Datum publicatie	Organisatie	Jaargang en nummer	Rubriek	Datum ondertekening
27-03-2025 09:00	Ministerie van Justitie en Veiligheid	Staatsblad 2025, 78	AMvB	24-03-2025

Besluit van 24 maart 2025 tot uitvoering van de Wet gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten en tot vaststelling van het tijdstip van inwerkingtreding van die wet (Besluit gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Justitie en Veiligheid van 27 september 2024, Directie Wetgeving en Juridische Zaken, nr. 5800424;

Gelet op de artikelen 12, vierde lid, 13, tweede lid, 15, 16, vijfde lid, 19 en 25 van de Wet gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten;

De Afdeling advisering van de Raad van State gehoord (advies van 11 december 2024, no. W16.24.00281/II);

Gezien het nader rapport van Onze Minister van Justitie en Veiligheid, 19 maart 2025, Directie Wetgeving en Juridische Zaken, nr. 6245475;

Hebben goedgevonden en verstaan:

Artikel 1. Definitie

In dit besluit wordt onder «wet» verstaan: Wet gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten.

Artikel 2. Aanwijzing contactpunt

1. De betrokkene richt een verzoek tot uitoefening van diens rechten op grond van hoofdstuk III van de Algemene verordening gegevensbescherming aan het contactpunt, voor zover dat verzoek betrekking heeft op persoonsgegevens die door het casusoverleg worden verwerkt. Een verzoek aan het contactpunt geldt als een verzoek aan alle gezamenlijke verwerkingsverantwoordelijken in het casusoverleg.
2. Als contactpunt voor een betrokkene voor de uitoefening van diens rechten op grond van hoofdstuk III van de Algemene verordening gegevensbescherming treedt op namens de deelnemers aan het casusoverleg: de burgemeester van de gemeente van verblijf.

Artikel 3. Verantwoordelijkheid voor nakoming verzoeken AVG

1. Het contactpunt besluit namens de deelnemers aan het casusoverleg op een verzoek van een betrokkene tot uitoefening van diens rechten op grond van hoofdstuk III van de Algemene verordening gegevensbescherming voor zover dat verzoek betrekking heeft op persoonsgegevens die door het casusoverleg worden verwerkt.
2. Het contactpunt besluit na overleg met de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens over de betrokkene, en wijst het verzoek af indien of voor zover naar het oordeel van één of meer van die deelnemers een uitzonderingsgrond van toepassing is op grond van artikel 41 van de Uitvoeringswet Algemene verordening gegevensbescherming.
3. Zodra de uitzonderingsgrond naar het oordeel van de betreffende deelnemer niet langer van toepassing is, meldt de deelnemer dit zo spoedig mogelijk aan het contactpunt.
4. Een andere deelnemende overheidsinstantie of ander deelnemend overheidsorgaan kan met het contactpunt overeenkomen om het besluit te nemen indien die andere deelnemer daartoe beter in staat is. In dat geval informeert het contactpunt de betrokkene hierover. Het eerste tot en met het derde lid zijn van overeenkomstige toepassing op de andere deelnemer die het besluit neemt.

Artikel 4. Verantwoordelijkheid voor nakoming informatieplicht

1. Het contactpunt draagt namens de deelnemers aan het casusoverleg zorg voor de nakoming van de verplichting om de informatie te verstrekken, bedoeld in artikel 14 van de Algemene verordening gegevensbescherming, inzake de verwerking van persoonsgegevens door het casusoverleg.
2. Het contactpunt overlegt met de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens over de betrokkene en laat de uitvoering van het eerste lid achterwege indien naar het oordeel van één of meer van die deelnemers, een uitzonderingsgrond van toepassing is op grond van artikel 14, vijfde lid, onder b, van de Algemene verordening gegevensbescherming of artikel 41 van de Uitvoeringswet Algemene verordening gegevensbescherming.
3. Zodra de uitzonderingsgrond naar het oordeel van de betreffende deelnemer niet langer van toepassing is, meldt de deelnemer dit zo spoedig mogelijk aan het contactpunt.

Artikel 5. Verantwoordelijkheid voor nakoming meldplicht datalekken

1. Het contactpunt draagt namens de deelnemers aan het casusoverleg zorg voor de nakoming van de artikelen 33 en 34 van de Algemene verordening gegevensbescherming met betrekking tot de verwerking van persoonsgegevens door het casusoverleg, mits de deelnemers aan het contactpunt zo spoedig mogelijk de informatie verstrekken die het contactpunt nodig heeft voor de uitvoering van de voornoemde artikelen.
2. Het contactpunt overlegt met de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens en laat de uitvoering van artikel 34 van de Algemene verordening gegevensbescherming achterwege indien naar het oordeel van één of meer van die deelnemers een uitzonderingsgrond van toepassing is op grond van artikel 41 van de Uitvoeringswet Algemene verordening gegevensbescherming.

Artikel 6. Rechtmatig verwerkte gegevens

De deelnemers verstrekken elkaar uitsluitend gegevens die zij rechtmatig verwerken.

Artikel 7. Kwaliteit van een aangemelde casus

1. Een deelnemer mag uitsluitend een casus voor overleg aanmelden als bedoeld in artikel 5, eerste lid, van de wet na, voor zover mogelijk, de feitelijke juistheid en de kwaliteit van de daarbij te verstrekken gegevens te hebben getoetst.
2. De deelnemer die een casus voor overleg heeft aangemeld als bedoeld in artikel 5, eerste lid, van de wet blijft verantwoordelijk voor de feitelijke juistheid van de daarbij verstrekte gegevens.

Artikel 8. Correctie van onjuistheden tijdens gezamenlijke gegevensverwerking

Mocht tijdens de verwerking van gegevens door het casusoverleg blijken dat gegevens onjuist zijn, dan wordt de deelnemer die deze aan het casusoverleg heeft verstrekt daarop gewezen en draagt deze deelnemer zorg dat alle redelijke maatregelen worden genomen om de gegevens onverwijld te vernietigen of rectificeren.

Artikel 9. Kwaliteit van de resultaten

Een casusoverleg verstrekt uitsluitend het resultaat van de gezamenlijke gegevensverwerking aan een deelnemer na, voor zover mogelijk, de feitelijke juistheid en de kwaliteit van de daarbij te verstrekken gegevens te hebben getoetst.

Artikel 10. Verwerking bijzondere categorieën persoonsgegevens

Bij de verwerking van bijzondere categorieën persoonsgegevens op grond van artikel 8 van de wet slaan de deelnemers er acht op dat zij geen onderscheid maken op grond van nationaliteit, ras of etnische afkomst, politieke, religieuze of levensbeschouwelijke overtuigingen of gezondheid.

Artikel 11. Geen autorisatie bij incidentele deelname

Een derde die op incidentele basis als bedoeld in artikel 3, derde lid, van de wet deelneemt, wordt niet geautoriseerd voor de toegang tot de systemen waarin de deelnemers gezamenlijk persoonsgegevens verwerken. De deelnemers, bedoeld in artikel 3, eerste lid, van de wet kunnen aan de derde persoonsgegevens verstrekken voor zover dat naar hun oordeel noodzakelijk is om de derde in staat te stellen om zijn rol te vervullen.

Artikel 12. Betrouwbaarheid geautoriseerde personen

Personen die zijn aangewezen ten behoeve van de inzet in het casusoverleg worden uitsluitend geautoriseerd voor de toegang tot de systemen waarin de deelnemers gezamenlijk persoonsgegevens verwerken overeenkomstig artikel 13, eerste lid, van de wet, indien zij ten minste:

a. in het bezit zijn van een verklaring omtrent het gedrag die voor indiensttreding bij de betreffende deelnemer vereist is; of
b. zijn gescreend overeenkomstig de wettelijke bepalingen die van toepassing zijn op de betreffende deelnemers waar zij in dienst zijn.

Artikel 13. Werkwijze van de rechtmatigheidsadviescommissie

1. De rechtmatigheidsadviescommissie is landelijk werkzaam en kan ter uitoefening van haar taak, bedoeld in artikel 15 van de wet, adviseren op verzoek van de deelnemers aan een casusoverleg of op eigen initiatief. De deelnemers aan een casusoverleg zorgen ervoor dat de rechtmatigheidsadviescommissie daartoe naar behoren vooraf wordt betrokken bij in ieder geval nieuwe verwerkingswijzen en wijzigingen daarvan.
2. De rechtmatigheidsadviescommissie adviseert, zonder voorafgaande toestemming, rechtstreeks en op bestuurlijk niveau aan de deelnemers van het casusoverleg.
3. Een uit te brengen advies wordt vastgesteld in overleg tussen de leden die zijn benoemd door de deelnemers die het advies aangaat dan wel met personen uit koepelorganisaties of brancheverenigingen, bedoeld in artikel 14, eerste lid, indien het advies de deelnemers aangaat die door de koepelorganisaties of brancheverenigingen worden vertegenwoordigd.
4. Een lid dat een standpunt heeft ingebracht dat afwijkt van het standpunt van de andere leden, kan over dat standpunt een afzonderlijke nota bij het advies voegen.
5. Een rechtmatigheidsadviescommissie kan haar werkwijze nader vaststellen in een reglement van orde.
6. Afwijking van een advies van de rechtmatigheidsadviescommissie door de deelnemers, bedoeld in het tweede lid, kan uitsluitend beargumenteerd plaatsvinden. De afwijking wordt door de deelnemers gedocumenteerd en gerapporteerd aan de rechtmatigheidsadviescommissie en de coördinerend functionaris voor gegevensbescherming voor het casusoverleg, bedoeld in artikel 12, tweede lid, van de wet.

Artikel 14. Samenstelling van de rechtmatigheidsadviescommissie

1. Elke deelnemer benoemt een of enkele personen als lid van de rechtmatigheidsadviescommissie, op basis van deskundigheid en ervaring op het gebied van de toepasselijke wetgeving inzake gegevensverwerking en de werking van de casusoverleggen.
2. Zolang niet in de benoeming van een lid in de rechtmatigheidsadviescommissie is voorzien, kan de betreffende deelnemer een door een andere deelnemer benoemd lid verzoeken om waar te nemen.
3. De leden dragen er zorg voor dat in de rechtmatigheidsadviescommissie aandacht is voor het tegengaan van risico’s op ongelijke behandeling en discriminatie.
4. De rechtmatigheidsadviescommissie kiest uit haar midden een voorzitter en een plaatsvervangend voorzitter.

Artikel 15. Vertegenwoordiging van deelnemers in de rechtmatigheidsadviescommissie

1. In afwijking van artikel 14, eerste lid, worden de lokale en regionale deelnemers aan een casusoverleg vertegenwoordigd door personen uit koepelorganisaties of brancheverenigingen, die deelnemen als lid van de rechtmatigheidsadviescommissie, op basis van de deskundigheid en ervaring op het gebied van de toepasselijke wetgeving inzake gegevensverwerking en de werking van de casusoverleggen.
2. Artikel 14, tweede en derde lid, is van overeenkomstige toepassing op de personen uit koepelorganisaties of brancheverenigingen, die deelnemen als lid van de rechtmatigheidsadviescommissie.

Artikel 16. Precisering maximale bewaartermijn

Onverminderd artikel 9 van de wet dragen de deelnemers zorg voor de vernietiging of anonimisering van persoonsgegevens die door het casusoverleg gezamenlijk worden verwerkt in het geval dat:

a. de analyse door het casusoverleg geen verdere aanwijzingen voor risico’s met het oog op het doel van het casusoverleg heeft opgeleverd; of
b. een aangemelde casus niet wordt voorgelegd aan het casusoverleg.

Artikel 17. Opleiding en training ten aanzien van gegevensverwerking

De deelnemers aan een casusoverleg dragen er zorg voor dat de medewerkers die zij hebben aangewezen voor de inzet in het casusoverleg of voor de weging, bedoeld in artikel 5 van de wet, voor zover relevant voor hun functie, en de leden van de rechtmatigheidsadviescommissie passende opleidingen en trainingen krijgen ter bevordering van hun kennis en vaardigheden op het gebied van:

a. een zorgvuldige omgang met persoonsgegevens;
b. de regels die op het casusoverleg van toepassing zijn;
c. de werkprocessen van het casusoverleg;
d. methoden en technieken van informatieanalyse;
e. informatiebeveiliging;
f. data-ethiek.

Artikel 18. Uitwerking auditbepaling

1. Uiterlijk twee jaren na inwerkingtreding van de artikelen in de wet en dit besluit en vervolgens eenmaal in de vier jaren, laat het casusoverleg de naleving van de wettelijke regels, bedoeld in artikel 16, eerste lid, van de wet, controleren door middel van een audit overeenkomstig artikel 16 van de wet.
2. De audit wordt uitgevoerd door middel van een privacy audit. Hiertoe vindt een beoordeling plaats van de opzet en het bestaan van maatregelen en procedures die in de adequate uitvoering van de regels, bedoeld in artikel 16, eerste lid, van de wet, moeten voorzien, en van de werking van de getroffen maatregelen en procedures.
3. De auditor is onafhankelijk ten opzichte van de deelnemers van het casusoverleg en beschikt over deskundigheid en ervaring op het gebied van de werking van het casusoverleg en de toepasselijke wetgeving inzake gegevensverwerking.
4. De auditor zendt een afschrift van de controleresultaten van de privacy audits aan de rechtmatigheidsadviescommissie en de coördinerend functionaris voor gegevensbescherming voor het casusoverleg, bedoeld in artikel 12, tweede lid, van de wet.
5. Bij ministeriële regeling kunnen nadere regels worden gesteld over de wijze waarop de audits worden verricht.

Artikel 19. Inwerkingtreding

De wet en dit besluit treden in werking met ingang van 1 juli 2025.

Artikel 20. Citeertitel

Dit besluit wordt aangehaald als: Besluit gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

’s-Gravenhage, 24 maart 2025

Willem-Alexander

De Minister van Justitie en Veiligheid, D.M. van Weel

Uitgegeven de zevenentwintigste maart 2025

De Minister van Justitie en Veiligheid, D.M. van Weel

NOTA VAN TOELICHTING

Algemeen

1. Inleiding

In het onderhavige Besluit gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten (hierna: dit besluit) wordt uitvoering gegeven aan verplichtingen uit de Wet gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten (hierna: de wet). Ook wordt nadere invulling gegeven aan de waarborgen daarbij.

