Besluit van 27 november 2025, houdende regels inzake gegevensverwerking bij discriminatie op de BES [KetenID WGK26213]

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties van 7 juli 2025, nr 2025-0000404643/CZW/CZ;

Gelet op artikel I, vijfde lid, van de Wet bescherming tegen discriminatie op de BES;

De Afdeling advisering van de Raad van State gehoord (advies van 1 oktober 2025, nr W04.25.00172/I;

Gezien het nader rapport van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties van 24 november 2025, nr 2025-0000649944/CZW/CZ;

Hebben goedgevonden en verstaan:

HOOFDSTUK 1 ALGEMEEN

Artikel 1 Begripsbepalingen

In dit besluit wordt verstaan onder:

ADV BES:

antidiscriminatievoorziening op Bonaire, Sint Eustatius en Saba die de taken als bedoeld in artikel I van de wet uitvoert;

backoffice:

voorziening die ondersteuning en facilitering biedt aan de ADV BES;

bezoeker:

natuurlijke persoon die de ADV BES fysiek of elektronisch benadert en om ondersteuning bij discriminatie verzoekt;

beschikbaarheid:

de mate waarin een informatiesysteem in bedrijf en toegankelijk is op het moment dat een organisatie het nodig heeft;

frontoffice:

loket op de BES waarin de ADV BES haar diensten verleent;

informatieveiligheid:

het vaststellen van de vereiste betrouwbaarheid van informatieverwerking en informatiesystemen ter waarborging van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen, gericht op de uitoefening van de taken als bedoeld in artikel I van de wet;

informatiesysteem:

het geheel van gegevensverzamelingen, de daarbij behorende personen, processen en programmatuur alsmede de getroffen voorzieningen voor opslag, verwerking en communicatie ten behoeve van de uitoefening van de taken als bedoeld in artikel I van de wet;

integriteit:

betrouwbaarheid, de mate waarin een organisatie zich voor zijn bedrijfs- en bestuursprocessen kan verlaten op zijn informatievoorziening;

Onze Minister:

de Minister van Binnenlandse Zaken en Koninkrijksrelaties

persoonsgegeven:

elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, als bedoeld in artikel 1, tweede lid onder a, van de Wet bescherming persoonsgegevens BES;

ketenpartner:

organisatie buiten de frontoffice van de ADV BES en de backoffice, die een bijdrage levert aan of professioneel betrokken is bij het behandelen van meldingen inzake discriminatie en de uitoefening van de taken als bedoeld in artikel I van de wet, die doorverwijst of waarnaar wordt doorverwezen. Hiertoe behoren in ieder geval een voorziening voor juridische hulp, de politie, het openbaar ministerie, maatschappelijke organisaties (waaronder instanties op het gebied van zorg, welzijn en belangenbehartiging) en het College voor de rechten van de mens;

vertrouwelijkheid:

de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden;

voorziening voor juridische hulp:

eerstelijns voorziening voor rechtshulp op de BES;

wet:

de Wet bescherming tegen discriminatie op de BES.

HOOFDSTUK 2 PERSOONSGEGEVENS

Artikel 2 Doelbinding

De persoonsgegevens, bedoeld in artikel 4, worden niet gebruikt voor andere doeleinden en taken dan die bedoeld in artikel I van de wet.

Artikel 3 Informatieverschaffing

De ADV BES informeert een bezoeker over de verwerking van persoonsgegevens die nodig is voor registratie, ondersteuning en beveiliging.

Artikel 4 Persoonsgegevens in de ADV BES

Door de ADV BES kunnen, voorzover noodzakelijk voor de uitoefening van de taken, bedoeld in artikel I van de wet, en voor de goede en betrouwbare werking van het informatiesysteem de volgende persoonsgegevens worden verwerkt:

  • a. over de bezoeker die om hulp verzoekt voor zichzelf:

    • 1°. Voornaam en achternaam;

    • 2°. Contactgegevens, waaronder postadres, e-mailadres en telefoonnummer;

    • 3°. Geslacht;

    • 4°. Nationaliteit;

    • 5°. Geboortedatum;

    • 6°. Burgerlijke staat;

    • 7°. Ras en etnische afkomst;

    • 8°. Politieke gezindheid of lidmaatschap van een politieke organisatie;

    • 9°. Godsdienst, levensovertuiging of lidmaatschap van een religieuze of levensbeschouwelijke gemeenschap;

    • 10°. Lidmaatschap van een vakbond;

    • 11°. Handicap of chronische ziekte;

    • 12°. Seksuele gerichtheid;

    • 13°. Arbeidsduur en arbeidscontract (vast of tijdelijk).

  • b. over de bezoeker die om hulp verzoekt voor een ander:

    • 1°. Voornaam en achternaam;

    • 2°. Contactgegevens, waaronder postadres, e-mailadres en telefoonnummer.

  • c. over het slachtoffer van discriminatie dat niet zelf om hulp verzoekt: de onder a. genoemde gegevens.

  • d. over degene die discriminatoir handelt of zou handelen:

    • 1°. Voornaam en achternaam;

    • 2°. Contactgegevens, waaronder postadres, e-mailadres en telefoonnummer;

    • 3°. Geslacht;

    • 4°. Relatie tot degene jegens wie discriminatoir is of wordt gehandeld;

    • 5°. Nationaliteit;

    • 6°. Ras en etnische afkomst;

    • 7°. Politieke gezindheid of lidmaatschap van een politieke organisatie;

    • 8°. Godsdienst, levensovertuiging of lidmaatschap van een religieuze of levensbeschouwelijke gemeenschap.

  • e. over de contactpersoon bij een ketenpartner:

    • 1°. Voornaam en achternaam;

    • 2°. Contactgegevens, waaronder postadres, e-mailadres en telefoonnummer.

  • f. over de behandelaar:

    • 1°. Voornaam en achternaam;

    • 2°. Voornaam en achternaam van mede-accounthouder(s) ADV-BES.

Artikel 5 Verstrekkingen door de ADV BES

  • 1. De ADV BES verstrekt de persoonsgegevens, bedoeld in artikel 4, indien en voorzover dit noodzakelijk is voor het verder behandelen van en het ondersteuning bieden bij discriminatie, aan:

    • a. de backoffice;

    • b. de betrokken ketenpartner(s);

    • c. degene die discriminatoir handelt of zou handelen.

  • 2. De ADV BES verstrekt geen persoonsgegevens voor rapportagedoeleinden.

  • 3. De ADV BES hanteert voor de teruglevering van persoonsgegevens door de backoffice aan de frontoffice een overeenkomst voor de doorgifte van persoonsgegevens.

Artikel 6 Bewaartermijnen

De ADV BES bewaart de persoonsgegevens, bedoeld in artikel 4, voor de duur van de uitvoering van de taken, bedoeld in artikel I van de wet. De gegevens worden vijf jaar na de eerste noodzakelijke verwerking automatisch verwijderd.

HOOFDSTUK 3 INFORMATIEVEILIGHEID

Artikel 7 Beveiliging van persoonsgegevens

Teneinde de te verwerken persoonsgegevens te beveiligen en deze te beschermen tegen ongeoorloofde of onrechtmatige verwerking en verlies, vernietiging of beschadiging, neemt de ADV BES passende technische, organisatorische en personele maatregelen, waaronder inzake de juiste en veilige bediening en gebruik van informatiesystemen, de toegang tot en de beschikbaarheid en integriteit van informatiesystemen en het herkennen en herstellen van beveiligingsinbreuken.

§ 3.1 Bedrijfsvoering

Artikel 8 Informatieveiligheidsbeleid

De ADV BES stelt beleid op voor de informatieveiligheid van de gehanteerde ICT-systemen, waaronder een veiligheidsplan dat is gebaseerd op een risico-identificatie en risico-afweging. Het informatieveiligheidsbeleid is een continue proces, dat integraal deel uitmaakt van de reguliere bedrijfsvoeringscyclus en elke twee jaar wordt beoordeeld en zo nodig bijgesteld.

