Wetsvoorstel bevordering samenwerking en rechtmatige zorg.


Volledige tekst

Bij Kabinetsmissive van 3 januari 2020, no.2019002731, heeft Uwe Majesteit, op voordracht van de Minister van Volksgezondheid, Welzijn en Sport, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet houdende bepalingen over gegevensuitwisseling ter bevordering van samenwerking binnen het zorgdomein en van doelmatige en rechtmatige zorg, maatschappelijke ondersteuning en jeugdhulp (Wet bevorderen samenwerking en rechtmatige zorg), met memorie van toelichting.

Het voorstel introduceert het Waarschuwingsregister zorgfraude (hierna: Waarschuwingsregister) voor gemeenten en ziektekostenverzekeraars. Daarnaast biedt het voorstel een wettelijke grondslag voor de gegevensverstrekking aan en door het samenwerkingsverband Informatieknooppunt zorgfraude (hierna: IKZ). Tot slot regelt het voorstel dat in plaats van verstrekking door elke afzonderlijke gemeente het Inlichtingenbureau (hierna: IB) namens alle gemeenten gegevens verstrekt en ontvangt van het IKZ.

De Afdeling advisering van de Raad van State maakt opmerkingen over de definitie van fraude, de gevolgen van het Waarschuwingsregister en de rechtsbescherming voor betrokkenen, de wettelijke grondslagen voor gegevensverstrekking aan het IKZ, de eventuele mogelijkheid tot profilering, het aanwijzen van een stichting IKZ, de verwerkingsverantwoordelijkheid van het IB, en de mogelijkheid tot subdelegatie. In verband daarmee is aanpassing wenselijk van het wetsvoorstel en de toelichting.

1. Achtergrond en inhoud van het voorstel

Het voorstel moet worden bezien tegen de achtergrond van de maatschappelijke discussie over een effectieve aanpak van zorgfraude. (zie noot 1) In dat kader is in 2016 het samenwerkingsverband IKZ van start gegaan tussen verschillende samenwerkingspartners. Het doel daarvan is onderling signalen van zorgfraude te kunnen uitwisselen. Binnen het huidige samenwerkingsverband worden gegevens verstrekt aan deelnemende instanties op grond van bilaterale en multilaterale wettelijke grondslagen. (zie noot 2) Volgens de toelichting worden - ondanks deze grondslagen voor gegevensverwerking - toch knelpunten ervaren. In het bijzonder vanwege het ontbreken van een wettelijke grondslag voor het (door)verstrekken van gegevens via het IKZ en het verwerken van persoonsgegevens door het IKZ. (zie noot 3)

Het voorstel beoogt deze knelpunten weg te nemen door het IKZ wettelijk te verplichten tot het verwerken en verstrekken van gegevens noodzakelijk voor de bestrijding van fraude in de zorg. (zie noot 4) Onder zorgfraude verstaat de toelichting "het opzettelijk misleidend handelen binnen het zorgdomein, met het oog op eigen of andermans gewin". (zie noot 5) Ook krijgt het IKZ tot taak om op basis van de verzamelde gegevens trends en ontwikkelingen te signaleren, en beleidsinformatie en statistische informatie te ontwikkelen. (zie noot 6)

Daarnaast regelt het voorstel een wettelijke grondslag voor een Waarschuwingsregister. Het Waarschuwingsregister is een instrument dat los staat van het IKZ. Het Waarschuwingsregister is een uitwerking van de motie-Potters en Van Dijk. (zie noot 7) Daarin is gevraagd om een zwarte lijst van frauderende zorgaanbieders en -bemiddelingsbureaus. (zie noot 8) Het voorstel regelt ten behoeve van het Waarschuwingsregister de grondslag voor de verwerking van persoonsgegevens, waaronder gegevens over de gezondheid en gegevens van strafrechtelijke aard.

Uit de toelichting blijkt dat met deze verwerking wordt gedoeld op de registratie van deze gegevens in een centraal register. In dit register kunnen zorgaanbieders worden geregistreerd als de betreffende instantie tot de gerechtvaardigde overtuiging is gekomen dat sprake is van fraude in de zorg. (zie noot 9) Gemeenten, zorgverzekeraars, uitvoerders van de Wet langdurige zorg (Wlz) en particuliere ziektekostenverzekeraars (zie noot 10) kunnen dit register raadplegen om te kijken of een bepaalde zorgaanbieder (of houder van een persoonsgebonden budget) hierin geregistreerd staat.

Ten slotte regelt het voorstel dat het IB het gegevensknooppunt wordt tussen de gemeenten en het IKZ. Het IB functioneert momenteel al als gegevensknooppunt tussen gemeenten en andere instanties. Zo verstrekt het signalen van instanties, zoals het UWV, aan gemeenten ten behoeve van de rechtmatigheidscontrole van bijvoorbeeld uitkeringen. Sinds de decentralisaties in het sociaal domein is het IB ook knooppunt voor het berichtenverkeer en andere diensten in het kader van de uitvoering van de Jeugdwet en de Wmo 2015.

Het wetsvoorstel regelt nu ook de verwerkingsverantwoordelijkheid in het kader van deze wetten. (zie noot 11) Het voorstel regelt daarnaast dat het IB persoonsgegevens verwerkt ten behoeve van de gemeenten voor zorgfraude: het verstrekken van gegevens aan het IKZ en het ontvangen van signalen via het IKZ verloopt via het IB. Voor deze gegevensverwerking wordt het IB ook verwerkingsverantwoordelijke. (zie noot 12)

2. Definitie van fraude opnemen in de wettekst

Het wetsvoorstel regelt dat gemeenten en ziektekostenverzekeraars gehouden zijn gegevens van natuurlijke personen of rechtspersonen te verstrekken, van wie zij op grond van een protocol de gerechtvaardigde overtuiging hebben dat zij fraude in de zorg hebben gepleegd, indien dat noodzakelijk is voor de bestrijding van deze fraude. Zoals hiervoor uiteen gezet, wordt volgens de toelichting onder het begrip fraude verstaan: "het opzettelijk misleidend handelen binnen het zorgdomein, met het oog op eigen of andermans gewin". (zie noot 13)

De Afdeling merkt op dat essentiële onderdelen van regelgeving op het niveau van de wet dienen te worden vastgelegd. Dit geldt ook voor de definitie van het begrip ‘fraude’: deze definitie is essentieel voor het vaststellen van de reikwijdte van de wet. Mede op grond daarvan worden natuurlijke personen of rechtspersonen al dan niet geregistreerd in het Waarschuwingsregister en kunnen signalen worden verstrekt aan en door het IKZ. De gevolgen daarvan kunnen voor natuurlijke personen of rechtspersonen aanzienlijk zijn.

