20 augustus 2024

Data

Gezondheidsgegevens

Privacy

Governance

Zorgen over de Wgs

De gevolgen voor een individu, een ‘betrokkene’, waarvan op basis van de Wgs gegevens worden verwerkt, kunnen verstrekkend zijn. Dat is één van de redenen waarom het wetsvoorstel voor de Wgs tot een grote hoeveelheid reacties van bijvoorbeeld de Autoriteit Persoonsgegevens (AP), de Raad van State en het College voor de Rechten van de Mens heeft geleid. Critici vragen zich af of de Wgs binnen de randvoorwaarden van de AVG past. De AP adviseerde de Eerste Kamer zelfs om de Wgs niet aan te nemen. Om tegemoet te komen aan deze zorgen heeft de regering in de Wgs en het concept voor het Besluit gegevensverwerking door samenwerkingsverbanden (Bgs) een aantal belangrijke waarborgen opgenomen. Een deel van deze waarborgen volgt overigens al (impliciet) uit bestaande wetgeving zoals de AVG.

Waarborgen

De belangrijkste waarborgen uit de Wgs, die wij hierna zullen toelichten, zijn:

  1. Zwaarwegende redenen voor gegevensdeling;

  2. Rechtmatige verwerking;

  3. Aanwijzen contactpunt;

  4. Betrouwbaarheid geautoriseerde personen.

    5. 1. Zwaarwegende reden

    De Wgs biedt mogelijkheden om gegevens binnen het samenwerkingsverband te delen. Dit onder de voorwaarde dat dit noodzakelijk is voor het doel van het samenwerkingsverband. Het doel van het samenwerkingsverband wordt bij AMvB aangewezen. Dit lijkt in bepaalde mate overeen te komen met de noodzakelijkheidseis die de AVG kent. Op grond van de AVG, en dit zal nog steeds gelden na inwerkingtreding van de Wgs, mag een verwerking van persoonsgegevens slechts plaatsvinden wanneer een passende grondslag kan worden ingeroepen. Artikel 6 AVG bevat een uitputtende lijst met grondslagen. Elke grondslag, behalve ‘toestemming’ (art. 6(1)(a) AVG), kent een expliciete noodzakelijkheidseis. Wil een partij een beroep doen op één van die grondslagen, dan moet dus worden beoordeeld of kan worden voldaan aan die eis. Dat doet men door te toetsen of de inbreuk op privacy in verhouding staat tot de doelen (proportionaliteit) en of er geen andere, minder ingrijpende werkwijze kan worden ingezet (subsidiariteit).

    De Wgs regelt verder als waarborg dat als een deelnemer van mening is dat zwaarwegende redenen zich daartegen verzetten, er niet tot verstrekking dan wel verwerking wordt overgegaan (artikel 1.5 van de Wgs). Op basis van de huidige wettekst en toelichting wordt ons niet meteen duidelijk wat onder ‘zwaarwegende redenen’ moet worden verstaan en wie dit beoordeelt. Dit wordt namelijk niet in de Wgs gedefinieerd of toegelicht. Het is wat ons betreft dan ook relevant dat hier binnen het samenwerkingsverband duidelijke afspraken over worden gemaakt en dat deze worden vastgelegd in bijvoorbeeld een convenant.

    2. Rechtmatige verwerking

    Artikel 1.5 van het concept-Bgs vereist dat deelnemers alleen gegevens mogen verstrekken aan een samenwerkingsverband ter rechtmatige verwerking. Daarnaast garanderen de artikelen 1.6 en 1.8 van het concept-Bgs dat een deelnemer uitsluitend een signaal, verzoek of casus bij een samenwerkingsverband mag aanmelden nadat deze feitelijk op de juistheid en kwaliteit van de te verstrekken gegevens is getoetst. Een en ander is in lijn met rechtmatigheidsbeginsel (art. 5(1)(a) AVG) en het juistheidsbeginsel (art. 5(1)(d) AVG). De deelnemer die de gegevens aanmeldt is hiervoor verantwoordelijk. Ook in dit kader wordt aangeraden afspraken te maken, bijvoorbeeld wat een dergelijke kwaliteitstoets zou moeten behelzen.