De wet creëert heldere juridische grondslagen waardoor deelnemers aan de casusoverleggen inzake radicalisering en terroristische activiteiten, gegevens met elkaar mogen delen en verwerken. Ter bescherming van de privacy bevat de wet een aantal belangrijke waarborgen voor het gebruik van de gegevens, in aanvulling op en ter specificering van de waarborgen van de Algemene verordening gegevensbescherming (AVG).

Het onderhavige besluit regelt het volgende ter uitvoering van verplichtingen uit de wet om bij algemene maatregel van bestuur (hierna: amvb) nadere regels te stellen:

1. Aanwijzing van een deelnemende overheidsinstantie als contactpunt voor betrokkenen;
2. Regels over werkwijze en de verantwoordelijkheidsverdeling van de deelnemers bij de uitoefening van AVG-rechten van betrokkene;
3. Nadere regels over de inhoud en wijze van uitvoering van audits.

Daarnaast regelt dit besluit aanvullende waarborgen, zoals:

1. dat deelnemers elkaar uitsluitend gegevens mogen verstrekken die zij rechtmatig verwerken (artikel 6);
2. dat de positie van de rechtmatigheidsadviescommissie verder wordt versterkt bij de vaststelling van regels over de werkwijze, samenstelling en benoeming (artikel 13);
3. dat in de rechtmatigheidsadviescommissie ook aandacht is voor het tegengaan van risico’s op ongelijke behandeling en discriminatie (artikel 14, derde lid);
4. dat de medewerkers die worden ingezet in het casusoverleg en de leden van de rechtmatigheidsadviescommissie passende opleidingen en trainingen krijgen (artikel 17).

De Afdeling advisering van de Raad van State heeft over de wet geadviseerd om de waarborgen in overeenstemming te brengen met de regelingen in de Wet gegevensverwerking door samenwerkingsverbanden (WGS)1 voor zover geen overtuigende motivering voor die verschillen kan worden geboden, welk advies is overgenomen.2 In lijn met dit advies is in het onderhavige besluit in beginsel aangesloten bij de waarborgen uit het Besluit gegevensverwerking door samenwerkingsverbanden (BGS).3

Er zijn enkele specifieke keuzes c.q. unieke bepalingen in het onderhavige besluit:

– Artikel 2, tweede lid: de aanwijzing van de burgemeester van de gemeente van verblijf als contactpunt waar betrokkene zijn AVG-rechten kan uitoefenen;
– Artikel 10: verwerking bijzondere categorieën persoonsgegevens.

In bepaalde gevallen is er reden voor een afwijkende regeling. De volgende bepalingen uit het BGS zijn niet overgenomen in het onderhavige besluit, voornamelijk omdat bepaalde zaken niet aan de orde zijn of reeds zijn geregeld in de wet:

– Artikel 1.1, derde lid, BGS: dit betreft de verplichting tot vermelding op de website van het samenwerkingsverband van het contactpunt en diens contactgegevens. De noodzaak hiertoe ontbreekt, want het contactpunt is de burgemeester van verblijf en zijn contactgegevens staan op de website van de gemeente. Bovendien hebben de casusoverleggen geen eigen website. Dit is ook niet reëel, want de wet bepaalt dat er een structuur voor overleg moet zijn indien zich gevallen voordoen die bespreking behoeven.
– Artikel 1.7, tweede lid, BGS: dit betreft de verplichting tot terugmelding van onjuistheden aan de organisatie waarvan die gegevens afkomstig zijn. Dit is reeds geregeld in artikel 10 van de wet.
– Artikel 1.9 BGS: dit verbiedt het verwerken van gegevens inzake nationaliteit in beginsel. Een dergelijke bepaling zou niet goed te rijmen zijn met artikel 8 van de wet, op grond waarvan gegevens mogen worden verwerkt waaruit ras of etnische afkomst blijkt, indien nodig voor het doel van het casusoverleg. Informatie over iemands gedragingen en activiteiten zegt soms ook iets over zijn ras of etniciteit; dat geldt ook voor de nationaliteit. Het is daarmee onvermijdelijk dat deze persoonsgegevens worden verwerkt. Dit is toegelicht in de nota naar aanleiding van het verslag.4
– Artikel 1.10 BGS: dit betreft de nadere inkadering van gegevensuitwisseling tussen samenwerkingsverbanden. Hieraan wordt niet toegekomen, omdat de onderhavige wet, anders dan de WGS, geen gegevensuitwisseling tussen samenwerkingsverbanden regelt.5
– Artikel 1.12 BGS: dit bepaalt dat de logging (vastlegging langs elektronische weg) van verwerkingen van persoonsgegevens in de ICT-systemen dient plaats te vinden overeenkomstig de door de Minister van Binnenlandse Zaken en Koninkrijksrelaties vastgestelde richtlijnen voor informatiebeveiliging (de Baseline Informatiebeveiliging Overheid, BIO).6 Voor de casusoverleggen is dit al geregeld in artikel 14, tweede lid, van de wet. Bij een eventuele verdere verwerking van de gegevens door een deelnemer in zijn eigen systemen is een vergelijkbaar beveiligingsniveau verplicht (artikel 14, derde lid).
– Artikel 1.14, derde lid, BGS: dit regelt dat deelnemende private partijen niet verplicht zijn om leden te benoemen in de rechtmatigheidsadviescommissie, maar dat wel kunnen. Dit is niet aan de orde bij de casusoverleggen op grond van de onderhavige wet, omdat artikel 3, eerste lid, van de wet geen private partijen aanwijst als reguliere deelnemers.7
– Artikel 1.15, eerste lid, BGS: dit betreft de instelling van één gezamenlijke rechtmatigheidsadviescommissie, die optreedt ten behoeve van het betreffende cluster van samenwerkingsverbanden. Dat er één gezamenlijke rechtmatigheidsadviescommissie wordt ingesteld voor alle casusoverleggen, is al geregeld in artikel 15 van de wet.
– Artikel 1.16, tweede en derde lid, BGS: dit is een precisering van de mogelijkheid uit artikel 1.8, zevende lid, van de WGS tot hernieuwde gegevensverwerking. Omdat de onderhavige wet deze mogelijkheid niet kent, is een precisering niet aan de orde.
– Hoofdstuk 2 van het BGS: dit regelt de startcriteria voor de gegevensverwerking en de precisering van de gegevensverwerking voor de specifieke samenwerkingsverbanden. In het geval van de onderhavige casusoverleggen is dit al geregeld in de wet.

2. Ontvangen consultatieadviezen

In mei en juni 2024 heeft de (internet)consultatie plaatsgevonden over het ontwerpbesluit. Het ontwerpbesluit is in de consultatie voorgelegd aan de Autoriteit persoonsgegevens (hierna: AP), de G4, het Openbaar Ministerie, de Politie, de Vereniging van Nederlandse Gemeenten en het Adviescollege toetsing regeldruk (ATR). Er zijn reacties ontvangen van de AP, de gemeente Utrecht (gesteund door de gemeenten Rotterdam, Amsterdam en Den Haag), het Openbaar Ministerie, de Politie, vier particulieren en de Stichting Privacy First. Het ATR heeft het dossier niet geselecteerd voor een formeel advies, omdat het geen gevolgen voor de regeldruk heeft.

In het artikelsgewijze deel is toegelicht hoe de adviezen bij de keuzes inzake de voorliggende amvb een rol hebben gespeeld. Dit is steeds aangeduid met het trefwoord «consultatie». Niet wordt ingegaan op opmerkingen die de kaders van de voorliggende amvb te buiten gaan.

De consultatiereacties geven aanleiding tot één inhoudelijke aanpassing. Naar aanleiding van het consultatieadvies van het Openbaar Ministerie om hogere eisen te stellen aan de autorisatie van personen die toegang krijgen tot de systemen waarin gezamenlijk persoonsgegevens worden verwerkt, is een artikel toegevoegd waarin is geregeld dat derden die op incidentele basis deelnemen, niet worden geautoriseerd voor toegang tot de systemen (artikel 11). Gelet hierop zijn de artikelen 11 tot en met 19 (consultatieversie) vernummerd tot de artikelen 12 tot en met 20.

De aanbevelingen van de AP worden in de navolgende paragraaf van een reactie voorzien.

3. Advies Autoriteit persoonsgegevens

De AP heeft advies uitgebracht op 30 juli 2024 en heeft vijf aanbevelingen (hierna §3.1–3.5).

3.1 Behandelcriteria

De AP heeft geadviseerd om in het concept verder te concretiseren dat de weegploeg zich moet baseren op concrete feiten, omstandigheden of gedragingen en moet toetsen aan het type signaal dat aan de aanmelding ten grondslag ligt, het aantal signalen alsmede de aard en omvang daarvan, het gewicht van het signaal en de reeds gepleegde interventies ter zake van het signaal of de signalen, en het aantal deelnemers dat overeenkomstige signalen meldt, alsmede het verband tussen de signalen. Daarmee zou het concept volgens de AP beter aansluiten op artikel 2.23, derde lid, WGS, dat voorschrijft dat de Regionale Informatie- en Expertisecentra (RIEC’s) aan deze criteria toetsen bij de afweging of een signaal voldoende aanleiding geeft tot gezamenlijke gegevensverwerking.

In reactie hierop wordt opgemerkt dat artikel 5, derde lid, van de wet al zorgvuldig bepaalde objectieve criteria regelt om te bepalen of een casus bespreekwaardig is, in samenhang gelezen met de definitie van radicalisering uit artikel 1. De persoon moet een (potentieel) gevaar vormen voor de (nationale) veiligheid doordat hij radicale opvattingen combineert met het (in)direct legitimeren van geweld, of de bereidheid heeft om activiteiten te verrichten die de democratische rechtsorde ondermijnen. Door de weegploeg worden op grond van de wet onder meer de volgende criteria gehanteerd: de mate waarin betrokkene bereid is geweld toe te passen of te propageren, de mate waarin betrokkene vasthoudt aan extremistische denkbeelden, zijn sociale relaties, de mate van identificatie met een extremistische groep of ideologie, en zijn zelfredzaamheid.

De voornoemde criteria zijn ontwikkeld voor en door de partners in de keten om de integrale persoonsgerichte aanpak rondom radicalisering en extremisme te ondersteunen en systematischer te werken. Het voorschrijven van nadere criteria is niet nodig, noch gewenst. Daarom bevat de wet ook geen grondslag om hierover bij of krachtens amvb nadere regels te stellen. Het is aan de weegploeg om aan de hand van de omstandigheden van het geval te beoordelen of een casus bespreekwaardig is. Alleen door binnen de wettelijke kaders voldoende ruimte voor de professionals van de weegploeg te behouden kan daadwerkelijk maatwerk worden geleverd en is een ketenaanpak van radicalisering mogelijk. Daarom moet een stapeling aan wettelijke criteria worden voorkomen. Aanvulling met de criteria van de RIEC’s is ook niet passend, omdat zij andere casuïstiek behandelen.

3.2 Motiveringsplicht

De AP vindt dat de deelnemers, weegploeg en het contactpunt moeten worden verplicht bepaalde keuzes schriftelijk te motiveren in het casusdossier. De AP noemt zeven punten waarvan de onderliggende afwegingen zouden moeten worden geregistreerd. Dat komt ten goede aan een zorgvuldige besluitvorming, is transparant richting de betrokkene en zorgt dat beter kan worden gecontroleerd hoe de deelnemers, weegploeg en het contactpunt hun beoordelingsruimte invullen.

In reactie hierop wordt opgemerkt dat het inderdaad van belang is dat de deelnemers de relevante afwegingen bij de verwerking van persoonsgegevens registreren in het dossier, zoals waarom een bepaalde casus in behandeling is genomen of waarom een casus nog niet kan worden afgesloten. Een verplichting hiertoe volgt uit de verantwoordingsplicht op grond van artikel 5, tweede lid, AVG. De deelnemers, weegploeg en het contactpunt moeten immers kunnen aantonen dat de verwerking van persoonsgegevens voldoet aan de belangrijkste uitgangspunten van de AVG. Het is aan de professionaliteit van de deelnemers om hieraan invulling te geven. Overname van het voorstel van de AP zou evenwel te gedetailleerd zijn en te belastend voor de uitvoering. Dat geldt in het bijzonder voor het telkens schriftelijk vastleggen van alle afwegingen die ten grondslag liggen aan de door de AP opgesomde keuzes. Zo moet volgens de AP telkens worden gemotiveerd waarom de uitzondering inzake zwaarwegende belangen niet van toepassing is voor gegevensverstrekking. Dat zou een onevenredige administratieve belasting opleveren.

3.3 Beperking van rechten van betrokkenen

De AP merkt op dat de conceptbepalingen over de mogelijkheid tot het beperken van rechten van betrokkenen niet verenigbaar zouden zijn met artikel 23 AVG. De reden hiervoor is dat verwezen wordt naar artikel 41 Uitvoeringswet AVG, waarover de AP van mening is dat dat artikel niet zou voldoen aan de AVG.

De conceptbepalingen in deze amvb beogen echter slechts een regeling te treffen omtrent de mogelijkheden die het contactpunt heeft als één van de deelnemers van mening is dat er gegronde redenen zijn om de rechten van betrokkenen in te perken. De conceptbepalingen regelen daarmee de onderlinge verhoudingen tussen de deelnemers. Dit is naar zijn aard naar ons oordeel niet in strijd met artikel 23 AVG. De conceptbepalingen verwijzen daarbij naar bestaand wettelijk kader zoals dat is opgenomen in artikel 41 van de Uitvoeringswet AVG. Dat deze bepaling in strijd zou zijn met artikel 23 AVG vindt ook geen steun in de jurisprudentie van de Afdeling bestuursrechtspraak van de Raad van State.8

3.4 Hernieuwd gebruik

Het is volgens de AP onduidelijk wanneer eerder ingebrachte persoonsgegevens mogen worden gebruikt bij heropening van een casus, zodat aanvulling van het concept noodzakelijk is. De AP geeft daarom in overweging na te gaan of aansluiting bij artikel 1.16, tweede lid, van het BGS op zijn plaats is, zodat hernieuwde verwerking van eerder ingebrachte gegevens slechts mag als (1) de behandelcriteria nog steeds van toepassing zijn of (2) als gelet op de complexiteit van de problematiek een groot risico bestaat op terugval waardoor weer zou worden voldaan aan die criteria. Op grond van het derde lid van die bepaling is de bewaartermijn van gegevens die hernieuwd worden verwerkt twee jaar, en kan deze telkens met twee jaar worden verlengd.