De Afdeling adviseert de in de toelichting genoemde definitie van fraude in de wettekst op te nemen en het voorstel aldus aan te passen.

3. Het Waarschuwingsregister

a. Rol van het Waarschuwingsregister
In het voorstel is geregeld dat het Waarschuwingsregister afzonderlijk functioneert van het IKZ. Volgens de toelichting kan in de praktijk echter een zekere samenhang bestaan. (zie noot 14) Naar aanleiding van door het IKZ verrijkte signalen kan de gerechtvaardigde overtuiging ontstaan dat sprake is van fraude. Dat kan vervolgens leiden tot opname in het Waarschuwingsregister, zo stelt de toelichting. (zie noot 15)

Ook wordt toegelicht dat gebruik van het Waarschuwingsregister kan leiden tot gegevensverstrekking via het IKZ. (zie noot 16) Het kan dus gaan om tweerichtingsverkeer. Tegelijkertijd stelt de toelichting dat informatie uit het Waarschuwingsregister geen onderdeel uitmaakt van de gegevensuitwisseling met het IKZ. (zie noot 17) Dit roept de vraag op of er niet een zekere volgordelijkheid is in de gegevensverwerking van het IKZ en het Waarschuwingsregister, namelijk dat signaleren wel kan leiden tot opname in het Waarschuwingsregister, maar niet andersom.

De Afdeling adviseert in de toelichting de verhouding tussen en in het bijzonder de volgordelijkheid van het Waarschuwingsregister en het IKZ te verduidelijken, en zo nodig het voorstel aan te passen.

b. Rechtsbescherming betreffende registratie in het Waarschuwingsregister
Registratie in het Waarschuwingsregister kan slechts plaatsvinden op grond van een bij een gemeente of ziektekostenverzekeraar gerezen gerechtvaardigde overtuiging van fraude. Een gerechtvaardigde overtuiging van fraude is echter niet hetzelfde als een strafrechtelijke veroordeling. Aan een gerechtvaardigde overtuiging worden minder zware eisen gesteld. (zie noot 18) Ook zonder dat er een strafrechtelijke veroordeling aan ten grondslag ligt, kunnen de gevolgen van opname in het Waarschuwingsregister voor de betrokkene aanzienlijk zijn. In de regel zullen deelnemers bijvoorbeeld besluiten niet tot contractering met de betrokkene over te gaan.

Ook bestaat de kans dat de betrokkene niet wordt geïnformeerd over opname in het Waarschuwingsregister. Afzien van het informeren van de betrokkene is mogelijk als het informeren de ‘verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen’, (zie noot 19) zoals ook in de toelichting wordt aangegeven. (zie noot 20) Omdat het voor de betrokkene dan niet mogelijk is zich te verweren door een beroep te doen op de rechten die hij op grond van de Algemene Verordening Gegevensbescherming (hierna: AVG) heeft, moeten passende maatregelen worden genomen. (zie noot 21) Deze maatregelen zijn er blijkens de AVG op gericht om ‘de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van informatie’. (zie noot 22)

Bovendien moeten, zodra sprake is van een gerechtvaardigde overtuiging, de gegevens worden beschouwd als gegevens van strafrechtelijke aard in de zin van artikel 10 van de AVG, aldus de toelichting. (zie noot 23) Uit de AVG volgt dat als gegevens van strafrechtelijke aard worden verwerkt, in passende waarborgen moet worden voorzien. (zie noot 24) Gelet op het criterium van de gerechtvaardigde overtuiging van fraude en op het feit dat sprake is van gevoelige gegevens van strafrechtelijke aard, moeten in het voorstel de rechtsbescherming van betrokkenen, de bewaartermijnen en het toezicht op de juistheid van de gegevens voldoende worden gewaarborgd. Dat geldt zeker ook voor de bewaartermijnen. Van belang is dat deze zo kort mogelijk zijn om te voorkomen dat registratie in het Waarschuwingsregister de betrokkene langer wordt nagedragen dan strikt noodzakelijk is.

De Afdeling adviseert in de toelichting nader in te gaan op de rechtsbescherming van betrokkenen. In het bijzonder dient te worden ingegaan op de wijze waarop wordt voorzien in de noodzakelijke passende maatregelen die getroffen moeten worden als wordt afgezien van het informeren van de betrokkene en het voorstel zo nodig aan te passen.

4. Bestaande wettelijke grondslagen van verstrekking aan het IKZ

Het voorstel creëert een wettelijke grondslag voor gegevensverstrekking aan het IKZ (zie noot 25) en door het IKZ aan deelnemende instanties (zie noot 26) ten behoeve van fraudebestrijding. In het huidige samenwerkingsverband IKZ worden gegevens verstrekt op grond van bilaterale en multilaterale wettelijke grondslagen. Het IKZ hanteert hiervoor een informatieprotocol, met daarin de mogelijke rechtsgronden op basis waarvan de samenwerkingspartners aan elkaar (via het IKZ) gegevens kunnen verstrekken. (zie noot 27)

Het voorstel verandert deze al bestaande wettelijke grondslagen niet. Volgens de toelichting wordt ook niet beoogd om te veranderen wat op basis van geldende wet- en regelgeving al concreet mogelijk is. (zie noot 28) Dit roept de vraag op of het voorstel beoogt alle signalen van zorgfraude via het IKZ te verstrekken en daarmee niet meer bilateraal of multilateraal. Of moet die mogelijkheid blijven bestaan en kunnen ook naast de nu voorgestelde grondslagen de bilaterale of multilaterale grondslagen van toepassing zijn.

De Afdeling adviseert in de toelichting in te gaan op de mogelijke samenloop van bestaande wettelijke grondslagen en de in dit wetsvoorstel voorziene grondslag voor uitwisseling van persoonsgegevens, en zo nodig deze grondslagen op elkaar af te stemmen.

