Overtredingen AVG en overeenkomsten Toeslagenschandaal | Regionaal Informatie en Expertise Centrum

Overtredingen AVG

De werkwijze van de RIEC’s is op talrijke punten evident in strijd met de bepalingen inzake persoonsgegevensverwerking van de AVG. Op basis van het Procesbeschrijving+Integrale+Casusaanpak+versies aug 2015 RIEC door het Regionaal Informatie en Expertisecentrum (Hierna te noemen: “het Werkproces”) en het Privacyprotocol def januari2018 riec zal hierna een analyse gegeven worden van de meest in het oog springende overtredingen (Hierna te noemen: “het Protocol”).

Rechtmatigheid, behoorlijkheid en transparantie

Artikel 6 AVG geeft een aantal duidelijke voorwaarden om op een rechtmatige wijze persoonsgegevens te verwerken. Voor een overheidsorgaan is vooral artikel 6 lid 1 sub e van belang, namelijk dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. De grondslag voor de verwerking is volgens het Werkproces artikel 8 onder e Wbp. Deze bepaling is thans vervangen door het hiervoor genoemde artikel 6 lid 1 sub e AVG.

Deze bepaling kan echter in het geval van het RIEC nauwelijks grondslag voor rechtmatige verwerking bieden. Artikel 6 lid 3 sub b bepaalt namelijk dat het doel van de verwerking naar nationaal recht dient te worden vastgesteld of noodzakelijk is voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het RIEC heeft geen rechtspersoonlijkheid en ontbeert een wettelijke grondslag. De vraag is of middels een convenant een taak gecreëerd kan worden voor een samenwerkingsverband. Het bestrijden van al dan niet georganiseerde criminaliteit is volgens het wettelijke systeem immers toebedeeld aan politie en justitie. Het ontbreekt aan sectorspecifieke wetgeving waaruit een aan het RIEC toebedeelde publieke taak afgeleid kan worden. Daarmee ontbreekt in beginsel al elke basis voor de gegevensuitwisseling binnen het RIEC.

Het doel dat het RIEC zich heeft toebedeeld is enerzijds (artikel 2.1 Convenant Bestuurlijke en Geintegreerde Aanpak Georganiseerde Criminaliteit RIEC nieuw) een bestuurlijk geïntegreerde aanpak om georganiseerde criminaliteit te bestrijden door naast een strafrechtelijke aanpak ook bestuursrechtelijke en fiscale handhaving aan te wenden. Het tweede doel is (artikel 2.2 Convenant) de identificering van gelegenheidsstructuren binnen de economische sectoren en publieke voorzieningen die vatbaar zijn voor beïnvloeding door de georganiseerde criminaliteit opdat, middels het treffen van maatregelen ter bescherming, wordt voorkomen dat criminelen of criminele organisaties bewust of onbewust worden gefaciliteerd door de overheid en daardoor de democratische rechtsstaat ondermijnen.

De omschrijving van deze doelen blinken vooral uit in vaagheid. Wat bedoeld is met deze “ondermijnende criminaliteit” blijkt eveneens volstrekt onduidelijk. Ook de Raad van State heeft in haar advies van 20 maart 2019 grote moeite met dit begrip en komt tot de conclusie dat dit niet als een aparte categorie van criminaliteit beschouwd kan worden. De strijd tegen de “ondermijnende criminaliteit” lijkt niet meer te zijn dan een politieke framing. Het is een begrip zonder onderscheidend vermogen dat naar willekeur gebruikt wordt voor de meest uiteenlopende vormen van criminaliteit.

De vraag is verder of voldaan is aan de noodzakelijkheidseis. Het RIEC meent dat wetenschappelijk aangetoond zou zijn dat het justitie en politie onvoldoende gelukt is de georganiseerde criminaliteit alleen met strafrecht te bestrijden. Uit welk onderzoek dit zou blijken, laat het RIEC in het midden. De taakomschrijving van politie en justitie is hierbij van belang. Vanzelfsprekend dient criminaliteit bestreden te worden. Doch dit dient te gebeuren met de inzet van bestaande middelen. Indien dit niet voldoende is, dient geïnvesteerd te worden in uitbreiding van politie en justitie. De taak van politie en justitie is overigens om criminaliteit beheersbaar te houden en niet om een volledig criminaliteitsvrije samenleving na te streven. De vraag of een gegevensverwerking met deze doelen proportioneel en gerechtvaardigd is. Van een dreiging dat de democratische rechtsstaat ondermijnd zou worden door criminelen is niet gebleken. Bestaande onderzoeken laten geen zorgwekkende aanwijzingen zien dat de samenleving of het openbaar bestuur ernstig ondermijnd worden door criminaliteit. Er is geen sprake van een acuut handhavingsprobleem of dreigende ramp. De al jaren dalende criminaliteitscijfers tonen geen noodzaak voor een deltaplan. Hierbij dient opgemerkt dat een overheid die het voornemen heeft om criminaliteit volledig uit te bannen een gevaarlijk pad bewandelt. Een dergelijke utopie kan uitsluitend nagejaagd door de kaders van de democratische rechtsstaat te verlaten. Het RIEC is in dit opzicht een goede illustratie van deze gevaren.