Terecht merkt de AP op dat gegevens bij afsluiting van een casus worden afgeschermd (artikel 6, derde lid) en dat de afscherming kan worden opgeheven indien zich vóór de datum van vernietiging of anonimisering omstandigheden voordoen die het noodzakelijk maken om de casus te heropenen. In dat geval kunnen de gegevens – in overleg met de deelnemers die gegevens hadden verstrekt ten behoeve van de oorspronkelijke casus – opnieuw worden gebruikt voor de hernieuwde casus zolang deze niet vernietigd of geanonimiseerd zijn.9

De afscherming kan uiteraard alleen worden opgeheven indien opnieuw aan de criteria wordt voldaan als bedoeld in artikel 5, derde lid, van de wet.

Artikel 1.16, tweede lid, BGS is overigens niet bruikbaar. Dit regelt voor bijzondere gevallen een verlenging van de termijn voor vernietiging en anonimisering uit de WGS, voor situaties waarin de termijn voor vernietiging te kort is. De WGS kent echter een andere termijn, namelijk vijf jaar na de eerste verwerking. In de onderhavige wet is de termijn vijf jaar na de laatste verwerking. De problematiek die noopte tot artikel 1.16, tweede lid, BGS doet zich hier dus niet voor.

3.5 Voortduren afscherming

De wet en het concept bieden volgens de AP samen onvoldoende handvatten om af te wegen of afscherming nog langer moet voortduren, dan wel vernietiging of anonimisering aangewezen is. De toelichting op het concept moet hier duidelijkheid over verschaffen.

Zodra een casus is afgesloten worden de persoonsgegevens afgeschermd en begint de termijn voor vernietiging of anonimisering te lopen. Op grond van artikel 9 van de wet moeten de persoonsgegevens die het casusoverleg verwerkt, worden vernietigd of geanonimiseerd zodra zij niet langer noodzakelijk zijn voor het doel van het casusoverleg, en uiterlijk vijf jaar na de datum van laatste verwerking, tenzij een wettelijk voorschrift daaraan in de weg staat of de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

Met de AP kan worden ingestemd dat van een noodzaak om de gegevens langer te bewaren in ieder geval geen sprake kan zijn als de verwerking slechts voortduurt omdat er een niet nader te concretiseren vermoeden is dat een betrokkene in de toekomst misschien weer kan radicaliseren. Zoals de AP terecht stelt, moet zo’n vermoeden kunnen worden onderbouwd met concrete feiten, omstandigheden of gedragingen om het voortduren van de gegevensverwerking te rechtvaardigen.

4. Uitvoerbaarheid en financiële gevolgen

Zoals is toegelicht in paragraaf 7 van de memorie van toelichting op de wet worden voor de uitvoering en handhaving geen problemen voorzien.10 De wet en dit besluit leiden niet tot veel extra lasten, omdat deze grotendeels de bestaande praktijk codificeren. Kleinere gemeentes kunnen bovendien voor de inrichting van een casusoverleg ondersteuning zoeken in de ervaring en faciliteiten van grotere gemeentes of de regionale Zorg- en Veiligheidshuizen. Ook de NCTV ondersteunt gemeenten met kennis en expertise wanneer dit noodzakelijk is. Het is overigens ook niet zo dat elke gemeente een casusoverleg heeft. Dit is ook niet noodzakelijk, want de wet bepaalt dat er een structuur voor overleg moet zijn indien zich gevallen voordoen die bespreking behoeven. Zoals is toegelicht in paragraaf 7 van de memorie van toelichting op de wet, brengt de wet geen aanvullende kosten met zich mee.11 Hetzelfde geldt voor dit besluit.

Artikelsgewijs

Artikel 2. Aanwijzing contactpunt

(grondslag: artikel 12, vierde lid, onder b, van de wet)

Algemeen

Dit artikel is de uitwerking van artikel 12, vierde lid, onder b, van de wet. Dit verplicht ertoe om bij amvb regels te stellen over de aanwijzing van een deelnemende overheidsinstantie als contactpunt voor een betrokkene voor de uitoefening van zijn rechten op grond van de AVG. Dit is een uitwerking van artikel 26, eerste lid, van de AVG, dat de mogelijkheid biedt om in een lidstaatrechtelijke bepaling een contactpunt voor betrokkenen aan te wijzen. De gedachte daarachter is dat burgers één duidelijk aanspreekpunt hebben waar zij terecht kunnen voor de uitoefening van hun rechten inzake de verwerking van hun persoonsgegevens door de deelnemers van het casusoverleg (volgens artikel 12, eerste lid, van de wet zijn zij de gezamenlijke verwerkingsverantwoordelijken). Hierdoor kunnen betrokkenen makkelijker hun rechten op grond van de AVG uitoefenen. De aanwijzing van het contactpunt voorkomt dat het voor een burger onduidelijk is wie hij kan benaderen wanneer hij bijvoorbeeld inzage of correctie wil van zijn persoonsgegevens. Het contactpunt zorgt er bovendien voor dat de deelnemers van het casusoverleg hun communicatie met betrokkenen via het contactpunt op een efficiëntere manier kunnen coördineren. Ook stelt het contactpunt de deelnemers in staat om verzoeken van burgers om hun rechten op grond van de AVG uit te oefenen op een gecoördineerde, consistente wijze te beantwoorden.

De aanwijzing als contactpunt betekent dat die overheidsinstantie als vast contactpunt wordt aangewezen voor alle casussen.

Het contactpunt heeft de respectieve verantwoordelijkheid, in de zin van artikel 26, eerste lid, AVG voor:

– de nakoming van verzoeken van een betrokkene om zijn rechten op grond van de AVG uit te oefenen (zie artikel 3 van dit besluit), tenzij wordt overeengekomen dat een andere deelnemende overheidsinstantie besluit op een verzoek indien die daartoe beter in staat is;
– de nakoming van de informatieplicht jegens betrokkene op grond van artikel 14 van de AVG (zie artikel 4 van dit besluit);
– de nakoming van de meldplicht datalekken (zie artikel 5 van dit besluit).

Dit wil niet zeggen dat het contactpunt hierbij alleen opereert. Zoals blijkt uit de artikelen 3 tot en met 5 handelt het contactpunt in afstemming met de betrokken deelnemers. Het contactpunt krijgt een communicatieve, coördinerende taak en zorgt voor één centrale afhandeling van verzoeken tot uitoefening van rechten op grond van de AVG, informatieverstrekking aan betrokkenen en melding van datalekken.

De artikelen over het contactpunt doen dan ook niets af aan de gezamenlijke verwerkingsverantwoordelijkheid van de deelnemers voor de gezamenlijke gegevensverwerking.

Eerste lid

Op grond van de AVG oefent een betrokkene zijn rechten uit bij de verwerkingsverantwoordelijke. Bij de casusoverleggen zijn er meerdere gezamenlijke verwerkingsverantwoordelijken.

In het eerste lid is bepaald dat de betrokkene een verzoek tot uitoefening van diens AVG-rechten (bijvoorbeeld een inzageverzoek) moet richten aan het contactpunt.

Mocht de betrokkene een verzoek tot uitoefening van zijn rechten op grond van de AVG indienen bij een ander overheidsorgaan dan het contactpunt, dan geldt de doorzendplicht, bedoeld in artikel 2:3, eerste lid, van de Algemene wet bestuursrecht (Awb): «Het bestuursorgaan zendt geschriften tot behandeling waarvan kennelijk een ander bestuursorgaan bevoegd is, onverwijld door naar dat orgaan, onder gelijktijdige mededeling daarvan aan de afzender.» Immers, uit de artikelen 3 tot en met 5 van dit besluit volgt dat alleen het contactpunt verantwoordelijk is voor de behandeling van AVG-verzoeken, de nakoming van de informatieplicht en de nakoming van de meldplicht datalekken.

De slotzin van het eerste lid expliciteert dat een verzoek aan het contactpunt geldt als een verzoek aan alle gezamenlijke verwerkingsverantwoordelijken in het casusoverleg.

In de consultatie heeft Privacy First opgemerkt dat een betrokkene volgens artikel 26, derde lid, AVG zijn rechten jegens iedere verwerkingsverantwoordelijke kan uitoefenen. Dit besluit laat dit onverlet: een betrokkene kan een verzoek om zijn rechten uit te oefenen indienen bij iedere verwerkingsverantwoordelijke. De vraag wie een dergelijk verzoek afhandelt (in principe het contactpunt) en of doorzending mogelijk is, wordt niet geregeld door artikel 26, derde lid, AVG. dat overigens niet van toepassing is op de onderhavige situatie (lidstatelijk recht), maar van toepassing is op zogeheten onderlinge regelingen van verwerkingsverantwoordelijken.

Tweede lid

Dit lid voorziet in een vast contactpunt voor ieder casusoverleg omwille van de transparantie en rechtszekerheid. Het is niet toegestaan om het contactpunt per casus te laten wisselen of per casus telkens opnieuw aan te wijzen. Weliswaar is het in de praktijk denkbaar dat het contactpunt niet betrokken is (geweest) bij de specifieke casuïstiek, maar ook in dergelijke gevallen heeft het contactpunt meerwaarde: enerzijds voor de burger die te maken heeft met één loket, anderzijds voor het casusoverleg, omdat het contactpunt zorgdraagt voor een gecoördineerde afhandeling van AVG-verzoeken en een gecoördineerde toepassing van de informatieplicht.

Gekozen is voor de burgemeester van de gemeente van verblijf. Dit is in artikel 1, onder b, van de wet gedefinieerd als de gemeente waarin de betrokkene verblijft of voor het laatst heeft verbleven onderscheidenlijk gevestigd is. Omdat deze burgemeester op grond van artikel 2, eerste lid, verantwoordelijk is voor de instandhouding van het casusoverleg, ligt het in de rede dat deze burgemeester ook optreedt als contactpunt waar een betrokkene zijn AVG-rechten kan uitoefenen.

Artikel 3. Verantwoordelijkheid voor nakoming verzoeken AVG

(grondslag: artikel 12, vierde lid, onder a, van de wet)

Dit artikel vormt de uitwerking van artikel 12, vierde lid, onderdeel a, van de wet, voor zover daaruit volgt dat bij amvb regels moeten worden gesteld over de werkwijze en de respectievelijke verantwoordelijkheden van de deelnemers met betrekking tot de uitoefening van de rechten van betrokkene.

Eerste lid

Dit lid regelt als uitgangspunt dat het contactpunt als enige van de deelnemers verantwoordelijk is voor de afhandeling van verzoeken van betrokkenen inzake de uitoefening van hun rechten op grond van hoofdstuk III van de AVG. In de praktijk gaat het dan om een verzoek op grond van de artikelen 15 tot en met 18, 21 en 22 van de AVG, die voorzien in het recht op inzage, rectificatie en wissing van gegevens, het recht op beperking van de verwerking, het recht om bezwaar te maken tegen de verwerking en het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming. Het contactpunt is in principe degene die namens de deelnemers van het casusoverleg de besluiten neemt op verzoeken inzake de uitoefening van AVG-rechten. Dit draagt bij aan de eenduidige communicatie richting betrokkene: er wordt één besluit genomen jegens betrokkene. Ook is er hierdoor eenduidigheid naar betrokkenen: zowel in de fase van een AVG-verzoek als bij bezwaar en beroep is er één en hetzelfde aanspreekpunt voor betrokkenen. Vanuit de rechtszekerheid en duidelijkheid is het gewenst dat de betrokkene niet alleen voor de verzoeken op grond van de AVG naar het contactpunt kan, maar ook dat dit contactpunt vervolgens het besluit neemt op dat verzoek. Hiermee is tevens duidelijk dat er bij het contactpunt bezwaar kan worden gemaakt tegen het genomen besluit, dat er door het contactpunt op het bezwaar moet worden beslist en dat het contactpunt de verweerder is in een beroepsprocedure (wat onverlet laat dat naast het contactpunt ook een andere deelnemer als belanghebbende kan deelnemen aan een beroepsprocedure overeenkomstig artikel 8:26 Awb). Ten derde zorgt deze regeling ervoor dat het contactpunt het overzicht binnen het casusoverleg behoudt, en weet of reeds is besloten op een AVG-verzoek. Tot slot wordt met deze regeling voorkomen dat er mandaatregelingen nodig zijn tussen het contactpunt en de andere deelnemers.

Verzoeken van burgers om uitoefening van hun AVG-rechten moeten in beginsel binnen een maand worden afgehandeld, met dien verstande dat deze termijn indien nodig met nog eens twee maanden kan worden verlengd, afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken (artikel 12, derde lid, AVG). Het contactpunt moet deze termijn in acht nemen. Inhoudelijke betrokkenheid van meerdere deelnemers kan maken dat sprake is van een complex verzoek als bedoeld in voornoemde bepaling.

Indien een betrokkene het niet eens is met het besluit op zijn verzoek, dan staat voor hem bestuursrechtelijke rechtsbescherming open: bezwaar indienen bij het contactpunt en vervolgens (hoger) beroep bij de bestuursrechter. Immers, de schriftelijke beslissing van het contactpunt geldt als besluit in de zin van de Awb volgens artikel 34 van de Uitvoeringswet AVG. Het contactpunt is een bestuursorgaan in de zin van de Awb.

Als de betrokkene bezwaar indient, is het aan het contactpunt om een besluit op dat bezwaar te nemen. Ook dit doet het contactpunt in afstemming met de overige deelnemers.

In de consultatie heeft de gemeente Utrecht bepleit dat het contactpunt verwerkingen van politiegegevens moet kunnen meenemen bij de afhandeling van de rechten van betrokkene, zoals een inzageverzoek. Hierin is voorzien: nadat politiegegevens aan het casusoverleg zijn verstrekt (op grond van artikel 20, vierde lid, Wet politiegegevens), valt de gezamenlijke verwerking binnen het casusoverleg onder de AVG.12 Het zijn dan persoonsgegevens in de zin van de AVG. Dit valt onder de reikwijdte van het contactpunt, want dat is bevoegd ten aanzien van alle persoonsgegevens die door het casusoverleg gezamenlijk worden verwerkt (in het gezamenlijke systeem). Het contactpunt is niet bevoegd met betrekking tot persoonsgegevens die een deelnemer individueel verwerkt voor diens taak.

