikking aan het FEC. Onder FEC-samenwerking wordt verstaan: iedere samenwerking tussen de FEC-partners met de FEC-eenheid onder auspiciën van de FEC-raad.

Het protocol richt zich in eerste instantie uitdrukkelijk op de verwerking van persoonsgegevens door de FEC-eenheid. De focus op de verwerking van persoonsgegevens vloeit voort uit de bescherming van de belangen van betrokkenen waarover binnen de FEC-samenwerking persoonsgegevens worden verwerkt. De focus op de FEC-eenheid vloeit voort uit het feit dat het Convenant FEC 2014 de uitvoering van de FEC-taken opdraagt aan de FEC-eenheid. Ter uitvoering van deze taken vindt binnen de FEC-eenheid centrale gegevensverwerking plaats. Het Informatieprotocol bevat daarom bepalingen over de doelstellingen voor verwerking van persoonsgegevens door de FEC-eenheid, toepasselijke bepalingen uit de Wbp in relatie tot verwerking van persoonsgegevens door de FEC-eenheid, bepalingen over het verstrekken van persoonsgegevens door de FEC-partners aan de FEC-eenheid en bepalingen over het verstrekken van persoonsgegevens door de FEC-eenheid aan de FEC-partners.

Hoewel de focus ligt op de verwerking van persoonsgegevens bepaalt het Informatieprotocol FEC 2014 dat het merendeel van de bepalingen ook ziet op de verwerking van andere gegevens dan persoonsgegevens. Uitwisseling van andere gegevens, dan persoonsgegevens, is nodig om de doelstelling van het FEC, zoals beschreven in artikel 2 van het Convenant FEC 2014, te bereiken.

1.3 Juridisch kader

Het gaat bij informatie-uitwisseling binnen de FEC-samenwerking veelal om het uitwisselen van persoonsgegevens. Het ontvangen, (verder) verwerken en verstrekken van informatie, waaronder persoonsgegevens tussen bestuursorganen, al dan niet via een samenwerkingsverband, is onderworpen aan een aantal regels. Deze regels vloeien voort uit internationale verdragen en de Grondwet en hebben hun uitwerking gevonden in een breed scala aan (sectorale) wetten, lagere wetgeving en aanwijzingen. Dit geheel aan wet- en regelgeving vormt het juridische kader waarbinnen de uitwisseling van informatie kan plaatsvinden. Voor de FEC-samenwerking zijn de Wbp en afzonderlijke wettelijke regimes van de FEC-partners relevant. Deze wetten bepalen het kader waarbinnen kan worden samengewerkt.

2. ARTIKELSGEWIJS

Paragraaf 2 Inleidende bepalingen

Paragraaf 2 bevat inleidende bepalingen die zien op de algemene doelstelling van het FEC, op de doelstellingen van de verwerking van persoonsgegevens door de FEC-eenheid en op het gazo-principe.

Artikel 2 Doelstelling FEC

Het FEC is tot stand gekomen vanuit de overtuiging van de FEC-partners dat door samenwerking een gezamenlijk belang wordt gediend, namelijk de versterking van de integriteit van de financiële sector. De FEC-samenwerking levert een essentiële bijdrage aan dit belang en daarmee tevens aan een goede invulling van de wettelijke taken van de afzonderlijke FEC-partners.

Het gezamenlijke doel van de FEC-partners is het versterken van de integriteit van de financiële sector door de onderlinge samenwerking tussen de partners te stimuleren, te coördineren en te vergroten door het uitwisselen van informatie en het delen van kennis, inzicht en vaardigheden (artikel 2 Convenant FEC 2014). Het FEC is daarmee een noodzakelijk platform voor samenwerking waarmee tegen bedreigingen voor de integriteit van de financiële sector adequater preventief kan worden opgetreden en repressief kan worden gehandhaafd. Een gezamenlijke aanpak maakt het tevens mogelijk om probleemgericht op te treden en een breed effect te hebben.

Uitgangspunt is dat de FEC-partners vanuit hun eigen wettelijke taakstellingen en binnen de daarvoor geldende wettelijke kaders met elkaar samenwerken. Dit betekent dat de concrete invulling van de samenwerking c.q. taken in beginsel geen vaste vorm kent, maar telkens afhankelijk is van de wettelijke mogelijkheden in het concrete geval. Het wettelijke kader is leidend ter bepaling welke FEC-partners betrokken zijn bij structurele informatie-uitwisseling of andere vorm van samenwerking in FEC-verband.

