In de praktijk speelt regelmatig de vraag of een Regionaal Expertise Centrum (RIEC) (gezamenlijk) verwerkingsverantwoordelijk is in de zin van de Algemene verordening gegevensbescherming (AVG), bijvoorbeeld als sprake is van een inzageverzoek in de zin van artikel 15 van de AVG. In zijn arrest van 22 februari 2022 oordeelt het Gerechtshof Arnhem-Leeuwarden dat het RIEC Noord-Nederland (RIEC NN) geen (gezamenlijk) verwerkingsverantwoordelijke is in de zin van de AVG. Op 1 maart 2022 oordeelde de rechtbank Noord-Nederland dat het RIEC NN noch een natuurlijke persoon, noch een rechtspersoon is en om die reden geen partij kan zijn in een civiele procedure. De rechtbank voegde daar ten overvloede aan toe dat RIEC NN geen verwerkingsverantwoordelijke kan zijn. In dit blog wordt nader ingegaan op het arrest van het Hof, het wetsvoorstel Wet Gegevensverwerking Samenwerkingsverbanden en welke rol het RIEC dan wel bekleedt.
Samenwerking in RIEC-verband
Het RIEC NN is in 2009 ontstaan als een samenwerkingsverband tussen verschillende overheidsorganisaties in het kader van de bestuurlijke en geïntegreerde aanpak van georganiseerde criminaliteit. Er zijn in Nederland elf regionale RIEC’s en één Landelijk Informatie- en Expertisecentrum (LIEC). Een RIEC kent geen rechtspersoonlijkheid en is een samenwerkingsverband tussen onder meer gemeenten, het openbaar ministerie, de politie, de belastingdienst en het FIOD (de convenantpartners). De organisatie kent geen wettelijke basis en is geregeld in een Convenant.
Juridisch kader
Volgens artikel 4, zevende lid, van de AVG is de verwerkingsverantwoordelijke “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel en de middelen voor verwerking van persoonsgegevens vaststelt.” Artikel 26 van de AVG handelt over gezamenlijke verwerkingsverantwoordelijkheid.
Op grond van artikel 5.1 van het Convenant vindt de informatie-uitwisseling in RIEC-verband plaats onder de gezamenlijke verantwoordelijkheid van de convenantpartners. Mede ter invulling van artikel 26 van de AVG is een Privacyprotocol RIEC’s/LIEC vastgesteld met enkele bijbehorende Procesbeschrijvingen. Op grond van artikel 11.1 van het Privacyprotocol zijn de convenantpartners afzonderlijk verwerkingsverantwoordelijk voor de persoonsgegevens die zij verstrekken aan het RIEC ten behoeve van in het Convenant nader genoemde werkprocessen (als bedoeld in artikel 9.1). Op grond van artikel 11.2 van het Privacyprotocol zijn de convenantpartners conform artikel 26 AVG gezamenlijk verwerkingsverantwoordelijk voor de verwerking van persoonsgegevens die zij, anders dan de verstrekking zoals bedoeld in artikel 11.1, verwerken op locatie of in de informatiesystemen van het RIEC in het kader van de samenwerking voor de doeleinden zoals omschreven in het Convenant (artikel 5).
Oordeel Gerechtshof Arnhem Leeuwarden (Hof)
Onder verwijzing naar de arresten ‘Wirtschaftakademie’, ‘Jehoven Todistajat’ en ‘Fashion ID’ oordeelt het Hof dat geen hoge eisen worden gesteld aan de kwalificatie van (gezamenlijke) verwerkingsverantwoordelijke, maar dat het nu ook weer niet zo is dat elke betrokkenheid bij de verwerking van persoonsgegevens of het hebben van enig belang daarbij, al voldoende is. In alle arresten was volgens het Hof sprake van actieve handelingen en/of beslissende invloed op de (criteria voor) verwerking.
Het Hof oordeelt vervolgens aan de hand van twee verklaringen van medewerkers van het RIEC NN (in dienst bij de gemeente) dat de werkwijze binnen het RIEC NN overeenkomst met de werkwijze die in het Privacyprotocol is vastgelegd. Daarmee oefent het RIEC NN volgens het Hof niet in relevante mate invloed uit op het doel en de middelen van de verwerking van persoonsgegevens en neemt het RIEC NN daaraan ook niet actief deel. Het RIEC NN is daarom niet aan te merken als (gezamenlijk) verwerkingsverantwoordelijke, dat zijn de convenantpartners, aldus het Hof.