Het voorgaande geldt ook bij de informatieplicht (artikel 4) en de meldplicht datalekken (artikel 5).

Tweede lid

Uit dit lid volgt dat het contactpunt voorafgaand aan het nemen van een besluit moet overleggen, in ieder geval met de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens. Zij kunnen immers een zwaarwegend belang hebben dat zich tegen inwilliging van het AVG-verzoek verzet, en kunnen aangeven of daarvan sprake is (bijvoorbeeld een toezichts-, opsporings- of vervolgingsbelang) en hoe zwaar dit zou moeten wegen voor eventuele beperking van de rechten van betrokkene overeenkomstig artikel 41 van de Uitvoeringswet AVG. Daarbij mag worden verwacht dat zij de benodigde motivering verstrekken aan het contactpunt ten behoeve van de motivering van het besluit. Het artikel staat er niet aan in de weg dat op die manier de feitelijke voorbereiding van het besluit geschiedt door een andere deelnemer dan het contactpunt.

Op grond van dit artikellid wijst het contactpunt het verzoek af indien of voor zover naar het oordeel van één of meer van de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens over de betrokkene, een uitzonderingsgrond van toepassing is.

Dit artikellid laat door de zinsnede «of voor zover» de mogelijkheid open dat het contactpunt een AVG-verzoek gedeeltelijk inwilligt: als bijvoorbeeld een zwaarwegend belang van één deelnemer zich tegen inzage van de door deze deelnemer ingebrachte gegevens verzet, hoeft dat niet in de weg te staan aan inzage van door andere deelnemers ingebrachte gegevens. Gedeeltelijke inwilliging van het AVG-verzoek is daarentegen niet mogelijk indien een zwaarwegend belang ertoe noopt dat helemaal geen informatie wordt verstrekt.

Uit dit lid volgt dat het AVG-verzoek wordt afgewezen indien naar het oordeel van één van de betreffende deelnemers een uitzonderingsgrond zich verzet tegen (gedeeltelijke) inwilliging van het verzoek. Aldus sluit het artikel uit dat meningsverschillen tussen deelnemers in de weg staan aan het kunnen nemen van een besluit door het contactpunt. Daarbij weegt zwaar dat het niet-honoreren van zwaarwegende belangen die nopen tot toepassing van een uitzonderingsgrond, onomkeerbare gevolgen kan hebben, zoals doorkruising van opsporings- of toezichtbelangen.

Overigens bevat artikel 17, derde lid, AVG andere (technische) uitzonderingsgronden (op het recht op gegevenswissing), die niet zien op de zwaarwegende belangen van deelnemers. Daarom is het «vetorecht» uit dit lid daarop niet van toepassing. Het contactpunt kan dan volstaan met overleg.

In de consultatie heeft Privacy First bepleit om de drempel te verhogen voor het inroepen van een uitzonderingsgrond bij een AVG-verzoek, bijvoorbeeld door een omvangrijke motiveringsplicht op te nemen. In reactie hierop wordt opgemerkt dat artikel 3:46 Awb reeds een motiveringsplicht kent. De mogelijkheid tot motivering vindt evenwel haar begrenzing in de onmogelijkheid om gegevens te verstrekken die vanwege een toepasselijke uitzonderingsgrond niet kunnen worden verstrekt. Daarnaast geldt de verantwoordingsplicht op grond van artikel 5, tweede lid, AVG. Hieruit volgt dat in de administratie van deelnemers moet zijn na te gaan waarom een uitzonderingsgrond is ingeroepen. Dit stelt de toezichthouders in staat om te controleren of de uitzonderingsgronden correct zijn toegepast. Privacy First heeft voorgesteld om te regelen dat de rechtmatigheidsadviescommissie een beroep op een uitzonderingsgrond altijd moet fiatteren. Mede gelet op de voornoemde verantwoordingsplicht is hiervoor geen noodzaak gezien.

Verder heeft Privacy First aanbevolen om in dit besluit duidelijke criteria op te nemen waaronder de rechten van betrokkenen buiten toepassing kunnen worden gelaten. Dit advies is niet overgenomen omdat de criteria uit de AVG en Uitvoeringswet AVG zich voor deze casusoverleggen niet goed nader laten reguleren. Het is overigens niet de verwachting dat de uitzonderingsgronden te makkelijk kunnen worden ingeroepen, zoals hieronder bij artikel 4, tweede lid, wordt toegelicht.

Derde lid

Het is mogelijk dat de uitzonderingsgrond na verloop van tijd vervalt, bijvoorbeeld omdat toezichts- of opsporingsbelangen niet langer doorkruist zouden worden indien positief wordt besloten op het AVG-verzoek, zoals een inzageverzoek. Daarom regelt dit lid dat zodra naar het oordeel van de betreffende deelnemer de uitzonderingsgrond niet langer van toepassing is, de deelnemer dit zo spoedig mogelijk aan het contactpunt meldt. Hierdoor kan het contactpunt alsnog bijvoorbeeld inzage verlenen.

Vierde lid

Dit artikellid bepaalt dat het contactpunt met een andere deelnemende overheidsinstantie kan afspreken dat laatstgenoemde het verzoek afhandelt, indien die daartoe naar hun beider oordeel beter in staat is. In dat geval stuurt het contactpunt het verzoek door aan die overheidsinstantie, die het verzoek daarna afhandelt (tot en met eventueel bezwaar/beroep). Om te voorkomen dat voor de betrokkene onduidelijkheid ontstaat, verplicht dit artikellid het contactpunt om betrokkene te melden dat de andere deelnemende overheidsinstantie het verzoek afhandelt. Het contactpunt blijft het punt waar een verzoek kan worden ingediend, maar het is mogelijk dat een andere deelnemende overheidsinstantie het verzoek afhandelt, indien deze daartoe beter in staat is.

In de consultatie heeft de politie bepleit om ook te regelen dat de andere deelnemende overheidsinstantie die onder omstandigheden het verzoek afhandelt, het contactpunt informeert over het genomen besluit. Het voordeel van het hebben van een contactpunt is immers dat er op een centrale plaats binnen het casusoverleg overzicht (en regie) wordt behouden van AVG-verzoeken van betrokkenen. In reactie hierop wordt opgemerkt dat het voor zich spreekt dat de andere deelnemende overheidsinstantie het contactpunt informeert over het genomen besluit.

Artikel 4. Verantwoordelijkheid voor nakoming informatieplicht

(grondslag: artikel 12, vierde lid, onder a, van de wet)

Eerste lid

Artikel 14 van de AVG verplicht elk van de deelnemers aan een casusoverleg die de gezamenlijke verwerkingsverantwoordelijken zijn, om de betrokkene, behoudens uitzonderingen, te informeren over onder andere het feit dat gegevens over betrokkene worden verwerkt en voor welke doeleinden.13 Het onderhavige artikel bepaalt dat de deelnemende overheidsinstantie die optreedt als het contactpunt, zorgdraagt voor de (coördinatie bij de) nakoming van deze informatieplicht. Met dit artikel wordt invulling gegeven aan artikel 12, vierde lid, onder a, van de wet, dat bepaalt dat hierover bij amvb regels worden gesteld. Als beste praktijk beveelt het Europees Comité voor gegevensbescherming aan om een privacyverklaring op de website te plaatsen en de betrokkene daarnaar te verwijzen, bijvoorbeeld door een rechtstreekse link of QR-code.14 Het contactpunt kan op deze wijze zijn communicatieve rol relatief lastenluw uitvoeren.

In de consultatie heeft Privacy First opgemerkt dat het plaatsen van een privacyverklaring onvoldoende is. Dat klopt: artikel 14 AVG vereist dat betrokkene hierop actief wordt geattendeerd.

De informatieplicht en de rechten van betrokkene, zoals het recht op inzage en het recht op bezwaar, zijn nauw met elkaar verbonden. Daarom ligt het in de rede dat het contactpunt zowel verantwoordelijk is voor de (coördinatie bij de) informatieplicht als voor de nakoming van de rechten van betrokkene. Hierdoor kan een betrokkene, na te zijn geïnformeerd door het contactpunt, vervolgens bij datzelfde contactpunt terecht voor de uitoefening van zijn rechten op grond van de AVG. Ook zorgt deze regeling ervoor dat het contactpunt het overzicht binnen het casusoverleg behoudt, en weet of betrokkene is geïnformeerd.

Tweede lid

In het tweede lid is de mogelijkheid opgenomen dat één of meer van de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens over de betrokkene, zich kunnen verzetten tegen het feit dat een betrokkene geïnformeerd wordt, indien naar hun oordeel op grond van artikel 14, vijfde lid, onder b, van de AVG of artikel 41 van de Uitvoeringswet AVG een uitzonderingsgrond van toepassing is op de informatieplicht. Op de informatieplicht gelden uitzonderingen, onder meer in geval vanwege de nationale veiligheid of het doorkruisen van toezichts- en opsporingsbelangen (artikel 41, eerste lid, onder a, h en e, Uitvoeringswet AVG jo. artikel 23 AVG). Dit kan betekenen dat betrokkene niet of pas achteraf wordt geïnformeerd.

Indien een uitzondering wordt ingeroepen, moeten de deelnemers op grond van artikel 11 van de wet een schriftelijke motivering opstellen. De rechtmatigheidsadviescommissie kan de motivering inzien ten behoeve van haar taak om de rechtmatigheid te beoordelen.

Overigens wordt er in de praktijk doorgaans geen uitzonderingsgrond ingeroepen. Zoals door de minister is aangegeven tijdens de plenaire behandeling van de wet in de Tweede Kamer, worden betrokkenen volgens gemeenten in de praktijk vrijwel altijd worden geïnformeerd.15

In de consultatie heeft Privacy First opgemerkt dat het besluit te veel ruimte biedt om een uitzonderingsgrond in te roepen. De vrees dat uitzonderingsgronden te gemakkelijk kunnen worden ingeroepen, wordt niet gedeeld.16

Een relevante uitzonderingsgrond zou bijvoorbeeld het opsporingsbelang kunnen zijn, maar deze zal niet aan de orde zijn waar het gaat om vroegsignalering. In deze vroege fase wordt primair beoogd om strafbare feiten te voorkomen. De casusoverleggen zijn gericht op het voorkomen, verminderen en bestrijden van radicalisering. Het uiteindelijke doel is om te voorkomen dat radicalisering overgaat naar geweld.

In de consultatie heeft Privacy First verder geadviseerd om te regelen dat de rechtmatigheidsadviescommissie een beroep op een uitzonderingsgrond altijd moet fiatteren en om in dit besluit duidelijke criteria op te nemen waaronder de rechten van betrokkenen buiten toepassing kunnen worden gelaten. Voor de reactie hierop wordt verwezen naar de toelichting op artikel 3, tweede lid. Deze reactie is van overeenkomstige toepassing bij de informatieplicht.

Derde lid

Het is mogelijk dat de uitzonderingsgrond na verloop van tijd vervalt. Daarom regelt dit lid dat zodra naar het oordeel van de betreffende deelnemer de uitzonderingsgrond niet langer van toepassing is, de deelnemer dit zo spoedig mogelijk aan het contactpunt meldt. Hierdoor kan het contactpunt de betrokkene alsnog informeren. Als de risico’s zijn geweken, dient betrokkene alsnog te worden geïnformeerd over de eerdere gegevensverwerking door het casusoverleg.

Artikel 5. Verantwoordelijkheid voor nakoming meldplicht datalekken

(grondslag: artikel 12, vierde lid, onder a, van de wet)

Eerste lid

Dit lid maakt duidelijk dat het contactpunt verantwoordelijk is voor de nakoming van de verplichting uit de artikelen 33 en 34 van de AVG om een inbreuk in verband met persoonsgegevens (een datalek) mede te delen aan de AP en de betrokkene (de meldplicht datalekken), mits de deelnemers aan het contactpunt zo spoedig mogelijk de informatie verstrekken die het contactpunt nodig heeft voor de uitvoering van de voornoemde artikelen. Laten deelnemers dat na, dan zijn zij daarvoor zelf aansprakelijk overeenkomstig artikel 82, vijfde lid, AVG. De melding van een datalek gebeurt in afstemming met de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens. Dit lid sluit aan bij de verantwoordelijkheden van het contactpunt voor de nakoming van de informatieplicht jegens betrokkenen (artikel 14 AVG) en de nakoming van de rechten van betrokkenen op grond van hoofdstuk III van de AVG, zoals het inzagerecht. Het onderhavige artikel is alleen van toepassing op persoonsgegevens die worden verwerkt door het casusoverleg.

Tweede lid

Dit lid regelt dat het contactpunt overlegt met de deelnemers die betrokken waren of zijn bij de verwerking van de persoonsgegevens en dat één of meer van deze deelnemers zich kunnen verzetten tegen melding van een datalek aan een betrokkene (artikel 34 AVG) indien dat naar hun oordeel noodzakelijk en evenredig is ter waarborging van een zwaarwegend belang als bedoeld in artikel 41 Uitvoeringswet AVG. Op de melding van een datalek aan de AP (artikel 33 AVG) is geen uitzondering mogelijk vanwege een zwaarwegend belang. Op grond van artikel 23, eerste lid, AVG, kan alleen artikel 34 vanwege een zwaarwegend belang buiten toepassing kan worden gelaten.

Artikelen 33, eerste lid, en 34, derde lid, AVG bevatten enkele andere, meer technische, uitzonderingsgronden die het contactpunt kan toepassen. Daarvoor volstaat overleg met het contactpunt en is regeling van de wijze van besluitvorming niet nodig.

Artikel 6. Rechtmatig verwerkte gegevens

(grondslag: artikel 19 van de wet)

Dit artikel expliciteert dat deelnemers alleen informatie mogen inbrengen in het casusoverleg of de weegploeg17 als zij die informatie rechtmatig verwerken. De rechtmatigheid behelst de vraag of de verstrekkende instantie de gegevens zelf mag verwerken. Met rechtmatig verwerkte gegevens wordt bedoeld dat de deelnemer een grondslag heeft om deze te verwerken. Als het gaat om persoonsgegevens moet er een grondslag zijn in de zin van artikel 6 van de AVG of, als het gaat om politiegegevens of justitiële of strafvorderlijke gegevens of tenuitvoerleggingsgegevens, een grondslag in de zin van de Wet politiegegevens (Wpg) of Wet justitiële en strafvorderlijke gegevens (Wjsg). Dit is ter beoordeling van de verstrekkende instantie. Als een deelnemer bijvoorbeeld een signaal bij de weegploeg aanmeldt, staat die deelnemer ervoor in dat hij de gegevens die hij daarbij verstrekt, zelf rechtmatig verwerkt.