Artikel 9 Organisatie en beheer

De ADV BES belegt taken, verantwoordelijkheden en coördinatie ter zake van informatieveiligheid en neemt passende beheersmaatregelen, waaronder met betrekking tot het gebruik van de ICT-systemen en verwerking van informatie.

Artikel 10 Personele en fysieke beveiliging

De ADV BES rust haar personeel toe om het informatieveiligheidsbeleid uit te voeren en beschermt ruimten en apparatuur.

Artikel 11 ICT-voorzieningen en informatiesystemen

De ADV BES:

  • a. waarborgt dat bij de ontwikkeling van ICT privacy- en veiligheidsverhogende maatregelen worden genomen, onder meer door gegevensbescherming en beveiliging in de architectuur, privacyvriendelijke standaardinstellingen en beveiligde software;

  • b. waarborgt juiste en veilige bediening en gebruik van ICT-voorzieningen en informatiesystemen, door onder meer de toepassing van functiescheiding;

  • c. waarborgt de beschikbaarheid en integriteit van ICT-voorzieningen en informatiesystemen, door onder meer de toepassing van systeemplanning, het maken van reservekopieën en netwerkbeheer;

  • d. neemt beheersmaatregelen inzake de toegang tot informatie en informatiesystemen;

  • e. neemt maatregelen voor het herkennen en het herstellen van beveiligingsinbreuken, waaronder detectie van kwetsbaarheden, rapportage van incidenten, respons, escalatie, schadebeperking, communicatie en evaluatie.

§ 3.2 Monitoring en verantwoording

Artikel 12 Logging

  • 1. Teneinde onbevoegde informatieverwerking en systeemtechnische fouten te kunnen ontdekken, zorgt de ADV BES voor logbestanden inzake het gebruik van ICT-voorzieningen.

  • 2. De logbestanden hebben betrekking op de geraadpleegde dossiers, de tijdstippen waarop is ingelogd en uitgelogd en de systeemtechnische gegevens. Deze gegevens worden maximaal vijf jaar na de eerste noodzakelijke verwerking bewaard.

Artikel 13 Controle

  • 1. De ADV BES voert elke twee jaar een controle uit van de informatiesystemen. De controle ziet op netwerkveiligheid, besturingssysteem, basisbeveiliging, applicatiebeveiliging en penetratietest.

  • 2. Rapportage geschiedt tweejaarlijks aan Onze Minister. De rapportage betreft de opzet en het bestaan van maatregelen en procedures gericht op de beveiliging en kan tevens betrekking hebben op de werking van de genomen beheersmaatregelen.

  • 3. De ADV BES stelt op basis van een risico-identificatie verbetermaatregelen op, indien uit de rapportage blijkt dat op onderdelen niet wordt voldaan aan het informatieveiligheidsbeleid.

HOOFDSTUK 4 SLOTBEPALINGEN

Artikel 14 Inwerkingtreding

Dit besluit treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

Artikel 15 Citeertitel

Dit besluit wordt aangehaald als: Besluit gegevensverwerking bij discriminatie op de BES.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

’s-Gravenhage, 27 november 2025

Willem-Alexander

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, F. Rijkaart

Uitgegeven de derde december 2025

De Minister van Justitie en Veiligheid, F. van Oosten

NOTA VAN TOELICHTING

Inhoudsopgave

I Algemeen

     

1

Aanleiding
     

2

Hoofdlijnen
     

3

Verhouding tot andere regelgeving
     

4

Inhoud
     
 

4.1

Verwerking persoonsgegevens
     
   

4.1.1. Persoonsgegevens in ADV BES
     
   

4.1.2. Verstrekking door ADV BES
     
   

4.1.3. Bewaartermijnen
     
 

4.2

Informatieveiligheid
     

5

Toezicht en handhaving
     

6

Gevolgen en uitvoerbaarheid
     

7

(Internet) consultatie en advies
     

II Artikelsgewijs

I Algemeen deel

1 Aanleiding

Het wetsvoorstel «bescherming tegen discriminatie op de BES» heeft als doel de inwoners van Bonaire, Sint Eustatius en Saba betere bescherming tegen discriminatie te bieden. Hiervoor zijn wetgeving en instituties nodig, net zoals deze in de afgelopen decennia in het Europese deel van Nederland zijn ingericht en ontwikkeld. Het wetsvoorstel realiseert:

  • integrale invoering van de gelijkebehandelingswetten op de BES;

  • de inrichting voor elk BES-eiland van een voorziening die adviseert, voorlichting geeft, klachten registreert en laagdrempelige hulp en bijstand biedt bij discriminatievragen: de antidiscriminatievoorziening BES (hierna: ADV BES);

  • een oordelende taak bij het College voor de rechten van de mens (hierna: CRM) inzake individuele discriminatiezaken op de BES.

Het wetsvoorstel verankert de taken van de ADV BES (artikel I, tweede lid, van de wet): ondersteuning bij de afwikkeling van klachten inzake discriminatie als bedoeld in de betreffende gelijkebehandelingswetten, registratie, advisering, doorgeleiding, bemiddeling en voorlichting. Gedacht kan worden aan advisering over mogelijk door een melder te nemen stappen en bijstand bij het indienen van een oordeelverzoek bij het CRM. De ADV BES verwerkt persoonsgegevens voor zover dit noodzakelijk is voor de goede uitvoering van de genoemde taken. Gezien de aard van de materie – vaak zal sprake zijn van zeer gevoelige casus waarbij bijzondere persoonsgegevens spelen – en de schaal van de eilanden is veiligheid, betrouwbaarheid en vertrouwelijke behandeling van klachten essentieel. Dit speelt temeer wanneer contact gezocht wordt met bijvoorbeeld discriminerende werkgevers, lokale aanbieders van goederen of diensten of met ketenpartners teneinde inwoners hulp te kunnen bieden. De samenwerking met en inbedding in een voorziening voor juridische hulp brengt mee dat integraal gewerkt zal worden; ook hierbij zullen persoonsgegevens (moeten) worden uitgewisseld. Dit alles vergt zorgvuldige privacybescherming en informatiebeveiliging. Daarom schrijft de wet voor dat bij algemene maatregel van bestuur regels worden gesteld over de gegevens die worden verwerkt, aan wie deze worden verstrekt, hoe lang deze worden bewaard en op welke wijze deze worden beveiligd (artikel I, vijfde lid, van de wet). Het onderhavige besluit dient ter uitvoering hiervan.

2 Hoofdlijnen

Dit besluit bevat voorschriften voor de verwerking, bescherming en beveiliging van persoonsgegevens door de ADV BES; de ADV BES is normadressaat van dit besluit. In haar werkprocessen, die tot doel hebben hulp en bijstand te verlenen aan inwoners van de BES die discriminatie ervaren, staan naar hun aard gewone en bijzondere persoonsgegevens centraal. Bij persoonsgegevens gaat het om alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 1, tweede lid onder a., van de Wet bescherming persoonsgegevens BES). Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Bij de uitvoering van veel taken door de ADV BES is sprake van een vorm van verwerking van persoonsgegevens (bijvoorbeeld bij intake en registratie van meldingen), vaak ook gegevensstromen (bijvoorbeeld bij raadpleging van de backoffice en doorverwijzing). De voorschriften in dit besluit houden derhalve verband met de werkprocessen en functionaliteiten van de ADV BES. De ADV is voor de BES een nieuwe voorziening.