5. Profilering

Het IKZ kan onder meer signalen verrijken (zie noot 29) door bij de deelnemende instanties "geanonimiseerde en geaggregeerde gegevens op [te] vragen over andere zorgaanbieders, vergelijkbaar met de aanbieder waarover het signaal is geregistreerd", die "kunnen bijdragen aan het bekrachtigen dan wel ontkrachten van de informatie uit een (verrijkt) signaal", aldus de toelichting. (zie noot 30) Het IKZ kan daarnaast trends en ontwikkelingen signaleren en beleidsinformatie en statistische informatie ontwikkelen, waarvoor persoonsgegevens kunnen worden verwerkt. (zie noot 31

Volgens de toelichting kunnen "nieuwe fenomenen (…) beter in beeld worden gebracht als bijvoorbeeld duidelijk is om welke zorgaanbieder(s) het gaat en in welke regio en welk domein deze zorgaanbieder actief is". (zie noot 32) Persoonsgegevens kunnen onderdeel uitmaken van deze informatie, aldus de toelichting. (zie noot 33) Dit kan duiden op het gebruik van profilering, zoals dat is omschreven in de AVG. (zie noot 34) Door middel van profilering worden bepaalde persoonlijke aspecten van een individu geëvalueerd aan de hand van groepskenmerken. Dit kan vérgaande gevolgen hebben als deze groepskenmerken in concrete situaties aan individuele burgers worden toegerekend. Profilering moet daarom worden omkleed met de nodige waarborgen. (zie noot 35)

De vraag is of beoogd is profilering mogelijk te maken. Als dit niet wordt beoogd, dan zou dit in het voorstel uitdrukkelijk kunnen worden uitgesloten. Als echter wordt beoogd de mogelijkheid tot profilering open te houden, (zie noot 36) dan zijn meer wettelijke waarborgen nodig. Immers, profilering kan vergaande en indringende consequenties hebben. (zie noot 37) Zo kan een verrijkt signaal leiden tot registratie in het Waarschuwingsregister. Dat kan vervolgens leiden tot het niet overgaan tot contractering van zorgaanbieders. (zie noot 38) Ook kan het leiden tot stigmatisering. (zie noot 39) Bovendien kan sprake zijn van false positives, waarbij iemand ten onrechte wordt aangemerkt als risicogeval.

Indien het voorstel beoogt profilering niet uit te sluiten dient het voorstel met concrete waarborgen te worden omkleed, als uitwerking van de algemene waarborgen die de AVG bevat. In het bijzonder kan worden gewezen op het transparantiebeginsel, het doelbindingsbeginsel en het beginsel van dataminimalisatie, zoals ook recentelijk aan de orde is geweest in de uitspraak van de rechtbank Den Haag over het Systeem Risico Indicatie. (zie noot 40)

De Afdeling adviseert in de toelichting nader in te gaan op de mogelijkheid van profilering en het voorstel aan te passen.

6. Aanwijzen stichting IKZ

Het IKZ functioneert op dit moment als een publiekrechtelijk samenwerkingsverband zonder rechtspersoonlijkheid. Het wetsvoorstel beoogt dit samenwerkingsverband om te vormen tot een stichting belast met een wettelijke taak. Deze stichting wordt niet door de wet zelf ingesteld, maar wordt aangewezen bij regeling van de Minister. (zie noot 41) Volgens de toelichting is voor het aanwijzen van een stichting gekozen om de gelijkwaardige samenwerking tussen deelnemende (private en publieke) partijen te waarborgen. (zie noot 42) Ook wordt regie vanuit het departement niet wenselijk geacht vanwege het overkoepelende belang van fraudebestrijding, aldus de toelichting. (zie noot 43) De minister krijgt instrumenten die zien op de verantwoording van de bedrijfsvoering van de stichting. (zie noot 44)

De Afdeling wijst erop dat met de gekozen constructie onduidelijk blijft door wie en op welke wijze politieke verantwoordelijkheid voor de gegevensverwerking kan worden gedragen. (zie noot 45) Gedacht kan worden aan situaties waarin ten onrechte gegevens worden verwerkt. De toelichting gaat hier niet op in.

De Afdeling merkt daarbij op dat de verantwoordingsmechanismen zoals besproken in de toelichting voor deze situatie niet afdoende zijn, nu deze uitsluitend zien op de bedrijfsvoering en niet op de inhoud van de gegevensverwerking. Met het oog op de ministeriële verantwoordelijkheid rijst bovendien de vraag waarom in plaats van een stichting niet is gekozen voor een publiekrechtelijke rechtsvorm.

De Afdeling adviseert in de toelichting op het bovenstaande in te gaan en het voorstel aan te passen.

7. Verwerkingsverantwoordelijkheid van het Inlichtingenbureau

Het Inlichtingenbureau functioneert momenteel al als gegevensknooppunt tussen gemeenten en andere instanties: het IB verzamelt en verwerkt gegevens van verschillende instanties en kan zo signalen verstrekken aan gemeenten over de (on)rechtmatigheid van een uitkering. Sinds de decentralisaties in het sociaal domein is het IB ook knooppunt voor het berichtenverkeer tussen gemeenten en andere diensten in het kader van de uitvoering van de Jeugdwet en de Wmo 2015. Het voorstel regelt dat het IB tevens knooppunt tussen gemeenten en het IKZ wordt.

Het IB wordt op grond van het voorstel verwerkingsverantwoordelijke als zij persoonsgegevens verwerkt. (zie noot 46) Daarnaast wordt het IB verwerkingsverantwoordelijke als het gegevens verwerkt op grond van de Wmo 2015 en de Jeugdwet. (zie noot 47) Volgens de toelichting ligt de belangrijkste reden voor toekenning van deze verwerkingsverantwoordelijkheid erin dat gemeenten onvoldoende in staat blijken om individueel en direct de taakuitoefening door het IB te sturen. (zie noot 48) De taken van het IB hebben een domein-overstijgend karakter en passen niet bij de rol van verwerker voor elke individuele gemeente, aldus de toelichting. (zie noot 49)

De Afdeling merkt op dat het IB een faciliterende functie heeft tussen het IKZ en gemeenten. (zie noot 50) Tegelijkertijd maakt het voorstel het IB echter verwerkingsverantwoordelijke, wat de wettelijke plichten van de AVG met zich brengt. Dit houdt onder meer in dat het IB een zelfstandige afweging zal moeten maken van de noodzaak van de verstrekking van de gegevens aan en verwerking van deze gegevens door het IKZ. Met andere woorden, het IB krijgt een verantwoordelijkheid die moeilijk past bij zijn faciliterende taak. Het is niet goed mogelijk om zowel slechts te faciliteren namens de gemeenten, als het tegelijkertijd fungeren als verwerkingsverantwoordelijke.

De Afdeling adviseert het voorstel op dit punt nader toe te lichten en zo nodig aan te passen.

8. Subdelegatie

Zowel bij het Waarschuwingsregister (zie noot 51) als bij het IKZ (zie noot 52) worden bij of krachtens algemene maatregel van bestuur nadere regels gesteld. Deze regels hebben voor het Waarschuwingsregister onder meer betrekking op de eisen aan het protocol; (zie noot 53) de wijze waarop goedkeuring van het protocol plaatsvindt; de beveiliging en bewaartermijnen van de gegevens en de uitoefening van de rechten van betrokkenen. Voor het IKZ hebben zij onder meer betrekking op de wijze van en aanleiding voor de gegevensverstrekking; de voorwaarden voor gegevensverstrekking en -verwerking; de beveiliging, de bewaartermijnen en ten slotte de uitoefening van de rechten van betrokkenen.

