Consultatie Verzamelbesluit gegevensverwerking politie en justitie 2024

Geplaatst op 22 juli 2023 door Ellen Timmer

Onlangs startte de internetconsultatie over het Verzamelbesluit gegevensverwerking politie en justitie 2024, lees de aankondiging. De consultatie over het conceptbesluit loopt tot 28 september a.s.

De toelichting op de consultatiepagina luidt:

Met dit Verzamelbesluit wordt een aantal aanpassingen gedaan in (onder meer) het Besluit politiegegevens en het Besluit justitiële en strafvorderlijke gegevens. In deze besluiten zijn regels gesteld over de verwerking van justitiële gegevens en politiegegevens. De meeste aanpassingen zijn verzocht door verschillende organisaties, zodat zij hun wettelijke taken en plichten (beter) kunnen uitvoeren. Soms gaat het enkel om een technische (bijvoorbeeld tekstuele) aanpassing. (…)

De belangrijkste wijzigingen in dit besluit zijn erop gericht dat verstrekking van justitiële gegevens of politiegegevens aan bepaalde organisaties mogelijk wordt gemaakt. Dat wordt gedaan zodat deze organisaties hun taken en plichten goed kunnen uitvoeren. Een voorbeeld daarvan is dat de verstrekking van justitiële gegevens aan het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) wordt geregeld. De wetenschappers van het WODC kunnen justitiële gegevens nodig hebben voor de onderzoeken die zij doen. Een ander voorbeeld is dat de verstrekking van politiegegevens aan het Bureau Financieel Toezicht (BFT) wordt geregeld. Het BFT heeft een toezichthoudende taak (op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme) en om goed toezicht te kunnen houden, hebben zij soms politiegegevens nodig.

Inleiding
In het conceptbesluit, waarvan ook een toelichting deel uitmaakt, staat in het algemene deel van de toelichting:

Dit besluit voorziet in een aantal wijzigingen van het Besluit justitiële en strafvorderlijke gegevens (hierna: Bjsg), het Besluit politiegegevens (hierna: Bpg), het Besluit politiegegevens bijzondere opsporingsdiensten, het Besluit politiegegevens buitengewoon opsporingsambtenaren, het Besluit inbeslaggenomen voorwerpen en het Besluit verplichte politiegegevens. Het betreft een aantal wijzigingen van juridischinhoudelijke aard. Daarnaast bevat het besluit enkele technische wijzigingen en worden bepaalde artikelonderdelen waar nodig geactualiseerd of uitgebreid. De aanpassingen vinden hun aanleiding in een periodieke herijking van voornoemde regelgeving en betreffen met name wensen vanuit de uitvoeringspraktijk. Zij houden verband met het (beter) kunnen uitvoeren en naleven van wettelijke taken en plichten.

De juridisch-inhoudelijke wijzigingen bestaan uit de toevoeging van nieuwe grondslagen voor de verstrekking van justitiële en strafvorderlijke gegevens en politiegegevens, en houden in een enkel geval in het vervallen van een grondslag voor gegevensverstrekking. Met betrekking tot de verstrekking van justitiële gegevens bevat dit besluit een nieuwe grondslag voor gegevensverstrekking aan De Nederlandsche Bank. Daarnaast is in dit kader een nieuwe grondslag in het leven geroepen voor het Wetenschappelijk Onderzoek- en Documentatiecentrum van het Ministerie van Justitie en Veiligheid. De grondslag voor het verstrekken van justitiële gegevens aan Joh. Enschedé Facilities BV is komen te vervallen. In het Besluit politiegegevens zijn grondslagen toegevoegd voor het kunnen verstrekken van politiegegevens aan een aantal instanties ten behoeve van het uitvoeren van hun taken. Het gaat hierbij om het Nationaal Cyber Security Centrum, de Nationaal rapporteur mensenhandel en seksueel geweld tegen kinderen, het Bureau Financieel Toezicht, het Bureau Toezicht Wwft, de Kansspelautoriteit, de Nationale Ombudsman, de belastinginspecteur, de Politieacademie, en de korpschef.

Hierna bespreek ik enkele elementen van het voorstel.