Het Hof gaat niet in op een aantal opvallende oordelen in het vonnis in eerste aanleg. De rechtbank had geoordeeld dat het RIEC niet als verwerkingsverantwoordelijke en als procespartij kan optreden omdat het rechtspersoonlijkheid ontbeert en ook geen bestuursorgaan is. Dit kan volgens het Hof in het midden blijven omdat het RIEC door hem om andere, hiervoor weergegeven redenen, niet als verwerkingsverantwoordelijke wordt aangemerkt. Daarnaast oordeelde de rechtbank dat de convenantpartners alléén gezamenlijk in rechte konden worden opgeroepen. Dit punt bespreekt het Hof in het geheel niet, mogelijk omdat hiertegen geen grief was gericht.
Wet Gegevensverwerking Samenwerkingsverbanden (WGS)
De RIEC’s kennen evenals het LIEC, geen wettelijke grondslag. Het wetsvoorstel Wet Gegevensverwerking Samenwerkingsverbanden (WGS), dat momenteel aanhangig is bij de Eerste Kamer (EK 35447), beoogt dat te veranderen en deze samenwerkingsverbanden een adequate juridische basis te geven. Zo worden in artikel 2.16, eerste lid, van de WGS de RIEC’s aangewezen als samenwerkingsverbanden in de zin van deze wet. In artikel 1.4 van de WGS wordt voorts bepaald dat de deelnemers van een samenwerkingsverband gezamenlijke verwerkingsverantwoordelijken zijn als bedoeld in artikel 26, eerste lid, van de AVG voor de verwerking van persoonsgegevens door het samenwerkingsverband.
Rol RIEC
De vraag welke rol een convenantpartner of het RIEC heeft in het kader van gegevensverwerking dient vooralsnog te worden bepaald aan de hand van de concrete (feitelijke) situatie. Hetgeen partijen onderling hebben afgesproken (in convenanten en/of protocollen) is daarbij niet doorslaggevend. Het Hof oordeelt aan de hand van de werkwijze van het RIEC dat het RIEC niet in relevante mate invloed uitoefent op het doel en de middelen van de verwerking van persoonsgegevens en daaraan niet actief deelneemt. Volgens het Hof is het duidelijk dat in het kader van de door RIEC NN verrichte activiteiten ook persoonsgegevens worden verwerkt. Het Hof oordeelt echter dat het RIEC een instrumentele rol heeft. Volgens het Hof voert het RIEC de door de convenantpartners aangedragen projecten uit en faciliteert het delen van door die partners beschikbaar gestelde persoonsgegevens met andere partners. Deze partners bepalen welke gegevens gedeeld kunnen worden. Nu het RIEC volgens het Hof niet als (gezamenlijk) verwerkingsverantwoordelijke kan worden gezien, rijst de vraag hoe het RIEC dan wel moet worden ‘geduid’. Daarover laat het Hof zich verder niet uit. Als het RIEC in de praktijk al gezien zou kunnen worden als enkel de benaming van een in een convenant vastgelegde samenwerking, is het RIEC evenmin aan te merken als verwerker. Datzelfde lijkt dan te moeten gelden voor het LIEC, maar het LIEC is op grond van het Privacyprotocol wel als verwerker aan te merken. Volgens artikel 11.5 jo. 11.4 van het Privacyprotocol vervult het LIEC voor de verwerking in de door de RIEC’s gebruikte geautomatiseerde informatiesystemen immers de rol van verwerker. Overigens is ook in de Memorie van Toelichting bij het oorspronkelijke wetsvoorstel WGS opgenomen dat het LIEC de rol van verwerker vervult (p. 29). Met het arrest van het Hof blijven dan ook nog de nodige vragen onbeantwoord.
Tot slot
Nu het RIEC niet als verwerkingsverantwoordelijke wordt aangemerkt, dient door de gezamenlijk verwerkingsverantwoordelijke convenantpartners op het inzageverzoek te worden besloten. In de praktijk is dat niet eenvoudig omdat de nodige afstemming is vereist tussen de gezamenlijk verwerkingsverantwoordelijken en de AVG een korte beslistermijn kent. Op het onderhavige inzageverzoek is alsnog inhoudelijk besloten door de gezamenlijk verwerkingsverantwoordelijke convenantpartners. Daarover is een procedure aanhangig bij de bestuursrechter.
Contact
Voor vragen kunt u contact opnemen met Anke van de Laar of een van onze andere specialisten van de Sectie Privacy en Gegevensbescherming. Zij staan u graag te woord.
Advocaat & Partner