In Europees Nederland functioneren ADV’s al sinds 2009; de Wet gemeentelijke antidiscriminatie-voorzieningen1 bepaalt dat elke gemeente een laagdrempelige, onafhankelijke voorziening moet instellen, waar burgers terecht kunnen met klachten over discriminatie. Deze moet los staan van de gemeentelijke organisatie om zo de onafhankelijkheid te waarborgen.Er zijn daarom in alle regio’s van Europees Nederland ADV’s te vinden: veelal overheidsgefinancierde stichtingen, al dan niet als onderdeel van een gemeenschappelijke regeling, die fysieke loketten faciliteren waar hulp en bijstand bij ervaren discriminatie kan worden gevraagd. De ADV’s zijn ook digitaal toegankelijk. Voorts functioneert Discriminatie.nl, de landelijke vereniging waarin wordt samengewerkt door de ADV’s.2 Discriminatie.nl is verantwoordelijk voor het bevorderen van kwaliteit en deskundigheid van ADV’s.

De ADV’s werken met ADV-net: een technische voorziening (applicatie) voor de registratie van klachten en meldingen, dat tevens dient als basis voor de jaarlijkse rapportage. Medewerkers leggen hierin casusgewijs en gedurende het hele behandelingstraject data vast, vanaf het eerste contact met een melder tot en met de sluiting van het dossier: wie discriminatie meldt, welke discriminatiegrond aan de orde is, op welk terrein, welke acties en vervolgstappen er worden genomen, naar welke ketenpartners wordt doorverwezen etc. Het gebruik van ADV-net wordt ondersteund door een handleiding voor medewerkers en een technische beschrijving. Voor de ingebruikname is in opdracht van Discriminatie.nl een (externe) privacy impact assessment (PIA) uitgevoerd, waarin het werkproces en de beveiliging zijn doorgelicht. ADV-net is ISO-gecertificeerd (Kiwa).

Op elk BES-eiland zal de ADV werken in een fysiek loket, een frontoffice, waarin ook een voorziening voor juridische hulp gehuisvest zal zijn. Hierdoor wordt samenwerking tussen de betrokken professionals mogelijk en is sprake van laagdrempelige en integrale aanpak van hulpvragen. De frontoffice krijgt de vorm van een stichting.3 Er zal tevens een backoffice functioneren die ondersteuning en facilitering biedt aan de ADV BES. De backoffice, die in dienst staat van de frontoffice, zal zich waarschijnlijk in Europees Nederland bevinden. Naar verwachting zal Discriminatie.nl zorg dragen voor inrichting en werking van de backoffice van de ADV BES. De ADV BES zal voor haar technische (ICT-)ondersteuning gebruik maken van ADV-net, aangezien dit een bruikbaar, veilig en beproefd systeem is, dat zich goed leent voor de op de BES benodigde werkprocessen en functionaliteiten. De ADV BES zal ook digitaal toegankelijk zijn.

Inherent aan de uitvoering van de wettelijke taken door de ADV BES is de verwerking van veelal bijzondere, zeer privacygevoelige persoonsgegevens. Het onderhavige besluit stelt regels over de gegevensverwerking door de ADV BES en verplicht deze (als verantwoordelijke) tot het nemen van juridische, technische en organisatorische maatregelen. Deze voorschriften vormen de uitwerking en invulling van de Wbp BES, met andere woorden: ze concretiseren hetgeen reeds op basis van de Wbp BES voor de ADV BES geldt. Strikt juridisch zou het mogelijk zijn dat de ADV BES gaat functioneren op basis van (een combinatie van) toestemming van betrokkenen en de facto beschermende maatregelen. Er is, kortom, geen dwingende noodzaak tot het opstellen van wettelijke regels. Er is echter voor gekozen om wel algemeen verbindende voorschriften op te stellen. Hier heeft de Commissie toezicht bescherming persoonsgegevens (Cbp) BES ook op aangedrongen in haar advies over het bovenliggende wetsvoorstel «bescherming tegen discriminatie op de BES». De algemeen verbindende voorschriften in dit besluit bieden waarborgen en rechtszekerheid voor inwoners van de BES die discriminatie ervaren en duidelijkheid voor ketenpartners en andere betrokkenen. Aldus wordt aanvullende bescherming gerealiseerd.

3 Verhouding tot andere regelgeving

Als gevolg van het functioneren van de ADV BES en de uitoefening van haar wettelijke taken, zullen persoonsgegevens worden verwerkt en uitgewisseld; met name binnen de BES (met ketenpartners, zoals een voorziening voor juridische hulp en organisaties op het gebied van zorg en welzijn) maar ook met (de backoffice in) Europees Nederland. In dat verband is primair de Wbp BES relevant. In het onderstaande wordt hierop nader ingegaan.

De Wet bescherming persoonsgegevens BES (Wbp BES)

Met de invoering van de Wbp BES in 2010 is beoogd om bij de verwerking van persoonsgegevens te voldoen aan de Grondwet en een adequaat beschermingsniveau op de drie Caribische eilanden in te voeren. Het gaat hierbij enerzijds om een nomenkader dat de zorgvuldige omgang met (gewone en bijzondere) persoonsgegevens voorschrijft en anderzijds om de inrichting van een onafhankelijke toezichthoudende autoriteit, die toeziet op de waarborging van de normen.4 Rechtmatigheid van de verwerking is essentieel; de Wbp BES schrijft daartoe doelbinding voor (artikel 7), en voorziet in een regime voor gewone persoonsgegevens (artikel 8 ev) en een – stricter – regime voor bijzondere persoonsgegevens (artikel 16 en volgende). Nodig zijn noodzakelijkheid en proportionaliteit van de verwerking, dataminimalisatie en passende beveiligingsmaatregelen. Persoonsgegevens mogen onder meer worden verwerkt indien betrokkene daarvoor uitdrukkelijke toestemming heeft gegeven en indien verwerking nodig is om een wettelijke verplichting na te komen (artikelen 8 en 23). De Wbp BES voorziet voorts in rechten van de betrokkene zoals inzage, in rechtsbescherming en toezicht.

De (verwerking en verstrekking door de) ADV BES valt binnen de reikwijdte van de Wbp BES, omdat deze wet van toepassing is op de al of niet geautomatiseerde verwerking van persoonsgegevens (artikel 2). Met het onderhavige besluit wordt invulling gegeven aan het in de Wbp BES bepaalde. De voorschriften inzake privacybescherming en informatiebeveiliging zijn toegesneden op de specifieke functionaliteiten en taken van de ADV BES. Hiermee worden een adequaat beschermingsniveau en passende waarborgen gerealiseerd. De frontoffice van de ADV BES is (verwerkings)verantwoordelijke in de zin van de Wbp BES.5

De ketenpartners zijn geen normadressaat van het onderhavige besluit. Wanneer zij worden ingeschakeld bij het behandelen van discriminatiemeldingen, wanneer zij naar de ADV BES doorverwijzen of wanneer naar hen wordt doorverwezen, hebben zij een eigenstandige verantwoordelijkheid om aan de Wbp BES te voldoen. In dat verband gaat ook de ADV BES zeer zorgvuldig met de betreffende persoonsgegevens om (zie hoofdstuk 2 van het besluit).

Voor de backoffice geldt dat deze, als verwerker voor de frontoffice, persoonsgegevens teruglevert aan de frontoffice en een standaardcontract voor de doorgifte van persoonsgegevens naar derde landen moet hanteren (zie hierna).

Regime en waarborgen bij (terug)levering aan BES

Zoals hierboven is aangegeven is, wanneer de ADV BES persoonsgegevens verwerkt, de Wbp BES toepasselijk; er is dan sprake van behandeling van een eilandelijke hulpvraag, waarbij lokale persoonsgegevens (dus: gegevens die betrekking hebben op inwoners van de BES) worden verwerkt.