Artikel 3 Doelstellingen verwerking persoonsgegevens door de FEC-eenheid

De FEC-eenheid is belast met de uitvoering van de taken van het FEC. Deze taken zijn opgenomen in het Convenant FEC 2014 en worden uitgewerkt in de toelichting bij het Convenant. Artikel 3 van het Informatieprotocol FEC 2014 bevat een opsomming van deze taken en beschrijft vervolgens voor welke doelen, gerelateerd aan deze taken, een centrale verwerking van persoonsgegevens binnen de FEC-eenheid plaatsvindt. Deze doelen zijn conform de eisen van de Wbp welbepaald en uitdrukkelijk omschreven. De rechtvaardiging van de doelen vloeit voort uit het zwaarwegend algemeen belang dat noodzaakt tot samenwerking en daarmee de noodzaak tot een centrale gegevensverwerking.

Artikel 4 Afstemming (Gazo-principe)

Een belangrijke voorwaarde voor de FEC-samenwerking betreft het gazo-principe: geen actie zonder overleg. De FEC-partners hebben gezamenlijk afgesproken dat ontvangers van persoonsgegevens geen actie met deze gegevens ondernemen voordat hierover overleg is geweest. FEC-partners moeten erop kunnen vertrouwen dat geen enkele ontvanger van de persoonsgegevens ongevraagd gebruik maakt van persoonsgegevens die zijn ingebracht. Dit ongevraagde gebruik kan namelijk leiden tot onaanvaardbare risico’s waaronder publiciteitsrisico’s, risico’s voor een bestuursrechtelijk of strafrechtelijk onderzoek danwel risico’s voor de staatsveiligheid. Het gazo-principe is daarom onverkort van toepassing op alle activiteiten die in het kader van de FEC-samenwerking plaatsvinden.

Paragraaf 3 Verstrekking aan de FEC-eenheid

Paragraaf 3 bevat bepalingen voor verstrekkers van persoonsgegevens. Allereerst wordt ingegaan op de herkomst van persoonsgegevens. Daarna wordt ingegaan op het toetsmoment voorafgaand aan de verstrekking van persoonsgegevens ten behoeve van de FEC-samenwerking en aan de randvoorwaarden die daarbij gelden.

Artikel 5 De herkomst van persoonsgegevens

De beschikbaarheid van persoonsgegevens is essentieel voor het succes dat de FEC-partners met de samenwerking beogen. In beginsel worden binnen de FEC-samenwerking alleen persoonsgegevens verwerkt die afkomstig zijn van de FEC-partners. Iedere FEC-partner heeft een eigen wettelijk kader wat gaat over het verstrekken van persoonsgegevens. Verstrekking ten behoeve van de FEC-samenwerking houdt in dat, afhankelijk van de aard en het doel, persoonsgegevens aan de FEC-eenheid worden verstrekt.

Op incidentele basis kunnen, met instemming van de FEC-raad, derden deelnemen aan bepaalde activiteiten van het FEC.

De FEC-waarnemers, het Ministerie van Veiligheid en Justitie en het Ministerie van Financiën hebben aangegeven geen persoonsgegevens aan de FEC-eenheid te verstrekken.

Artikel 6 Juridische toets en randvoorwaarden

FEC-partners verstrekken, afhankelijk van het doel, persoonsgegevens aan de FEC-eenheid. Bij het verstrekken van de persoonsgegevens toetst de desbetreffende FEC-partner of hij op grond van de voor hem toepasselijke wet- en regelgeving persoonsgegevens mag verstrekken. Dit is de zogenaamde eerste toets.

Ook gelden enkele voorwaarden bij verstrekking van persoonsgegevens. Bij elke verstrekking wordt aangegeven voor welk doel of taak de persoonsgegevens worden verstrekt. Belangrijk is dat op deze manier de andere FEC-partners concreet kunnen beoordelen of zij over relevante aanvullende informatie beschikken en die ten behoeve van de FEC-samenwerking kunnen verstrekken. De FEC-doelstelling, het versterken van de integriteit van de financiële sector en de taken zoals omschreven in het Convenant FEC 2014 bieden een ruim beoordelingskader. Er is vaak een precisering nodig. Door aan te geven voor welk doel of welke taak de persoonsgegevens worden verstrekt wordt hieraan voldaan.

