Samenwerkingsverbanden: zijn dit verwerkingsverantwoordelijken?

Steeds vaker werken overheidsinstanties en private partijen samen in zogenoemde samenwerkingsverbanden, onder meer ten behoeve van het onderwijs, de zorg of de bestrijding van fraude en georganiseerde criminaliteit. Deelnemende instanties en partijen kunnen bijvoorbeeld zijn het openbaar ministerie, de politie, de belastingdienst, het UWV en de gemeenten. In het samenwerkingsverband wensen deze instanties en partijen – grote hoeveelheden – data met elkaar uit te wisselen. Een voorbeeld van zo’n samenwerkingsverband is het Regionaal Informatie- en Expertise Centrum (‘RIEC’). Maar hoe kan dit samenwerkingsverband onder de Algemene Verordening Gegevensbescherming (‘AVG’) worden gekwalificeerd? Deze vraag stond centraal in een recente uitspraak van het gerechtshof Arnhem-Leeuwarden en deze uitspraak zullen wij in dit artikel toelichten.

Waar gaat de recente uitspraak over?

Het Regionaal Informatie- en Expertise Centrum (‘RIEC’) Noord-Nederland is een samenwerkingsverband waarin verschillende overheidsinstanties samenwerken ten behoeve van onder meer een bestuurlijke en geïntegreerde aanpak van georganiseerde criminaliteit.

In Nederland zijn er regionaal verdeeld elf RIEC’s, die worden ondersteund door het Landelijke Informatie- en Expertisecentrum (‘LIEC’). De organisatie van de RIEC’s en het LIEC is geregeld in een convenant, waarin ook de afspraken met de samenwerkingspartners – zoals gemeenten, provincies, openbaar ministerie en nationale politie – zijn vastgelegd.

Het RIEC kan op basis van signalen van de samenwerkingspartners – als een zwaarwegend belang hiertoe noodzaakt – informatie verkrijgen van alle samenwerkingspartners. Dit gebeurt in lijn met het bij het convenant behorende privacyprotocol.

In dit privacyprotocol is beschreven dat de samenwerkingspartners afzonderlijke verwerkingsverantwoordelijken zijn voor de persoonsgegevens die zij verstrekken aan het RIEC ten behoeve van haar werkwijzen. Ook staat beschreven dat de samenwerkingspartners gezamenlijke verwerkingsverantwoordelijken zijn voor de persoonsgegevens die zij verwerken op locatie of in de informatiesystemen van het RIEC. De AVG-rol van het samenwerkingsverband staat echter niet beschreven in het protocol.

In de zaak bij het gerechtshof Arnhem-Leeuwarden (‘hof’) stond de vraag centraal of het samenwerkingsverband RIEC Noord-Nederland ook een (gezamenlijke) verwerkingsverantwoordelijke is. Het antwoord op deze vraag is belang omdat de verwerkingsverantwoordelijke onder de AVG kan worden aangesproken op haar verplichtingen, zoals bij een verzoek van betrokkenen tot bijvoorbeeld inzage of gegevenswissing.

Het RIEC Noord-Holland had in dit geval een inzageverzoek ontvangen, maar heeft dit verzoek vervolgens neergelegd bij een van haar samenwerkingspartners. Was dit terecht?

Wanneer is sprake van (gezamenlijke) verwerkingsverantwoordelijkheid?

Om te beoordelen of het RIEC kan worden aangesproken op verplichtingen die rusten op een verwerkingsverantwoordelijke, moet eerst worden beoordeeld of het RIEC wel kwalificeert als een (gezamenlijke) verwerkingsverantwoordelijke.

Uit de AVG volgt dat een verwerkingsverantwoordelijke het doel van de verwerking vaststelt en de middelen daarvoor. Dit betekent dat deze partij het ‘hoe’ en ‘waarom’ van de verwerking vaststelt.[1] De verantwoordelijkheid voor een verwerking kan bij wet zijn bepaald of kan volgen uit een analyse van de feitelijke omstandigheden van het geval.

Naast zelfstandige verantwoordelijkheid is het ook mogelijk dat twee of meer verwerkingsverantwoordelijken gezamenlijk het doel en de middelen van de verwerking bepalen. In dat geval is sprake van gezamenlijke verwerkingsverantwoordelijken en dient er een regeling getroffen te worden tussen deze partijen, waarin afspraken worden gemaakt over de verantwoordelijkheden voor de naleving van AVG-verplichtingen. Tot slot kent de AVG nog de rol van een verwerker; deze verwerkt de persoonsgegevens enkel ten behoeve van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens niet verwerken anders dan volgens de instructies van de (gezamenlijke) verwerkingsverantwoordelijken.

Er valt nog veel over de voorgaande kwalificaties toe te lichten, maar het hof merkt terecht op dat het begrip verwerkingsverantwoordelijke in de eerste plaats ruim moet worden uitgelegd. Er worden geen hoge eisen gesteld aan de kwalificatie van (gezamenlijke) verwerkingsverantwoordelijken, maar het is ook niet zo dat iedere betrokkenheid bij een gegevensverwerking voldoende is.