Indien een deelnemer ten behoeve van de eigen taken en bevoegdheden gegevens verkrijgt of heeft verkregen van een derde en de deelnemer deze gegevens zelf mag verwerken, dan zijn dat ook rechtmatig verwerkte gegevens, zodat het onderhavige artikel zich niet verzet tegen verstrekking aan het casusoverleg of de weegploeg. Te denken valt aan informatie uit publiek toegankelijke bronnen die door de inbrengende deelnemer rechtmatig mag worden verwerkt. Het is aan de betreffende deelnemer om te beoordelen of deze gegevens conform artikel 4 en 5 van de wet ingebracht moeten worden en of sprake is van zwaarwegende redenen die zich tegen verstrekking verzetten.

Het onderhavige artikel verzet zich er wel tegen dat een deelnemer op verzoek van (een deelnemer van) het casusoverleg gegevens bij een derde vergaart om deze vervolgens in te brengen in het casusoverleg. Een (deelnemer van een) casusoverleg kan geen instructie of opdracht geven aan een deelnemer om bepaalde informatie bij een derde te verzamelen. De betreffende deelnemer moet deze gegevens initieel rechtmatig mogen verwerken vanuit eigen taken en bevoegdheden en zelf de afweging maken of deze gegevens dienen te worden ingebracht conform artikel 4 en 5 van de wet.

Artikel 7. Kwaliteit van een aangemelde casus

(grondslag: artikel 19 en artikel 12, vierde lid, onder a, van de wet)

Eerste lid

Dit lid is een verbijzondering ten opzichte van het beginsel van juistheid, bedoeld in artikel 5, eerste lid, onder d, van de AVG. De juistheid en kwaliteit van de gegevens die bij een casus worden verstrekt, moeten reeds vóór de aanmelding bij de weegploeg worden getoetst door de deelnemer die een casus wil aanmelden. Dit geldt ook indien een van de leden van de weegploeg een casus voor overleg aanmeldt op basis van een melding van een derde. Hiermee wordt de verantwoordelijkheidsverdeling verduidelijkt inzake de nakoming van het beginsel van juistheid, bedoeld in artikel 5, eerste lid, onder d, AVG. Het artikel strekt zich ook uit tot andere gegevens dan persoonsgegevens, omdat ook onjuistheden in andere gegevens ervoor kunnen zorgen dat ten onrechte of onjuiste persoonsgegevens worden verstrekt.

Deze uitdrukkelijke toets op juistheid en kwaliteit geldt in aanvulling op de door de weegploeg te toetsen objectieve startcriteria voor de gegevensverwerkingen, die zijn uitgewerkt in artikel 5, derde lid, van de wet. Uiteraard moeten de deelnemers ook bij de overige gegevensverstrekkingen zorgdragen dat zij voldoen aan het voornoemde beginsel van juistheid uit de AVG.

In de consultatie heeft een particulier voorgesteld om de plicht voor de deelnemers om gegevens op de feitelijke juistheid en kwaliteit te toetsen (artikelen 7 en 9) niet te beperken met de zinsnede «voor zover mogelijk», zoals in het ontwerpbesluit, maar met de term «in redelijke mate», om te voorkomen dat de last op de deelnemers om gegevens te verifiëren veel groter is dan nodig. In reactie op dit voorstel wordt opgemerkt dat met de zinsnede «voor zover mogelijk» wordt bedoeld dat deelnemers niet tot het onmogelijke worden gehouden. Daarbij mag de redelijkheid als maatstaf worden gebruikt, ook al staat dat begrip niet met zoveel woorden in het ontwerpbesluit.

Pre-weging voorafgaand aan aanmelding van een casus

De Afdeling advisering van de Raad van State heeft in haar advies op het onderhavige besluit gewezen op het rapport van de Inspectie Justitie en Veiligheid van augustus 2024 over vroegsignalering van radicalisering in het lokale domein.18 De Inspectie constateerde dat leden van de weegploeg (de burgemeester, politie en het openbaar ministerie) op regionaal niveau verschillend omgaan met bij hen aangemelde signalen. Volgens het rapport brengen sommige weegploegleden alle aangemelde signalen in bij de weegploeg, terwijl andere weegploegleden een eigen pre-weging verrichten voordat zij een signaal inbrengen in de weegploeg. De Afdeling wijst erop dat de Inspectie de minister heeft aanbevolen eenduidige, objectieve en landelijke normen te creëren over de vraag wanneer sprake is van een signaal dat dient te worden ingebracht in de weegploeg. De Afdeling adviseert om toe te lichten hoe de pre-weging zich verhoudt tot het wettelijk stelsel en op welke wijze invulling zal worden gegeven aan de aanbeveling.

In reactie hierop wordt opgemerkt dat onderscheid moet worden gemaakt tussen de «aanmelding» van een casus door een deelnemer aan het casusoverleg op grond van artikel 5, eerste lid, van de wet en de «melding» door een derde op grond van artikel 5, tweede lid, van de wet.

Op grond van artikel 5, eerste lid, van de wet kan een deelnemer als bedoeld in artikel 3, eerste lid, van de wet een casus aanmelden bij een lid van de weegploeg, mits is voldaan aan de criteria uit artikel 5, eerste lid, en mits de deelnemer de feitelijke juistheid en kwaliteit heeft getoetst conform artikel 7 van het onderhavige besluit. Het weegploeglid dat de aanmelding van een deelnemer ontvangt, agendeert de aanmelding in de weegploeg, waarna de drie weegploegleden gezamenlijk de aangemelde casus moeten beoordelen. Dit volgt uit artikel 5, derde lid, eerste volzin, van de wet: «De politie, het openbaar ministerie en de burgemeester van de gemeente van verblijf analyseren gezamenlijk de aanmelding en komen tot een eensluidende beoordeling of de aanmelding van een casus in overeenstemming is met het doel van het casusoverleg.»

Op grond van artikel 5, tweede lid, kan een derde bij een weegploeglid een melding inzake radicalisering doen. Deze derden zijn bijvoorbeeld lokale partners uit het zorg- en veiligheidsdomein of ongeruste burgers. Uit artikel 5, eerste tot en met derde lid, van de wet volgt dat zo’n melding pas aan de voltallige weegploeg kan worden voorgelegd indien het weegploeglid dat de melding ontvangt, hierin aanleiding ziet om zelf (in zijn hoedanigheid als deelnemer) de casus aan te melden op grond van artikel 5, eerste lid. De memorie van toelichting verduidelijkt: «[Artikel 5, tweede lid] impliceert voor het lid van de weegploeg dat de melding ontvangt, de taak om de melding in ontvangst te nemen en om te beoordelen of het geraden is dat hij zijn bevoegdheid toepast om op grond van artikel 5, eerste lid, een casus voor overleg aan te melden bij de (voltallige) weegploeg.»19 Een dergelijke pre-weging van een melding past dus binnen de wet. Bovendien is voorzien in eenduidige, objectieve en landelijke normen voor de pre-weging: volgens artikel 5, eerste lid, van de wet kan het weegploeglid tot aanmelding van de casus overgaan «naar aanleiding van gedragingen van een natuurlijke persoon of rechtspersoon die in verband kan worden gebracht met radicalisering of terroristische activiteiten of een situatie waarin deze verkeert, die verband houden met het doel van het casusoverleg». Dit moet in samenhang worden gelezen met de definities van die termen uit artikel 1, onder a, van de wet. Op grond van artikel 7 van dit besluit moet het weegploeglid bovendien, voor zover mogelijk, de feitelijke juistheid en de kwaliteit van de melding toetsen.

In de praktijk kan het voorkomen dat de melding aan het weegploeglid te weinig informatie geeft om dit te beoordelen. Zoals is beschreven in de memorie van toelichting moet daarbij worden gewaakt voor het risico van tunnelvisie door onvolledigheid van informatie en kan het opvragen van aanvullende informatie nodig zijn.20 Als het weegploeglid dat de melding heeft ontvangen onvoldoende informatie heeft om de melding correct in te schatten, is er aanvullende informatie nodig en ligt het in de rede dat het weegploeglid de casus aanmeldt bij de voltallige weegploeg om deze gezamenlijk te wegen, al dan niet door het raadplegen van de overige deelnemers (op grond van artikel 5, derde lid, slotzin van de wet).

Tweede lid

Het is van belang dat de deelnemer die een casus heeft aangemeld, de ingebrachte gegevens juist en actueel houdt, ook nadat gegevens vanuit het casusoverleg aan een andere deelnemer zijn verstrekt. Dit is in dit lid geregeld. Voorop staat immers dat de deelnemer zelf verantwoordelijk is voor de juistheid van de persoonsgegevens die deze verstrekt bij de aanmelding van een casus. Die deelnemer beschikt immers over de context op basis waarvan de juistheid en kwaliteit van de verstrekte gegevens kan worden getoetst.

Artikel 8. Correctie van onjuistheden tijdens gezamenlijke gegevensverwerking

(grondslag: art. 12, vierde lid, onder a en art. 19 van de wet)

Deze bepaling verduidelijkt dat de deelnemer die onjuiste gegevens heeft verstrekt ervoor verantwoordelijk is om onjuistheden te corrigeren die in de fase van gezamenlijke gegevensverwerking naar voren komen. Deze deelnemer dient er zorg voor te dragen dat alle redelijke maatregelen worden genomen om onjuiste gegevens onverwijld te vernietigen of rectificeren. Hiermee wordt de verantwoordelijkheidsverdeling verduidelijkt inzake de nakoming van het beginsel van juistheid, bedoeld in artikel 5, eerste lid, onder d, AVG. Verder is het van belang dat ook andere gegevens moeten worden gecorrigeerd als die niet juist blijken te zijn. Immers, ook onjuiste gegevens, niet zijnde persoonsgegevens, kunnen leiden tot een onnodige verwerking van persoonsgegevens of tot verwerking van persoonsgegevens die niet relevant zijn.

De reikwijdte van dit artikel is niet beperkt tot gegevens die bij de aanmelding zijn verstrekt, maar ziet ook op alle gegevens die zijn verstrekt in de fase van de gezamenlijke gegevensverwerking.

Artikel 9. Kwaliteit van de resultaten

(grondslag: artikel 19 van de wet)

Dit lid waarborgt dat een casusoverleg uitsluitend de resultaten van de gezamenlijke gegevensverwerking verstrekt aan een deelnemer na de feitelijke juistheid en de kwaliteit van de daarbij te verstrekken gegevens te hebben getoetst op aspecten die het casusoverleg kan toetsen. Zo wordt voorkomen dat een niet op juistheid en objectiviteit geverifieerd resultaat wordt verstrekt, en dat ten onrechte een risico wordt gesignaleerd. Met verstrekking van het resultaat wordt gedoeld op verstrekking van het (relevante deel uit het) plan van aanpak aan een deelnemer.

Het casusoverleg kan uitsluitend de aspecten toetsen op basis van de gegevens waarover het reeds beschikt van de deelnemers, want een casusoverleg heeft geen bevoegdheden om eigenstandig nog allerlei gegevens te vergaren. Om die reden is opgenomen dat deze kwaliteits- en juistheidstoets alleen ziet op de aspecten die het casusoverleg kan toetsen. Daarvoor is het aangewezen dat juist het casusoverleg dit toetst. Dit is voornamelijk een basistest of het resultaat op de aan het casusoverleg verstrekte gegevens gebaseerd kan worden. Na verstrekking van het resultaat blijft een check door de ontvanger nodig op de aspecten die de ontvanger kan toetsen.

Artikel 10. Verwerking bijzondere categorieën persoonsgegevens

(grondslag: artikel 19 van de wet)

Op grond van artikel 8 van de wet mogen ook persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke, religieuze of levensbeschouwelijke overtuigingen blijken, alsmede gegevens over gezondheid.

Dit mag alleen voor zover noodzakelijk voor het doel van het casusoverleg. Gelet op de aard van de materie zal het casusoverleg zogenoemde bijzondere categorieën van persoonsgegevens moeten kunnen betreffen indien dat noodzakelijk is voor het doel van het casusoverleg. Zo is het bijvoorbeeld goed voorstelbaar dat signalen die worden gedeeld, zien op de (mentale) gezondheid van een persoon, diens religieuze overtuigingen of politieke opvattingen. Deze bijzondere persoonsgegevens zijn niet bepalend voor de vraag of een persoon in verband kan worden gebracht met radicalisering of terroristische activiteiten. Het onderhavige artikel verduidelijkt dit. Deze gegevens mogen geen enkele rol spelen bij de vraag of er noodzaak bestaat tot bespreking van een bepaalde casus. Dat wordt bepaald op basis van objectieve criteria als bedoeld in artikel 5, derde lid, van de wet.21

Bijzondere persoonsgegevens als ras of etniciteit kunnen in bepaalde gevallen worden afgeleid uit andere gegevens. Informatie over iemands gedragingen en activiteiten zegt soms ook iets over zijn ras of etniciteit en of die persoon bijvoorbeeld een bepaalde geloofs- of levensovertuiging aanhangt. Het is daarmee onvermijdelijk dat deze persoonsgegevens worden verwerkt.

Artikel 11. Geen autorisatie bij incidentele deelname

(grondslag: artikel 19 van de wet)

Dit artikel concretiseert artikel 3, derde lid, slotzin, van de wet, dat bepaalt dat derden die incidenteel deelnemen uitsluitend toegang krijgen tot de persoonsgegevens die in het casusoverleg worden verwerkt voor zover dat noodzakelijk is voor het doel van het casusoverleg. Deze concretisering houdt in dat derden geen toegang tot de systemen krijgen, maar dat zij slechts door de deelnemers in kennis kunnen worden gesteld van de persoonsgegevens die de derde nodig heeft om zijn rol te vervullen. Deze beperking vooraf voorkomt onnodige risico’s, onder meer omdat derden in principe niet worden gescreend voor een incidentele deelname. Dit artikel is opgenomen naar aanleiding van het consultatieadvies van het Openbaar Ministerie om hogere eisen te stellen aan de autorisatie van personen die toegang krijgen tot de systemen waarin gezamenlijk persoonsgegevens worden verwerkt. Artikel 2.21, derde lid, van het BGS regelt hetzelfde voor Zorg- en Veiligheidshuizen. Aldus zijn de regels geüniformeerd met het BGS.