Naast duiding van het doel of de taak wordt tevens expliciet aangegeven voor wie de persoonsgegevens zijn bestemd. Dit is een belangrijke randvoorwaarde. De wettelijke verstrekkingregimes van de partners maken het niet altijd mogelijk om aan alle FEC-partners informatie te verstrekken. Daarom vindt binnen de FEC-samenwerking op maat informatie-uitwisseling plaats. De FEC-eenheid verstrekt ten behoeve van activiteiten alleen informatie aan FEC-partners wanneer de oorspronkelijk verstrekkende FEC-partner heeft aangegeven dat dit is toegestaan. Dit betekent dat niet altijd alle FEC-partners aan activiteiten deelnemen.

Paragraaf 4 Verwerking van persoonsgegevens door de FEC-eenheid

Paragraaf 4 bevat bepalingen die zien op verschillende aspecten uit de Wbp die van toepassing zijn indien sprake is van centrale persoonsgegevensverwerking door de FEC-eenheid. Dit houdt in dat verschillende (deel)verwerkingen van persoonsgegevens waaraan meer dan één FEC-partner deelneemt zijn geïntegreerd en er een apart gezamenlijk bestand wordt gecreëerd waarvoor de verantwoordelijkheid niet valt toe te delen aan de afzonderlijke partner(s). Daarnaast bevat paragraaf 4 een bepaling die gaat over het instemmingsvereiste bij doelafwijkend verwerken.

Artikel 7 Regime Wbp

Op de verwerking van persoonsgegevens door de FEC-eenheid is het regime van de Wbp van toepassing. Bij de verwerking van persoonsgegevens door de FEC-eenheid is sprake van geheel of gedeeltelijk geautomatiseerde persoonsgegevensverwerking of van een niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen3. Het feit dat de Wbp van toepassing is brengt verschillende verplichtingen met zich mee.

Bovendien moet de verwerking van persoonsgegevens door de FEC-eenheid voldoen aan enkele materiële normen. Deze normen4 zijn terug te vinden in het Informatieprotocol FEC 2014.

Artikel 8 Grondslagen, doelomschrijving en verenigbaar gebruik (verdere) verwerking (bijzondere) persoonsgegevens
Grondslag verwerking persoonsgegevens

Het samenbrengen van persoonsgegevens van de FEC-partners bij de FEC-eenheid waardoor een gegevensset ontstaat, is een verwerking van persoonsgegevens. Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens is een verwerking. Dus ook verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Een verwerking (waaronder verstrekking) van persoonsgegevens moet gebaseerd kunnen worden op één van de zes in artikel 8 Wbp genoemde grondslagen. De verwerkingen door de FEC-eenheid zullen veelal gebaseerd zijn op ofwel artikel 8 sub e Wbp, ofwel artikel 8 sub f Wbp.

Voor de verwerkingen door de FEC-eenheid geldt artikel 8 sub f Wbp: persoonsgegevens mogen worden verwerkt indien de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten of vrijheden van betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Voor verstrekking van de FEC-eenheid aan FEC-partners, die allen bestuursorgaan zijn, geldt artikel 8 sub e Wbp: persoonsgegevens mogen slechts worden verwerkt indien de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan of door het bestuursorgaan waaraan de gegevens worden verstrekt5.

De verwerking (inclusief de verstrekkingen aan de FEC-partners) van de persoonsgegevens door de FEC-eenheid dient een zwaarwegend belang en vindt plaats ter ondersteuning van de reguliere werkzaamheden en/of taken van de FEC-partners. Zonder de persoonsgegevensuitwisseling binnen het FEC-verband is een geïntegreerde, effectieve en efficiënte aanpak van het versterken van de integriteit van de financiële sector niet mogelijk.

Het noodzakelijkheidscriterium in artikel 8 Wbp houdt in dat voldaan moet zijn aan de beginselen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de betrokkene niet onevenredig mag zijn in verhouding tot het te dienen doel. De persoonsgegevens dienen met het oog op dat doel toereikend, ter zake dienend en niet bovenmatig te zijn. Het subsidiariteitsbeginsel houdt in dat het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor betrokkene minder ingrijpende wijze, kan worden bereikt. Dat wil zeggen dat er geen onevenredige inbreuken mogen worden gemaakt op de persoonlijke levenssfeer van betrokkenen en dat het doel wordt nagestreefd met de minst bezwarende maatregelen. Binnen de FEC-samenwerking wordt door de FEC-medewerkers bij de structurele informatie-uitwisseling, onder meer invulling gegeven aan het noodzakelijkheidscriterium door telkens na te gaan voor wie welke persoonsgegevens daadwerkelijk relevant zouden kunnen zijn. Indien blijkt dat een FEC-partner geen relevante betrokkenheid (meer) heeft wordt niet (langer) deelgenomen aan de betreffende verwerkingshandelingen.