Relevant is of, en in hoeverre, de partij invloed uitoefent op het doel en de middelen van de gegevensverwerking en daar ook op die manier aan deelneemt. Er moet wel daadwerkelijk sprake zijn van actieve handelingen en enige daadwerkelijke, merkbare of beslissende invloed op de verwerking. De beoordeling zal echter steeds afhankelijk zijn van de feitelijke omstandigheden van het geval.

Is het samenwerkingsverband RIEC een verwerkingsverantwoordelijke?

Het is geen punt van discussie dat bij de werkwijzen van RIEC Noord-Nederland ook persoonsgegevens worden verwerkt, maar dat betekent niet dat het RIEC ook verwerkingsverantwoordelijke is. Daarvoor is het immers noodzakelijk dat RIEC Noord-Nederland ook invloed uitoefent op het doel en de middelen van de verwerking, bijvoorbeeld doordat zij op dat gebied actieve handelingen verricht of anderszins een beslissende invloed heeft.

Het hof is echter van mening dat het convenant en het privacyprotocol onvoldoende aanknopingspunten bevatten voor het standpunt dat het RIEC een invloed uitoefent op het doel en de middelen van de verwerking. Dit wordt ook bevestigd door verklaringen van medewerkers van het RIEC Noord-Nederland. Volgens het hof heeft het RIEC slechts een instrumentele rol; het RIEC voert projecten uit en faciliteert het delen van de beschikbaar gestelde persoonsgegevens tussen de samenwerkingspartners. Het zijn echter de samenwerkingspartners die bepalen welke persoonsgegevens gedeeld kunnen worden en welke niet.

Het hof concludeert dat het RIEC met de door haar ondernomen activiteiten niet in relevante mate invloed uitoefent op de gegevensverwerking en daar ook niet actief aan deelneemt. Het RIEC is dan ook niet aan te merken als (gezamenlijke) verwerkingsverantwoordelijke; dat zijn de samenwerkingspartners.

Wat betekent dit voor de praktijk?

Ondanks het feit dat het begrip verwerkingsverantwoordelijke ruim moet worden opgevat, moet voor het beoordelen van de rol steeds een analyse worden uitgevoerd naar de feitelijke omstandigheden van het geval. Daarbij dient (ook) steeds te worden gekeken naar de praktische uitvoering. Nu het samenwerkingsverband volgens het hof slechts een instrumentele rol heeft – zowel op papier, alsmede in de praktijk – is het samenwerkingsverband geen verwerkingsverantwoordelijke in de zin van de AVG.

Welke rol het RIEC dan wel heeft ten aanzien van de verwerkingen is nog de vraag. In het privacyprotocol wordt het LIEC ten aanzien van een bepaalde verwerkingsactiviteit gekwalificeerd als verwerker. Zou het RIEC ook een verwerker kunnen zijn nu het de persoonsgegevens enkel in opdracht verwerkt van de samenwerkingspartners? In dat geval mag het RIEC de persoonsgegevens echter nooit voor eigen doeleinden gebruiken. Het is de vraag of dit momenteel voldoende is gewaarborgd in het privacyprotocol. Bovendien zou er dan ook een verwerkersovereenkomst moeten worden gesloten tussen het RIEC en de samenwerkingspartners.

Een andere optie is dat het RIEC helemaal geen rol heeft onder de AVG, bijvoorbeeld wanneer het verwerken van de persoonsgegevens geen primaire opdracht is vanuit de samenwerkingspartners. Het is echter de vraag of deze overweging terecht is nu een van de doelstellingen van het RIEC is: ‘het faciliteren van de gegevensuitwisseling tussen de samenwerkingspartners’. Misschien wordt het dan toch verwerkersovereenkomsten sluiten met het RIEC?

Zoals hiervoor aangegeven zal de analyse overigens voor ieder samenwerkingsverband afhankelijk zijn van de feitelijke omstandigheden én de praktische uitvoering. Dat het RIEC Noord-Nederland volgens het hof niet kwalificeert als verwerkingsverantwoordelijke, hoeft niet te betekenen dat geen enkel samenwerkingsverband kan kwalificeren als verwerkingsverantwoordelijke. Dit dient per geval te worden beoordeeld en daarbij kan de uitspraak van het hof wel handvatten bieden.

Tot slot is het interessant te bezien of deze uitspraak nog van invloed zal zijn op het wetsvoorstel Wet gegevensverwerking door samenwerkingsverbanden. Dit wetsvoorstel wil een juridische basis bieden voor de verwerking van persoonsgegevens in samenwerkingsverbanden. Het voorstel ligt momenteel bij de Eerste Kamer. De Autoriteit Persoonsgegevens heeft de Eerste Kamer geadviseerd het wetsvoorstel in de huidige vorm niet aan te nemen. Dit wordt nog vervolgd.

Heeft u nadere vragen over samenwerkingsverbanden en hun rol onder de AVG? Neem dan contact op.

[1] EDPB, Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, 7 juli 2021.

Interessante artikelen voor u

• The Body Shop mag “ritual” niet gebruiken in huidverzorgingslijn
• De overdracht van een merk zorgt voor het nodige huiswerk
• In cash we trust