Het is opletten bij het indienen van een verzoek tot het verstrekken van inzage in door een samenwerkingsverband verwerkte persoonsgegevens, blijkt uit een recente uitspraak van het Hof Arnhem-Leeuwarden. Zoals het Hof zelf aangaf ging het er in die zaak om of RIEC NN als zogenaamde verwerkingsverantwoordelijke in de zin van de AVG door verzoekers (ook wel: betrokkenen) kon worden aangesproken op de verplichtingen die zo’n verwerkingsverantwoordelijke heeft tegenover personen van wie gegevens worden verwerkt. Dat was volgens het Hof niet het geval.
Samenwerking door middel van een convenant (en samenwerkingsverband)
Partijen die samenwerken bij gegevensverwerking voor een bepaald doel sluiten vaak een samenwerkingsovereenkomst met elkaar af. Dit type overeenkomst wordt, vooral bij instanties in het publieke domein, dan aangeduid als ‘convenant’. Partijen maken daarin werkafspraken over de uitvoering van de onderlinge gegevensuitwisseling op basis van de wettelijke grondslagen van elk der partijen afzonderlijk. Sommige partijen bij een convenant komen tot een intensieve vorm van samenwerking en treden dan naar buiten met hun samenwerkingsverband als afzonderlijke organisatie met eigen naam. Dat kan betekenen dat er sprake is van een organisatie met eigen formele juridische status, en daarmee rechtspersoonlijkheid in de zin van de wet, maar dat kan ook niet het geval zijn zoals bij het RIEC NN.
Samenwerkingsverband zonder rechtspersoonlijkheid was volgens het Hof geen verwerkingsverantwoordelijke in de zin van de AVG
Het RIEC NN (Regionaal Informatie- en Expertise Centrum Noord-Nederland) is een samenwerkingsverband tussen verschillende overheidsorganisaties (‘convenantpartners’) ten behoeve van een bestuurlijke en geïntegreerde aanpak van georganiseerde criminaliteit, bestrijding van handhavingsknelpunten en bevordering van integriteitsbeoordelingen. Het RIEC NN maakt onderdeel uit van een landelijk dekkende netwerkorganisatie. De organisatie van deze RIEC’s is geregeld in een convenant. Het RIEC NN is een contractueel samenwerkingsverband en geen rechtspersoonlijkheid in de zin van de wet. Hun website geeft een beeld van de aard en de activiteiten van het RIEC.
In de procedure bij het Hof stond de vraag centraal of het RIEC NN een verwerkingsverantwoordelijke is in de zin van artikel 4 lid 7 van de AVG: “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.” Dat was niet het geval.
Na een analyse van deze definitie van verwerkingsverantwoordelijke in de AVG, de rechtspraak daarover (waaronder van het Europese Hof van Justitie) en de afspraken tussen de convenant partners, zoals het convenant en het privacy protocol, evenals de feitelijke situatie bij samenwerking, vond het Hof onvoldoende aanknopingspunten voor de gedachte dat RIEC NN invloed uitoefent op het doel en de middelen van de verwerking. Enkele betrokkenheid bij gegevensverwerking is onvoldoende. De (gezamenlijke) verwerkingsverantwoordelijke zijn in deze zaak de convenantpartners die gegevens van verzoekers verwerken.
Misverstanden over de status van een convenant en samenwerkingsverband ontstaan snel
Er ontstaan nog wel eens misverstanden over de rol van een convenant en een samenwerkingsverband.
- Denk bijvoorbeeld aan het identificeren van een rechtmatige grondslag voor de gegevensuitwisseling: als een gegevensuitwisseling tussen partijen niet rechtmatig is zonder convenant, dan brengt het afsluiten van een convenant of zelfs het hebben van een samenwerkingsverband daarin geen verandering. Het convenant en het samenwerkingsverband zelf biedt namelijk geen wettelijke grondslag voor gegevensuitwisseling, en is in die zin slechts een nuttig hulpmiddel voor de invulling van de samenwerking.
- Of een misverstand ontstaat in geval partijen elkaar formele rollen hebben toebedeeld in het convenant en hun samenwerkingsverband: partijen kunnen menen dat zij juist hebben bepaald wie de (gezamenlijke) verwerkingsverantwoordelijke(n) zijn en wie de verwerker(s) zijn in hun convenant, maar de juridische toets door een rechter of toezichthoudende autoriteit van de feitelijke situatie kan nog wel eens een andere uitkomst geven. Een overeenkomst is namelijk niet leidend voor de uitkomst van deze toets, omdat het toetsingskader in de wetgeving (zoals de AVG) bepalend blijft voor een oordeel op basis van de feiten.