Bij de toepassing van artikel 8 Wbp moet ook artikel 9 lid 4 Wbp betrokken worden. Daarin is bepaald dat de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat. Hiermee wordt buiten twijfel gesteld dat een wettelijke verplichting tot geheimhouding niet terzijde kan worden geschoven door artikel 8 Wbp.

Grondslag verwerking bijzondere persoonsgegevens

Gelet op de taakstelling van het FEC worden door de FEC-eenheid bijzondere persoonsgegevens verwerkt, waaronder in ieder geval strafrechtelijke persoonsgegevens. Voor het verwerken van deze persoonsgegevens geldt in beginsel een verbod (artikel 16 Wbp). Een uitzondering op het verbod om strafrechtelijke persoonsgegevens te verwerken geldt voor persoonsgegevens die een verantwoordelijke heeft verkregen krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevens of door organen die krachtens de wet zijn belast met de toepassing van het strafrecht (art. 22 Wbp). Voor het FEC hebben de door de politie gemandateerde vertegenwoordiger (namens de Minister van Veiligheid en Justitie die daartoe wordt bijgestaan door de korpschef) en de directeur van de FIOD en het hoofd FIU-Nederland een beslissing ex artikel 20 Wet politiegegevens genomen om politiegegevens te verstrekken aan de FEC-eenheid. Die persoonsgegevens zijn daarmee door de FEC-eenheid verkregen krachtens de Wet politiegegevens. Hetzelfde geldt voor strafvorderlijke persoonsgegevens die worden ingebracht door het OM. Het OM kan slechts strafvorderlijke gegevens inbrengen wanneer is voldaan aan de vereisten uit de Aanwijzing Wjsg. Met de ondertekening van het Convenant FEC 2014 en instemming van het College van procureurs-generaal met dit Informatieprotocol FEC 2014 is hieraan invulling gegeven. Dit betekent dat strafvorderlijke gegevens die door het OM aan de FEC-eenheid worden verstrekt, op rechtmatige wijze in de centrale persoonsgegevensverwerking ten behoeve van de FEC-samenwerking kunnen worden verwerkt.

Bij de wijziging van de Wbp in 2012 is een uitzondering opgenomen voor verwerkingen van strafrechtelijke gegevens door en ten behoeve van publiekrechtelijke samenwerkingsverbanden (art. 22, zesde lid, Wbp). Het FEC kan worden geduid als een dergelijk publiekrechtelijk samenwerkingsverband. Gegevens afkomstig van de toezichthouders, die betrekking hebben op overtredingen die zowel bestuursrechtelijk als strafrechtelijk kunnen worden afgedaan, kunnen op basis van deze uitzondering door de FEC-eenheid worden verwerkt. Benadrukt wordt dat het FEC te allen tijde zorg draagt voor een legitieme verwerking van de strafvorderlijke gegevens.

Doelbinding

De persoonsgegevens die afkomstig zijn van de FEC-partners worden door de FEC-eenheid verder verwerkt. Hierbij moet zijn voldaan aan het vereiste van artikel 9 Wbp: persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze zijn verkregen. Zie ook de toelichting bij artikel 15 van dit protocol.

Artikel 9 Verantwoordelijke Wbp

De verantwoordelijke voor de persoonsgegevensverwerking wordt in artikel 1 sub d Wbp gedefinieerd als ‘de natuurlijk persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt’. Het is degene die in juridische zin bevoegd is doel en middelen van de gegevensverwerking vast te stellen.

Voor de centrale verwerking van persoonsgegevens door de FEC-eenheid is door de FEC-raad bepaald dat sprake is van een gezamenlijke verantwoordelijkheid. Dit houdt in dat verschillende verwerkingen zijn geïntegreerd zonder dat er een gemeenschappelijke verantwoordelijke is. Iedere FEC-partner afzonderlijk is in beginsel aansprakelijk voor het geheel van de persoonsgegevensverwerkingen door de FEC-eenheid. Dit is alleen anders, indien een FEC-partner op geen enkele wijze bij de gegevensverwerking betrokken is (geweest).