WODC
Opvallend is dat het WODC gepseudonimiseerde gegevens krijgt. In de toelichting staat daarover het volgende:

In de praktijk worden de justitiële gegevens door Justid aan het WODC verstrekt, waarbij wordt gewerkt met een kluisprocedure. Het WODC versleutelt (pseudonimiseert) de gegevens en slaat ze op in de onderzoeks- en beleidsdatabank justitiële documentatie (hierna: OBJD), zodat zij door de wetenschappers van het WODC enkel versleuteld worden gebruikt voor het wetenschappelijke onderzoek. Alleen waar dat noodzakelijk is voor specifiek onderzoek worden gegevens terug-herleid om aan andere gegevens gekoppeld te worden. Na deze koppeling vindt opnieuw versleuteling plaats. De gegevensverstrekking vindt elektronisch plaats via een beveiligde verbinding en de systemen waar de gegevens in worden opgeslagen hebben een adequaat beveiligingsniveau. Op deze manier wordt gewaarborgd dat de inbreuk op de persoonlijke levenssfeer van de betrokkenen om wiens gegevens het gaat, zeer beperkt

is, al dan niet afwezig. Nadat eenmalig een volledig bestand is verstrekt, worden vervolgens alleen de gegevens geleverd die wijzigen.

Na de verstrekking van de justitiële gegevens door Justid aan het WODC vallen de gegevens niet meer onder het regime van de Wet justitiële en strafvorderlijke gegevens, maar als strafrechtelijke gegevens onder het regime van de AVG. Daarbij gelden specifieke regels op het gebied van verwerking van gegevens voor wetenschappelijke onderzoek. Na verstrekking bepaalt het WODC op basis van de AVG wat de bewaartermijn van de gegevens in de OBJD is. De bewaartermijnen houden onder andere rekening met de periode waarover de gegevens redelijkerwijs beschikbaar moeten zijn voor het uitvoeren van onderzoek en het principe van controleerbaarheid en wetenschappelijke integriteit. De gegevens in de OBJD worden in beginsel langdurig bewaard, omdat deze langdurig beschikbaar moeten zijn voor onderzoek naar criminele carrières, recidive en historisch criminologisch onderzoek. Elke drie jaar wordt opnieuw gemotiveerd waarom en hoe lang de gegevens bewaard blijven. Het WODC ziet hierop toe en legt dit vast. Door een expliciete motivatie voor het bewaren van de gegevens wordt tegemoetgekomen aan de beginselen van dataminimalisatie in de AVG.

Voor de gegevensverstrekking aan het WODC is een gegevensbeschermingseffectbeoordeling – beter bekend als een data protection impact assessment (hierna: DPIA) – vastgesteld. Hierin is met inachtneming van het voorgaande (zoals de waarborgen als de versleuteling van gegevens en de maatregelen rondom de beveiliging daarvan) positief geadviseerd over deze wijziging in het Bjsg.

Uit het tweede lid van dit nieuwe artikel volgt dat het WODC gepseudonimiseerde gegevens ten behoeve van wetenschappelijk onderzoek en statistiek verder kan verstrekken aan derden, ofwel onderzoekers die niet werkzaam zijn bij het WODC, die daar om verzoeken. Als gezegd betreft het nieuwe artikel 31a een structurele grondslag voor verstrekking van justitiële gegevens aan het WODC ten behoeve van beleidsinformatie, wetenschappelijk onderzoek en statistiek. De aan het WODC verstrekte gegevens worden geautomatiseerd versleuteld (gepseudonimiseerd) opgeslagen in de OBJD en er wordt gebruik gemaakt van de eerdergenoemde kluisprocedure. Het WODC kan hierdoor snel en doorlopend gebruik maken van de betreffende gegevens voor wetenschappelijke onderzoeken in versleutelde vorm én met de juiste waarborgen op het gebied van privacyregelgeving. Indien de versleuteling telkens via Justid moet gebeuren duurt dit langer. Bovendien hoeft er op deze wijze minder capaciteit aan de zijde van Justid te worden aangesproken. Met het oog op de behartiging van voornoemde veiligheidswaarborgen en efficiëntiedoeleinden is het de bedoeling dat wetenschappelijke onderzoekers die niet werkzaam zijn bij het WODC, het WODC verzoeken om de gepseudonimiseerde gegevens uit de OBJD te verkrijgen, indien zij deze nodig hebben ten behoeve van specifieke wetenschappelijke of statistische onderzoeken. Het derde lid bepaalt dat het WODC aan deze verstrekking voorwaarden kan verbinden. In elk geval zullen deze voorwaarden inhouden dat het WODC bij de behandeling van een verzoek om gegevensverstrekking eenzelfde procedure toepast als wanneer het gaat om het gebruik van gegevens voor wetenschappelijk onderzoek door het WODC zelf. Deze procedure houdt in dat de onderzoeker door middel van documentatie, zoals bijvoorbeeld een onderzoeksvoorstel, datamanagementplan en DPIA, moet aantonen dat de gegevens nodig zijn ten behoeve van wetenschappelijk onderzoek of statistiek. Bij de beoordeling van een verzoek worden de criteria gehanteerd die zijn vastgelegd in de Nederlandse Gedragscode Wetenschappelijke Integriteit van de Koninklijke Nederlandse Akademie van Wetenschappen en de wet- en regelgeving omtrent gegevensbescherming, conform het databeleid van het WODC. Een verzoek van een onderzoeker die niet werkzaam is bij het WODC om nietgepseudonimiseerde gegevens zal, zoals ook thans het geval is, op grond van artikel 31 moeten worden beoordeeld door de minister.