- Ook kan bij een derde, bijvoorbeeld een betrokkene wiens persoonsgegevens worden uitgewisseld, een verkeerde indruk ontstaan over de rol van een samenwerkingsverband. Dat was duidelijk het geval in de recente procedure bij het Hof Arnhem-Leeuwarden tegen RIEC NN. Dat had tot gevolg dat er werd geprocedeerd tegen de verkeerde partij, te weten het RIEC NN in plaats van de achterliggende convenant partners. Inefficiënt voor iedereen.
Wees alert: een zorgvuldige juridische en feitelijke analyse van het samenwerkingsverband loont
Voor een goede invulling van de samenwerkingsafspraken in een convenant is een voorafgaande juridische en feitelijke analyse op basis van de AVG essentieel. De uitkomst van die zorgvuldige analyse kan vervolgens worden vastgelegd in het convenant. Ga daarbij niet af op een eerste indruk over de rol van een organisatie, omdat uit de recente procedure tegen RIEC NN volgt dat dit verkeerd kan uitpakken.
Zorg voor transparante informatie en communicatie over de verwerkingsverantwoordelijke
Vervolgens is het aan de convenant partners om steeds helder en transparant te communiceren over de rol van het samenwerkingsverband en de inhoud van het convenant. Dat verkleint dan de kans op een misverstand over de juridische status van een samenwerkingsverband, en dat zorgt er hopelijk voor dat partijen zich (kunnen) richten tot de juiste verantwoordelijke partij. Ook wordt dan voldaan aan de AVG verplichtingen tot transparante informatie en communicatie aan betrokkenen over de identiteit en contactgegevens van de verwerkingsverantwoordelijke. Denk bijvoorbeeld aan artikelen 12, 13 en 14 AVG. Uit de recente procedure tegen RIECNN volgt dat dit in ieders belang is.
Voor wie nog meer interesse heeft in de gegevensverwerking door het RIEC: er is een veel besproken wetsvoorstel aanhangig (Wet gegevensverwerking door samenwerkingsverbanden) waarin wordt beoogd om een juridische basis te bieden aan de verwerking van persoonsgegevens door onder meer dit samenwerkingsverband. Vanwege de ruime bevoegdheden die daarin worden gegeven aan overheidsorganisaties en private partijen om persoonsgegevens met elkaar te delen met mogelijk ingrijpende gevolgen, zoals het risico op massasurveillance, heeft de AP de Eerste Kamer geadviseerd het wetsvoorstel niet aan te nemen. Dit is zeker een wetsontwikkeling om in de gaten te houden.
Het is opletten bij het indienen van een verzoek tot het verstrekken van inzage in door een samenwerkingsverband verwerkte persoonsgegevens, blijkt uit een recente uitspraak van het Hof Arnhem-Leeuwarden. Zoals het Hof zelf aangaf ging het er in die zaak om of RIEC NN als zogenaamde verwerkingsverantwoordelijke in de zin van de AVG door verzoekers (ook wel: betrokkenen) kon worden aangesproken op de verplichtingen die zo’n verwerkingsverantwoordelijke heeft tegenover personen van wie gegevens worden verwerkt. Dat was volgens het Hof niet het geval.
Samenwerking door middel van een convenant (en samenwerkingsverband)
Partijen die samenwerken bij gegevensverwerking voor een bepaald doel sluiten vaak een samenwerkingsovereenkomst met elkaar af. Dit type overeenkomst wordt, vooral bij instanties in het publieke domein, dan aangeduid als ‘convenant’. Partijen maken daarin werkafspraken over de uitvoering van de onderlinge gegevensuitwisseling op basis van de wettelijke grondslagen van elk der partijen afzonderlijk. Sommige partijen bij een convenant komen tot een intensieve vorm van samenwerking en treden dan naar buiten met hun samenwerkingsverband als afzonderlijke organisatie met eigen naam. Dat kan betekenen dat er sprake is van een organisatie met eigen formele juridische status, en daarmee rechtspersoonlijkheid in de zin van de wet, maar dat kan ook niet het geval zijn zoals bij het RIEC NN.
Samenwerkingsverband zonder rechtspersoonlijkheid was volgens het Hof geen verwerkingsverantwoordelijke in de zin van de AVG
Het RIEC NN (Regionaal Informatie- en Expertise Centrum Noord-Nederland) is een samenwerkingsverband tussen verschillende overheidsorganisaties (‘convenantpartners’) ten behoeve van een bestuurlijke en geïntegreerde aanpak van georganiseerde criminaliteit, bestrijding van handhavingsknelpunten en bevordering van integriteitsbeoordelingen. Het RIEC NN maakt onderdeel uit van een landelijk dekkende netwerkorganisatie. De organisatie van deze RIEC’s is geregeld in een convenant. Het RIEC NN is een contractueel samenwerkingsverband en geen rechtspersoonlijkheid in de zin van de wet. Hun website geeft een beeld van de aard en de activiteiten van het RIEC.