Artikel 10 Regisseur

Om te waarborgen dat op zorgvuldige wijze invulling wordt gegeven aan de diverse verplichtingen die de Wbp voor de verantwoordelijke met zich mee brengt, is een regisseur aangewezen. De regisseur is het hoofd FEC-eenheid. Het hoofd FEC-eenheid heeft zicht op de werkprocessen en kan sturen op een zorgvuldige en rechtmatige verwerking van persoonsgegevens door de FEC-eenheid.

Artikel 11 Melding persoonsgegevensverwerking

In beginsel dienen op grond van de Wbp alle geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens door een verantwoordelijke te worden gemeld bij het College bescherming persoonsgegevens (Cbp). De melding heeft tot doel de belangen van de deelnemende partijen aan het FEC enerzijds en die van de betrokkene anderzijds op een gestructureerde en hiermee controleerbare wijze af te wegen. Dit komt verder tot uitdrukking in de transparantie van de melding van de persoonsgegevensverwerking bij het Cbp.

Aan de meldingsplicht van de Wbp wordt voldaan door de centrale persoonsgegevensverwerking door de FEC-eenheid te melden bij het Cbp. De gegevens van de melding worden opgenomen in het openbare register van de gegevensverwerking van het Cbp6.

Het Convenant FEC 2014, het Informatieprotocol FEC 2014 en de toelichting bij het protocol worden bij de melding gevoegd.

Artikel 12 Bewaartermijnen

Persoonsgegevens die door de FEC-eenheid worden verwerkt worden niet langer bewaard dan noodzakelijk is voor het doel waarvoor ze worden verwerkt. Omdat persoonsgegevens voor verschillende doelen worden verwerkt kan geen algemene bewaartermijn worden vastgesteld. Hetzelfde geldt voor de verwerking van persoonsgegevens in het kader van projecten. Per project zal omschreven worden hoe lang de persoonsgegevens worden bewaard.

Vernietiging van persoonsgegevens vindt niet plaats wanneer er een wettelijke plicht tot bewaring bestaat of er andere dringende redenen zijn om deze gegevens te bewaren. Dit kan het geval zijn wanneer dit voor historische, statistische of wetenschappelijke doeleinden nodig is.

Artikel 13 Beveiliging

Artikel 13 Wbp verplicht de verantwoordelijke tot het nemen van passende technische en organisatorische maatregelen tegen verlies of enige vorm van onrechtmatige verwerking van persoonsgegevens. De mate van beveiliging van persoonsgegevens die noodzakelijk is, wordt voornamelijk bepaald door de aanwezige risico’s op onzorgvuldig en onbevoegd gebruik van deze gegevens. In de Wbp wordt een beschermingsniveau dat rekening houdt met deze risico’s, de aard van de te beschermen persoonsgegevens, de stand van de techniek en de kosten van tenuitvoerlegging van beveiligingsmaatregelen, een ‘passend’ beveiligingsniveau genoemd.

De persoonsgegevens die fysiek bij de FEC-eenheid aanwezig zijn, moeten worden beveiligd door logische en fysieke maatregelen in en rondom de informatie zoals toegangscontrole, vastlegging van gegevensgebruik en back-up van gegevens. Veilig omgaan met persoonsgegevens betekent ook dat gegevens veilig moeten worden vernietigd.

Organisatorische maatregelen zijn maatregelen voor de inrichting van de organisatie en deling van verantwoordelijkheden en bevoegdheden, instructies, trainingen en calamiteitenplannen. De FEC-eenheid geeft hier onder andere invulling aan door de volgende maatregelen:

  • Een strikt autorisatiesysteem.

  • Veiligheidsonderzoeken door de AIVD.7

  • Een beveiligingsbeleid inclusief classificatiesysteem.

  • Een beveiligde communicatietool (cocoto).

Artikel 14 Geheimhouding

Geheimhouding van de persoonsgegevens vormt een belangrijke voorwaarde voor de FEC-samenwerking. Er staan soms grote belangen op het spel. Daarom geldt de geheimhouding van persoonsgegevens voor alle activiteiten die in het kader van de FEC-samenwerking plaats vinden. Alleen wanneer dat uitdrukkelijk is bepaald mag gebruik worden gemaakt van de persoonsgegevens. Alle medewerkers die betrokken zijn bij de FEC-samenwerking zijn tot geheimhouding gehouden uit hoofde van ambt, beroep of wettelijk voorschrift en/of hebben een geheimhoudingsverklaring getekend voor de eigen organisatie.