Zoals hiervoor aangegeven zal naar verwachting Discriminatie.nl zorg dragen voor inrichting en werking van de backoffice van de ADV BES. Dit is de landelijke vereniging van antidiscriminatie-voorzieningen in Europees Nederland. De werkzaamheden van deze vereniging vallen onder de werking van de AVG. De Commissie toezicht bescherming persoonsgegevens BES (Cbp BES) heeft in haar advies bij het bovenliggende wetsvoorstel aangegeven dat het van belang is extra waarborgen te realiseren voor de gegevensstroom aan de BES. De Cbp BES heeft aangegeven doorgifte van gegevens van de backoffice naar de frontoffice als doorgifte aan een derde land in de zin van de AVG.6 Ingevolge artikel 46, eerste en tweede lid, AVG mogen persoonsgegevens alleen worden doorgeven naar derde landen indien deze een passend beschermingsniveau hebben en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Dit betekent dat de exporteur van gegevens hiertoe moet nagaan of het recht van het derde land een passende bescherming waarborgt en zo nodig aanvullende waarborgen moet bieden. Deze beoordeling moet aantoonbaar zijn, zodat toezicht mogelijk is.7 In haar consultatiereactie bij het ontwerp-Besluit geeft de Cbp BES aan bezorgd te blijven over de gegevensuitwisseling tussen de backoffice en de frontoffice. Hoewel het besluit volgens de Cbp BES de doorgifteproblematiek erkent en voorziet in passende en organisatorische maatregelen, signaleert men juridische kwetsbaarheid en acht men aanvullende waarborgen wenselijk.8 In lijn met advies van de Cbp BES voorziet artikel 5, derde lid, van het besluit voor de teruglevering van persoonsgegevens door de backoffice aan de frontoffice in een overeenkomst voor de doorgifte van persoonsgegevens. Deze maatregel vormt een extra waarborg volgens artikel 46, tweede lid onder c, AVG juncto het Uitvoeringsbesluit (EU) 2021/914.9

Dit laat onverlet dat de gegevensverwerkingen in de ADV BES binnen de werkingssfeer van de Wbp BES vallen en de backoffice alleen op basis van deze gegevens adviseert.

4 Inhoud

Dit besluit vormt de uitwerking van artikel I, vijfde lid, van de wet «bescherming tegen discriminatie op de BES»; hiermee wordt tevens invulling gegeven aan het in de Wbp BES bepaalde.

De voorschriften in het besluit hebben betrekking op privacybescherming en informatiebeveiliging en zijn toegesneden op de specifieke functionaliteiten en taken van de ADV BES. Benadrukt wordt, dat voor alles wat dit besluit niet regelt over privacybescherming in het kader van hulp bij discriminatie de bepalingen van de Wbp BES gelden, zoals voorschriften over transparantie en recht van inzage en rectificatie. De diverse aspecten van de bescherming van persoonsgegevens in verband met dit besluit worden hieronder nader toegelicht.

4.1 Verwerking persoonsgegevens

Dit besluit hanteert dezelfde uitgangspunten als die ten grondslag liggen aan de Wbp BES: rechtmatige verwerking, doelbinding, proportionaliteit en subsidiariteit (dataminimalisatie), opslagbeperking, veiligheid en en integriteit. Bij de voorbereiding van het besluit is een data protection impact assessment (DPIA) uitgevoerd. Deze vormt de basis voor de voorschriften in en de toelichting bij het besluit.

Voor de volledigheid wordt opgemerkt, dat de bescherming van persoonsgegevens een in de praktijk doorlopende en operationele verantwoordelijkheid is. Privacy wordt niet alleen beschermd door dat in wet- en regelgeving te verankeren. Die bescherming moet in de praktijk vorm krijgen en moet kunnen meegroeien met de in de tijd ontstane dreigingen en ter beschikking komende beschermings-maatregelen. In de wet en dit besluit worden verwerkingsgrondslagen, bewaartermijnen en verstrekkingen geregeld die deze verantwoordelijkheid inkaderen, en die tegelijkertijd de ruimte bieden om de operationele bescherming van persoonsgegevens toe te snijden op de in de praktijk benodigde en veranderende behoeften.

4.1.1. Persoonsgegevens in de ADV BES

Wat betreft proportionaliteit – weegt de privacyinbreuk op tegen de effecten voor burgers – bevat het besluit bepalingen die waarborgen dat er geen verdergaande inmenging plaatsvindt met het recht van betrokkene dan noodzakelijk is. Het besluit is het resultaat van een zorgvuldige afweging tussen het belang van hulp bij discriminatie enerzijds en de bescherming van de persoonlijke levenssfeer van inwoners van de BES anderzijds. Dit uit zich in de eerste plaats in het feit dat de verwerking van persoonsgegevens beperkt is tot zo min mogelijk gegevens en alleen tot die gegevens die essentieel zijn om taken van de ADV BES te kunnen uitoefenen, te beveiligen en betrouwbaar te houden.

Wat betreft subsidiariteit – zijn er nog andere manieren om het doel te bereiken – is gekozen voor een opzet en inrichting waarbij de verwerking van persoonsgegevens zo minimaal mogelijk is en met de minst mogelijke risico’s.

Het is onontkoombaar dat door de ADV BES persoonsgegevens worden verwerkt; dat is nu eenmaal inherent aan de kerntaken van deze voorziening, die hulp en bijstand bij discriminatie verleent (artikel I van de wet). Het onderhavige besluit stelt voorwaarden aan die verwerking. De ADV BES informeert alle bezoekers – in de praktijk wordt ook gesproken over «melders», maar feitelijk is dat een beperktere groep – over het feit dat de ADV BES persoonsgegevens verwerkt en daartoe bevoegd is, wat het doel van de gegevensverwerking is, welke gegevens het betreft en dat er veilig en zorgvuldig mee wordt omgegaan. Doordat sprake is van uitvoering van een wettelijke taak en de gegevensverwerking een wettelijke grondslag heeft, is het vragen van toestemming niet noodzakelijk (artikel 8, onder c, juncto artikel 23, eerste lid, Wbp BES). Vanzelfsprekend kan een bezoeker, naar aanleiding van de informatieverschaffing over persoonsgegevensverwerking, de afweging maken of en welke diensten hij van de ADV BES vraagt. Indien bijvoorbeeld de bezoeker geen bijzondere persoonsgegevens wil delen, kan mogelijk de ADV BES wel een luisterend oor bieden, algemene informatie geven of handvatten aanreiken. Mogelijk leidt zo’n eerste stap tot vertrouwen in de nieuwe voorziening en tot nader contact met de ADV BES waarbij de bezoeker zich wel vrij voelt om alle relevante persoonsgegevens te delen en hij nog beter geholpen kan worden. Kortom, een bezoeker heeft regie over het proces. Anonieme meldingen van discriminatie, waarbij geen persoonsgegevens van de melder bekend zijn, kunnen worden geregistreerd en in de jaarlijkse (beleids)rapportage worden opgenomen. De ADV BES verwerkt alleen die gegevens die nodig zijn; wat nodig is, is afhankelijk van de persoon wiens gegevens het betreft (melder/slachtoffer, melder/getuige, veroorzaker/wederpartij, ketenpartner, medewerker ADV BES) en van de omstandigheden van het geval. Bij een bezoeker die om hulp en bijstand verzoekt voor zichzelf (slachtoffer) zal veelal sprake zijn van verwerking van een of meerdere bijzondere persoonsgegevens omdat de discriminatiegrond daarmee samenhangt, zoals ras, seksuele gerichtheid en/of handicap of chronische ziekte. Vanzelfsprekend worden alleen de voor de betreffende casus relevante gegevens verwerkt.

4.1.2. Verstrekking door ADV BES

Voor een goede uitoefening van de wettelijke taken kan het nodig zijn dat de ADV BES de backoffice inschakelt voor ondersteuning (bijvoorbeeld begeleiding, advisering, delen van expertise) en/of één of meerdere ketenpartner(s) verzoekt om samenwerking of een vervolgactie (bijvoorbeeld doorverwijzing naar de politie of een zorginstantie). Dit gaat gepaard met de verstrekking van de relevante persoonsgegevens indien en voorzover dit noodzakelijk is voor het verder behandelen van en hulp bieden bij de betreffende casus. Ook is verstrekking aan een wederpartijd onontkoombaar wanneer bijvoorbeeld bemiddeling wordt overwogen in relatie tot een discriminerende woningverhuurder of aanbieder van goederen of diensten. Dit geldt eveneens als van een werkgever gelijke beloning wordt geëist. Met andere woorden: als een melder of slachtoffer anoniem wil blijven voor anderen dan de ADV BES en vertrouwelijke behandeling van zijn casus wenst, beperkt dat de beschikbare vervolgacties. Betrokkenen moeten zich daarvan bewust zijn, zodat zij een goede afweging kunnen maken. Informatieverschaffing door de ADV BES (artikel 3 van het besluit) is daarbij behulpzaam.