In de procedure bij het Hof stond de vraag centraal of het RIEC NN een verwerkingsverantwoordelijke is in de zin van artikel 4 lid 7 van de AVG: “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.” Dat was niet het geval.
Na een analyse van deze definitie van verwerkingsverantwoordelijke in de AVG, de rechtspraak daarover (waaronder van het Europese Hof van Justitie) en de afspraken tussen de convenant partners, zoals het convenant en het privacy protocol, evenals de feitelijke situatie bij samenwerking, vond het Hof onvoldoende aanknopingspunten voor de gedachte dat RIEC NN invloed uitoefent op het doel en de middelen van de verwerking. Enkele betrokkenheid bij gegevensverwerking is onvoldoende. De (gezamenlijke) verwerkingsverantwoordelijke zijn in deze zaak de convenantpartners die gegevens van verzoekers verwerken.
Misverstanden over de status van een convenant en samenwerkingsverband ontstaan snel
Er ontstaan nog wel eens misverstanden over de rol van een convenant en een samenwerkingsverband.
- Denk bijvoorbeeld aan het identificeren van een rechtmatige grondslag voor de gegevensuitwisseling: als een gegevensuitwisseling tussen partijen niet rechtmatig is zonder convenant, dan brengt het afsluiten van een convenant of zelfs het hebben van een samenwerkingsverband daarin geen verandering. Het convenant en het samenwerkingsverband zelf biedt namelijk geen wettelijke grondslag voor gegevensuitwisseling, en is in die zin slechts een nuttig hulpmiddel voor de invulling van de samenwerking.
- Of een misverstand ontstaat in geval partijen elkaar formele rollen hebben toebedeeld in het convenant en hun samenwerkingsverband: partijen kunnen menen dat zij juist hebben bepaald wie de (gezamenlijke) verwerkingsverantwoordelijke(n) zijn en wie de verwerker(s) zijn in hun convenant, maar de juridische toets door een rechter of toezichthoudende autoriteit van de feitelijke situatie kan nog wel eens een andere uitkomst geven. Een overeenkomst is namelijk niet leidend voor de uitkomst van deze toets, omdat het toetsingskader in de wetgeving (zoals de AVG) bepalend blijft voor een oordeel op basis van de feiten.
- Ook kan bij een derde, bijvoorbeeld een betrokkene wiens persoonsgegevens worden uitgewisseld, een verkeerde indruk ontstaan over de rol van een samenwerkingsverband. Dat was duidelijk het geval in de recente procedure bij het Hof Arnhem-Leeuwarden tegen RIEC NN. Dat had tot gevolg dat er werd geprocedeerd tegen de verkeerde partij, te weten het RIEC NN in plaats van de achterliggende convenant partners. Inefficiënt voor iedereen.
Wees alert: een zorgvuldige juridische en feitelijke analyse van het samenwerkingsverband loont
Voor een goede invulling van de samenwerkingsafspraken in een convenant is een voorafgaande juridische en feitelijke analyse op basis van de AVG essentieel. De uitkomst van die zorgvuldige analyse kan vervolgens worden vastgelegd in het convenant. Ga daarbij niet af op een eerste indruk over de rol van een organisatie, omdat uit de recente procedure tegen RIEC NN volgt dat dit verkeerd kan uitpakken.
Zorg voor transparante informatie en communicatie over de verwerkingsverantwoordelijke
Vervolgens is het aan de convenant partners om steeds helder en transparant te communiceren over de rol van het samenwerkingsverband en de inhoud van het convenant. Dat verkleint dan de kans op een misverstand over de juridische status van een samenwerkingsverband, en dat zorgt er hopelijk voor dat partijen zich (kunnen) richten tot de juiste verantwoordelijke partij. Ook wordt dan voldaan aan de AVG verplichtingen tot transparante informatie en communicatie aan betrokkenen over de identiteit en contactgegevens van de verwerkingsverantwoordelijke. Denk bijvoorbeeld aan artikelen 12, 13 en 14 AVG. Uit de recente procedure tegen RIECNN volgt dat dit in ieders belang is.
Voor wie nog meer interesse heeft in de gegevensverwerking door het RIEC: er is een veel besproken wetsvoorstel aanhangig (Wet gegevensverwerking door samenwerkingsverbanden) waarin wordt beoogd om een juridische basis te bieden aan de verwerking van persoonsgegevens door onder meer dit samenwerkingsverband. Vanwege de ruime bevoegdheden die daarin worden gegeven aan overheidsorganisaties en private partijen om persoonsgegevens met elkaar te delen met mogelijk ingrijpende gevolgen, zoals het risico op massasurveillance, heeft de AP de Eerste Kamer geadviseerd het wetsvoorstel niet aan te nemen. Dit is zeker een wetsontwikkeling om in de gaten te houden.