Artikel 15 Doelafwijkend verwerken

Artikel 15 borgt dat persoonsgegevens alleen kunnen worden verwerkt voor doeleinden waarvoor de verstrekker impliciet (lid 1) of expliciet (lid 2) heeft ingestemd.

Daarnaast is een uitzondering op de doelbinding conform artikel 43 Wbp mogelijk wanneer dit noodzakelijk is in het belang van:

  • a. de veiligheid van de staat;

  • b. de voorkoming, opsporing en vervolging van strafbare feiten;

  • c. gewichtige financiële en economische belangen van de staat en andere openbare lichamen;

  • d. het toezicht op naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen bedoeld onder b en c; of

  • e. de bescherming van betrokkene of de rechten en vrijheden van anderen.

Paragraaf 5 Verstrekking van persoonsgegevens door de FEC-eenheid

Paragraaf 5 bevat bepalingen die zien op verstrekking van persoonsgegevens door de FEC-eenheid nadat ten behoeve van de FEC-samenwerking in het kader van de taken als genoemd in artikel 3 van het Convenant FEC 2014 een verwerking heeft plaatsgevonden.

Artikel 16 Toets voorafgaand aan de verstrekking van persoonsgegevens

Vóórdat persoonsgegevens door de FEC-eenheid worden verstrekt krijgen de FEC-partners, waarvan de persoonsgegevens oorspronkelijk afkomstig zijn, de mogelijkheid te toetsen of de beoogde verwerking in overeenstemming is met het oorspronkelijke doel waarvoor de persoonsgegevens zijn verzameld. Deze toets vindt plaats door de oorspronkelijke inbrenger omdat deze het beste kan beoordelen of aan het doelbindingsvereiste wordt voldaan. Op grond van artikel 9 Wbp mogen persoonsgegevens namelijk niet verder worden verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze (oorspronkelijk) zijn verkregen. In artikel 9 lid 2 Wbp staat waarmee in ieder geval rekening moet worden gehouden. Het betreft: de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen, de aard van de betreffende gegevens, de gevolgen van de beoogde verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen.

Naast de beoordeling van de doelbinding heeft de oorspronkelijke inbrenger de mogelijkheid om een beleidsmatige toets uit te voeren. Daarbij wordt beoordeeld of de beoogde verstrekking om andere redenen op bezwaren stuit.

Artikel 17 Ontvangers persoonsgegevens

De ontvangers van persoonsgegevens die door de FEC-eenheid zijn verwerkt zijn in beginsel alleen de FEC-partners. In incidentele gevallen kan de FEC-eenheid ook persoonsgegevens verstrekken aan derden, zoals bedoeld in artikel 1 sub 3 van het Convenant FEC 2014. De systematiek van de Wbp brengt mee dat het doelbindingsvereiste van artikel 9 Wbp (wederom) op deze verstrekking van toepassing is. Dit houdt in dat alleen ten behoeve van integriteitskwesties die de financiële sector raken informatie aan FEC-partners kan worden verstrekt. Dit toetst de FEC-eenheid. Bovendien moeten de FEC-partners kunnen borgen dat de verkregen persoonsgegevens in hun organisatie daadwerkelijk alleen maar voor dit FEC-doel worden verwerkt. De FEC-partners treffen passende maatregelen om deze doelbinding te borgen. Er wordt in ieder geval een functionaris aangesteld die verantwoordelijk is voor het beheer van deze persoonsgegevens.

Paragraaf 6 Verwerking van gegevens na verstrekking door de FEC-eenheid

Paragraaf 6 bevat bepalingen die gaan over het instemmingsvereiste bij doorverstrekking van persoonsgegevens aan derden en bij verwerking of doorverstrekking voor een ander doel.

Artikel 18 Doorverstrekking persoonsgegevens aan derden

Het kan gebeuren dat de ontvangende FEC-partner(s) ter uitvoering van zijn eigen taken (persoons)gegevens, die zijn ontvangen van de FEC-eenheid, aan een derde, niet zijnde een FEC-partner, wil (of moet) doorverstrekken. Deze FEC-partner(s) moet deze doorverstrekking toetsen aan de voor hem geldende regelgeving.

Bovendien vindt een verstrekking aan een derde alleen plaats met instemming van de FEC-partner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn, tenzij er sprake is van een wettelijke plicht tot verstrekking.