De Afdeling merkt op dat niet nader wordt toegelicht waarom wordt gekozen voor deze ruime delegatiegrondslag. Op zichzelf kunnen onderwerpen die betrekking hebben op de uitvoering worden gedelegeerd naar een ministeriële regeling. (zie noot 54) De Afdeling adviseert echter de mogelijkheid tot subdelegatie van onderwerpen die de rechtsbescherming raken, uit te sluiten. Rechtsbescherming is een essentieel en voor de burger ingrijpend onderwerp dat niet kan worden beschouwd als uitvoering van een regeling, waarvan op het niveau van een ministeriële regeling regels kunnen worden gesteld. Dat geldt in elk geval voor de bewaartermijnen en de uitoefening van de rechten van betrokkenen.

De Afdeling adviseert het voorstel aan te passen in die zin dat voor onderwerpen die de rechtsbescherming raken alleen delegatie mogelijk is bij algemene maatregel van bestuur.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.


De vice-president van de Raad van State



Nader rapport (reactie op het advies) van 2 juli 2020

1.
Achtergrond en inhoud van het wetsvoorstel

De Afdeling geeft een samenvatting van wat in het wetsvoorstel is opgenomen en maakt hierbij geen opmerkingen waar de Regering op dient in te gaan.

2. Definitie van fraude opnemen in de wettekst

Het advies van de Afdeling is overgenomen. Besloten is de definitie zoals deze reeds was opgenomen in de Memorie van Toelichting op te nemen in de begripsomschrijving in artikel 1.1 van dit wetsvoorstel, deze komt aldus te luiden: "opzettelijk misleidend handelen binnen het domein van de Zorgverzekeringwet, Wet langdurige zorg, Wet maatschappelijke ondersteuning 2015 of Jeugdwet, met het oog op eigen of andermans gewin, voor zover het in de wet strafbaar gestelde feiten betreft".

3. Het Waarschuwingsregister

a. Rol van het Waarschuwingsregister
Uit het advies van de Afdeling maakt de Regering op dat de onduidelijkheid voortvloeit uit de zinsneden waarin staat dat "in de praktijk echter een zekere samenhang (kan) bestaan (tussen de twee instrumenten; VWS)" en "dat gebruik van het Waarschuwingsregister kan leiden tot gegevensverstrekking via het IKZ". De Regering erkent dat dit onderdeel verduidelijking behoefde. Naar aanleiding van het advies is daarom de verhouding tussen het Waarschuwingsregister en het IKZ te verduidelijkt. Dit is gedaan in zowel paragraaf 1.3 als 2.3 van de toelichting. Duidelijker is beschreven dat het in een centraal registratiesysteem, zoals het Waarschuwingsregister, onderling uitwisselen van (persoons)gegevens enerzijds en de uitwisseling van (persoons)gegevens met tussenkomst van het IKZ anderzijds, twee verschillende en apart van elkaar functionerende instrumenten zijn. Er is geen directe relatie tussen (het gebruik van) de twee instrumenten. Zij hebben elk eigen kenmerken en functies, dienen elk een eigen doel en worden elk op een ander moment in de bestrijding van fraude in de zorg ingezet. De mogelijkheden tot het gebruik van de instrumenten en de daarin opgenomen gegevens zijn, mede gelet op de te onderscheiden doelen, afzonderlijk van elkaar geregeld en voorzien van eigen voorwaarden en waarborgen. Aan de hand van een voorbeeld is in paragraaf 2.3 toegelicht hoe het gebruik van het ene instrument mogelijk indirect een gevolg kan hebben voor het gebruik van het andere instrument. Deze indirecte relatie of samenhang is daarin gelegen, dat het beide instrumenten zijn in de bestrijding van fraude in de zorg.

b. Rechtsbescherming betreffende registratie in het Waarschuwingsregister
De Regering onderschrijft het grote belang van het bieden van passende waarborgen voor en een zorgvuldige omgang met de rechten van betrokkene(n) bij de verwerking van persoonsgegevens in het algemeen en bij de verwerking van gegevens van strafrechtelijke aard in het bijzonder. Naar aanleiding van het advies is de toelichting op dit punt uitgebreid. In paragraaf 3.4 van de toelichting is naar aanleiding van het advies een doorkijk gegeven naar hetgeen in de amvb (en het protocol) moet worden geregeld ten aanzien van waarborgen en rechtsbescherming. Beschreven is dat specifiek ten aanzien van het afzien van de informatieplicht kan worden gedacht aan het in het protocol inzichtelijk maken in welke gevallen hiervan gebruik wordt gemaakt en welke maatregelen worden getroffen om de betrokkene zo spoedig mogelijk alsnog te informeren. Betreffende rechtsbescherming is toegelicht dat instanties aan betrokkenen inzichtelijk kunnen maken wanneer welke (rechts)handeling wordt verricht en welke (juridische) procedures mogelijk zijn om daartegen op te komen. In het advies heeft de Afdeling ook gewezen op de waarborgen wat betreft de bewaartermijnen en het toezicht op de juistheid van de gegevens. In de toelichting is ten aanzien van nadere regels over bewaartermijnen opgemerkt dat rechtsgelijkheid, rechtszekerheid en uniformiteit voor betrokkenen het uitgangspunt moeten zijn. Voor de invulling ervan is meegegeven dat gedacht kan worden aan de mogelijkheid tot differentiatie in de te hanteren bewaartermijnen, mits dat is omkleed met voorwaarden en waarborgen. Voorts is in de toelichting nog geëxpliciteerd dat de betrokken instanties zelf verantwoordelijk zijn voor intern toezicht op de juistheid van de gegevens(verwerking).

In de toelichting is tot slot ook verduidelijkt dat de wijze waarop de wet is ingericht, de invulling die daaraan moet worden gegeven in de amvb en het door instanties op te stellen protocol, samen het geheel van passende maatregelen en waarborgen vormen waarmee de inbreuk op privacy en de mogelijke gevolgen daarvan voor betrokkenen steeds tot een minimum worden beperkt. Het betreft de in het algemeen geldende strikte voorwaarden voor de gegevensverwerking, procedurele voorschriften en vereisten (zie paragraaf 3.3 van de toelichting).