Het Werkproces komt nog tot de opmerking dat de gegevensuitwisseling tussen de bij het samenwerkingsverband RIEC aangesloten partners noodzakelijk is om aan te tonen dat er sprake is van georganiseerde criminaliteit danwel ter identificering van gelegenheidsstructuren. Ook deze redenering, als motivering voor het delen van persoonsgegevens, waaronder ook strafrechtelijke gegevens, gaat mank. Er bestaat dan dus vooraf geen noodzaak aangewezen worden terwijl dit een vereiste is. De noodzaak moet eerst aangetoond worden alvorens gegevens gedeeld worden. Het is niet de bedoeling om eerst gegevens te gaan delen om aan te kunnen tonen dat mogelijk een noodzaak bestaat..

Zoals de Raad van State in “de-rol-van-gemeenten-in-de-bestuurlijke-en-integrale-aanpak-van-ondermijning” terecht concludeert biedt het uitwisselen van persoonsgegevens geen panacee voor een effectieve aanpak van ondermijnende criminaliteit. Ook worden vragen gesteld bij de redelijkheid, proportionaliteit en subsidiariteit van deze gegevensuitwisseling. Uit niets blijkt van een noodzaak of een gebrek aan alternatieven om criminaliteit te bestrijden.

Een volgende knelpunt betreft de doelbinding. Verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor deze aanvankelijk zijn verzamel, is alleen toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de gegevens aanvankelijk zijn verzameld. Het RIEC grijpt naar vergezochte doelredeneringen om tot een legitimering van de gegevensuitwisseling binnen het RIEC te kunnen komen. in het Protocol en het Werkproces wordt gesteld dat overheidsorganen bij het uitvoeren van hun wettelijke taken en uitoefening van hun wettelijke bevoegdheden niet – bewust, maar ook niet onbewust – maatschappelijk ondermijnende activiteiten van criminele samenwerkingsverbanden dienen te faciliteren. Dit uitgangspunt zou vervolgens impliceren dat overheidsorganen bij het verwerken van persoonsgegevens ten behoeve van de uitvoering van hun wettelijke taken of uitoefening van hun wettelijke bevoegdheden in beginsel ook persoonsgegevens moeten kunnen verwerken om aan dat uitgangspunt te voldoen. Hiermee is volgens het RIEC sprake van gegevensverwerking als gerechtvaardigd nevendoel (sic!). Vervolgens redeneert het RIEC dat dit nevendoel voor alle overheidsorganen in beginsel eender is. Nu de deelnemers van het RIEC met het oog op zijn eigen taken en bevoegdheden mede voor dit doel persoonsgegevens hebben verzameld, is dit nevendoel zeer nauw verwant is met het doel waarvoor hij de gegevens binnen het samenwerkingsverband uitwisselt. Daarmee voldoet volgens het RIEC de gegevensuitwisseling aan de verenigbaarheidstoets.

Deze redenering is niet te volgen. Er is immers geen enkele sprake van een nevendoel in de zin van de AVG waarvoor overheidsorganen persoonsgegevens verzamelen. Deze worden verzameld en verwerkt voor het wettelijke doel wat aan deze overheidsorganen is toebedeeld. Indien bij de uitvoering van dit doel tevens persoonsgegevens verwerkt worden die verband houden met het voorkomen van facilitering van criminele activiteiten, dan nog zijn deze verzameld in het kader van een zorgvuldige taakuitvoering van het aan de betreffende instantie of orgaan toebedeelde taak. Van een toebedeelde neventaak om criminaliteit te voorkomen, is geen sprake en vindt ook geen steun in het wettelijke systeem. De Belastingdienst verwerkt bijvoorbeeld gegevens om tot een juiste belastingheffing te komen. Geen enkele belastingplichtige verstrekt zijn gegevens met het idee dat de Belastingdienst tot taak heeft tegen ondermijnende criminaliteit te strijden.