4.1.3. Bewaartermijnen

De voor de ADV BES gehanteerde bewaartermijn is vijf jaar na de eerste op grond van de taken noodzakelijke verwerking. Deze periode is afgeleid van de tijd die maximaal benodigd is voor de behandeling van een hulpvraag. De doorlooptijd van een casus verschilt naar gelang de omstandigheden van het geval. Wanneer bijvoorbeeld de bijstand bestaat uit het organiseren en begeleiden van een bemiddelingstraject, het aanhangig maken van een zaak bij het College of ondersteuning bieden bij een rechtszaak, is sprake van een langere periode van gegevensverwerking dan wanneer sprake is van een kort mondeling advies in het loket. Niettemin ligt het ook in het laatste geval in de rede dat gegevens langer dan voor de duur van het contact worden bewaard, omdat de ervaring in Europees Nederland leert dat een eerste contact vaak gevolgd wordt door een vervolgconsult of nader traject en nazorg. Na vijf jaar worden de gegevens automatisch verwijderd.

De ketenpartners zijn geen normadressaat van dit besluit. Het besluit stelt voor hen dus geen bewaartermijnen; zij zijn verantwoordelijk voor hun eigen gegevensverwerking en gegevensverstrekking en moeten zelf bewaartermijnen bepalen, met toepassing van het voor hen geldende wettelijke regime; dat is bijvoorbeeld voor het College de Wpb BES (in het bijzonder artikel 10) en voor de politie het Besluit politiegegevens dat ook van toepassing is op de BES.

Wanneer de ADV BES het voortouw neemt voor doorgeleiding, een verzoek om samenwerking of ondersteunin, hangt de bewaartermijn voor ketenpartner(s) samen met de tijd die zij nodig hebben voor de opvolging of afhandeling; dit is mede afhankelijk van hun werkprocessen, doorlooptijden en capaciteit. Zo hanteert het College in beginsel een termijn van vijf jaar, maar worden de dossiers die tot een oordeel hebben geleid langer bewaard en overgedragen aan het Nationaal Archief.10 Hoewel de reguliere taken van de ketenpartners aansluiten bij de taken van de ADV BES, is het antidiscriminatiedomein en het feit dat zij daarin een – afgeleide – rol kunnen hebben, nieuwe materie terzake waarvan het bewustzijn moet groeien.

4.2 Informatieveiligheid

De bepalingen in hoofdstuk 3 van dit besluit vormen een uitwerking en concretisering van artikel 13 Wbp BES, dat de verantwoordelijke verplicht tot het nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek en de kosten van tenuitvoerlegging. Het betreft op de specifieke taken en functionaliteiten van de ADV BES toegesneden voorschriften op het punt van bedrijfsvoering en monitoring/verantwoording. Reden voor deze «vertaalslag» is dat het duidelijkheid en rechtszekerheid verschaft. Dit is wenselijk gezien de aard van de materie; het gaat om nieuwe wetgeving en een nieuwe voorziening, effectuering van grondrechten (discriminatieverbod, privacybescherming) en dat alles binnen de context van de insulaire eigenheid van de eilanden en het gevoelige vraagstuk van discriminatie.

De voorschriften hebben betrekking op het primaire proces; persoonsgegevensverwerking en de daarmee gepaard gaande beveiliging is inherent aan de taakuitoefening door de ADV BES.

De informatiebeveiligingsbepalingen zijn doel- oftewel resultaatsverplichtingen. Met de opzet en formulering ervan wordt een evenwicht gevonden tussen enerzijds normerend en toetsbaar zijn (houvast bieden) gelet op de veiligheid in en doorgifte binnen de voorziening, en anderzijds ruimte laten. Hierdoor wordt de ADV BES in staat gesteld maatwerk te realiseren (risicogestuurd beheer) dat past bij de inrichting van haar taakuitoefening. Op deze wijze wordt recht gedaan aan de systeemverantwoordelijkheid van de Minister van BZK en aan de verantwoordelijkheid die de ADV BES voor de eigen bedrijfsvoering heeft. Toekomstige samenwerking tussen de ADV BES en een voorziening voor juridische hulp in de frontoffice brengt hier geen verandering in. Wanneer beide op dezelfde fysieke plek hun diensten aanbieden, hanteren ze daarbij hun eigen systemen en moeten ze aan de op henzelf betrekking hebbende voorschriften voldoen. Integrale aanpak van hulpvragen betekent niet dat ICT, dossiers, registratie etc. moeten worden gekoppeld. Wel zullen te nemen maatregelen inzake beheer en personele en fysieke (toegangs)beveiliging op elkaar afgestemd moeten worden.

Van belang is vooral dat het besluit verplicht tot gegevensbescherming door ontwerp (privacy by design) en door standaardinstellingen (privacy by default).Bij eerstgenoemde gaat het om aandacht voor gegevensbescherming in de ontwerpfase van een product of dienst (privacy enhancing technologies). Ook moeten de standaardinstellingen zo privacy-vriendelijk mogelijk zijn. Beide uitgangspunten zijn volgens de AVG verplicht bij het verwerken  van persoonsgegevens. Dit geldt niet ingevolge de Wpb BES; het bepaalde in dit besluit – dat niettemin aansluit bij en geldt als uitwerking van artikel 13 Wbp BES – vormt dus een extra waarborg op de BES. Ook veiligheid dient vanaf het ontwikkelingsproces te worden geïntegreerd (security by design). Dit betekent dat beveiligings-maatregelen worden ingebouwd in de architectuur, het ontwerp en de code van de software. Daarnaast zijn bijvoorbeeld maatregelen op het gebied van opslag van gegevens en toegang en gebruik door medewerkers van belang. Bij het laatste kan gedacht worden aan inloggen met twee-factor authenticatie en het alleen inzage hebben in de eigen dossiers.

5 Toezicht en handhaving

De Commissie toezicht bescherming persoonsgegevens BES (Cbp BES) heeft als onafhankelijke toezichthouder de taak om toe te zien op de naleving van het bepaalde in de Wbp BES (artikel 44 Wbp BES). Toezicht op de verwerking van persoonsgegevens zoals geregeld in dit besluit, dat uitwerking en concretiserisering van de Wbp BES vormt, behoort daarmee eveneens tot de bevoegdheid van de Cbp BES. De Cbp BES is, met toepassing van titel 5.2 Awb en de afdelingen 5.3.1 en 5.3.2 Awb, bevoegd tot oplegging van een last onder bestuursdwang of een last onder dwangsom ter handhaving van de bij of krachtens de Wbp BES gestelde verplichtingen (artikel 51 Wbp BES). Gegevensverstrekking door de ADV BES aan de Cbp BES in het kader van haar toezichtstaak is toegestaan ingevolge hoofdstuk 8 van de Wbp BES.

Voorts verplicht het besluit de ADV BES tot monitoring en verantwoording voor wat betreft de veiligheid van de verwerking. Voorzien is in een verplichting tot loggen: het vastleggen van gegevens over het gebruik van de ICT, teneinde de controle van de juiste werking ervan mogelijk te maken. Op deze wijze kunnen uitgevoerde transacties worden gecheckt en kunnen incidenten worden gemanaged. Ook moet de ADV BES haar informatieveiligheidsbeleid beoordelen. Dit geschiedt door het beveiligingsproces en de (technische) informatiesystemen door te (laten) lichten. De op basis hiervan opgestelde rapportage maakt onderdeel uit van de reguliere verantwoording van de ADV BES en dient daarnaast tweejaarlijks te worden overlegd aan de minister. Aan de hand hiervan kan worden bezien in hoeverre de ADV BES aan de veiligheidseisen voldoet, of er ten opzichte van de vorige jaren verschuiving, verbetering of verslechtering heeft plaatsgevonden en in hoeverre verbetermaatregelen nodig zijn. Het ligt in de rede de verantwoording te koppelen aan de rapportageplicht van de ADV BES inzake geregistreerde klachten en meldingen (artikel I, tweede lid, onder b, van de wet).