Artikel 19 Verwerking of doorverstrekking persoonsgegevens voor ander doel

De Wbp biedt de mogelijkheid om in bijzondere gevallen af te wijken van het beginsel van doelbinding. Indien een FEC-partner van oordeel is dat ten behoeve van de uitvoering van zijn taak verwerking of doorverstrekking van de persoonsgegevens voor een ander doel, dan waarvoor de persoonsgegevens zijn verstrekt, noodzakelijk is, is om dezelfde redenen als genoemd in artikel 15 en 19 van dit protocol, instemming nodig van de FEC-partner(s) waarvan de persoonsgegevens oorspronkelijk afkomstig zijn.

Paragraaf 7 De betrokkene

Paragraaf 7 bevat de informatieplicht van de verantwoordelijke en de rechten van de betrokkene volgens de Wbp

Artikel 20 Informatieplicht en rechten betrokkene
Informatieplicht

Artikel 33 van de Wbp omvat de verplichting van de verantwoordelijke om de betrokkene op eigen initiatief op de hoogte te stellen van het bestaan van de persoonsgegevensverwerking. Dit is een belangrijk instrument om het persoonsgegevensverkeer transparanter te maken.

Indien persoonsgegevens worden verkregen op een andere wijze dan rechtstreeks van betrokkene, bepaalt artikel 34 van de Wbp dat de verantwoordelijke de eerder genoemde informatie aan de betrokkene meedeelt op het moment van vastlegging van de persoonsgegevens. Wanneer de persoonsgegevens bestemd zijn om aan een derde te worden verstrekt, dan kan de mededeling worden gedaan op het moment van de eerste verstrekking. De informatieverplichting kan achterwege blijven indien de betrokkene reeds op de hoogte is van de persoonsgegevensverwerking (artikel 34 lid 1 Wbp), indien mededeling van de informatie aan de betrokkene onmogelijk blijkt of onevenredige inspanning kost (artikel 34 lid 4 Wbp) of indien sprake is van een vastlegging of verstrekking welke krachtens de wet is voorgeschreven (artikel 34 lid 5 Wbp).

Bovendien heeft de wetgever bij de totstandkoming van de Wbp onderkend dat een samenleving niet kan functioneren wanneer niet onder bepaalde omstandigheden op de vastgestelde beginselen een uitzondering van worden gemaakt. In artikel 43 Wbp staat dat de verantwoordelijke het informeren achterwege kan laten voor zover dit noodzakelijk is in het belang van:

  • a. de veiligheid van de staat;

  • b. de voorkoming, opsporing en vervolging van strafbare feiten;

  • c. gewichtige financiële en economische belangen van de staat en andere openbare lichamen;

  • d. het toezicht op naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of

  • e. de bescherming van betrokkene of van de rechten en vrijheden van anderen.

Dit betekent dat de verantwoordelijke (FEC-partners gezamenlijk) voor wat betreft de uitvoering van de informatieplicht een gerechtigd beroep kan doen op de uitzonderingsbepaling van artikel 43 Wbp (a t/m e). De bekendheid van betrokkenen over de verwerking van zijn of haar persoonsgegevens in het kader van de versterking van de integriteit van de financiële sector, onder andere in verband met (de voorbereiding van) concrete toezichtactiviteiten of opsporingsactiviteiten, kan tot ongewenste neveneffecten leiden. De betrokkene wordt in deze gevallen achteraf geïnformeerd wanneer geen van de belangen als bedoeld in artikel 43 Wbp (meer) in het geding zijn.

Voor de FEC-samenwerking is aan de informatieplicht voldaan door plaatsing van het Informatieprotocol FEC 2014 en de toelichting op de website van het FEC en op de websites van de FEC-partners en vindt publicatie van protocol in de Staatscourant plaats.

Rechten van betrokkene

Degene over wie persoonsgegevens worden verwerkt, heeft recht op inzage in zijn persoonsgegevens en informatie over het gebruik dat daarvan door de FEC-eenheid en de FEC-partners wordt gemaakt8. Het verzoek tot inzage kan worden gericht aan de FEC-eenheid. De verantwoordelijke beslist; dit zijn de FEC-partners gezamenlijk.

Bij een verzoek tot inzage deelt de verantwoordelijke binnen vier weken mee of er over de betrokkene persoonsgegevens worden verwerkt, het doel van de persoonsgegevensverwerking en de aangewezen ontvangers.

De uitzonderingsbepalingen van artikelen 34 en 43 Wbp kunnen in het geval van een verzoek om inzage in het door de FEC-eenheid verzamelde persoonsgegevens eveneens worden gebruikt om het verzoek te weigeren. De beslissing op een inzageverzoek is een besluit in de zin van de Awb en daarmee vatbaar voor bezwaar en beroep.