    Tijdens de behandeling van de Wgs is ook uitgebreid stilgestaan bij onbedoelde effecten van geautomatiseerde verwerking van persoonsgegevens, zoals bijvoorbeeld discriminatie. Kunstmatige intelligentie, waaronder zelflerende algoritmes, zijn op basis van de Wgs niet toegestaan. Geautomatiseerde verwerking van persoonsgegevens is onder de Wgs alleen toegestaan ten aanzien van de iCOV-themarapportages die het mogelijk maken een ontwikkeling of trend weer te geven op het gebied van witwassen. Verder bevatten de Wgs en het concept-Bgs de volgende extra waarborgen op dit gebied:

    • Artikel 1.9, zesde lid, van de Wgs bepaalt dat alleen algoritmes mogen worden gebruikt voor zover de uitkomsten navolgbaar en controleerbaar zijn. Aangeraden wordt om hier actieve controle op toe te passen, bijvoorbeeld door een multidisciplinair team;

    • Artikel 1.9 concept-Bgs regelt dat ook geen gegevens over nationaliteit mogen worden verwerkt, tenzij dit voor de identificatie van betrokkene onvermijdelijk is;

    • Binnen ieder samenwerkingsverband wordt een rechtmatigheidsadviescommissie in het leven geroepen waarin aandacht moet zijn voor het tegengaan van risico’s op ongelijke behandeling en discriminatie (artikel 1.13 concept-Bgs). Een rechtmatigheidscommissie adviseert een samenwerkingsverband over bijvoorbeeld nieuwe verwerkingswijzen en wijzigingen daarvan;

    • Medewerkers die ingezet worden in het samenwerkingsverband moeten opleidingen krijgen ter bevordering van hun kennis en vaardigheden op het gebied van een zorgvuldige omgang met persoonsgegevens en data-ethiek (artikel 1.17 concept-Bgs). Het tegengaan van discriminatie vormt hierin een verplicht onderwerp;

    • Daarnaast dient een samenwerkingsverband iedere twee jaar een audit te laten uitvoeren naar in hoeverre er wordt voldaan aan de geldende wet- en regelgeving waaronder de AVG (‘privacy audit’) (artikel 1.18 concept-Bgs).

    3. Aanwijzen contactpunt

    Artikel 1.1 van de Bgs regelt dat ieder samenwerkingsverband een contactpunt moet hebben waar een betrokkene bijvoorbeeld een inzageverzoek aan kan richten. Zo regelt artikel 1.1 dat de burgemeester van een deelnemende gemeente optreedt als contactpunt binnen het RIEC. Binnen een Zorg- en Veiligheidshuis treedt het college van burgemeester en wethouders van de betrokken gemeente als contactpunt op. Een verzoek aan een contactpunt moet worden aangemerkt als een verzoek tot alle verwerkingsverantwoordelijken binnen het samenwerkingsverband, een en ander voor zover sprake is van gezamenlijke verantwoordelijkheid en tenzij niet anders gespecificeerd. Een AVG-verzoek van een betrokkene hoeft niet door het contactpunt zelf te worden afgedaan. Indien een andere deelnemer daartoe beter in staat is, deze deelnemer ermee instemt om de behandeling over te nemen en het contactpunt deze overname mededeelt aan de betrokkene (artikel 1.2, vierde lid, concept-Bgs). Het is van belang dat dit onderling goed wordt vastgelegd en dat de betrokkenen daarover worden geïnformeerd op grond van artikelen 13 en 14 AVG.

    Overigens heeft te gelden dat een betrokkene op grond van de AVG in beginsel gerechtigd is een AVG-verzoek te doen aan elke gezamenlijke verantwoordelijke, ondanks dat partijen onderling een andere rolverdeling kunnen afspreken. Met andere woorden, dat – bijvoorbeeld – het college is aangewezen als contactpunt neemt niet weg dat de betrokkene haar verzoek niet kan richten aan een andere partij binnen het samenwerkingsverband.

    4. Betrouwbaarheid geautoriseerde personen

    In artikel 1.11 van het concept-Bgs worden tevens eisen gesteld aan de betrouwbaarheid van geautoriseerde personen die toegang hebben tot gegevens binnen een samenwerkingsverband. Zij moeten bijvoorbeeld in het bezit zijn van een Verklaring Omtrent Gedrag (VOG) en worden gescreend. Ook worden er eisen gesteld aan de opleiding en training van medewerkers (artikel 1.17 concept-Bgs). Ook regelt de Wgs een geheimhoudingsplicht voor deelnemers uit het samenwerkingsverband. Zij zijn verplicht tot geheimhouding over de gegevens die binnen de samenwerkingsverbanden worden verwerkt en de resultaten die daaruit worden verkregen. Daarbij valt het ons op dat er momenteel geen sancties staan op het niet nakomen van de geheimhoudingsplicht.

    Waar staan we nu?