6 Gevolgen en uitvoerbaarheid

Dit besluit bevat voorschriften voor een voor Bonaire, Sint Eustatius en Saba nieuwe voorziening, de ADV BES, die gaat functioneren binnen nieuwe lokale feiten en omstandigheden (insulaire eigenheid). Op elk van de eilanden zal aan de voorschriften inzake verwerking van persoonsgegevens en informatieveiligheid moeten worden voldaan. De ADV BES zal op elk eiland werken in een fysiek loket, een frontoffice. Er zal tevens een backoffice, waarschijnlijk gestationeerd in Europees Nederland, functioneren die ondersteuning en facilitering biedt aan de ADV BES. Hoewel het een nieuwe voorziening betreft, zal deze zoveel mogelijk worden ingericht met behulp van beproefde technieken en werkprocessen, die zich goed lijken te lenen voor gebruik op de BES. De uitgangspositie lijkt daarom bruikbaar en werkbaar. Naar verwachting zal Discriminatie.nl zorg dragen voor de inrichting en werking van de backoffice. Het gaat daarbij om bemensing en technische (ICT-)ondersteuning (ADV-net). De ADV BES draagt als verantwoordelijke de administratieve lasten en kosten; hiertoe is voorzien in structurele bekostiging vanuit de begroting het ministerie van BZK. Naar verwachting is dit besluit uitvoerbaar voor Discriminatie.nl, aangezien de in Europees Nederland gehanteerde praktijk aansluit bij de voorschriften in het besluit; de materie is niet nieuw, er is in Europees Nederland ervaring mee opgedaan, waardoor naar verwachting de regeldruk voor de ADV BES beperkt blijft. Wel is het zo dat, anders dan in Europees Nederland11, op de BES sprake zal zijn van publiekrechtelijke inkadering door juridische bindende en afdwingbare voorschriften. Dit zorgt voor meer bewustheid ten aanzien van noodzaak en vormgeving van privacybescherming, rechtszekerheid en rechtsbescherming voor betrokkenen.

7 (Internet)consultatie en uitgebrachte adviezen

Gedurende de (internet)consultatie, die liep van 15 augustus tot 15 oktober 2024, zijn de volgende reacties ontvangen.

Adviescollege Toetsing Regeldruk (ATR)

ATR heeft laten weten het dossier niet geselecteerd te hebben voor een formeel advies, omdat de regeldrukgevolgen beperkt zijn.

Commissie toezicht bescherming persoonsgegevens BES (Cbp BES)

De Cbp BES adviseert concreter en uitgebreider toe te lichten welke aanvullende waarborgen worden ingezet voor de gegevensuitwisseling tussen de backoffice en de frontoffice. In reactie hierop zijn artikel 5 van het besluit en punt 3 van de Nota van Toelichting aangepast. Voorts adviseert de Cbp BES structurele ondersteuning en de opbouw van uitvoeringscapaciteit te waarborgen voor de ADV BES, specifiek op het gebied van privacy en ICT-veiligheid. In reactie hierop wordt opgemerkt dat bij de inrichting, beheer en organisatie en het bestuur van de stichting, die de taken van de ADV BES gaat uitvoeren, ICT en privacybescherming nadrukkelijk en robuust een plaats hebben. De kerntaak van de ADV BES – hulp bieden bij discriminatie – is onlosmakelijk verbonden met het primaire proces van gegevensverwerking.

Overig

Er zijn twee reacties van inwoners van de BES binnengekomen. Terzake van de aanvankelijk opgenomen persoonsgegevens «ras en etnische afkomst» is opgemerkt dat er maar een menselijk ras is, dat bestaat uit mensen van verschillende etnische afkomst. In reactie hierop wordt opgemerkt dat er begrip bestaat voor de ingebrachte opmerking. Het is echter zo dat de formulering in artikel 4 voortvloeit uit het bovenliggende juridisch kader, te weten artikel 16 Wbp BES.

Voorts is opgemerkt dat, uit vrees voor rondslingerende fysieke dossiers, toezicht en controle van groot belang is. In reactie hierop wordt opgemerkt dat de ADV BES werkt met een digitaal meldingsysteem (ADV Net) en digitale dossiers hanteert; ook eventuele schriftelijke stukken worden gedigitaliseerd. Het onderhavige besluit voorziet terzake in vergaande beveiligingsmaatregelen.

Tenslotte is een consultatiereactie ontvangen van dhr. Terstegge van Privacy Management Partners. Evenals de Cbp BES adviseert hij te voorzien in aanvullende waarborgen voor de gegevensuitwisseling tussen de backoffice en de frontoffice. In reactie hierop zijn artikel 5 van het besluit en punt 3 van de Nota van Toelichting aangepast. Voorts adviseert hij duidelijk(er) aan te geven wie verantwoordelijke is voor de gegevensverwerking en welke wetgeving van toepassing is. In reactie hierop is punt 3 van de Nota van Toelichting aangepast. Tenslotte is op zijn advies «»voorzover noodzakelijk» toegevoegd in de aanhef van artikel 4 en wordt in punt 5 van de Nota van Toelichting benadrukt dat gegevens-verstrekking door de ADV BES aan de Cbp BES in het kader van haar toezichtstaak is toegestaan ingevolge hoofdstuk 8 van de Wbp BES.

II Artikelsgewijze toelichting

Artikel 2 Doelbinding

Dit artikel specificeert, conform artikel 7 van de Wbp BES, dat de ADV BES persoonsgegevens niet gebruikt voor andere – in casu wettelijke verankerde – doeleinden en taken dan die bedoeld in artikel I van de wet. Concreet betreft het verlenen van onafhankelijke ondersteuning bij discriminatie: a. ondersteuning aan personen bij de afwikkeling van hun klachten betreffende onderscheid als bedoeld in de aangeduide gelijkebehandelingswetten, b. registratie van klachten inzake discriminatie en jaarlijkse verslaglegging terzake, c. advisering over mogelijk te ondernemen stappen, d. doorgeleiding naar andere hulpverlenende instanties, e. bemiddeling en f. informatieverschaffing en voorlichting.

Artikel 3 Informatieverschaffing

Hoewel de taakuitoefening van de ADV BES met zich mee brengt dat er gegevensverwerking plaatsvindt – hulpverlening bij discriminatie is nu eenmaal niet mogelijk zonder een minimum aan persoonsgegevens te verwerken – worden zoveel mogelijk waarborgen voor noodzakelijke, proportionele en veilige verwerking gerealiseerd, door verwerking (inclusief verstrekking) wettelijk te regelen en aan stricte voorwaarden te verbinden.

Artikel 3 bepaalt in dit verband dat de ADV BES – verantwoordelijke ingevolge artikel 1, lid 2 onder d, van de Wbp BES – alle bezoekers (voor zichzelf als slachtoffer of als getuige van discriminatie van een ander) moet informeren over het feit dat de ADV BES persoonsgegevens verwerkt, welke dat (kunnen) zijn en dat daar veilig en zorgvuldig mee wordt omgegaan. Doel hiervan is dat bezoekers zich er van bewust moeten worden dat de ADV BES, om haar werk optimaal te kunnen doen, vaak bijzondere persoonsgegevens zal moeten verwerken, die verband houden met discriminatiegronden die in de samenlevingen van de eilanden gevoelig liggen.12 Bij gegevensverwerking die noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is, is het verkrijgen van toestemming door degene wiens persoonsgegevens het betreft niet nodig (artikel 8, onder c, Wbp BES). De grondslag voor de verwerking is gelegen in dit besluit.