Paragraaf 8 Slotbepalingen

Paragraaf 8 bevat enkele bepalingen van procedurele aard.

Artikel 21 Evaluatie persoonsgegevensverwerking

De werking van dit protocol en de persoonsgegevensverwerkingen die op basis van dit protocol hebben plaatsgevonden worden driejaarlijks door de FEC-eenheid geëvalueerd, als onderdeel van de evaluatie van het Convenant FEC door de FEC-waarnemers. De evaluatie omvat onder andere het aantal signalen, het aantal FEC-adviezen en de uitkomst van de FEC-adviezen. Tevens omvat de evaluatie specifieke Wbp-aspecten, bijvoorbeeld: hoe vaak is een nieuwe melding van een persoonsgegevensverwerking gedaan aan het Cbp en hoe vaak hebben betrokkenen gebruik gemaakt van hun rechten. Ook wordt onderzocht of de in het protocol genoemde rollen, zoals verantwoordelijke en beheerder, door de FEC-partner(s) zijn ingevuld en of het protocol in voldoende mate is geborgd in de eigen organisaties van de FEC-partner(s).

De driejaarlijkse evaluatie van het Informatieprotocol FEC 2014 wordt gevoegd bij de driejaarlijkse evaluatie door de FEC-waarnemers over de uitvoering van het Convenant FEC 2014, zoals benoemd in artikel 7 sub 2 van het Convenant FEC 2014.

Artikel 22 Overeenkomstige toepassing Informatieprotocol FEC 2014

Hoewel de focus ligt op de verwerking van persoonsgegevens bepaalt artikel 22 dat het merendeel van de bepalingen ook ziet op de verwerking van andere gegevens dan persoonsgegevens. Uitwisseling van deze gegevens is ook nodig om de doelstelling van het FEC te bereiken. Om te verduidelijken dat de rechten en plichten uit de Wbp niet van toepassing zijn op de verwerkingen van andere gegevens dan persoonsgegevens worden de artikelen uit het Informatieprotocol FEC 2014 die daarover gaan niet van overeenkomstige toepassing verklaard.

Artikel 1 sub 3 van het Convenant FEC 2014 maakt het mogelijk dat andere organisaties met toestemming van de FEC-raad deelnemen aan activiteiten binnen de FEC-samenwerking. In artikel 22 wordt bepaald dat in dat geval alle bepalingen van het Informatieprotocol FEC 2014 onverkort op deze organisaties van toepassing zijn.

Tot slot gelden de bepalingen uit het Informatieprotocol FEC 2014 ook voor FEC-waarnemers, indien zij, overeenkomstig het bepaalde in de toelichting bij het Convenant FEC 2014, deelnemen aan activiteiten van het FEC.


X Noot
1

Onder bestuurlijke aanpak wordt ook fiscale aanpak verstaan.

X Noot
2

Het Informatieprotocol FEC 2014 is op 1 januari 2014 in werking getreden en hiermee is het Informatieprotocol FEC 2011 vervallen.

X Noot
3

Een bestand is conform artikel 1 onderdeel c van de Wbp: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografische wijze dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.

X Noot
4

Deze normen zijn de algemene zorgvuldigheidseis (art. 6 Wbp), doel verzameling gegevens (art. 7 Wbp), grondslag verwerking persoonsgegevens (artikel 8 onderdelen a-f Wbp), doelbinding gebruik gegevens (art. 9 Wbp), kwaliteit gegevens (art. 11 Wbp), beveiliging gegevens (art. 13 Wbp) en bewaring gegevens (art. 10 Wbp).

X Noot
5

Noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan de gegevens worden verstrekt kan alleen een grondslag zijn voor verstrekking door de FEC-eenheid aan een FEC-partner die bestuursorgaan is en – vanwege het transparante karakter van het FEC – voor zuivere verstrekking van een FEC-partner aan een andere FEC-partner die bestuursorgaan is, zonder toegevoegde handelingen (zoals analyse/samenvoegen) vaan de FEC-eenheid.

X Noot
6

Het openbare register van gegevensverwerkingen van het Cbp is te vinden op de website van het Cbp, www.cbpweb.nl

X Noot
7

Welke soort veiligheidsonderzoeken plaatsvinden is maatwerk en hangt mede af van het soort informatie dat wordt verwerkt.

X Noot
8

Artikel 35 Wbp.

Naar boven