Artikel 12. Betrouwbaarheid geautoriseerde personen

(grondslag: artikel 13, tweede lid, van de wet)

Dit artikel regelt de autorisatie van personen die door hun deelnemende organisatie worden ingezet ten behoeve van het casusoverleg, voor de toegang tot de systemen waarin de deelnemers gezamenlijk persoonsgegevens verwerken. Zij moeten ten minste beschikken over een verklaring omtrent gedrag die voor indiensttreding bij de betreffende deelnemer vereist is, of ten minste zijn gescreend overeenkomstig de wettelijke bepalingen die van toepassing zijn op de respectievelijke deelnemers waar zij werkzaam zijn en van waaruit zij bij het casusoverleg zijn betrokken.

Dit artikel is grotendeels een codificatie van de screeningsvereisten die al waren opgenomen in de toepasselijke protocollen en andere documenten.22

Het werk binnen een casusoverleg ligt in het verlengde van het werk voor de betreffende deelnemers. De integriteitsrisico’s zijn daarom gelijk aan de integriteitsrisico’s bij de reguliere werkzaamheden voor de medewerkers van de deelnemende organisaties van het casusoverleg.

Het is ongebruikelijk een risicogebied op te nemen in een wettelijke bepaling. De deelnemende organisatie die de VOG aanvraagt geeft vanuit haar rol als werkgever aan welke risicogebieden van toepassing zijn.

Dit zijn specifieke functieaspecten waar Justis in de screening rekening mee moet houden.23 Van belang is dat de medewerkers die voor een casusoverleg werken, in dienst blijven bij hun deelnemende organisatie (artikel 12, derde lid, van de wet). Het ligt niet in de rede om voor autorisatie extra vereisten te stellen bovenop de eisen die de deelnemende organisatie stelt.

Het onderhavige artikel is eveneens van toepassing op de screening van de onafhankelijke auditors die de privacy audits verrichten op grond van artikel 16 van de wet. Zij zijn immers «geautoriseerde personen» in de zin van artikel 13, eerste lid, onder b, van de wet. ICT’ers vallen ook onder het onderhavige artikel, want zij zijn geautoriseerde personen op grond van artikel 13, eerste lid, aanhef en onder c, van de wet: zij worden geautoriseerd vanwege het onderhoud of de ondersteuning van de systemen.

Het onderhavige artikel verzet zich geenszins tegen een strengere screening indien daartoe aanleiding is, mede gelet op de gevoeligheid van de data, bijvoorbeeld op grond van de Wet veiligheidsonderzoeken. In de Leidraad aanwijzing vertrouwensfuncties24 staat beschreven op welke gronden een minister een vertrouwensfunctie kan aanwijzen. De Wet veiligheidsonderzoeken biedt de mogelijkheid om functies waarin de nationale veiligheid geschaad kan worden, aan te wijzen als zogeheten vertrouwensfunctie.

Alle uitgegeven toegangsrechten (autorisaties) moeten minimaal eenmaal per halfjaar worden beoordeeld conform de Baseline Informatiebeveiliging Overheid (BIO).25 Artikel 14, eerste lid, van de wet stelt naleving van de BIO wettelijk verplicht. Dit is een minimumeis; het meest in de rede ligt om wanneer personen geautoriseerd worden ten behoeve van een samenwerking gelijktijdig te controleren of bestaande autorisaties nog noodzakelijk zijn.

In de consultatie heeft het Openbaar Ministerie de wens geuit om hogere eisen te stellen aan de autorisatie van personen die toegang krijgen tot de systemen waarin gezamenlijk persoonsgegevens worden verwerkt. Het Openbaar Ministerie acht het wenselijk dat alle personen beschikken over een VOG die is toegesneden op het gewenste beschermingsniveau van de gegevens die in de systemen van het betreffende samenwerkingsverband worden verwerkt. Naar aanleiding van dit advies is een artikel toegevoegd waarin is geregeld dat derden die op incidentele basis deelnemen, niet worden geautoriseerd voor toegang tot de systemen.

Artikel 13. Werkwijze van de rechtmatigheidsadviescommissie

(grondslag: artikel 15 van de wet)

Algemeen

De artikelen 13 tot en met 15 bevatten de uitwerking van artikel 15 van de wet door regels te stellen omtrent de werkwijze en de samenstelling van de rechtmatigheidsadviescommissie,

de wijze van benoeming van haar leden en de vertegenwoordiging van lokale en regionale deelnemers in de gezamenlijke rechtmatigheidsadviescommissie ten behoeve van de casusoverleggen.

In de consultatie heeft de gemeente Utrecht verzocht om verduidelijking van de term «deelnemers». In reactie hierop wordt opgemerkt dat overal waar de term deelnemers wordt gebruikt, wordt gedoeld op de deelnemers aan de casusoverleggen. Waar het gaat om de personen die in de rechtmatigheidscommissie zitting hebben, wordt de term «leden» gebruikt. In artikel 14, derde lid, werd ten onrechte de term deelnemers gebruikt. Dit is gewijzigd in leden.

Eerste lid

De taak van de rechtmatigheidsadviescommissie is bepaald in artikel 15 van de wet: het structureel beoordelen van de rechtmatigheid van de verwerking van persoonsgegevens in de casusoverleggen bij nieuwe verwerkingen en wijziging in verwerkingen en het doen van voorstellen aan het casusoverleg om onrechtmatigheden op te lossen. Dit lid voegt daaraan toe dat de commissie zowel gevraagd als ongevraagd kan adviseren ter uitoefening van haar wettelijke adviestaak.

Voor de volledigheid wordt opgemerkt dat tijdens de plenaire behandeling van de wet in de Tweede Kamer is verduidelijkt dat de taak van de commissie ook de weegfase omvat.26

De onderhavige bepaling expliciteert bovendien dat de deelnemers ervoor moeten zorgen dat de rechtmatigheidsadviescommissie ten behoeve van haar wettelijke adviestaak naar behoren en tijdig in ieder geval wordt betrokken bij nieuwe verwerkingswijzen en wijzigingen daarvan. Om haar functie effectief te kunnen uitoefenen is het van belang dat de rechtmatigheidsadviescommissie voldoende en op tijd gevoed wordt met informatie over de plannen binnen een casusoverleg. Gekozen is voor de formulering «verwerkingswijzen», want zoals beschreven in de memorie van toelichting op de wet ligt het in de rede dat bij verstrekkingen op casusniveau conform een in de wet vastgelegde verwerkingswijze er in beginsel geen tussenkomst van de rechtmatigheidsadviescommissie nodig zal zijn; zij is nodig om uitspraken te doen over nieuwe verwerkingswijzen en over kwesties waarbij er twijfel bestaat over de rechtmatigheid van een verwerking.27 De meerwaarde van de rechtmatigheidsadviescommissie kan daarbij juist zijn dat zij duidelijkheid verschaft over de rechtmatigheid, wat het proces bevordert.

Tweede lid

De rechtmatigheidsadviescommissie is bevoegd rechtstreeks aan het casusoverleg te adviseren, zonder tussenkomst van leidinggevenden, en wordt geacht hierin onafhankelijk te opereren. Dit is in dit lid geregeld. Het is noodzakelijk dat de leden van de rechtmatigheidsadviescommissie rechtstreeks kunnen adviseren aan de bestuurders van de deelnemende organisaties, zonder afhankelijkheden of tussenkomst van management teams van de casusoverleggen. De adviezen zijn volgens artikel 15 van de wet immers bestemd voor de deelnemers gezamenlijk. Daarbij behoort een duidelijke rolverdeling: de rechtmatigheidscommissie adviseert, de bestuurders van de deelnemers nemen de beslissingen. De adviezen zijn bestemd voor het leidinggevende niveau van de deelnemers. Het is belangrijk dat de adviezen daaraan worden verstrekt, gelet op de verwerkingsverantwoordelijkheid van de deelnemers.28

De functionarissen voor gegevensbescherming van de deelnemers aan een casusoverleg hebben op grond van artikel 38, tweede lid, van de AVG een recht op toegang tot de adviezen. Het ligt in de rede dat de rechtmatigheidsadviescommissie hierop anticipeert door aan de coördinerend functionaris voor gegevensbescherming voor het casusoverleg, bedoeld in artikel 12, tweede lid, van de wet een afschrift van alle relevante adviezen toe te zenden.29 Dit maakt het mogelijk dat de coördinerend FG, samen met FG’s van de deelnemers die het advies aangaat, een advies controleert op de vraag of het wettelijk kader goed is gevolgd en of er juiste conclusies worden getrokken over de rechtmatigheid. De coördinerend FG en de FG’s van de deelnemers kunnen dit doen indien zij daartoe aanleiding zien gelet op de risico’s en de aard en omvang van de verwerking (artikel 39, tweede lid, AVG). Aldus is voorzien in een blik van buiten de rechtmatigheidsadviescommissie, met het oog op de onafhankelijkheid en het gezag van de adviezen van de rechtmatigheidsadviescommissie.

Indien de verwerkingsverantwoordelijken besluiten af te wijken van het advies van de rechtmatigheidsadviescommissie, regelt het zesde lid dat zij verplicht zijn zowel aan de rechtmatigheidsadviescommissie als aan de coördinerend FG te rapporteren en daarbij te motiveren waarom ze afwijken van het advies.

Derde lid

Volgens dit lid wordt over een advies besloten in overleg tussen de leden die afkomstig zijn van de deelnemers die het aangaat (ongeacht de vraag of de besluitvorming fysiek of in een andere vorm plaatsvindt). Het is daarbij niet noodzakelijk dat iedereen fysiek aanwezig is bij een overleg. Schriftelijke consultatie of schriftelijke goedkeuring van een voorgelegd advies is ook voldoende.

Welke leden moeten worden betrokken, is afhankelijk van waar het zwaartepunt van het vraagstuk ligt. Gelet op de gezamenlijke verwerkingsverantwoordelijkheid zal een advies veelal alle leden in meer of mindere mate aangaan, zodat alle leden in de besluitvorming moeten worden betrokken. Het kan echter ook voorkomen dat een bepaald vraagstuk voornamelijk ziet op bepaalde deelnemers, bijvoorbeeld uit het opsporingsdomein. Het is dan gewenst dat de vertegenwoordigers van de opsporingsdiensten en/of het OM aan het overleg deelnemen. Zij zijn immers ingevoerd in de juridische ins- en outs van de Wpg en de Wjsg. Volgens deze bepaling kan niet zonder hen besloten worden over dat advies, ook al zijn de overige leden aanwezig. Er moet sprake zijn van besluitvorming die recht doet aan het type vraagstuk dat voorligt en waarin de concreet benodigde expertise wordt betrokken.

Voor het overige laat dit lid open op welke wijze de besluitvorming plaatsvindt. Het is goed mogelijk dat bepaalde vraagstukken ertoe nopen dat het belang van een bepaalde deelnemer zwaarder moet wegen dan dat van een andere deelnemer.

De wijze van besluitvorming wordt daarom verder overgelaten aan de rechtmatigheidsadviescommissie zelf. Zij heeft daarbij de bevoegdheid om nadere regels over de besluitvorming te stellen in het reglement van orde op grond van het vijfde lid.

Vierde lid

Dit lid maakt het mogelijk om bij een advies een individueel standpunt te voegen. Daarmee wordt tevens voorkomen dat in belangrijke vraagstukken principiële of fundamentele verschillen in opvatting tussen leden van de rechtmatigheidsadviescommissie dwingen tot het uitbrengen van compromis-adviezen.

Vijfde lid

De rechtmatigheidsadviescommissie kan een reglement van orde opstellen. Zo’n reglement zou bijvoorbeeld nuttig kunnen zijn voor de aanwijzing van de taken van de voorzitter, de wijze van overleg, en stemmingen.

Zesde lid

Ingevolge dit lid geldt een motiveringsplicht als wordt afgeweken van een advies. Dit betekent dat de bestuurders moeten motiveren waarom wordt afgeweken van het betreffende advies en welke risico-inschatting zij daaraan verbinden. Dit moet zorgen voor transparantie en verantwoording. De afwijking moet traceerbaar zijn en daartoe door de deelnemers worden gedocumenteerd, zodat later kan worden herleid waarom is afgeweken van een advies en zodat in een privacy audit kan worden onderzocht hoe het heeft uitgepakt. De afwijking van een advies, inclusief de motivering voor de afwijking, wordt door de deelnemers gerapporteerd aan de rechtmatigheidsadviescommissie en de coördinerend functionaris voor gegevensbescherming voor het casusoverleg.

Onderdeel van de coördinerende rol van de coördinerend FG is dat deze de gerapporteerde afwijkingen van adviezen van de rechtmatigheidsadviescommissie deelt met de FG’s van de andere deelnemers voor zover hen dit aangaat. Dit is nodig om te zorgen dat ook de FG’s van de andere deelnemers hun bevoegdheden kunnen uitoefenen, net zoals de coördinerend FG andere relevante informatie met de andere FG’s moet delen, zoals adviezen van de rechtmatigheidsadviescommissie en de resultaten van de privacy audits. De rol van de coördinerend FG is immers niet alleen dat deze het toezicht door de FG’s van de deelnemers coördineert door waar nodig de onderlinge afstemming te faciliteren, maar ook om relevante informatie te delen met deze FG’s.

In de consultatie heeft de gemeente Utrecht vragen gesteld over de bevoegdheden en rol van de coördinerend functionaris voor gegevensbescherming (FG) voor het casusoverleg. Een coördinerend FG is een FG in de zin van de artikelen 37 tot en met 39 AVG. Hieruit volgt dat deze samen met de andere FG’s van de deelnemers toezicht houdt op de gegevensverwerking. Dit kunnen zij intensiveren afhankelijk van onder meer de risico’s en de aard en omvang van de verwerking (artikel 39, tweede lid, AVG). De coördinerend FG heeft bovendien «een coördinerende en faciliterende taak en moet samenwerken met de andere fg’s van de deelnemers om te proberen tot consensus te komen bij de uitoefening van hun taken op grond van artikel 39 AVG.»30

Deze coördinerende rol doet niets af aan de bestaande bevoegdheden van de FG's van de deelnemers.31 Dit betekent dat de coördinerend FG wel het overleg tussen de FG’s faciliteert, maar alleen het woord kan voeren namens andere FG's voor zover zij dat wensen.