Bedacht moet worden dat gelijkebehandelingswetgeving, en de daaruit voortvloeiende rechten, verplichtingen en instituties, nieuw zijn op de BES. Inwoners, bedrijven en organisaties moeten wennen aan de nieuwe voorziening ADV BES, het feit dat ervaren discriminatie gemeld kan worden, hulp en bijstand kan worden verkregen en een melding soms een ingrijpend vervolg kan hebben.

Bij de onderhavige materie is sprake van een groeiproces dat zorgvuldig gestalte moet krijgen.

Artikel 4 Persoonsgegevens in de ADV BES

Dit artikel specificeert, in aansluiting op artikel 11 van de Wbp BES, welke gegevens doeltreffend en proportioneel zijn om de taken van de ADV BES en, daarmee samenhangend, de betrouwbare werking van het registratiesysteem te kunnen uitvoeren. De ADV BES verwerkt niet in elke casus alle in dit artikel opgesomde persoonsgegevens, maar alleen die gegevens die nodig zijn; wat nodig is, is afhankelijk van de omstandigheden van het geval. Daarom spreekt artikel 4 over «kunnen».

Artikel 4 bevat een limitatieve opsomming.

De ADV BES verwerkt alleen die gegevens die nodig zijn; wat nodig is, is afhankelijk van de persoon wiens gegevens het betreft en van de omstandigheden van het geval. Bij een bezoeker die om hulp verzoekt voor zichzelf, als slachtoffer van discriminatie, zal veelal sprake zijn van verwerking van een of meerdere bijzondere persoonsgegevens omdat de discriminatiegrond daarmee samenhangt, zoals ras, seksuele gerichtheid en/of handicap of chronische ziekte. Vanzelfsprekend worden alleen de voor de betreffende casus relevante gegevens verwerkt.

Van de bezoeker die om hulp verzoekt voor zichzelf kan – afhankelijk van de omstandigheden van het geval – een groot aantal gewone en bijzondere persoonsgegevens worden verwerkt (a). Dat geldt ook met betrekking tot een slachtoffer dat niet zelf bij de ADV BES aanklopt, maar voor wie een getuige of belangenbehartiger om hulp verzoekt. Omdat in dat geval de bezoeker – in de praktijk wordt ook wel gesproken over «melder» – persoonsgegevens van een ander aan de ADV BES verstrekt, is geen sprake van toestemming door degene wiens gegevens het betreft. De grondslag voor die verwerking is – conform artikel 8, onder c, Wbp BES – gelegen in dit besluit (c). Over de bezoeker die om hulp verzoekt voor een ander (getuige of belangenbehartiger) worden slechts enkele gewone persoonsgegevens verwerkt. Dit geldt ook met betrekking tot de professionals in de ADV BES (behandelaar en diens vervanger/mede-dossierhouder die in het systeem werken) en de contactpersoon bij een ketenpartner, zoals een politieagent of zorgverlener. Van degene die discriminatoir handelt of zou handelen (veroorzaker, wederpartij) is het, om een goed beeld te kunnen krijgen van de casus, noodzakelijk om ook enkele bijzondere persoonsgegevens te verwerken.

Artikel 5 Verstrekkingen door de ADV BES

Het verstrekken van persoonsgegevens door middel van doorzending of doorgifte is een vorm van verwerken, zo volgt uit artikel 1, tweede lid, onder b, van de Wbp BES.13 Omwille van de duidelijkheid en de aansluiting bij reguliere werkprocessen, wordt het verwerken (artikel 4) en verstrekken (artikel 5) van persoonsgegevens in afzonderlijke bepalingen van dit besluit geregeld. Benadrukt wordt, dat verwerking en verstrekking door de ADV BES hetzelfde doel dienen: verlenen van hulp en bijstand bij discriminatie. Het gaat hier dus niet om «verdere verwerking» in de zin van artikel 9 van de Wbp BES, zijnde verwerkingen voor een ander doel dan waarvoor de persoonsgegevens oorspronkelijk zijn verzameld.

Artikel 5 specificeert in het eerste lid dat de ADV BES persoonsgegevens kan verstrekken aan de backoffice, de betrokken ketenpartner(s) en degene die discriminatoir handelt of zou handelen (wederpartij) indien en voorzover dit noodzakelijk is voor het verder behandelen van en hulp bieden bij discriminatie. Het feit, dat de backoffice – die geen normadressaat van dit besluit is – technisch gezien mogelijk onderdeel zal uitmaken van het ADV-systeem, betekent niet dat vanuit de backoffice automatisch toegang kan worden verkregen tot de inhoud van BES-dossiers en de daarin vervatte persoonsgegevens. Het doorzetten van een verzoek om expertise of ondersteuning vergt een actieve handeling van de ADV BES frontoffice medewerker.

Ingevolge het tweede lid verstrekt de ADV BES geen persoonsgegevens voor rapportagedoeleinden. Rapportage – een taak op grond van artikel 1, lid 2, onder b, van de wet – heeft een verantwoordings – en beleidsdoel en dient er niet toe om individuele hulpverlening mogelijk te maken, maar om bijvoorbeeld lokale voorlichting te kunnen geven. Daartoe kan worden volstaan met algemene (statistische) gegevens, bijvoorbeeld over voorkomende typen discriminatie. Opgemerkt zij, dat zelfs al worden voor registratie en rapportage geen persoonsgegevens gebruikt, in een kleine gemeenschap al snel sprake kan zijn van (vermeende) herleidbaarheid. Hier zal prudent mee moeten worden omgegaan.

Ingevolge het derde lid moet de ADV BES voor de teruglevering van persoonsgegevens door de backoffice (verwerker) aan de frontoffice (verantwoordelijke) een overeenkomst voor de doorgifte van persoonsgegevens hanteren. Deze maatregel biedt een extra waarborg voor het realiseren van een passend beschermingsniveau in het geval de frontoffice de backoffice inschakelt. Zie tevens punt 3 van de Nota van Toelichting. Zo’n overeenkomst wordt gesloten tussen de ADV BES (eigenstandige privaatrechtelijke entiteit, gevestigd in de BES) en de backoffice (waarschijnlijk Discriminatie.nl, gevestigd in Europees Nederland). De bepalingen in de overeenkomst hebben betrekking op de rechten en verplichtingen van de betrokken partijen, de te verwerken persoonsgegevens en het toepasselijke recht. Bruikbare standaardcontractbepalingen zijn vindbaar via de website van de Autoriteit Persoonsgegevens.14

Artikel 6 Bewaartermijnen

Ingevolge artikel 10 van de Wbp BES worden persoonsgegevens niet langer bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of verwerkt. Artikel 6 van dit besluit vormt de uitwerking hiervan, toegespitst op de taken en werkprocessen van de ADV BES. De bewaartermijn van vijf jaar houdt verband met de tijd die maximaal benodigd is voor de behandeling van van een casus. De doorlooptijd verschilt naar gelang de omstandigheden van het geval, waaronder de aard en complexiteit van de discriminatie en de eventueel benodigde samenwerking met een ketenpartner. Zie voorts 4.1.3.

Artikel 7 Beveiliging van persoonsgegevens

Dit artikel is een inleidende («paraplu») bepaling, die wordt uitgewerkt in de navolgende bepalingen van het besluit inzake de inrichting en het beheer(ssysteem) van informatieveiligheid. Gesproken wordt ook wel over informatiebeveiliging, om de benodigde voortdurendheid en het cyclische karakter tot uiting te brengen. De bepalingen vormen de concretisering van artikel 13 Wbp BES, dat de verantwoordelijke verplicht tot het nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek en de kosten van tenuitvoerlegging. Artikel 7 en volgende behelzen op de taken en functionaliteiten van de ADV BES toegesneden voorschriften op het punt van bedrijfsvoering en monitoring/verantwoording.