Afpakken
De wijzigingen hebben ook betrekking op ontneming (afpakken). Het doel van de wijziging is om de informatiepositie van het Centraal Justitieel Incassobureau (CJIB) met betrekking tot de omvang en vindplaats van mogelijke vermogensbestanddelen waarop verhaal mogelijk is te verbeteren:

Het CJIB heeft in het kader van een goede taakuitvoering van reeds andere opgelegde taken namelijk aangegeven in meer gevallen politiegegevens nodig te hebben die door de politie of een bijzondere opsporingsdienst, zoals de FIOD, worden verwerkt overeenkomstig de artikelen 9, 10, eerste lid, onderdelen a en c, Wpg. Gegevens uit opsporingsonderzoeken en gegevens waarmee inzicht wordt verkregen in de betrokkenheid bij ernstige criminaliteit kunnen inzicht verschaffen in het vermogen van een persoon. Het CJIB heeft deze gegevens niet alleen nodig ten behoeve van de inning van een ontnemingsmaatregel, maar ook voor het innen van andere geldelijke sancties, zoals geldboetes, de maatregel kostenverhaal, de schadevergoedingsmaatregel en het verbeurdverklaren van niet in beslag genomen voorwerpen, waarbij het vermoeden is dat er vermogen is weggesluisd of verhuld. De tenuitvoerlegging van deze geldelijke sancties kan mede omvatten het instellen van een Strafrechtelijk Executie Onderzoek, een gijzelingsprocedure, het veilig stellen van voorwerpen of het verstrekken van een opdracht aan een gerechtsdeurwaarder om beslag te leggen.
De gegevens die het CJIB ontvangt uit de infobox Crimineel en Onverklaarbaar Vermogen (iCOV; een samenwerkingsverband tussen de politie, Belastingdienst, Douane, FIOD, CJIB, Financial Intelligence Unit, bijzondere opsporingsdiensten en het openbaar ministerie, dat rapportages met gegevens levert) zien hoofdzakelijk op fiscaal geregistreerde inkomen en vermogen. Verhuld vermogen blijft daarbij buiten beeld. De ruimere mogelijkheid voor verstrekking van politiegegevens aan het CJIB is daarom noodzakelijk, zodat aan de hand daarvan een goed beeld van iemands vermogenspositie kan worden gevormd, het door de veroordeelde verhulde vermogen beter in kaart kan worden gebracht en geldelijke sancties beter kunnen worden geïnd. (…)

Met betrekking tot informatie van het Team Criminele Inlichtingen (hierna: TCI) (politiegegevens die worden verwerkt overeenkomstig artikel 10, eerste lid, onderdeel a, Wpg) wordt nog opgemerkt dat deze informatie vaak zachte gegevens bevat over personen die mogelijk betrokken zijn bij zware criminaliteit. De betrouwbaarheid van dergelijke informatie kan niet altijd worden vastgesteld. Voor de verwerking van dergelijke gegevens geldt binnen de politie een strikt regime. Het ligt dan ook in de rede dat de verstrekking aan het CJIB ten behoeve van de inning van geldelijke sancties wordt beperkt tot de TCI-gegevens die operationeel gebruikt kunnen worden (gegevens met de afhandelingscodes 11 (operationeel te gebruiken) of 01 (alleen te gebruiken na overleg met de afzender), als bedoeld in bijlage I bij het Besluit verplichte politiegegevens). De politie dient te allen tijde een afweging te maken ten aanzien van de verstrekking, waarbij rekening wordt gehouden met de te verstrekken gegevens en de taak waarvoor het CJIB die gegevens nodig heeft. Het hoofd van het TCI wordt betrokken bij deze afweging en de wijze waarop de gegevens worden verstrekt. Indien het in het kader van de uitvoering van de wettelijke taken van het CJIB of naar aanleiding van een vordering daartoe nodig is om de gegevens aan een derde te verstrekken, zoals in geval een gerechtsdeurwaarder de opdracht krijgt om beslag te leggen, verstrekt het CJIB alleen de gegevens die noodzakelijk zijn voor de beslaglegging, zoals administratieve kenmerken en de locatie van een voorwerp.