Bij de beoordeling of verdere verwerking rechtmatig is, dienen ook andere factoren meegewogen te worden. Zo dienen de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan, de aard van de persoonsgegevens en de gevolgen van de voorgenomen verdere verwerking voor de betrokkene. Ook op dit punt zijn er uitsluitend rode vlaggen voor de werkwijze van het RIEC. Niet alleen wat betreft de verwachtingen van de betrokkene, die geen idee heeft dat zijn aan de Belastingdienst verstrekte gegevens gebruikt worden om te profileren of hij zich mogelijk bezighoudt met illegale activiteiten.

Wat betreft de mogelijke gevolgen voor de betrokkene zal de verdere verwerking van persoonsgegevens door het RIEC niet snel rechtmatig zijn. De mogelijke gevolgen van de gegevensuitwisseling kunnen tot desastreuze gevolgen leiden. Immers, de betrokkene die in het vizier van de RIEC terecht komt, dient rekening te houden met vergaande en ingrijpende gevolgen. Om een paar voorbeelden te geven van projecten waarvan bekend is dat het RIEC deze uitgevoerd heeft: In het RIEC-project “Hermenzeil” is de thans 58-jarige betrokkene van een zakenman met een aanzienlijk vermogen geëindigd met een persoonlijk faillissement en een geruïneerd privéleven. In het RIEC-project “Puppypoint” is nog geen sprake van een faillissement doch het gehele vermogen is intussen verdampt aan enorme juridische kosten. In net geval van Fort Oranje is sprake van twee faillissementen en tientallen gerechtelijke procedures waarbij de eigendommen volledig vernietigd zijn. In geen van deze gevallen is sprake geweest van een verdenking van strafbare feiten dan wel een vervolging. Wat de interventies van het RIEC betekent hebben voor Van Laarhoven die met zijn echtgenote een levenslange gevangenisstraf uitzit in Thailland, behoeft geen nadere toelichting.

Het RIEC verwijst verder nog naar de mogelijkheid om in geval van een zwaarwegend algemeen belang gegevens aan derden te verstrekken. Hierbij verwijst het RIEC naar de uitzondering van artikel 8 EVRM, namelijk het voorkomen van wanordelijkheden en strafbare feiten. Het RIEC beschrijft dat van deze ruimte gebruik gemaakt is met het vaststellen van machtigingsbesluiten op grond van artikel 18 – 20 Wpg en artikel 39 Wjsg. Er kan geen sprake zijn van een structurele uitwisseling van strafrechtelijke of justitiële gegevens zonder dat vooraf vaststaat dat er sprake is van een concreet strafbaar feit. Indien daarvan namelijk geen sprake is, dan kan evenmin een afweging gemaakt worden over de noodzakelijkheid of de zwaarwegende redenen. Die zou dan immers eerst achteraf kunnen blijken, of niet natuurlijk.

Wat betreft het aspect dat ook rekening gehouden moet worden met de ernstige gevolgen van de verwerking voor betrokkenen, stelt het RIEC verder nog dat een advies tot maatregelen kan leiden ten aanzien van specifieke personen. Om die reden dienen volgens het RIEC passende waarborgen gecreëerd te worden. Deze dienen gezocht te worden in de wijze waarop invulling gegeven wordt aan de informatieplicht.

Dit is een opvallende stelling, aangezien de praktijk uitgewezen heeft dat aan deze informatieplicht geen enkele invulling gegeven wordt. Integendeel. Niet alleen in het geval van Fort Oranje ook in andere casussen is gebleken dat het RIEC opereert in geheimhouding. Pas nadat de interventies Fort Oranje al jaren schade toebrachten, is per toeval gebleken dat het RIEC hierachter schuil ging. Volgens het Werkproces wordt van een aangenomen casus een projectplan gemaakt (zie pag. 37) Hierin wordt beschreven welke interventies door welke deelnemer op het subject losgelaten worden. Volgens het Werkproces is dit product een “formeel besluit”. Ondanks het gebruik van deze terminologie, is dit overigens geen besluit in de zin van de Algemene wet bestuursrecht en wordt het besluit evenmin bekend gemaakt aan de betrokkene.

Hoewel het RIEC in het Werkproces stelt dat van de interventie mededeling gedaan dient te worden aan het subject, is dit dus niet het geval. In de zaak Fort Oranje zijn meerdere procedures gevoerd om de betreffende “besluiten”, namelijk de RIEC-projectplannen “Bloedkoraal” en “Maisveld” te verkrijgen. Inzage is echter op meerdere gronden bij herhaling geweigerd. Dit terwijl het RIEC zelf van een formeel besluit spreekt dat op grond van de AVG medegedeeld dient te worden aan de betrokkene. De plannen bevatten persoonsgegevens en beschrijven op welke wijze het subject strafrechtelijk, bestuursrechtelijk en fiscaal te gronde gericht wordt door de deelnemers.