Artikel 8 Informatieveiligheidsbeleid

De ADV BES is verantwoordelijk voor het eigen primaire proces. Hierbij wordt gebruik gemaakt van ICT: informatiesystemen, telecommunicatie en computers. Uitgangspunt hierbij is risicomanagement: om tot de juiste beveiliging van informatie(systemen) te komen, moet er risicogebaseerd te werk worden gegaan. Dit betekent dat risico’s inzichtelijk en systematisch moeten worden geïnventariseerd, beoordeeld en beheersbaar gemaakt. De ADV BES maakt daarbij een bewuste beoordeling en moet verantwoord omgaan met risico’s, waarbij de te hanteren wegingsfactoren tevens gericht zijn op consistentie en de veiligheid van het geheel. Inherent aan risicogebaseerde bedrijfsvoering is dat dat de uitkomsten van een risicoanalyse en de te nemen maatregelen (waaronder het accepteren van restrisico’s) maatwerk is. Het informatieveiligheidsbeleid en de in dat verband te nemen maatregelen dienen in ieder geval de aspecten te behelzen zoals aangegeven in de hiernavolgende artikelen.

Artikelen 9 (Organisatie en beheer) en 10 (Personele en fysieke beveiliging)

Informatiebeveiliging moet georganiseerd en gemanaged worden. Taken, verantwoordelijkheden en coördinatie moeten worden belegd en er moeten beheersmaatregelen worden genomen, onder meer ter zake van het gebruik van bedrijfsmiddelen zoals computers en mobiele apparatuur. Bij de invulling bestaat de nodige ruimte; de maatregelen moeten passen bij het risicoprofiel van de ADV BES. Hetzelfde geldt voor personeelsbeleid en beveiliging van de (fysieke) omgeving. Beheersmaatregelen betreffen bijvoorbeeld screening en opleiding (beveiligingsbewustzijn) van medewerkers. Bij logische en fysieke (toegangs)beveiliging en beveiliging van apparatuur kan gedacht worden aan het gebruik van een kluis, firewalls, netwerksegregatie (scheiden van netwerken), autorisatie (welke medewerker heeft toegang tot wat), accounts aan een persoon koppelen (zodat niet meerdere mensen hetzelfde account kunnen gebruiken) en het werken met toegangsrechten.

Artikel 11 ICT-voorzieningen en informatiesystemen

Dit artikel voorziet in concrete door de ADV BES te nemen maatregelen, waaronder inbedding van gegevensbescherming en veiligheid in de ontwerpfase (privacy by design en security by design), privacy-vriendelijke standaardinstellingen (privacy by default), veilige toegang en gebruik van ICT, continuiteit en herstel van beveiligingsinbreuken. Gedacht kan worden aan het actueel houden van software (zoals browsers, virusscanners en besturingssystemen), het maken van back-ups (zodat de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig hersteld kunnen worden), het regelmatig testen van de beveiliging en interne regels opstellen voor de afhandeling van datalekken en incidenten. Van belang is ook het scheiden van taken die een risico vormen voor misbruik, onbedoelde of onbevoegde beschikking over informatie en bedrijfsmiddelen (functiescheiding). Dit zorgt er voor dat een individuele medewerker niet het hele proces kan beïnvloeden. Van groot belang is voorts dat in contacten via Facebook – veel gebruikt op de BES -, Messenger, WhatsApp etc. geen persoonsgegevens worden uitgewisseld.

Alle te nemen beveiligingsmaatregelen maken idealiter onderdeel uit van een (strategisch) plan van aanpak, gericht op de lange termijn ontwikkeling van de gehele organisatie (systeemplanning).

Artikel 12 Logging

Om onbevoegde informatieverwerking en systeemtechnische fouten te kunnen ontdekken, moet de ADV BES logbestanden bijhouden en deze regelmatig controleren. Logging heeft betrekking op de geraadpleegde dossiers, de tijdstippen waarop is ingelogd en uitgelogd en de systeemtechnische gegevens. De bewaartermijn van vijf jaar sluit aan bij de bewaartermijn inzake persoonsgegevens (artikel 6). Na vijf jaar worden de loggegevens automatisch verwijderd.

Artikel 13 Controle

Om de Minister van BZK in staat te stellen zijn (stelsel)verantwoordelijkheid uit te oefenen, moet de ADV BES haar informatieveiligheidsbeleid beoordelen. Dit geschiedt door uitvoering van een controle van de informatiesystemen, resulterend in een door de ADV BES tweejaarlijks opgesteld verslag. De op basis hiervan opgestelde rapportage dient onderdeel uit te maken van de reguliere verantwoording (planning en control-cyclus) en dient daarnaast tweejaarlijks te worden overlegd aan de minister. Om redenen van uitvoerbaarheid ligt bij de controle de focus op de (technische) ICT-voorzieningen en de bijbehorende beheersprocessen. Het eventueel uitbesteden van (delen van) de controle (outsourcing) laat de verantwoordelijkheid van de ADV BES onverlet. Indien uit de rapportage zou blijken dat op onderdelen niet wordt voldaan aan het informatieveiligheidsbeleid, dan dient de ADV BES verbetermaatregelen te nemen.

Artikel 14 Inwerkingtreding

Het is van belang dat bij de toepassing van de gelijkebehandelingwetgeving op de BES de privacybescherming in de ADV BES op orde is. Dit besluit zal daarom naar verwachting gelijktijdig met de wet in werking treden.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, F. Rijkaart

X Noot
1

Stb. 2009, 373. Deze wet is niet van toepassing op de BES.

X Noot
3

Het betreft een privaatrechtelijke organisatie (eigenstandige juridische entiteit) op afstand van de overheid, gevestigd in de BES, terzake waarvan het zgh. Stichtingenkader is doorlopen conform artikel 4.7 onder lid 1a van de Comptabiliteitswet 2016. Dit brengt een proces met onder meer advisering door de Algemene Rekenkamer en voorhang bij de Tweede en Eerste Kamer met zich. De stichting is op 13 oktober 2025 opgericht.

X Noot
4

Zie voor een uitgebreide beschrijving de in opdracht van het WODC (Ministerie van Justitie en Veiligheid) uitgevoerde evaluatie van de Wbp BES uit 2019, Kamerstukken II 2019–2020 32 761, nr 161.

X Noot
5

Dit is ook verankerd in de statuten van de stichting (zie noot 3).

X Noot
6

Advies van de Cbp BES bij het wetsvoorstel, dd 1 september 2023.

X Noot
7

HvJ EU, 16 juli 2020, zaak C-311/18 (Schrems II). Overigens bevattend de artikelen 42 en 43 van de Wbp BES vergelijkbare bepalingen.

X Noot
8

Een vergelijkbaar advies volgt uit de consultatiereactie bij het ontwerp-Besluit van Privacy Management Partners.

X Noot
9

Pb EU 2021, L 199. Het Uitvoeringsbesluit bevat bruikbare model/standaardbepalingen voor de doorgifte tussen verwerker en (verwerkings)veranwoordelijke (module vier). Deze zijn eveneens vindbaar via Modelcontract voor doorgifte | Autoriteit Persoonsgegevens

X Noot
11

Het stelsel van antidiscriminatievoorzieningen in Europees Nederland wordt momenteel herzien, waarbij naar verwachting in de toekomst, evenals voor de BES, sprake zal zijn van uitgewerkte wettelijke voorschriften ten aanzien van privacybescherming.

X Noot
12

Zie hierover de Verkenning naar de invoering van de gelijke behandelingswetgeving op Bonaire, Sint Eustatius en Saba «Discriminatie bestrijden met bewustwording, wetten en instituties», brief aan de Tweede en Eerste Kamer van 23 januari 2023.

X Noot
13

Artikel 1, tweede lid, onder b, van de Wbp BES stelt dat onder «verwerking van persoonsgegevens» wordt verstaan: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Naar boven