De coördinerend FG rapporteert – in samenwerking met de andere FG’s van de deelnemers – aan de bestuurders van de deelnemers van het casusoverleg.32 Een (coördinerend) FG heeft overigens mede tot taak samen te werken met de AP en kan haar, waar passend, raadplegen over een bepaalde aangelegenheid (artikel 39, eerste lid, onder d en e, AVG).33

Artikel 14. Samenstelling van de rechtmatigheidsadviescommissie

(grondslag: artikel 15 van de wet)

Eerste lid (samenstelling)

Allereerst vereist dit artikellid dat elke deelnemer als bedoeld in artikel 3, eerste lid, een of enkele personen benoemt tot lid van de rechtmatigheidsadviescommissie. De reden hiervoor is dat elke deelnemer een eigen wettelijk regime kent in de fasen voorafgaand aan gegevensverstrekking aan het casusoverleg en volgend op de ontvangst van resultaten van de gegevensverwerking uit het casusoverleg.

Verder stelt dit artikellid als eis dat de leden van de rechtmatigheidsadviescommissie beschikken over deskundigheid en ervaring op het gebied van de toepasselijke wetgeving inzake gegevensverwerking en de werking van de casusoverleggen. Bij de casusoverleggen gaat het om complexe vraagstukken en is goede expertise noodzakelijk. Het is immers van belang dat organisaties leden aanwijzen die in staat zijn adviezen uit te brengen die wellicht niet altijd in lijn liggen met de bestuurlijke wens, maar echt sec zien op de rechtmatigheid van hetgeen voorvalt.

Overigens verzet dit artikellid zich er niet tegen dat een rechtmatigheidsadviescommissie externe experts uitnodigt, indien het onderwerp waarover wordt geadviseerd daartoe aanleiding geeft. Het artikel biedt echter geen grondslag om met de externe experts persoonsgegevens te delen. Bij de vraag of externe experts worden uitgenodigd, ligt het voor de hand om eerst te kijken of intern – bij de deelnemers – voldoende expertise beschikbaar is. Om de redenen die zijn toegelicht in §2 van het nader rapport34 op het advies van de Afdeling advisering van de Raad van State over het Besluit gegevensverwerking door samenwerkingsverbanden, wordt ook hier geen noodzaak gezien om extern voorzitterschap van de rechtmatigheidsadviescommissie dwingend voor te schrijven. Een externe voorzitter kan wel worden benoemd, mits wordt voldaan aan de deskundigheids- en ervaringsvereisten uit het onderhavige artikellid en mits met de externe voorzitter geen persoonsgegevens of vertrouwelijke operationele informatie wordt gedeeld.

Tweede lid (waarneming)

Voorkomen moet worden dat, als gevolg van de regel dat elke deelnemer ten minste één lid benoemt in de rechtmatigheidsadviescommissie, in geval van uitval of ontstentenis van één lid de werkzaamheden van de rechtmatigheidscommissie vertraging kunnen oplopen. Daarom is bepaald dat indien een lid voor een bepaalde deelnemer ontbreekt, die deelnemer aan het lid van een andere deelnemer kan verzoeken om waar te nemen. De waarneming vergt uiteraard dat de waarnemer zich bij de oordeelsvorming verplaatst in de context van de waargenomen organisatie.

Derde lid

Dit lid vereist dat de leden zorgdragen dat in de rechtmatigheidsadviescommissie ook aandacht is voor het tegengaan van risico’s op ongelijke behandeling en discriminatie. Dit past binnen de taak van rechtmatigheidsadviescommissie op grond van artikel 15 van de wet om de rechtmatigheid van de verwerking van persoonsgegevens in de casusoverleggen structureel te beoordelen: deze taak ziet ook op het signaleren van mogelijke discriminatierisico’s bij de gezamenlijke gegevensverwerking.

De fase die volgt op de verstrekking van de resultaten aan de deelnemers – die naar aanleiding daarvan eventuele concrete interventies uitvoeren – valt buiten de reikwijdte van de wet, net zoals de fase van verstrekking aan het casusoverleg.35 De deelnemers en de rechtmatigheidsadviescommissie moeten in de fase van gezamenlijke gegevensverwerking voor zover mogelijk anticiperen op mogelijke discriminatie of ongelijke behandeling die kan voortvloeien uit het verstrekken van resultaten.

Artikel 15. Vertegenwoordiging van deelnemers in de rechtmatigheidsadviescommissie

(grondslag: artikel 15 van de wet)

Voor de rechtmatigheidsadviescommissie is het wenselijk dat lokale en regionale deelnemers worden vertegenwoordigd door personen die benoemd worden door vertegenwoordigende koepelorganisaties of brancheverenigingen van deze deelnemers.

Gelet op de opsomming van de deelnemers in artikel 3 van de wet valt hierbij te denken aan gemeenten (VNG), reclasseringsinstellingen (Reclassering Nederland36). Om lid te worden van de rechtmatigheidsadviescommissie geldt het vereiste dat moet worden voldaan aan de algemene deskundigheidseisen die zijn verbonden aan het lidmaatschap van de rechtmatigheidsadviescommissie.

De wijze waarop de vertegenwoordigers van de branche- en koepelorganisaties worden benoemd, is aan hen, in overleg met de deelnemers. De mogelijkheid tot aanwijzing van vertegenwoordigers uit koepelorganisaties of brancheverenigingen is bedoeld als praktisch alternatief voor deelname door vele honderden lokale en regionale deelnemers, waaronder gemeenten. Deze vertegenwoordigers zijn volwaardige leden van de rechtmatigheidsadviescommissie en moeten beschikken over de relevante deskundigheid en ervaring (artikel 14, eerste lid). Hun taak is niet om belangen van de achterban te behartigen, maar om te adviseren over de rechtmatigheid (artikel 15 van de wet).

De bepaling sluit niet uit dat de rechtmatigheidsadviescommissie bepaalde lokale of regionale deelnemers uitnodigt om in een concreet geval hun expertise in te brengen. Een lokale of regionale deelnemer van het casusoverleg kan zich hiertoe ook op eigen initiatief melden bij de rechtmatigheidsadviescommissie. De leden van de rechtmatigheidsadviescommissie worden geacht de deelnemers te informeren over de agenda. In het reglement van orde, bedoeld in artikel 13, vijfde lid, kan de werkwijze zo nodig worden uitgewerkt.

Artikel 16. Precisering maximale bewaartermijn

(grondslag: artikel 19 van de wet)

De hoofdregel van de maximale bewaartermijn is neergelegd in artikel 9 van de wet: de persoonsgegevens die door het casusoverleg gezamenlijk worden verwerkt, worden vernietigd of geanonimiseerd zodra zij niet langer noodzakelijk zijn voor het doel van het casusoverleg, en worden in ieder geval uiterlijk vijf jaar na de datum van laatste verwerking verwijderd uit de systemen van het casusoverleg of geanonimiseerd. Het onderhavige artikel bevat enkele preciseringen van gevallen waarin de gegevens in ieder geval eerder dan na vijf jaar dienen te worden gewist.

In dit artikel wordt geregeld dat de gezamenlijk verwerkte persoonsgegevens moeten worden gewist in het geval dat de analyse door het casusoverleg geen verdere aanwijzingen voor risico’s met het oog op het doel van het casusoverleg heeft opgeleverd.

De gegevens dienen ook direct te worden gewist indien een aangemelde casus niet in behandeling wordt genomen door het casusoverleg. Dat kan voorkomen als niet is voldaan aan de vereisten voor gezamenlijke gegevensverwerking. Met het eerste lid is niet beoogd om uitputtend te regelen wanneer de persoonsgegevens moeten worden vernietigd of geanonimiseerd. Daarom is de zinsnede «onverminderd artikel 9 van de wet» opgenomen.

Het onderhavige artikel geldt ook voor de gegevensverwerking door de weegploeg.

Artikel 17. Opleiding en training ten aanzien van gegevensverwerking

(grondslag: artikel 19 van de wet)

De overheid dient te waarborgen dat wordt geïnvesteerd in professionaliteit en (juridische) deskundigheid op de werkvloer. Met het onderhavige artikel wordt beoogd daaraan bij te dragen door middel van een verplichting voor de deelnemers om ervoor te zorgen dat de medewerkers die worden ingezet in het casusoverleg of in de weegploeg en de leden van de rechtmatigheidsadviescommissie passende opleidingen en trainingen krijgen op het gebied van een zorgvuldige omgang met persoonsgegevens, de regels die op het casusoverleg van toepassing zijn, de werkprocessen van het casusoverleg, methoden en technieken van informatieanalyse, informatiebeveiliging en data-ethiek. Bij data-ethiek en zorgvuldige omgang met persoonsgegevens komt ook het tegengaan van (onbewuste) discriminatie aan de orde.

Het gaat erom dat de medewerkers over de noodzakelijke kennis en vaardigheden beschikken. Dat kan mede gestalte krijgen door instructies en goed inwerken, voor zover dat eraan bijdraagt dat de medewerkers beschikken over de noodzakelijke kennis en vaardigheden. De wijze waarop casusoverleggen precies invulling geven aan deze zorgplicht, leent zich minder goed voor vastlegging bij algemene maatregel van bestuur. Er moet in de praktijk ruimte blijven voor maatwerk.

Artikel 18. Uitwerking auditbepaling

(grondslag: artikel 16 van de wet)

Dit artikel is een uitwerking van artikel 16 van de wet, dat de verplichting bevat om nadere regels te stellen over de inhoud en wijze van controle door middel van periodieke privacy audits. Het onderhavige artikel zorgt ervoor dat de regels over audits uniform zijn voor alle casusoverleggen in de zin van de wet.

De privacy audits zien volgens artikel 16 van de wet op «de uitvoering van de bij of krachtens deze wet gegeven regels en de Algemene verordening gegevensbescherming».

De wet en het onderhavige artikel verzetten zich er niet tegen dat een cluster van casusoverleggen kan beslissen om één gezamenlijke audit te doen verrichten.

Ook is het mogelijk dat anderszins een gecombineerde audit wordt gedaan, mits de auditor zich houdt aan zijn geheimhoudingsplicht met betrekking tot persoonsgegevens op grond van artikel 17 van de wet. Zoals gesteld in de memorie van toelichting, verzet artikel 16 zich evenmin tegen een gecombineerde audit van bijvoorbeeld de casusoverleggen voor de persoonsgerichte aanpak van radicalisering en terroristische activiteiten en de reguliere casusoverleggen in de Zorg- en Veiligheidshuizen.37

Te denken valt verder aan een gecombineerde audit met een informatiebeveiligingsaudit.38 Ook is een combinatie mogelijk met een audit die inzichtelijk maakt op welk kwaliteitsniveau of effectiviteitsniveau het betreffende casusoverleg zich bevindt. De audit is in de voornoemde gevallen niet beperkt tot een audit in de zin van deze wet, maar richt zich ook op andere aspecten dan gegevensverwerking. De auditor kan echter op grond van artikel 13, tweede lid, onder b, van de wet uitsluitend worden geautoriseerd tot de systemen van het casusoverleg ten behoeve van de «toetsing op rechtmatigheid», en niet voor de andere aspecten dan de gegevensverwerking.

Eerste lid

Met deze nadere regels over de frequentie van de audits is aangesloten bij artikel 6:5 van het Besluit politiegegevens, dat ertoe verplicht om audits op grond van de Wpg twee jaren na inwerkingtreding van die wet te houden, en vervolgens eenmaal in de vier jaren.

De eerste gegevensbeschermingsaudit moet plaatsvinden uiterlijk twee jaar na inwerkingtreding. De term «uiterlijk» is van belang voor de mogelijkheid van een gecombineerde audit39 voor de onderhavige casusoverleggen en de in de WGS geregelde casusoverleggen in de Zorg- en Veiligheidshuizen, ingeval de soortgelijke auditplicht uit de WGS eerder in werking treedt.

In de consultatie heeft de gemeente Utrecht bepleit om nog meer aan te sluiten bij de Regeling periodieke audit politiegegevens en bij hetgeen daarin is opgenomen over interne en externe audits, zodat een bundeling met de interne audits op grond van de Wpg mogelijk is. In reactie hierop wordt opgemerkt dat de wet en dit besluit er niet aan in de weg staan om ook (interne) audits te houden en die te combineren met Wpg-audits.40 Er is geen aanleiding gezien om ook interne audits te verplichten. Volstaan kan worden met de rechtmatigheidsadviescommissie, de coördinerend FG en de verplichte periodieke audits door een onafhankelijke auditor.

Tweede lid

Volgens dit artikellid moet bij de privacy audit worden getoetst of, en in welke mate de maatregelen en procedures die in de adequate uitvoering van de wet, dit besluit en de AVG moeten voorzien, in hun opzet, bestaan en werking bijdragen aan de naleving van die wettelijke voorschriften. Daarbij worden de gegevensverwerkingen beoordeeld op de naleving van de uit de wettelijke voorschriften voortvloeiende technische en juridische verplichtingen. De audit ziet bijvoorbeeld op de zorgvuldigheid van het werkproces waarin wordt bepaald welke deelnemers in de specifieke casus moeten deelnemen aan een casusoverleg, en de toetsing aan noodzaak, proportionaliteit en subsidiariteit.

Indien uit de controleresultaten blijkt dat niet wordt voldaan aan het bij of krachtens deze wet bepaalde, moet het casusoverleg op grond van artikel 16, derde lid, van de wet binnen een jaar een hercontrole laten uitvoeren op die onderdelen die niet voldeden aan de regels. Uit artikel 16 van de wet vloeit voort dat het dan aan de deelnemers van het casusoverleg is om naar aanleiding van de auditresultaten maatregelen te nemen om geconstateerde onrechtmatigheden weg te nemen.

Derde lid

Dit artikellid verduidelijkt dat de auditor onafhankelijk moet zijn ten opzichte van de deelnemers van het casusoverleg. Deze onafhankelijkheid betekent bijvoorbeeld dat de auditor niet in dienst mag zijn bij de deelnemer. Aan de eis van onafhankelijkheid is bijvoorbeeld wel voldaan in het geval van de Auditdienst Rijk.

Ook moet de auditor volgens dit artikellid beschikken over «deskundigheid en ervaring op het gebied van de werking van het casusoverleg en de toepasselijke wetgeving inzake gegevensverwerking».