Nationaal Cyber Security Centrum (NCSC)
Het NCSC krijgt het recht gegevens te ontvangen. Het IP-adres speelt hier een rol in, al is dat niet persoonlijk als van een VPN gebruik wordt gemaakt:

Ten behoeve van slachtoffernotificatie zal in de meeste gevallen het Internet Protocoladres (hierna: IP-adres) van het besmette systeem van een slachtoffer worden gebruikt voor notificatie. Het IP-adres zal via het NCSC gedeeld worden met andere partijen die genoemd zijn in de Wbni, zoals organisaties die tot taak hebben anderen te informeren, aangewezen computercrisisteams, of de Internet Service Providers (hierna: ISP). Deze partijen hebben goed zicht op hun achterban en kunnen hen notificeren. Een ISP kan dan bijvoorbeeld een vertaling doen naar welke klant er achter het IP-adres zat op het specifieke tijdstip. Vervolgens kan de ISP een notificatie naar de klant sturen, waarna de klant het besmette systeem (bijvoorbeeld een laptop of smartphone) kan identificeren aan de hand van de context over het besmette systeem die aan hem wordt meegegeven. Het is daarom essentieel, en in het belang van het slachtoffer, dat bij de slachtoffernotificatie zo veel mogelijk context wordt meegegeven over het besmette systeem die kan helpen bij de identificatie van het systeem. Dreigingsinformatie kan van verschillende niveaus zijn. In sommige gevallen is deze informatie herleidbaar tot individuele aansluitingen, die vervolgens weer herleidbaar kunnen zijn tot personen. Voor die gevallen is het noodzakelijk om een grondslag tot verstrekking van politiegegevens te creëren.

Wwft-toezichthouders
Ook de toezichthouders onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) krijgen politiegegevens. Aan de toelichting te zien richt de gegevensverstrekking zich primair op de Wwft-plichtige zelf:

De politie en andere opsporingsdiensten kunnen op grond van hun taakoefening beschikken over feiten en omstandigheden waaruit blijkt dat er een gerede kans is dat instellingen zich niet houden aan de verplichtingen zoals neergelegd in de Wwft. Het gaat daarbij voornamelijk om opsporingsgegevens, maar ook om informatie uit de dagelijkse politiepraktijk. Gedacht kan worden aan uitspraken uit getapte telecommunicatie en uit verhoren of constateringen uit in beslag genomen administratie. Daarnaast kan informatie over relevante politiële antecedenten of betrokkenheid bij eerdere, soortgelijke strafbare feiten van belang zijn. Voor het effectief uitoefenen van risicogebaseerd Wwft-toezicht door de toezichthouders is het belangrijk dat deze politiegegevens op structurele basis kunnen worden gedeeld met de voornoemde, landelijk georganiseerde toezichthouders op niet-financiële Wwft-instellingen. Primair betreft de gegevensverstrekking informatie over rechtspersonen die een functie vervullen als poortwachter in het kader van de Wwft. Secundair betreft het ambtshouders of medewerkers die de overtredingen begaan of faciliteren.

Overigens heb ik de indruk dat de praktijk van de Wwft is te bekijken welke Wwft-plichtigen diensten voor een crimineel hebben verricht, waarbij het om volledige reguliere diensten kan gaan die niets met enig crimineel handelen te maken hebben.

Voorbeeld:
als een boekhouder de administratie van een bv van een crimineel, maar met gewone bedrijfsactiviteiten, heeft samengesteld, heeft die boekhouder niets crimineels gedaan. Echter, zodra een Wwft-plichtige diensten verleent aan een crimineel zal hij of zij onschuld moeten bewijzen, door te laten zien het complete cliëntenonderzoek te hebben gedaan. Bij boekhouders komt daar dan nog bij dat gekeken moet worden of iets crimineels uit de administratie is af te leiden.

Anders gezegd: zodra een crimineel tegen de lamp loopt, wordt iedereen die diensten aan hem heeft geleverd onder de loep genomen, om te kijken of hij of zij wegens nalatigheid op grond van de Wwft kan worden bestraft.

Relatie met Wet gegevensverwerking door samenwerkingsverbanden (WGS)?
Op dit moment worden al op grote schaal persoonsgegevens door allerlei overheidsinstanties uitgewisseld. Met het geconsulteerde ontwerp wordt dat nog meer. De vraag rijst dan wel wat de toegevoegde waarde van het wetsvoorstel WGS nog is.

Tot slot
Zie voor verdere details het ontwerpbesluit met toelichting. Ik ben benieuwd of er iemand bezig is met het Nederlandse gegevensuitwisselingslandschap, want het ziet er knap ingewikkeld uit.

Onbekend's avatar

About Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce, Strafrecht en getagd met , , , , , , , , , , , , , , , , , , , , . Maak de permalink favoriet.

Plaats een reactie