4. Bestaande wettelijke grondslagen van verstrekking aan het IKZ

De opmerking van de Afdeling geeft de Regering de aanleiding om nogmaals te benadrukken dat het onderhavige wetsvoorstel beoogt te voorzien in een gesignaleerde lacune. Efficiënte en zorgvuldige samenwerking tussen instanties door middel van het IKZ, wordt in de eerste plaats bemoeilijkt doordat de huidige sectorale wetgeving onvoldoende wettelijke grondslagen biedt om persoonsgegevens uit te wisselen. (Sectorale) wetgeving bevat doorgaans enkel grondslagen voor verwerking van persoonsgegevens door de instantie die in die specifieke wet is aangewezen.

Als instanties multilateraal samenwerken teneinde fraude in de zorg te bestrijden en verstrekking en verwerking van persoonsgegevens nodig is, moet per instantie en per verwerking worden beoordeeld of er een grondslag is tot verwerking. Dit kost niet alleen veel werk en tijd, maar hierdoor kunnen verrijkte signalen ook niet of niet volledig met bepaalde instanties gedeeld worden en kan fraude onnodig lang(er) doorgaan. Ook maakt het de uitwisseling van persoonsgegevens foutgevoelig en risicovol.

Het is niet de bedoeling dat onderhavig wetsvoorstel de bestaande grondslagen vervangt en het is ook niet nodig om de grondslagen op elkaar af te stemmen, omdat deze binnen het eigen domein voor eigen doeleinden hun meerwaarde hebben. Om die reden is de toelichting ten aanzien van dit onderdeel verduidelijkt. Onder andere het volgende is opgenomen in paragraaf 4.1: "De in de wet gecreëerde grondslag bestaat naast de reeds bestaande grondslagen voor het verstrekken van persoonsgegevens in andere (specifieke) wetgeving en verandert die grondslagen ook niet. Deze wet doet niets af aan de bestaande grondslagen voor bilaterale of multilaterale uitwisseling van (persoons)gegevens tussen betrokken instanties. Die onderlinge uitwisseling van gegevens blijft mogelijk, maar daarbij moet ook de toepassing van onderhavige wet worden meegenomen. Benadrukt wordt dat de met deze wet gecreëerde grondslag voor uitwisseling van (persoons)gegevens alleen de gegevensuitwisseling tussen het IKZ en de in artikel 2.3, eerste lid, genoemde instanties betreft en geen grondslag biedt voor een uitwisseling tussen instanties onderling."

5. Profilering

In dit onderdeel van het advies van de Afdeling wordt in de eerste alinea ook het verrijken van gegevens door het IKZ genoemd, waarna het vervolg van het advies ziet op de taak ‘onderzoek en analyse’. Zekerheidshalve merken wij hier daarom eerst op dat het bij de taak van verrijking gaat om het staven van een signaal van fraude in de zorg in een concreet geval, betreffende een partij die daarbij al in beeld is. Bij het staven van het signaal kan aan de hand van een benchmark bijvoorbeeld een afwijking van het ‘normale’ inzichtelijk worden gemaakt. Het gaat bij deze taak dan ook niet om het in beeld brengen van niet bij het signaal betrokken (mogelijke) fraudeurs of fenomenen of het signaleren van ‘nieuwe fraudeurs’.

In het advies van de Afdeling gaat het vervolgens over de taak van het IKZ tot het signaleren van trends en fenomenen. De Regering erkent dat de door de Afdeling met betrekking tot deze taak van het IKZ aangehaalde passage uit de toelichting de indruk kan wekken, dat sprake is van (het mogelijk maken van) profilering door het IKZ. Dat is echter niet beoogd en naar aanleiding van het advies van de Afdeling is dit dan ook expliciet uitgesloten in artikel 2.5 van de wet.

In de toelichting is daarover opgenomen dat is uitgesloten dat het IKZ profileert zoals bedoeld in artikel 4, onder 4, van de AVG. Er mag geen enkele vorm van geautomatiseerde verwerking van persoonsgegevens plaatsvinden waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Er worden geen personen in categorieën (profielen) ingedeeld op basis van hun persoonsgegevens en er is geen sprake van het in kaart brengen van personen met een verhoogd risico (op betrokkenheid bij fraude in de zorg). Tot slot vindt door het IKZ ook geen (geautomatiseerde individuele) besluitvorming plaats als bedoeld in artikel 22 van de AVG. Hoewel gegevens over (individuele) rechtspersonen mogelijk geen persoonsgegevens bevatten, mogen uitkomsten van de IKZ taak onderzoek en analyse nooit terug te herleiden zijn tot (individuele) rechtspersonen.

6. Aanwijzing stichting IKZ

De opmerkingen van de Afdeling zijn te verdelen in twee punten, namelijk ten eerste de vraag wie (politiek) verantwoordelijk is voor de gegevensverwerking en ten tweede de keuze voor de vorm van een stichting en hoe deze zich verhoudt tot de ministeriële verantwoordelijkheid.

Ten aanzien van de gegevensverwerking wil de Regering benadrukken dat expliciet is gekozen de gegevensverwerking in te vullen in wet- en regelgeving en vervolgens bij de stichting te beleggen. Op deze manier wordt deze taak op afstand van het ministerie geplaatst.

De kaders voor de gegevensverwerking door de stichting worden vastgesteld in wet- en regelgeving. De eerste verantwoordelijkheid voor een goede uitvoering van die wet- en regelgeving berust bij de stichting. De stichting wordt in het licht van de AVG beschouwd als verwerkingsverantwoordelijke. Zij is daarmee het eerste aanspreekpunt bij de uitvoering van de voor hen geldende wet- en regelgeving. De minister van Volksgezondheid, Welzijn en sport (hierna: de minister) kan politiek worden aangesproken op de inhoud en kwaliteit van de door hem in de wet- en regelgeving vastgestelde kaders en het toezicht op een deugdelijke uitvoering daarvan zoals dit ook geldt voor andere taken die bij wet- en regelgeving worden toebedeeld aan derden (instanties). De instrumenten die de minister tot zijn beschikking heeft om toezicht te houden op de stichting worden hierna omschreven.