    Het streven is de Wgs per 1 januari 2025 in werking te laten treden.

Over de auteurs

  • Mariëtta Buitenhuis

    Mariëtta Buitenhuis is advocaat bij AKD. Zij is gespecialiseerd in bestuursrecht. In het bijzonder richt Mariëtta zich op vraagstukken rondom de handhaving van de openbare orde en het omgevingsrecht. Ook adviseert en procedeert zij regelmatig op het gebied van planschade, nadeelcompensatie en overheidsaansprakelijkheid. Mariëtta treedt met name op als gemachtigde van de (lokale) overheid, maar staat ook regelmatig ondernemingen en particulieren bij. In de verhoudingen tussen overheid en bedrijven voelt zij zich goed thuis. Mariëtta helpt haar cliënten goed op weg dankzij haar gevoel voor politieke context en affiniteit met bestuurlijke verhoudingen. Mariëtta maakt deel uit van een expertgroep Omgevingswet die de woordvoerders in de Eerste en Tweede Kamer adviseert en waarin op lokaal niveau kennis gedeeld wordt. Verder schrijft Mariëtta regelmatig blogs, annotaties en publicaties over diverse onderwerpen binnen het bestuursrecht.

    AKD

  • Sophie Hendriks

    Sophie Hendriks is advocaat bij AKD. Zij is gespecialiseerd in intellectueeleigendomsrecht, ICT-recht en privacyrecht.Sophie adviseert en vertegenwoordigt cliënten in zaken binnen deze rechtsgebieden. Tijdens een stage bij de juridische afdeling van een groot IT-bedrijf, heeft Sophie ook ervaring opgedaan met de implementatie van de AVG binnen internationaal opererende bedrijven.Cliënten van Sophie zijn onder andere gemeenten, woningcorporaties en bedrijven variërend van multinationals tot aan start-ups. Haar cliënten waarderen haar snelle reactietijd en praktische adviezen.

    AKD

Gerelateerd nieuws

Illegaal AI-project Transactiemonitoring Nederland voor de rechter

De stichting Human Rights in Finance stond afgelopen woensdag 11 september in de rechtszaal tegenover De Nederlandsche Bank. De toezichthouder moet, volgens de stichting, optreden tegen de vijf grootbanken en garanderen dat de uitbestedingsovereenkomst van banken met Transactiemonitoring Nederland opgezegd wordt. De omstreden samenwerking tussen de overheid, toezichthouders en banken wordt door partijen ontkend, maar uit eigen documenten blijkt dat de samenwerking al in 2020, op initiatief van Ministerie van Financien, is ontstaan. De Rotterdamse rechtbank buigt zich nu over de vraag of de toezichthouder een einde moet maken aan de vermeende gedoogstructuur.

Data & Privacy

KU Leuven: ‘Dating-apps lekken gevoelige data’

Een recent onderzoek van de KU Leuven heeft verontrustende privacyrisico's aan het licht gebracht in locatiegebaseerde dating-apps. Het onderzoek, dat werd gepresenteerd op congressen zoals Black Hat en USENIX Security, richtte zich op de vijftien meest gedownloade LBD-apps in de Google Play Store, waaronder populaire namen als Tinder, Badoo en Grindr.

Data & Privacy

Omstreden Chat Control-wet wederom op agenda Raad van Europa

De controversiële chat control-wetgeving staat weer op de agenda van de Raad van Europa. Onder het Hongaarse voorzitterschap wordt op 4 september 2024 gewerkt aan uitwerking van de wetstekst. De wetgeving, die voorziet in de massale controle en scanning van privécommunicatie, wordt door veel privacy- en mensenrechtenorganisaties als een bedreiging gezien voor de fundamentele rechten van burgers. Eerder dit jaar werd het wetsvoorstel, mogelijk na aanleiding van hevige kritiek plots van de agenda afgehaald. De Raad werkt nu aan een herziene versie, maar experts blijven kritisch.

Data & Privacy

Meta op het matje geroepen voor informatie over betaalde accounts

Meta werd deze zomer aangesproken door de Europese consumententoezichthouders, waar ook onze ACM deel van uit maakt. De reden is dat Meta onduidelijke en onvolledige informatie verstrekt over het aangaan van een betaald of ‘gratis’ account. Zo kan een gebruiker de gevolgen van die keuze niet goed beoordelen. Ook wordt druk uitgeoefend om een keuze te maken. Hier wordt Meta dus niet aangesproken op een schending van privacy, maar op een oneerlijke handelspraktijk uit het consumentenrecht.

Data & Privacy

Meer nieuws