Aan de informatieplicht wordt in de praktijk door het RIEC dus op generlei wijze invulling gegeven. Ook dit is, gezien de ingrijpende gevolgen voor de betrokkene, een ernstige overtreding van de AVG.

Een ander punt van het Werkproces dat strijdig is met de uitvoering van de praktijk, is de stelling dat er pas sprake is van informatiedeling in een fase van feiten en omstandigheden die maken naar objectieve maatstaven dat kan worden gesteld dat er sprake is van een redelijk vermoeden van schuld dat de betrokken persoon zich schuldig maakt aan een strafbaar feit (Art. 27 Sv status),dan is deze vaststelling relevant voor de te maken keuzes voor mogelijk in te zetten interventies. Hiermee wordt kennelijk gepoogd de indruk te wekken dat er voldaan wordt aan de eis van de AVG, namelijk dat er zorgvuldige waarborgen zijn ingebouwd bij de deling van gevoelige persoonsgegevens. In de praktijk pakt het RIEC echter evenzeer personen aan tegen wie geen enkel begin van een verdenking van een strafbaar feit is, zoals in het geval van Fort Oranje, Hermenzeil en Puppypoint. In de uitspraak van de Rechtbank Den Haag, sector bestuursrecht inzake het inzagerecht is volgende te lezen (SGR 18/1178):

“Ook de stelling van eiser dat hij en zijn vader niet verdachte zijn van enig strafbaar feit en niet worden vervolgd voor enig strafbaar feit, maakt dit niet anders. Verweerder heeft in dit verband terecht opgemerkt dat de doelstelling van het RIEC ook gericht kan zijn op een als zodanig aangewezen handhavingsknelpunt zonder dat de betrokkenen verdacht worden van een strafbaar feit.”

Een laatste hier te noemen bezwaar tegen de wijze waarop persoonsgegevens verwerkt worden binnen het RIEC, is dat de registratie van subjecten die doelwit zijn van het RIEC s gekarakteriseerd kan worden als een “zwarte lijst”. Plaatsing op de lijst bij het RIEC kan immers tot vergaande consequenties leiden voor de betrokkene. De criteria waarop het RIEC besluit om iemand tot subject te verklaren, zijn vaag en onduidelijk, zodat er sprake is van willekeur. Dit betekent dat een aantal gebreken die de Afdeling van de Rechtspraak van de Raad van State in haar uitspraak van 4 juli 2007 (ECLI:NL:RVS:2007:BA8742) heeft vastgesteld bij de pilot van het RIEC – het Alijda-project – ook bij het RIEC nog spelen. Er is dan ook sprake van volstrekte willekeur over de wijze waarop subjecten op de lijst geplaatst worden .

Conclusie

Uit het voorgaande volgt, dat de onverenigbaarheid van de uitwisseling van persoonsgegevens zoals die thans plaatsvindt binnen het RIEC met de regels van de AVG onoverkomelijk zijn. In dit verband verbaast het niet dat de minister advies gevraagd heeft aan de Raad van State of de gegevensuitwisseling door gemeenten in de aanpak van ondermijning zodanig vorm gegeven kan worden dat deze verenigbaar is met de AVG. Met deze vraagstelling wordt duidelijk dat de minister zeer wel op de hoogte is van de onrechtmatigheid van de gegevensuitwisseling zoals deze nu plaatsvindt binnen het RIEC. Het Werkproces en het Protocol hebben geen ander doel dan het verschaffen van een geur van legitimiteit aan de uitwisseling van persoonsgegevens terwijl men kennelijk weet dat er sprake is van onrechtmatig handelen. De formele werkwijze – die op zichzelf al onrechtmatig is – heeft daarbij geen verbinding met de praktijk waar geen transparantie richting de betrokkene betracht wordt. Integendeel, de handelingen vinden plaats in een sfeer van geheimhouding en geniepigheid. Een overheid die meent dat zij zich niet hoeft te houden aan wet en regelgeving bevindt zich op glad ijs. Hier ligt dan ook een taak voor de AP. Die evenals in de Toeslagenaffaire een oogje dichtknijpt.

De AP behoort volgens artikel 52 AVG onafhankelijk op te treden in de taken en de uitoefening van de bevoegdheden die haar volgens de AVG zijn toegewezen. Politieke afwegingen behoren daarbij geen rol te spelen. De volledige afwezigheid van de AP in deze discussie wekt dan ook bevreemding. Wie de langlopende correspondentie met het CBP en de opvolger AP beziet, kan slechts concluderen dat de wil ontbreekt de handelwijze van het RIEC nader te bezien. Temeer daar de overtredingen door het RIEC alle criteria vervullen voor het nader onderzoek.