Ten aanzien van de opmerking van de Afdeling dat de gegeven verantwoordingsmechanismen onvoldoende zijn in het licht van de (politieke) verantwoordelijkheid ten opzichte van de stichting erkent de Regering dat hier verduidelijking nodig is. Zoals hiervoor aangegeven is de Stichting IKZ verwerkingsverantwoordelijke en in zoverre op grond van de AVG aanspreekbaar. Echter, de minister dient ten aanzien van de uitoefening van de toebedeelde taak voldoende instrumenten in handen te hebben om toe te zien op een deugdelijke uitvoering. Om die reden is allereerst in artikel 1.1 bepaald dat de minister het IKZ bij ministeriële regeling kan aanwijzen. Dit geeft de bevoegdheid de taakuitoefening indien daartoe aanleiding bestaat bij een andere (geschiktere) instelling te beleggen. Voorts is door middel van delegatiegrondslagen bepaald dat bij of krachtens amvb regels worden gesteld over de inrichting, het beheer van, en de verantwoording door het IKZ. In de amvb worden regels opgenomen ten aanzien van vaststellen van het jaarplan van het IKZ en de hieraan verbonden bevoegdheid tot het geven van aanwijzingen. Hieronder zijn ook de begroting, het werkprogramma en beleidsvoornemens opgenomen. Deze grondslag in de wet ziet dus op actieve sturingsmogelijkheden voor de minister op de inhoudelijke uitvoering van de taak door het IKZ en niet enkel op aspecten die te maken hebben met de bedrijfsvoering. Voorts is bepaald dat er regels kunnen worden gesteld over de financiering en financiële verslaglegging. Te denken valt aan het overleggen van de begroting, zoals welke verantwoordingsvereisten er zijn. Voorzien wordt dat het IKZ wordt opgenomen in de Planning & control-cyclus van het Ministerie van VWS. Tot slot is er een ruime grondslag opgenomen dat er bij of krachtens amvb regels kunnen worden gesteld aan het aanwijzen van het IKZ (bij ministeriële regeling) en welke voorwaarden aan die aanwijzing worden verbonden. Dit kan in zoverre worden beschouwd als een sluitstuk op basis waarvan minimumvereisten kunnen worden opgenomen waaraan de aan te wijzen instelling dient te voldoen.

Parallel aan dit wetsvoorstel wordt de Stichting IKZ opgericht. In de statuten van de stichting is opgenomen wat het doel van de stichting is, waarmee een duidelijke doelbinding met de wet is vastgelegd. Ook is hierin bepaald dat het doel van de stichting niet kan worden gewijzigd zonder tussenkomst van de minister. De minister heeft de bevoegdheid om de bestuurders aan te wijzen (gehoord hebbende VNG en ZN), te schorsen en te ontslaan. Dit geeft hem de mogelijkheid om bij eventueel wanbeleid exclusief en direct op te treden en is hij niet afhankelijk van derden om te kunnen handelen. Ook moet de stichting alle door de minister verzochte inlichtingen aan de minister verstrekken en heeft de minister zitting in de raad van advies van de stichting.

Gelet op het advies van de Afdeling is nagegaan in hoeverre de gegeven instrumenten afwijken van de instrumenten die de minister zou hebben bij een publiekrechtelijke variant. Hieruit blijkt dat het samenspel aan instrumenten voortvloeiend uit onderhavig wetsvoorstel en de statuten van de op te richten stichting een nagenoeg vergelijkbaar niveau aan sturingsmogelijkheden biedt als bij een publiekrechtelijke rechtsvorm. Het advies van de Afdeling heeft aanleiding gegeven om in de (onderliggende) regelgeving de nodige instrumenten op te nemen en een aantal extra instrumenten voor de minister toe te voegen in de statuten voor de stichting, zodat een nog meer vergelijkbaar niveau aan sturingsmogelijkheden wordt gecreëerd.

Concreet is in de Wbsrz, artikel 2.7, bepaald dat bij of krachtens amvb regels worden gesteld over de inrichting en het beheer van en verantwoording door het IKZ. Ten aanzien van de verantwoording door het IKZ is in de Wbsrz bepaald dat de minister expliciet de bevoegdheid heeft om een aanwijzing te geven ten aanzien van het jaarplan. In de amvb wordt vervolgens ook bepaald dat de minister het jaarplan zal moeten goedkeuren. Daarnaast is in de Wbsrz nu aanvullend opgenomen dat de minister het IKZ kan verzoeken om de verstrekking inlichtingen en kan hij ook naar aanleiding hiervan een aanwijzing geven. In de amvb zal dit nader worden uitgewerkt. Ook worden er in de amvb regels gesteld over inzage en inspraak in de begroting, het werkprogramma en de beleidsvoornemens van het IKZ. Voorts is in de Wbsrz geregeld dat er regels worden gesteld over de financiering en financiële verslaglegging, dit omvat in ieder geval dat de minister hier inzage in krijgt. Tot slot is in de Wbsrz een bepaling opgenomen dat bij het aanwijzen van de instelling nog nadere regels kunnen worden gesteld, hiermee is beoogd om indien nodig in de amvb extra zekerheid te creëren rondom een zorgvuldige taakuitoefening van de aan te wijzen instelling.

In de statuten worden daarnaast de volgende aanvullende elementen opgenomen. Allereerst is bepaald dat twee leden van de Raad van Bestuur gezamenlijk kunnen overgaan tot ontslag van het derde lid van de Raad van Bestuur. Hieraan is toegevoegd dat dit plaatsvindt op grond van de door de minister verleende goedkeuring, nadat hij daarover de VNG en ZN heeft gehoord. Ten tweede is bepaald dat de stichting een intern register van nevenfuncties van bestuurders en medewerkers van de stichting bijhoudt. Toegevoegd is dat de minister te allen tijde recht heeft op kosteloze inzage van dit register en dat opname of wijzigingen in dit register onverwijld gemeld worden bij de minister. Ten derde is bepaald dat de leden van de Raad van Advies worden toegelaten door de Raad van Bestuur. Hieraan is toegevoegd dat deze toelating door de minister wordt goedgekeurd, nadat hij de VNG en ZN daarover gehoord heeft. Dit geldt tevens voor de opzegging en beëindiging van het lidmaatschap van de Raad van Advies. Tot slot is opgenomen dat de minister het jaarplan van de stichting vaststelt.

De in onderliggende regelgeving opgenomen instrumenten bieden een extra waarborg, omdat de sturingsmogelijkheden ten aanzien van de stichting op deze manier niet alleen vastliggen in de statuten van de stichting maar ook verankerd zijn in de wet- en regelgeving. Met het totaal van deze instrumenten kan de minister invulling geven aan zijn ministeriële verantwoordelijkheid ten opzichte van de stichting. Gelet op het feit dat een goede uitvoering van de wet- en regelgeving afhankelijk is van draagvlak bij alle betrokken instanties, ook de private partijen (zorgverzekeraars) en partijen met decentrale beleidsvrijheid (gemeenten), zoals ook toegelicht in paragraaf 4.2 van de toelichting, vindt de Regering dat de keuze voor de stichtingsvorm van belang is voor het waarborgen van een goede betrokkenheid van de diverse instanties en sluit deze keuze aan bij de functie die het IKZ bekleedt. Het geheel aan instrumenten en waarborgen in wet- en regelgeving en hetgeen bepaald is in de statuten, biedt volgens de Regering afdoende sturingsinstrumenten om invulling te geven aan de ministeriële verantwoordelijkheid, zonder afbreuk te doen aan de positie van betrokken instanties met oog voor de gelijkwaardigheid van die instanties. Daarmee zijn de uitgangspunten voor het noodzakelijke draagvlak onder en bereidheid tot actieve deelname van de betrokken instanties geborgd.