Volledigheidshalve wordt opgemerkt dat artikel 12 van dit besluit ook van toepassing is als minimumvereiste voor de screening van de onafhankelijke auditors die de privacy audits verrichten op grond van artikel 16 van de wet. Ook zij zijn immers «geautoriseerde personen» in de zin van de wet (artikel 13, eerste lid, onder b, van de wet).

Artikel 19. Inwerkingtreding

(grondslag: artikel 25 van de wet)

Dit artikel regelt dat de wet en dit besluit in werking treden met ingang van 1 juli 2025. Deze datum is enerzijds gekozen vanwege de Aanwijzingen voor de regelgeving, die voorschrijven dat de termijn tussen de publicatiedatum en het tijdstip van inwerkingtreding minimaal drie maanden is, indien een regeling direct relevant is voor medeoverheden (aanwijzing 4.17, vierde lid) en anderzijds om tijd te bieden voor de implementatie van nieuwe waarborgen uit de wet en dit besluit. Het gaat dan onder meer om de aanwijzing van de coördinerende functionarissen voor gegevensbescherming, de rechtmatigheidsadviescommissie en contactpunten, het aanpassen van werkprocessen en het voorlichten van medewerkers over de nieuwe regels. Ook wordt hiermee tijd gegeven aan gemeenten om te zorgen dat er een overlegstructuur voorhanden is als zich een casus zou voordoen.41

De Minister van Justitie en Veiligheid, D.M. van Weel

X Noot

Het bij koninklijke boodschap van 24 april 2020 ingediende voorstel van wet houdende regels omtrent gegevensverwerking door samenwerkingsverbanden (Wet gegevensverwerking door samenwerkingsverbanden; Kamerstukken 35 447).

X Noot

Kamerstukken II 2022/23, 36 225, nr. 4, blz. 5–6.

X Noot

Stb. 2024, 380

X Noot

⁴

Kamerstukken II 2022/23, 36 225, nr. 6, vraag 37.

X Noot

⁵

Artikel 7 van de wet regelt overigens wel gegevensuitwisseling tussen casusoverleggen onderling en artikel 22 van de wet voegt aan artikel 2.31 WGS een dertiende lid toe, dat de deelnemers aan een regulier casusoverleg van een Zorg- en Veiligheidshuis verplicht om een casus, indien het zwaartepunt blijkt te liggen op radicalisering, aan te melden bij een (weegploeg van een) casusoverleg radicalisering.

X Noot

⁶

Zie Staatscourant 2020 nr. 7857 en Externe link: https://www.bio-overheid.nl.

X Noot

⁷

Reclasseringsinstellingen zijn deelnemende private partijen, maar rechtspersonen met een wettelijke taak.

X Noot

⁸

Zie bijvoorbeeld ABRvS 1 februari 2023, ECLI:NL:RVS:2023:394, rechtsoverweging 8.4: «(...) Weliswaar biedt artikel 41 van de Uitvoeringswet AVG een grondslag om het inzagerecht te beperken, maar dan moet de minister motiveren waarom dit noodzakelijk en evenredig is.

X Noot

⁹

Kamerstukken II 2022/23, 36 225, nr. 3, blz. 44.

X Noot

¹⁰

Kamerstukken II 2022/23, 36 225, nr. 3, blz. 23–24.

X Noot

¹¹

Kamerstukken II 2022/23, 36 225, nr. 3, blz. 23–24.

X Noot

¹²

Kamerstukken II 2022/23, 36 225, nr. 3, blz. 22–23. Dit omvat de weegploeg, als voorbereidend onderdeel.

X Noot

¹³

Artikel 14 AVG ziet op gegevens die niet rechtstreeks van de betrokkene zijn verkregen. Dat is hier aan de orde, aangezien casusoverleggen de gegevens niet verkrijgen van betrokkenen, maar van de deelnemers. Daarom wordt artikel 13 van de AVG hier niet genoemd, waarin de informatieplicht is geregeld indien gegevens wel rechtstreeks van de betrokkene zijn verkregen.

X Noot

¹⁴

Europees Comité voor gegevensbescherming, Richtsnoeren inzake transparantie overeenkomstig AVG, WP260 rev.01, punten 33 en 11.

X Noot

¹⁵

Handelingen II 2023/24, nr. 55, item 5 (herdruk), p. 14 en 15.

X Noot

¹⁶

In die zin: nota n.a.v. het verslag aan de Eerste Kamer, Kamerstukken I 2023/24, 36 225, C, antwoord 18.

X Noot

¹⁷

De weegploeg is het voorstadium van een casusoverleg en bestaat uit de burgemeester, politie en het OM. De weegploeg analyseert binnengekomen signalen en beoordeelt of voor een bepaalde persoon een noodzaak bestaat tot bespreking in een casusoverleg. Ook zorgt zij ervoor dat bij het casusoverleg alleen deelnemers aanwezig zijn die daadwerkelijk een rol kunnen spelen bij het plan van aanpak, gelet op hun taken en bevoegdheden.

X Noot

¹⁸

Externe link: https://www.inspectie-jenv.nl/Publicaties/rapporten/2024/08/08/rapport-onderzoek-vroegsignalering-van-radicalisering-in-het-lokale-domein.

X Noot

¹⁹

Kamerstukken II 2022/23, 36 225, nr. 3, blz. 41.

X Noot

²⁰

Kamerstukken 2022/23, 36 225, nr. 3, blz. 42: «indien de leden van de weegploeg een signaal alleen zouden mogen beoordelen aan de hand van de gegevens uit hun eigen «domein», kan onvolledigheid van informatie of een tunnelvisie optreden, en zou de situatie daardoor fout kunnen worden ingeschat.» Dit is in de memorie van toelichting aangevoerd als reden waarom de weegploeg de overige deelnemers moet kunnen raadplegen.

X Noot

²¹

Zie toelichting artikel 5, derde lid, van de wet: Kamerstukken II 2022/23, 36 225, nr. 3, blz. 42.

X Noot

²²

Bij de Zorg- en Veiligheidshuizen is gangbaar dat de deelnemers voorzien in een vorm van screening die bestaat uit een VOG of een hoger vereiste. Dat volgt al geruime tijd uit artikel 13.3 template privacy protocol. Zo’n privacy protocol betreft onderlinge afspraken over de gegevensverwerking in een Zorg- en Veiligheidshuis.

X Noot

²³

Voorbeelden hiervan zijn risicogebieden 11 (bevoegdheid hebben tot het raadplegen en/of bewerken van systemen) en 12 (met gevoelige/vertrouwelijke informatie omgaan).

X Noot

²⁴

Externe link: https://www.aivd.nl/actueel/nieuws/2014/09/08/nieuwe-leidraad-aanwijzing-vertrouwensfuncties.

X Noot

²⁵

Zie punt 9.2.5.3 van de BIO. Staatscourant 2020 nr. 7857 en Externe link: https://www.bio-overheid.nl.

X Noot

²⁶

De Minister van Justitie en Veiligheid: «Deze weegploeg bestaat uit de politie, het Openbaar Ministerie en de gemeente. Die beoordeelt of een casusoverleg moet worden gehouden. Dit doen ze aan de hand van in de praktijk ontwikkelde en gevalideerde objectieve criteria. (...) De toepassing van objectieve criteria kan ook worden getoetst door de rechtmatigheidsadviescommissie en in de privacy audit. (...) De weegploeg weegt alles gezamenlijk en objectief af. Daarmee wordt geduid of iemand vanuit een bepaalde extremistische ideologie kan overgaan tot extremistische of terroristische activiteiten. De toepassing van deze criteria wordt uiteindelijk getoetst door de rechtmatigheidsadviescommissie en in de privacyaudits.» (stenogram 21 maart 2024)

X Noot

²⁷

Kamerstukken II 2022/23, 36 225, nr. 3, blz. 47.

X Noot

²⁸

Vergelijk artikel 38, derde lid, slotzin, AVG: «De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan het hoogste leidinggevende niveau van de verwerkingsverantwoordelijke of de verwerker».

X Noot

²⁹

De rechtmatigheidsadviescommissie kan, bijvoorbeeld in het reglement van orde, uitwerken welke soorten adviezen zij aan de coördinerend FG toezendt. Alles toezenden belast de coördinerend FG mogelijk te zwaar.

X Noot

³⁰

Kamerstukken II 2022/23, 36 225, nr. 3, blz. 46.

X Noot

³¹

Vergelijk in diezelfde zin de memorie van antwoord bij de Wet gegevensverwerking door samenwerkingsverbanden, antwoord 44 (Kamerstukken I 2022/23, 35 447, K, blz. 38).

X Noot

³²

Dit volgt uit artikel 12, tweede lid, van de wet in samenhang met artikel 38, derde lid, AVG.

X Noot

³³

Zie ook in die zin: Europees Comité voor gegevensbescherming, Richtlijnen voor functionarissen voor gegevensbescherming, WP 243 rev.01, paragraaf 4.3: «De verplichting tot geheimhouding/vertrouwelijkheid verhindert de functionaris voor gegevensbescherming echter niet om met de toezichthoudende autoriteit contact op te nemen en haar om advies te vragen. In artikel 39, lid 1, onder e), wordt bepaald dat de functionaris voor gegevensbescherming de toezichthoudende autoriteit voor eender welke aangelegenheid kan consulteren, wanneer dat relevant is.» Relevant is dat de Engelse taalversie in artikel 39, eerste lid, onder e, AVG als taak van een FG noemt «to consult, where appropriate, with regard to any other matter».

X Noot

³⁴

Zie Stcrt. 2024, 39301, blz. 3–4.

X Noot

³⁵

In de fase voorafgaand aan de gezamenlijke gegevensverwerking zijn allerlei waarborgen en voorwaarden van toepassing op basis van het eigen wettelijke regime dat van toepassing is op een deelnemer (zoals de gezagsrol van de officier van justitie).

X Noot

³⁶

Ook valt te denken aan Stichting Verslavingsreclassering GGZ en Stichting Leger des Heils Jeugdbescherming & Reclassering.

X Noot

³⁷

Kamerstukken II 2022/23, 36 225, nr. 3, blz. 48.

X Noot

³⁸

Overheidsorganisaties – en dus ook samenwerkingsverbanden met overheidsorganisaties – zijn op grond van de Baseline Informatiebeveiliging Overheid verplicht tot beveiligingsaudits, indien sprake is van basisbeveiligingsniveau 2, waarvan hier sprake is. Zie maatregel 18.1.4.2, 18.2.1 en 18.2.1.2 van de Baseline Informatiebeveiliging Overheid.

X Noot

³⁹

In de memorie van toelichting bij de wet is de mogelijkheid van zo’n gecombineerde audit onderkend, zie Kamerstukken II 2022/23, 36 225, nr. 3, blz. 48.

X Noot

⁴⁰

Zie hierover ook de memorie van toelichting, Kamerstukken II 2022/23, 36 225, nr. 3, blz. 48.

X Noot

⁴¹

Zie §4.1 memorie van toelichting, Kamerstukken II 2022/23, 36 225, nr. 3, blz. 10.

Berichten over uw Buurt

Dienstverlening

Beleid & regelgeving

Contactgegevens overheden

Inhoudsopgave

Extra informatie

Gerelateerd

Publicaties over kamerdossier

Geconsolideerde regelgeving

Publicaties referendum

Artikel 1. Definitie

Artikel 2. Aanwijzing contactpunt

Artikel 3. Verantwoordelijkheid voor nakoming verzoeken AVG

Artikel 4. Verantwoordelijkheid voor nakoming informatieplicht

Artikel 5. Verantwoordelijkheid voor nakoming meldplicht datalekken

Artikel 6. Rechtmatig verwerkte gegevens

Artikel 7. Kwaliteit van een aangemelde casus

Artikel 8. Correctie van onjuistheden tijdens gezamenlijke gegevensverwerking

Artikel 9. Kwaliteit van de resultaten

Artikel 10. Verwerking bijzondere categorieën persoonsgegevens

Artikel 11. Geen autorisatie bij incidentele deelname

Artikel 12. Betrouwbaarheid geautoriseerde personen

Artikel 13. Werkwijze van de rechtmatigheidsadviescommissie

Artikel 14. Samenstelling van de rechtmatigheidsadviescommissie

Artikel 15. Vertegenwoordiging van deelnemers in de rechtmatigheidsadviescommissie

Artikel 16. Precisering maximale bewaartermijn

Artikel 17. Opleiding en training ten aanzien van gegevensverwerking

Artikel 18. Uitwerking auditbepaling

Artikel 19. Inwerkingtreding

Artikel 20. Citeertitel

NOTA VAN TOELICHTING

Algemeen

1. Inleiding

2. Ontvangen consultatieadviezen

3. Advies Autoriteit persoonsgegevens

3.1 Behandelcriteria

3.2 Motiveringsplicht

3.3 Beperking van rechten van betrokkenen

3.4 Hernieuwd gebruik

3.5 Voortduren afscherming

4. Uitvoerbaarheid en financiële gevolgen

Artikelsgewijs

Artikel 2. Aanwijzing contactpunt

Algemeen

Eerste lid

Tweede lid

Artikel 3. Verantwoordelijkheid voor nakoming verzoeken AVG

Eerste lid

Tweede lid

Derde lid

Vierde lid

Artikel 4. Verantwoordelijkheid voor nakoming informatieplicht

Eerste lid

Tweede lid

Derde lid

Artikel 5. Verantwoordelijkheid voor nakoming meldplicht datalekken

Eerste lid

Tweede lid

Artikel 6. Rechtmatig verwerkte gegevens

Artikel 7. Kwaliteit van een aangemelde casus

Eerste lid

Pre-weging voorafgaand aan aanmelding van een casus

Tweede lid

Artikel 8. Correctie van onjuistheden tijdens gezamenlijke gegevensverwerking

Artikel 9. Kwaliteit van de resultaten

Artikel 10. Verwerking bijzondere categorieën persoonsgegevens

Artikel 11. Geen autorisatie bij incidentele deelname

Artikel 12. Betrouwbaarheid geautoriseerde personen

Artikel 13. Werkwijze van de rechtmatigheidsadviescommissie

Algemeen

Eerste lid

Tweede lid

Derde lid

Vierde lid

Vijfde lid

Zesde lid

Artikel 14. Samenstelling van de rechtmatigheidsadviescommissie

Eerste lid (samenstelling)

Tweede lid (waarneming)

Derde lid