7.  Verwerkingsverantwoordelijkheid van het Inlichtingenburea

In het wetsvoorstel worden voor het IB wettelijke grondslagen gecreëerd voor de verwerking van persoonsgegevens ten behoeve van gemeenten ten aanzien van de Wmo 2015, Jeugdwet en uitwisseling van gegevens met het IKZ. De opmerking van de Afdeling gaat enkel over de rol en beoogde verwerkingsverantwoordelijkheid van het IB ten opzichte van die laatste rol, te weten de gegevensuitwisseling met het IKZ. Daarin signaleert zij dat een zelfstandige verwerkingsverantwoordelijkheid en de in de toelichting genoemde faciliterende rol voor het IB niet goed mogelijk zijn.

De Regering erkent dat dit verwarrend overkomt, met name door het woord ‘faciliteren’. Daarmee is bedoeld dat het IB gemeenten faciliteert door een knooppuntfunctie in de Wmo 2015 en Jeugdwet te bekleden die gemeenten anders allemaal zelf hadden moeten organiseren. Dit geldt in dezelfde mate voor de aansluiting van gemeenten op het IKZ. Beoogd is dat dit, zoveel mogelijk, geautomatiseerd gaat plaatsvinden. Het is daarbij ondenkbaar dat alle gemeenten hiervoor zelf een aansluiting moeten creëren.

Desalniettemin vervult het IB de rol van verwerkingsverantwoordelijke omdat er ten eerste onvoldoende sturingsrelatie tussen álle gemeenten enerzijds en het IB anderzijds kan bestaan. Dit heeft de AP, zoals in de toelichting aangegeven, reeds gesignaleerd. Anderzijds is ten aanzien van de verstrekking van gegevens aan het IKZ de rol van het IB bovendien groter. Het IB zal ten behoeve van gemeenten in de situatie dat een signaal is verstrekt aan het IKZ en het IKZ het signaal verrijkt en daarvoor gegevens opvraagt bij de betrokken instanties, zelf gegevens uit het Wmo- en Jw-berichtenverkeer verstrekken aan het IKZ. Bij die verwerking hebben gemeenten geen direct zicht op wat er bij die verwerking gebeurt, uitgaande van de nagestreefde automatisering van dit proces. Binnen de kaders van dit wetsvoorstel en beoogde onderlinge regelgeving zal het IB de noodzakelijke gegevens aan het IKZ verstrekken, in zoverre maakt het IB derhalve een zelfstandige afweging tot verstrekking van gegevens.

In paragraaf 4.8 is naar aanleiding van het advies van de Afdeling de rol en verwerkingsverantwoordelijkheid van het IB bij de gegevensuitwisseling met het IKZ verder verduidelijkt.

8. Subdelegatie

Naar aanleiding van het advies is het wetsvoorstel overeenkomstig de opmerking van de Afdeling aangepast. Zowel ten aanzien van het Waarschuwingsregister als het IKZ is subdelegatie voor de onderwerpen bewaartermijnen en rechten van betrokkenen uitgesloten. Voorts wordt opgemerkt dat het in de rede ligt dat ten aanzien van essentiële onderdelen, zoals de voorwaarden, vereisten, maatregelen en waarborgen waarbinnen de verwerking van gegevens in het kader van de wet moet plaatsvinden, de mogelijkheden tot subdelegatie beperkt zijn. Deze zaken worden in ieder geval gedetailleerd uitgewerkt op het niveau van algemene maatregel van bestuur. De mogelijkheden tot subdelegatie zien op aspecten die de uitvoeringspraktijk zodanig raken en aan verandering onderhevig zijn, dat het uit praktische overweging voor de hand ligt dit op het niveau van een ministeriële regeling te regelen. Het gaat dan bijvoorbeeld om (de technische) aspecten van inrichting van de elektronische voorzieningen van het IKZ en het mogelijk maken van geautomatiseerde koppelingen met systemen van betrokken instanties en de beveiliging van de elektronische voorzieningen. Wat betreft de beveiliging van persoonsgegevens bestaat het voornemen om het BIO voor te schrijven voor zowel het Waarschuwingsregister als het IKZ. (zie noot 55)

9. Voorts wordt van de gelegenheid gebruik gemaakt om enkele wijzigingen aan te brengen in de wettekst en memorie van toelichting, anders dan hiervoor reeds aan de orde gekomen en toegelicht.

In de eerste plaats betreft het aanpassingen van tekstuele en redactionele aard in zowel de wettekst als toelichting.

In de tweede plaats betreft het verbetering van de wettekst, naar aanleiding van voortschrijdend inzicht die onder andere voortvloeien uit het schrijven van de onderliggende regelgeving en die in het verlengde liggen van wat reeds in het wetsvoorstel was beoogd. Het betreft de volgende aanpassingen:
- In artikel 2.3 is in een nieuw ingevoegd lid expliciet opgenomen welke openbare bronnen het IKZ in het kader van verrijken van gegevens mag raadplegen. Het betreft het Handelsregister en het Jaardocument Maatschappelijke Verantwoording (JMV). Daarnaast zijn in de toelichting de mogelijkheden tot het raadplegen van (openbare) bronnen in het kader van de onderzoek en analyse taak van het IKZ beter beschreven, waarbij beter is aangesloten op de wettekst.
- In afstemming met diverse betrokkenen in het kader van de totstandkoming van de bij dit wetsvoorstel behorende amvb, is de wettekst betreffende de verstrekking van gegevens door het IKZ aan geëigende instanties aangepast. De bepaling is zo vormgegeven dat de uitzondering die voor deze verstrekking geldt, ingegeven door de geheimhoudingsplicht in artikel 67 van de Algemene wet inzake rijksbelastingen, alleen geldt voor gegevens van de rijksbelastingdienst en voor gegevens van de FIOD, voor zover het gegevens uit fiscaal opsporingsonderzoek betreft. Als gevolg van deze wijziging geldt de bepaling niet voor gegevens uit niet-fiscale opsporingsonderzoeken van de FIOD en voor gegevens van de Inspectie SZW, zoals dat in de vorige versie van het wetsvoorstel het geval was.
- In afstemming met diverse betrokkenen in het kader van de totstandkoming van de bij dit wetsvoorstel behorende amvb is de toelichting ten aanzien van politiegegevens als bedoeld in de Wet politiegegevens aangescherpt. Het betreft met name paragraaf 4.7.
- In artikel 1.2 van het voorstel, waarin is opgenomen dat op grond van de wet geen gegevens worden verstrekt waarop het medisch beroepsgeheim rust is artikel 88 van de Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) opgenomen, omdat deze wettelijke bepaling aangaande het beroepsgeheim onbedoeld nog ontbrak.
- In de Wmo 2015 en Jeugdwet is in de bepalingen waarin de verwerkingsverantwoordelijkheid voor het IB wordt geregeld, toegevoegd dat het gaat om de bij of krachtens amvb aangewezen verwerkingen. Dit is noodzakelijk gebleken om beter te verduidelijken bij welke verwerkingen het IB deze verantwoordelijkheid draagt. Daarbij wordt ten overvloede opgemerkt dat het niet gaat om een uitbreiding van bestaande verwerkingsgrondslagen, maar om een betere duiding welke verwerking het college verricht en welke door het IB (zullen) worden verricht.

Ik moge U verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De minister van Volksgezondheid, Welzijn en Sport


Voetnoten

(1) Kamerstukken II 2012/13, 28 828, nr. 40 (motie-Van Dijk en Bruins Slot), Kamerstukken II 2014/15, 25 657, nr. 195 (motie-Potters en Van Dijk) en Kamerstukken II 2015/16, 28 828, nr. 225.
(2) Zie de Matrix informatieprotocol convenantpartners IKZ 2016.
(3) Memorie van toelichting, paragraaf 4.1.
(4) Voorgesteld artikel 2.3, tweede lid.
(5) Memorie van toelichting, paragraaf 2.1.
(6) Voorgesteld artikel 2.4, eerste lid.
(7) Kamerstukken II 2014/15, 25 657, nr. 195.
(8) Kamerstukken II 2015/16, 28 828, nr. 225.
(9) Voorgesteld artikel 2.1, vierde lid.
(10) Op grond van voorgesteld artikel 2.1, eerste lid, kunnen colleges en ziektekostenverzekeraars elkaar gegevens verstrekken. Ziektekostenverzekeraars worden in voorgesteld artikel 1.1 gedefinieerd als zorgverzekeraars, Wlz-uitvoerders en particuliere ziektekostenverzekeraars.
(11) Voorgesteld hoofdstuk 3.
(12) Voorgesteld artikel 2.3, zesde lid.
(13) Memorie van toelichting, paragraaf 2.1.
(14) Memorie van toelichting, paragraaf 1.3 en 2.3.
(15) Memorie van toelichting, paragraaf 1.3 en 2.3.
(16) Memorie van toelichting, paragraaf 2.3.
(17) Memorie van toelichting, paragraaf 1.3.
(18) Vergelijk memorie van toelichting, paragraaf 3.3.
(19) Artikel 14, vijfde lid, sub b, AVG.
(20) Memorie van toelichting, paragraaf 3.4.
(21) Zie artikel 14, vijfde lid, sub b, AVG. Vergelijk ook artikel 23, tweede lid, AVG.
(22) Artikel 14, vijfde lid, sub b, laatste volzin, AVG.
(23) Memorie van toelichting, paragraaf 3.2.
(24) Artikel 10 AVG jo. artikel 32, eerste lid, sub b, UAVG.
(25) Voorgesteld artikel 2.3, eerste lid.
(26) Voorgesteld artikel 2.3, tweede lid.
(27) Matrix informatieprotocol convenantpartners IKZ 2016. Zie ook memorie van toelichting, paragraaf 2.2.
(28) Memorie van toelichting, paragraaf 1.2.
(29) Artikel 2.3, tweede en derde lid.
(30) Memorie van toelichting, paragraaf 4.3.
(31) Artikel 2.4, eerste lid.
(32) Memorie van toelichting, paragraaf 4.3. Zo wordt in het jaarbeeld 2018 van het IKZ vermeld dat in samenwerking met deelnemende instanties met clusteranalyse is gezocht op kenmerken die samenhangen met een risico op fraude. Daarnaast is een zorgbrede risicoanalyse-pilot uitgevoerd. Ook wordt aanbevolen om een fraude-voorspel-model te ontwikkelen.
(33) Memorie van toelichting, paragraaf 4.4.
(34) Artikel 4, sub 4, AVG definieert profilering als: "elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen".
(35) Zie het advies van de Afdeling van 21 november 2019 over het wetvoorstel gegevensverwerking door samenwerkingsverbanden (WGS) (nr.W16.19.0159/II, punt 5).
(36) De praktijk van het IKZ wijst op de wenselijkheid van profilering en systematische gegevensverwerking. Zie hiervoor ook voetnoot 32.
(37) De systematische gegevensverwerking is op zichzelf ook een inmenging met het recht op privéleven.
(38) Zie punt 3b van dit advies.
(39) Zie het advies van de Afdeling van 21 november 2019 over het wetvoorstel gegevensverwerking door samenwerkingsverbanden (WGS) (nr.W16.19.0159/II, punt 5).
(40) Rechtbank Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865. De rechtbank toetst hier aan artikel 8 EVRM, en gaat met name in op de algemene beginselen van het gegevensbeschermingsrecht.
(41) Memorie van toelichting, paragraaf 4.2.
(42) Memorie van toelichting, paragraaf 4.2
(43) Memorie van toelichting, paragraaf 4.2.
(44) Memorie van toelichting, paragraaf 4.2.
(45) Zie het advies van de Afdeling van 21 november 2019 over het wetvoorstel gegevensverwerking door samenwerkingsverbanden (WGS) (nr.W16.19.0159/II), punt 4.
(46) Voorgesteld artikel 2.3, zesde lid.
(47) Voorgesteld hoofdstuk 3.
(48) Memorie van toelichting, paragraaf 4.8.
(49) Memorie van toelichting, paragraaf 4.8.
(50) In de memorie van toelichting (paragraaf 4.8) wordt vermeld dat het IB ‘formeel taken kan vervullen ten behoeve van gemeenten’.
(51) Voorgesteld artikel 2.2.
(52) Voorgesteld artikel 2.6.
(53) Dat wil zeggen, het protocol waarin de gerechtvaardigde overtuiging van fraude wordt uitgewerkt. Zie ook paragraaf 3b.
(54) Aanwijzing 2.24 van de Aanwijzingen voor de regelgeving.
(55) Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek.