City Deal zicht op ondermijning

PARTIJEN,

1. de burgemeesters en de colleges van burgemeester en wethouders van de gemeenten Amsterdam, Den Haag, Rotterdam, Utrecht en Tilburg, allen handelend als bestuursorgaan van de genoemde gemeenten, hierna te noemen: de gemeenten;

2. de minister van Veiligheid en Justitie, de staatssecretaris van Financiën, de minister van Binnenlandse Zaken en Koninkrijksrelaties, allen handelend als bestuursorgaan en als vertegenwoordiger van de Staat der Nederlanden, hierna samen te noemen: de ministeries

3. de directeur-generaal van het Centraal Bureau voor de Statistiek, handelend als zelfstandig bestuursorgaan;

4. de korpschef van politie, handelend als bestuursorgaan van de Politie;

5. de voorzitter van College procureurs-generaal, handelend als het Openbaar Ministerie.

hierna allen gezamenlijk te noemen: Partijen;

OVERWEGEN HET VOLGENDE,

Algemene context Agenda Stad

  • a. Rijksoverheid, gemeenten en andere actoren werken aan de totstandkoming van de Agenda Stad, die de groei, innovatie en leefbaarheid van steden moet versterken en daarmee de productiviteitsgroei van Nederlandse steden.

  • b. Deze actoren tezamen beogen hier onder andere invulling aan te geven door middel van het sluiten van ‘city deals’. City deals onderscheiden zich in het feit dat ze:

    • 1) een aansprekende ambitie formuleren ten aanzien van een of meerdere grote maatschappelijke opgaven;

    • 2) agglomeratiekracht organiseren (massa/schaalvoordeel door samenwerking tussen en/of binnen stedelijke regio’s);

    • 3) betrokkenheid kennen van uiteenlopende publieke en private partijen (waaronder de Rijksoverheid);

    • 4) innovatief en gericht zijn op doorbraken, door bijvoorbeeld bestaande systemen anders vorm te geven en

    • 5) (inter)nationaal aansprekend zijn en te promoten zijn.

Context city deal Zicht op ondermijning

Naar een effectievere aanpak van georganiseerde ondermijnende criminaliteit en sociale onveiligheid

  • a. Ondermijnende criminaliteit is georganiseerde of stelselmatig gepleegde criminaliteit die de structuur van de maatschappij misbruikt en verzwakt. Voor de verbetering van de leefbaarheid en het economische klimaat van de grote gemeenten is veiligheid een essentiële randvoorwaarde. De afgelopen jaren is gebleken dat veel veiligheidsproblemen – meer dan eerder werd gedacht – worden veroorzaakt door ondermijnende criminaliteit.

    Ook de complexiteit, de taaiheid en de maatschappelijke worteling van ondermijnende criminaliteit is aanzienlijk groter gebleken dan eerder gedacht, zoals blijkt uit diverse onderzoeksrapporten.1 Een belangrijke notie is dat ondermijnende criminaliteit niet alleen als een criminaliteitsprobleem moet worden benaderd dat in termen van het strafrecht en de rechtsorde moet worden uitgelegd. Het is ook een sociaal maatschappelijk probleem, dat op verschillende manieren is vergroeid met de samenleving. Ondermijnende criminaliteit kan sterk ingebed raken en een machtspositie opbouwen in bepaalde wijken en economische sectoren, waardoor wegkijken, acceptatie en zelfs aanmoediging de norm kan worden. Bijvoorbeeld in kwetsbare wijken blijkt een cumulatie van sociale problematiek vaak een voedingsbodem voor ondermijnende criminaliteit2. Een graantje meepikken of het verrichten van hand- en spandiensten aan fraude, drugsproductie en andere vormen van criminaliteit kan leiden tot parallelle samenlevingen waar dit de norm wordt. Sociale druk en ook financieel gewin spelen hier een grote rol, waar met name reeds kwetsbare personen extra gevoelig voor zijn. Het resultaat is dat het vertrouwen van burgers in de overheid wordt aangetast en dat de weerbaarheid van burgers en het maatschappelijk middenveld tegen ondermijnende criminaliteit afneemt.

  • b. De aanpak van ondermijnende criminaliteit vergt daarom naast de blijvende inzet van verschillende repressieve instrumenten ook een stevige en langdurige preventieve aanpak, gericht op het wegnemen van de sociale voedingsbodem en de aanpak van gelegenheidsstructuren en kwetsbare sectoren en branches. Dit betekent dat diverse overheidsorganisaties, zowel landelijk als lokaal, bijdragen aan een effectieve aanpak door daar waar mogelijk op te treden als één overheid. Voor een gemeente is ondermijnende criminaliteit ook altijd een probleem dat lokaal tot uiting komt. Uit de hierboven aangehaalde rapporten blijkt dat een gebiedsgebonden aanpak daarom een noodzakelijk onderdeel van de aanpak, met een gecombineerde inzet van handhavende en preventieve maatregelen. Diverse gemeenten en regio’s hebben hierin het voortouw genomen. Om die beweging voor de komende jaren te stimuleren is in het Landelijk Platform Geïntegreerde Aanpak Ondermijnende Criminaliteit (GOC) een ‘Toekomstagenda Ondermijning’ vastgesteld.

  • c. De politie en het Openbaar Ministerie zijn van oudsher gericht op de lokale maar ook de regionale en (inter)nationale opsporing en strafrechtelijke vervolging van de ondermijnende criminaliteit en zij hebben de afgelopen jaren meer en meer de samenwerking gezocht met andere overheidspartijen om vanuit een monodisciplinaire strafrechtelijke aanpak te komen tot een geïntegreerde aanpak waarbij naast de opsporing ook bestuur(srechte)lijke en fiscale maatregelen worden genomen.

  • d. De gezamenlijke aanpak van criminaliteitsproblemen komt onder andere tot uiting in samenwerkingsverbanden zoals de Regionale Informatie en Expertise Centra (RIEC’s). In deze samenwerkingsverbanden werken politie, OM, Belastingdienst en andere overheidsorganisaties samen in de gezamenlijke aanpak van georganiseerde ondermijnende criminaliteit, onverklaarbaar vermogen en fraude. In deze samenwerkingsverbanden wordt informatie verwerkt ten behoeve van opsporing, vervolging, executie en bestuurlijke handhaving van bepaalde vormen van georganiseerde criminaliteit.

  • e. Essentieel bij een gezamenlijke aanpak is een goede onderlinge uitwisseling van gegevens en de beschikbaarheid van analyses die scherp zicht geven op de aard, verschijningsvormen en lokale worteling van de problematiek. Dergelijke onderliggende informatiebeelden en analyses van de problematiek kunnen noodzakelijk zijn om te kunnen komen tot een werkelijk effectieve en doelgerichte aanpak om strategische keuzes te kunnen maken die ook inspelen op onderliggende maatschappelijke factoren. Probleemgericht, informatie gestuurd en integraal werken is een basisvoorwaarde voor een succesvolle aanpak van ondermijnende criminaliteit. Behalve aan operationele informatie gericht op concrete handhaving is er behoefte aan fenomeenanalyses op lokaal en bovenlokaal niveau ten behoeve van beleidsvorming. Deze analyse moet inzicht geven in onderliggende mechanismen en patronen aan de hand waarvan initiatieven worden genomen om generieke interventies uit te voeren. Deze interventies zijn om de kwetsbaarheid te verminderen en de weerbaarheid te versterken van wijken, sectoren en branches, burgers en het maatschappelijk middenveld.

  • f. In de praktijk worden allerlei belemmeringen ervaren bij de uitwisseling van informatie in het veiligheidsdomein. Niet alleen bij de aanpak van concrete casussen, maar ook bij de bredere analyse van patronen op basis van databestanden. Dit betreft onder meer de beschikbaarheid en kwaliteit van data voor het uitvoeren van betekenisvolle analyses. Ook zijn de wettelijke kaders, die veelal open normen bevatten of toegespitst zijn op bepaalde domeinen, niet altijd eenvoudig toepasbaar in samenwerkingsverbanden.

  • g. Met de proefprojecten georganiseerd door gemeenten kunnen de mogelijkheden en beperkingen van data-analyse voor de aanpak van georganiseerde ondermijnende criminaliteit en het versterken van de maatschappelijke weerbaarheid verder worden verkend. Daarbij kunnen ook landelijke overheden en overheidsinstanties, zoals ministeries, politie, Openbaar Ministerie en Belastingdienst een bijdrage leveren met inhoudelijke kennis en relevante data.

Toepassing data-analyse: nieuwe kansen en waarborgen

  • a. Op 28 april 2016 heeft de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) het rapport “Big Data in een vrije en veilige samenleving” aangeboden aan het kabinet. Met dit rapport geeft de Raad zijn reactie op de adviesaanvraag van het kabinet over het thema “Big Data, veiligheid en privacy” van 26 mei 2014. In een reactie op de aanbevelingen in het rapport formuleert het kabinet een aantal beleidsuitgangspunten en actiepunten met betrekking tot data analytics op het terrein van de veiligheid (Kamerstukken II 2016/17, 26 643, nr. 426, met bijlage).

  • b. Het gebruik van data-analyse biedt volgens het kabinet kansen voor de uitvoering van de verschillende overheidstaken, voor het verhogen van de efficiëntie in de uitvoering van taken (zoals meer op risico-inschatting gebaseerde inspecties) en in de effectiviteit van deze taken, zodat kan worden bijgedragen aan veiligheid, dienstverlening en zorg aan burgers.

  • c. De verdere ontwikkeling van het gebruik van data-analyse moet echter plaatsvinden met de gelijktijdige ontwikkeling van effectieve waarborgen om risico’s in passende mate te beperken. Bescherming van de privacy (waaronder bescherming van persoonsgegevens), het verbod van discriminatie, transparantie en betrouwbaarheid van zowel data als analysemethoden staat centraal. Alleen als aan deze aspecten voldoende aandacht wordt geschonken, die aandacht uitmondt in effectieve waarborgen en deze waarborgen op de juiste wijze worden toegepast, kan bij de burgers een duurzaam vertrouwen bestaan in de wijze waarop de overheid data-analyse benut bij de uitvoering van haar taken. Daartoe is van belang dat meer kennis wordt opgedaan met de toegevoegde waarde van data-analyse bij de uitvoering van overheidstaken in het algemeen en in het veiligheidsdomein in het bijzonder.

  • d. De wettelijke kaders en beleidsuitgangspunten hebben een algemeen normerend karakter en zullen pas in de praktijk een concrete invulling krijgen. De grenzen van wat wel of niet mag, zijn soms nog onduidelijk. Dit kan via experimenten worden verhelderd ten behoeve van de praktijk. In de kabinetsreactie is als actiepunt opgenomen dat de verankering en uitwerking van de geformuleerde beleidsuitgangspunten ook bevorderd kan worden door het uitvoeren van experimenten. Het bevorderen van experimenten wordt ingegeven door de gedachte dat de overheid met betrekking tot data-analyse vooral een lerende overheid dient te zijn die binnen de wettelijke kaders experimenteert en daarbij gebruik maakt van kennis die elders al is ontwikkeld.

  • e. Een ander actiepunt uit de kabinetsreactie betreft het voornemen te bezien of de wettelijke basis voor het uitvoeren en gebruiken van data-analyses versterking behoeft, met inbegrip van de waarborgen die daarbij gehanteerd dienen te worden.

KOMEN HET VOLGENDE OVEREEN

Artikel 1 Doelen

De doelen van dit project zijn:

  • 1. Bij te dragen aan een versterking en verbetering van de preventieve aanpak van georganiseerde ondermijnende criminaliteit.

  • 2. Meer inzicht te verkrijgen in de methodiek van data-analyse. Deze city deal is daarmee één van de trajecten waarmee invulling wordt gegeven aan de toezegging in de kabinetsreactie op het WRR-rapport tot het doen van experimenten op het gebied van data-analyse.

    Deze twee hoofddoelen doelen laten zich vertalen in de volgende subdoelen:

    Ad 1 Het verkrijgen van inzicht in de onderliggende patronen van ondermijnende criminaliteit ten behoeve van het kunnen formuleren van een effectieve strategie gericht op handhaving en preventie en versterking van de maatschappelijke weerbaarheid. Aan het einde van de looptijd van dit initiatief willen de partijen de volgende inzichten gerealiseerd hebben:

    • a. Het herkennen van lokale en regionale patronen binnen georganiseerde ondermijnende criminaliteit; herkennen van gelegenheidsstructuren en kwetsbare sectoren en branches; onderkennen van (gebrek aan) maatschappelijke weerbaarheid.

    • b. Het verkrijgen van indicatoren om effectiever beleidsmatig keuzes te kunnen maken, drempels te kunnen opwerpen en instrumentarium te ontwikkelen voor de aanpak van ondermijnende criminaliteit per deelnemende partij.

    Ad 2 Het verkrijgen van verschillende inzichten in de mogelijkheden en grenzen van data-analyse bij het in kaart brengen van de onderliggende patronen in de te onderzoeken thema’s, ten einde bij te dragen aan een effectieve en legitieme inzet van data-analyse in de aanpak van ondermijnende criminaliteit. Aan het einde van de looptijd van dit project willen de partijen het volgende gerealiseerd hebben:

    • a. Inzicht in de kwaliteit van de beschikbare data die noodzakelijk is voor het kunnen verrichten van betrouwbare analyses en inzicht in eventuele onvolkomenheden in de beschikbare databestanden, ten behoeve van gerichte acties door de deelnemende partijen ter verbetering van de eigen datasystemen.

    • b. Inzicht in de kansen en belemmeringen (zowel praktisch als juridisch) voor het uitvoeren van data-analyse met gegevens van verschillende publieke partijen en mogelijk ook private partijen.

    • c. Nadere invulling van de aanbevelingen van de WRR en de concrete acties zoals geformuleerd in de kabinetsreactie daarop (Kamerstukken II 2016/17, 26 643, nr. 426); trekken van praktische lessen en deze beschikbaar maken.

    • d. Vergroting van de bewustwording van de praktische mogelijkheden en beperkingen van het gebruik van data-analyse, onder andere in het kader van criminaliteitsbestrijding, door middel van een reproduceerbaar, transparant traject en daarmee bijdragen aan een breder debat over de vraag of het gebruik van data-analyse verder ontwikkeld mag worden gezien de juridische en ethische aspecten van data-analyse.

    • e. Inzicht in de juridische mogelijkheden en onmogelijkheden van de deelnemende partijen voor het opstellen van data analyses.

Artikel 2 Onderzoeksthema’s

Deze city deal richt zich op de data-analyse ten behoeve van onderstaande thema’s die relevant zijn voor ondermijnende criminaliteit. Elke gemeente zal in ieder geval een van deze thema’s analyseren en de andere partijen denken hierbij mee. De aanpak kent een lerend en evaluerend karakter. Gegeven de onderzoekende en experimenterende aard van de city deal zullen Partijen werken met een dynamische agenda die gedurende de city deal ruimte biedt voor nieuwe inzichten en activiteiten.

De thema’s waar de aan deze city deal deelnemende partijen zich op gaan richten zijn:

  • 1. Integriteit financiële stromen en vastgoedfraude

  • 2. Drugscriminaliteit

    Om te komen tot nieuwe inzichten die relevant kunnen zijn voor de aanpak van ondermijnende criminaliteit zal gebruik worden gemaakt van gegevens uit diverse relevante en beschikbare bronnen.

    Vragen per thema zullen open worden geformuleerd, zodat ook minder voor de hand liggende patronen van ondermijnende criminaliteit zichtbaar kunnen worden gemaakt en kansrijke zoekrichtingen kunnen worden geïdentificeerd voor nader gericht(er) onderzoek. De gegevens zullen met domeinexperts en analisten worden vertaald naar potentieel bruikbare indicatoren, gericht op herkennen van patronen en fenomenen met betrekking tot de hiervoor genoemde thema’s.

Artikel 3 Algemene uitgangspunten

  • a. De onder deze city deal te ontplooien proefprojecten moeten zich richten op het herkennen van fenomenen en patronen op basis van data-analyse. Het gaat dus niet om operationele informatie in bijvoorbeeld casusoverleggen. De resultaten van de analyses zijn de patronen en fenomenen, het gaat niet om specifieke situaties en namen van natuurlijke personen en/ of rechtspersonen ten behoeve van opsporing en handhaving.

  • b. Eén van de doelstellingen van deze city deal is het goed en gefundeerd in beeld brengen van kansen en belemmeringen voor het uitvoeren van data-analyse. Dit betekent dat in de voorgenomen activiteiten en projecten de grenzen en mogelijkheden worden verkend in de wetenschap dat dit kan leiden tot discussie.

  • c. Bij het uitvoeren van de projecten zal zo veel mogelijk transparantie worden betracht met als doel inzicht geven in de reproduceerbaarheid van de resultaten en in de toegepaste methoden. Dit omvat onder andere documentatie over toelaatbare foutmarges, de bij de analyses gehanteerde logica, het doel van de analyses en de daarvoor gebruikte databestanden, met dien verstande dat de transparantie beperkt blijft, voor zover zij de effectiviteit van het gebruik van de uitkomsten van dergelijke analyses nadelig zou beïnvloeden.

  • d. Voor een effectieve analyse van fenomenen is ook de medewerking van maatschappelijke actoren en van private partijen gewenst, zoals bijvoorbeeld woningcorporaties en financiële instellingen zoals banken en (zorg)verzekeraars.

  • e. Het sluiten van ‘maatschappelijke coalities’ is daarom van groot belang. De ondertekenaars van dit initiatief zien het als hun opdracht om waar relevant de betrokkenheid van maatschappelijke actoren en private partijen in de komende periode nader te concretiseren, zodat ook van die zijde concrete acties en bijdragen aan het welslagen van de city deal kunnen worden geleverd. Bij de uitwerking van de proefprojecten zal worden verkend welke partijen willen en kunnen participeren en welke bijdrage zij zullen leveren aan de proefprojecten.

Artikel 4 Juridisch kader en beleidsuitgangspunten verwerking persoonsgegevens

  • a. De verwerking van persoonsgegevens ten behoeve van de uit te voeren analyses geschiedt met inachtneming van de Wet bescherming persoonsgegevens (Wbp) en met ingang van 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming alsmede, afhankelijk van de aard van de te verwerken persoonsgegevens, andere relevante wettelijke bepalingen met betrekking tot de bescherming van persoonsgegevens, zoals de Wet politiegegevens (Wpg), de Wet justitiële en strafvorderlijke gegevens (Wjsg) en de Wet op het Centraal bureau voor de statistiek (Wet CBS). Verder wordt hierbij het juridisch toetsingskader city deal Zicht op ondermijning in acht genomen, waarvan de voornaamste punten ook in dit artikel zijn opgenomen. Dit toetsingskader maakt onderdeel uit van de projectplannen en wordt waar nodig geactualiseerd.

  • b. Afhankelijk van de aard van de analyse zal met verwerking van geanonimiseerde gegevens worden volstaan.

  • c. Ten behoeve van de uit te voeren analyses worden in de eerste plaats de gegevens verwerkt die het CBS al beschikbaar heeft. Indien het CBS de voor de analyse noodzakelijke gegevens niet heeft, kunnen de Partijen aanvullend en eenmalig eigen gegevens aan het CBS verstrekken of aan derden verzoeken deze aan het CBS te verstrekken. Deze gegevens worden, tenzij anders afgesproken, alleen ten behoeve van de uit te voeren analyse gebruikt. Bij de verwerking van zowel de gegevens die het CBS al beschikbaar heeft, als de hiervóór bedoelde aanvullende gegevens hanteert het CBS de voorschriften die daarvoor in de Wet op het CBS en daarop gebaseerde richtlijnen zijn vastgesteld.

  • d. De verstrekking van aanvullende gegevens als bedoeld in onderdeel c geschiedt, voor zover het persoonsgegevens betreft, op basis van artikel 9, derde lid, en 23, tweede lid, Wbp (verwerking ten behoeve van historische, statistische of wetenschappelijke doeleinden). Voor zover het politiegegevens betreft, geschiedt de verstrekking op basis van artikel 22, eerste lid, van de Wet politiegegevens en artikel 4:7 van het Besluit politiegegevens. Voor zover het justitiële of strafvorderlijke gegevens betreft, geschiedt zij op basis van artikel 15, onderscheidenlijk 39g van de Wet justitiële en strafvorderlijke gegevens en artikel 15 van het Besluit justitiële en strafvorderlijke gegevens.

  • e. De verantwoordelijke voor de verstrekking van persoonsgegevens in de zin van de Wbp is degene die gemachtigd is deze gegevens te verstrekken, van eventuele politiegegevens de korpschef, van eventuele justitiële gegevens de Minister van Veiligheid en Justitie en van eventuele strafvorderlijke gegevens het College van procureurs-generaal. De verantwoordelijke voor de verdere verwerking van de verstrekte gegevens ten behoeve van de uit te voeren analyse is de opdrachtgever voor deze analyse.

  • f. Voor de uitvoering van de analyse worden alleen datasets gebruikt die volgens een degelijk onderbouwde verwachting noodzakelijk zijn voor het doel van de analyse. Voor zover het zonder onevenredige inspanning mogelijk is om noodzakelijke extracten of deelverzamelingen uit deze datasets te halen, dient bovendien te worden volstaan met de verwerking van die data-extracten of deelverzamelingen.

  • g. De verantwoordelijke voor de uitvoering van de analyse legt vast welke categorieën van persoonsgegevens van welke categorieën van betrokkenen voor welke doeleinden worden verwerkt, de bronnen of systemen waaruit deze afkomstig zijn, wie de verstrekker is van deze gegevens en op welke wettelijke grondslag de verstrekking plaatsvindt.

  • h. Bij de opzet en uitvoering van de proefprojecten zullen de beleidsuitgangspunten uit de brief van het kabinet van 11 november 2016 aan de Tweede Kamer met zijn reactie op het WRR-rapport “Big Data in een vrije en veilige samenleving” leidend zijn (Kamerstukken II 2016/17, 26 643, nr. 426, blz. 7-8.

  • i. Het resultaat van de analyse (in de vorm van rapportages) mag geen persoonsgegevens bevatten.

  • j. Een ieder die op grond van dit convenant kennis neemt van persoonsgegevens is verplicht tot geheimhouding daarvan.

Artikel 5 Fasering en deelproducten

Het proces kent de opeenvolgende fases:

  • 1. eerste onderzoeksfase met beschikbare data van CBS;

  • 2. ontwerp en uitvoering van verdiepend onderzoek, aangevuld met beschikbare data van landelijke partijen, indien toegestaan en waar mogelijke aangevuld met data van private partijen;

  • 3. evaluatie proefprojecten; en

  • 4. het opstellen van een gezamenlijke veranderagenda.

Deelproducten:

  • a. Analyse en beschrijving van de juridische mogelijkheden en wettelijke grondslagen, inclusief noodzakelijke organisatorische en technische maatregelen om data-analyse in de betreffende proefprojecten uit te voeren.

  • b. Uitproberen (experimenteren) binnen deze kaders en verslaglegging van de uitgevoerde projecten en gekozen oplossingen (gehanteerde juridische kaders, genomen organisatorische en technische maatregelen, gehanteerde analysemethoden en -technieken en datamodellen).

  • c. Inzicht in relevante databestanden die bijdragen aan inzicht in patronen en fenomenen van georganiseerde ondermijnende criminaliteit.

  • d. Inzicht in patronen en fenomenen van ondermijnende criminaliteit.

  • e. Beschrijving van de precieze knelpunten in wet- en regelgeving die eventuele gewenste analyses en (kosteneffectieve) oplossingen nu belemmeren.

  • f. Beschrijving van overige belemmeringen, waaronder de kwaliteit en beschikbaarheid van relevante data, analysecapaciteit, juridische belemmeringen, beveiligings- en autorisatie kwesties, samenwerkingscultuur, financiële kwesties.

  • g. Beschrijving van de kosten van de projecten.

  • h. Een veranderagenda van de gemeenten die partij zijn in deze city deal (waarbij deze in samenwerking met de ondertekenaars van deze city deal wordt opgesteld). Dit kan omvatten een naar aanleiding van de inzichtelijk gemaakte patronen advies voor mogelijke aanpassingen en/of vernieuwingen ten aanzien van beleid en in de werkprocessen bij gemeenten en tussen gemeenten en andere partijen.

  • i. Een advies aan de desbetreffende minister voor aanpassing van wet- en regelgeving op het vlak van data analyses.

Artikel 6 Specifieke inzet en acties van partijen

Alle partijen dragen bij aan deze city deal door:

  • 1. Deelname aan de landelijke projectgroep city deal Zicht op ondermijning waarin alle partijen van deze city deal vertegenwoordigd zijn en aan bijeenkomsten met de Partijen;

  • 2. Aanleveren van een aanspreekpunt, contactpersoon;

  • 3. Bij te dragen aan instemming of goedkeuring van de projectvoorstellen door de geëigende driehoeken, zoals aangewezen in de gemeentelijke projectplannen;

  • 4. Het leveren van een bijdrage aan inhoudelijk voorbereiding van de bijeenkomsten die binnen de city deal worden georganiseerd;

  • 5. Inbrengen van kennis van de wetgeving met betrekking tot bescherming van persoonsgegevens;

  • 6. Inzet van overige juridische expertise en van beleidsmatige expertise gedurende alle fasen van de proefprojecten en de veranderagenda van de betreffende gemeenten

  • 7. Zich in te spannen om – binnen de geldende wettelijke kaders – de voor een project relevante data ter beschikking te (laten) stellen voor zo ver deze niet door het CBS ter beschikking gesteld zijn of kunnen worden.

  • 8. Bij te dragen aan de uitwerking van de organisatiestructuur, werkplan en evaluatieopzet.

  • 9. Inzet van juridische en beleidsmatige expertise bij het ontwerp, de proefprojecten en de veranderagenda.

  • 10. Zich in te spannen om de werkwijze, bij succes, breder in Nederland bekend te maken.

De gemeenten dragen bij aan deze City Deal door:

  • 1. Elke gemeente initieert een concreet proefproject data-analyse, waarbij elke gemeente € 50.000 bijdraagt in de gemeenschappelijke kosten van de uitvoering van deze city deal.

  • 2. Gezien het belang van inbreng van data van mede-overheden, regionale samenwerkingsverbanden, maatschappelijke partners en eventueel private partijen brengt de gemeente op het gekozen thema waar nodig zijn netwerk in ten behoeve van het bereiken van commitment van relevante partijen op bestuurlijk niveau voor het proefproject.

  • 3. De gemeenten brengen de belemmeringen en oplossingen die naar voren komen goed onderbouwd in kaart en delen deze met de ministeries. Dit kan voeding zijn voor aanpassing van beleidsuitgangspunten en van wet- en regelgeving.

    Hiervoor verrichten de gemeenten de volgende concrete acties:

    • a. Voorzien in een projectorganisatie inclusief projectleider.

    • b. Het opstellen van een projectplan, waarin zijn opgenomen de doelomschrijving, doorlooptijd en aanpak en het beoogde resultaat. Ook zal beschreven worden welke data van welke publieke en (waar mogelijk) private organisaties nodig zijn en welke juridische mogelijkheden inclusief noodzakelijke organisatorische en technische maatregelen beschikbaar zijn om data-analyse in de praktijk uit te voeren. De projectplannen worden, met het oog op inbrengen van data en inzet van capaciteit, ter instemming of goedkeuring aan de geëigende driehoeken voorgelegd.

    • c. Uitwerken van de organisatiestructuur, gemeentelijk projectplan en evaluatieopzet, evaluatieopzetten, in samenwerking met de landelijke projectgroep.

    • d. Uitvoeren en evalueren van het proefproject in hun gemeenten.

    • e. Overleg voeren met mede-overheden, regionale samenwerkingsverbanden, maatschappelijke actoren en private partners die in hun gemeente actief zijn, gericht op deelname aan het project.

    • f. Uitdragen van leerervaringen.

    • g. Opstellen van een veranderagenda samen met de andere deelnemende gemeenten.

De ministeries dragen gezamenlijk aan deze city deal bij door:

  • 1. Borgen van de samenhang tussen de projecten door middel van opstellen van gemeenschappelijke kaders waar relevant en coördinatie op hoofdlijnen van de verschillende proefprojecten bij de gemeenten, inclusief de borging van de evaluatie criteria gedurende de uitvoering. Hierbij zal voor de uitvoering van de data analyse de benodigde infrastructuur, tools en analysecapaciteit georganiseerd worden. Voor zover het CBS hierin niet kan voorzien, maken de partijen gebruik van de inzet van Stichting ICTU. De opdrachtverlening aan Stichting ICTU zal gefinancierd worden uit de bijdrage van de gemeenten aangevuld met de bijdragen van de ministeries. Stichting ICTU helpt overheden bij het verbeteren van hun dienstverlening met ICT. Het betreft taken die gewoonlijk tot het domein van de overheid behoren. Specifiek voor dit initiatief verzorgt ICTU de organisatorische en functionele projectbegeleiding, het organiseren van het samenwerkingsverband, de afstemming tussen de deelnemende partijen, de evaluatie en de te bereiken doelstellingen. De inzet van ICTU is nu begroot op € 450.000.

  • 2. Bestuurlijke besluitvorming te organiseren als uit de probleemanalyse van Partijen blijkt dat knelpunten kunnen worden opgelost door aanpassing van wet- en regelgeving.

  • 3. Het vragen van advies aan de Autoriteit Persoonsgegevens, voor zover een eventueel uitgevoerd Privacy Impact Assessment (PIA) knelpunten oplevert. De Autoriteit Persoonsgegevens is bereid om specifiek voor deze Citydeal mee te denken als er knelpunten uit een PIA naar voren komen.

Hiervoor verrichten zij de volgende acties:

  • a. Overleg voeren met andere ministeries, rijksinstanties, koepel- of brancheverenigingen teneinde deelname aan de city deal mogelijk te maken.

  • b. Bijdragen aan het opstellen van de veranderagenda die door gemeenten wordt opgesteld.

  • c. Periodiek rapporteren aan de Tweede Kamer en andere partijen over de voortgang, resultaten en evaluatie van de proefprojecten.

Het Ministerie van BZK draagt aanvullend bij door:

Invulling te geven aan het opdrachtgeverschap aan Stichting ICTU. Naast de initiële bijdrage van € 60.000 van de kwartiermakers fase zal een aanvullend budget beschikbaar worden gesteld van € 170.000.

Het Ministerie van VenJ draagt aanvullend bij door:

Naast de initiële bijdrage van € 30.000 van de kwartiermakers fase zal een aanvullend budget beschikbaar worden gesteld van € 50.000.

Het Ministerie van Financiën/ DG Belastingdienst draagt aanvullend bij door:

Analysecapaciteit beschikbaar te stellen op het moment dat duidelijk is hoeveel en welke expertise concreet gevraagd wordt (kwalitatieve en kwantitatieve duiding). Per proefproject wordt bepaald wat het Ministerie van Financiën/Belastingdienst kan leveren binnen de beschikbare capaciteitsinzet.

Het CBS draagt aan deze City Deal bij door:

Het on site of via remote acces beschikbaar stellen van zijn data en analysecapaciteit en daaraan gerelateerde activiteiten (bijvoorbeeld organiseren brainstormsessies, ondersteuning door communicatieafdeling). Voor deze activiteiten ontvangt het CBS voor de periode juli 2017 tot en met juli 2018 via BZK een vergoeding van € 100.000.

De Politie draagt aan deze city deal bij door:

Inbreng van kennis van de wetgeving specifiek gericht op de politietaak en het leveren van capaciteit en kennis waarbij concrete afspraken over de inzet van de politie per project van de deelnemende gemeente door de betreffende eenheid worden gemaakt.

Hiervoor verrichten zij de volgende acties:

  • a. Inzet van juridische en beleidsmatige expertise bij de beoordeling en uitvoering van lokale onderzoeksvoorstellen.

Het OM draagt aan deze city deal bij door:

Inbreng van kennis van de wetgeving met betrekking tot de Wet justitiële en strafvorderlijk gegevens.

Een beoogde verstrekking, nadat meer bekend geworden is over het projectplan en welke aanvullende informatie men beoogt te delen, zal – intern en extern – met het OM afgestemd worden.

Hiervoor verrichten zij de volgende concrete acties:

  • a. Inzet van capaciteit en expertise bij het projectplan, de proefprojecten en de veranderagenda van de betreffende gemeenten.

  • b. Er worden door het OM en de andere partijen per projectplan nadere afspraken gemaakt over inzet en het beschikbaar stellen van relevante data uit de systemen, voor zover deze niet door het CBS ter beschikking gesteld zijn of kunnen worden. Voor het OM kan het daarbij gaan om data op zowel arrondissementsniveau (lokale data) als op landelijke niveau (Parket-Generaal).

In aanvulling hierop zoeken de Partijen samenwerking met de universiteiten in de deelnemende gemeenten om expertise en wetenschappelijk kennis in de uitvoering te kunnen inzetten. Hiervoor wordt een stelpost begroot van € 150.000.

OVERIGE BEPALINGEN

Artikel 7 Financiële afspraken

  • a. De netto bijdragen van de Partijen worden ingezet voor de gemeenschappelijke kosten van ICTU, CBS en de universiteiten.

  • b. De financiële bijdragen door de partijen aan deze city deal zal door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties namens alle Partijen worden beheerd.

Artikel 8 Toetreding nieuwe partijen

  • a. Daar verwacht mag worden dat nog meer partijen de mogelijkheden van data analyse willen verkennen, worden deze partijen zoveel mogelijk in de gelegenheid gesteld om te participeren in dit initiatief en bestaat de mogelijkheid om gedurende de looptijd als partij toe te treden. Een toetredende partij dient de verplichtingen die voor haar uit dit initiatief voortvloeien zonder voorbehoud te aanvaarden.

  • b. Alle Partijen dienen akkoord te gaan met de toetreding van een nieuwe partij.

  • c. Een toetredende partij maakt haar verzoek tot toetreding schriftelijk bekend aan de secretaris van de landelijke projectgroep city deal. Zodra de leden van de landelijke projectgroep schriftelijk hebben ingestemd met het verzoek tot toetreding, ontvangt de toetredende partij de status van partij en gelden voor die partij de voor haar uit deze city deal voortvloeiende rechten en verplichtingen.

  • d. Het verzoek tot toetreding en de verklaring van instemming worden als bijlage aan deze city deal gehecht.

Artikel 8a Opzegging

Elke Partij kan deze city deal te allen tijde met inachtneming van een opzegtermijn van 3 maanden schriftelijk opzeggen. De reeds betaalde financiële bijdrage aan het gezamenlijke budget wordt niet geretourneerd. Wanneer een partij opzegt, blijft de city deal voor de overige partijen in stand, voor zover de inhoud en de strekking zich daartegen niet verzetten.

Artikel 9 Afdwingbaarheid

Deze City Deal is niet in rechte afdwingbaar.

Artikel 10 Ongeldigheid

Indien een bepaling van deze City Deal in enige mate als nietig, vernietigbaar, ongeldig, onwettig of anderszins als niet-bindend moet worden beschouwd, wordt die bepaling, voor zover nodig, uit deze City Deal verwijderd en vervangen door een bepaling die wel bindend en rechtsgeldig is en die de inhoud van de niet-geldige bepaling zoveel mogelijk benadert. Het overige deel van de City Deal blijft in een dergelijke situatie ongewijzigd.

SLOTBEPALINGEN

Artikel 11 Voortgang

Alle in deze City Deal genoemde afspraken worden zo snel mogelijk ter hand genomen. Over de voortgang van de City Deal voeren Partijen periodiek overleg. Dit overleg wordt ondergebracht in het reeds bestaande landelijke projectgroep City Deal Zicht op ondermijning.

Artikel 12 Inwerkingtreding en looptijd

Deze City Deal treedt in werking met ingang van de dag na de laatste ondertekening van de ministeries en de eerste ondertekening door een gemeente en eindigt op 31 december 2018. Uiterlijk drie maanden voor het einde van de looptijd van de City Deal komen Partijen bij elkaar om te bezien of verlenging van de looptijd nodig is.

Artikel 13 Toepasselijk recht

Op deze City Deal is uitsluitend Nederlands recht van toepassing.

Artikel 14 Citeertitel

Deze City Deal wordt aangehaald als: City Deal Zicht op ondermijning.

Artikel 15 Openbaarmaking

  • a. Binnen twee maanden na ondertekening van deze City Deal wordt de tekst daarvan gepubliceerd in de Staatscourant.

  • b. Bij wijzigingen in deze City Deal vindt lid a. van dit artikel overeenkomstige toepassing.

  • c. Van toetreden, uittreden, opzeggen of ontbinden wordt melding gemaakt in de Staatscourant.

  • d. De ministeries rapporteren over de Agenda Stad, alsmede de hieruit voortvloeiende City Deal aan de Tweede Kamer van de Staten-Generaal.

  • e. De gemeenten rapporteren over de opzet, voortgang en resultaten aan hun gemeenteraad.

Aldus overeengekomen en ondertekend te Nieuwegein, 28 juni 2017

mede namens het college van burgemeester en wethouders van gemeente Amsterdam, E.E. van der Laan Burgemeester van Amsterdam

mede namens het college van burgemeester en wethouders van de gemeente Den Haag, P. Krikke Burgemeester Den Haag

mede namens het college van burgemeester en wethouders van de gemeente Utrecht, J. van Zanen Burgemeester Utrecht

mede namens het college van burgemeester en wethouders van de gemeente Rotterdam, A. Aboutaleb Burgemeester van Rotterdam

mede namens het college van burgemeester en wethouders van de gemeente Tilburg, P. Noordanus Burgemeester van Tilburg

Het Centraal Bureau voor de Statistiek, T.B.P.M. Tjin-A-Tsoi Directeur Generaal

Politie, E.S.M Akerboom Korpschef Namens deze, P.J Aalbersberg, Portefeuillehouder Inteligence

Het Openbaar Ministerie, Voorzitter College van procureurs-generaal G.W. van der Burg

De Minister van Veiligheid en Justitie, S.A. Blok

De Staatssecretaris van Financiën, E.D. Wiebes Namens deze, J.J.M Uijlenbroek Directeur Generaal,

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, R.H.A. Plasterk

Juridisch toetsingskader City Deal Zicht op ondermijning

Inleiding

Op 28 juni 2017 zijn de Rijksoverheid en verschillende gemeenten de City Deal “Zicht op ondermijning” overeengekomen. Op grond van deze City Deal worden in proefprojecten de mogelijkheden en beperkingen van data-analyse verkend voor de aanpak van georganiseerde ondermijnende criminaliteit, fraude of sociale onveiligheid en het versterken van de maatschappelijke weerbaarheid in dat kader. Dit toetsingskader heeft tot doel de experimenten in deze proefprojecten op een juridisch verantwoorde wijze te laten plaatsvinden. Met het oog op dit doel is het kader vooral bestemd voor de opdrachtgevers en opdrachtnemers voor de uitvoering van de experimenten.

Het accent ligt in dit kader op de privacy-juridische aspecten, met de focus op de Wet bescherming persoonsgegevens (Wbp), de Wet politiegegevens (Wpg), de Wet justitiële en strafvorderlijke gegevens (Wjsg) en – in het geval van de laatste twee wetten – het daarop berustende Besluit politiegegevens (Bpg), respectievelijk Besluit justitiële en strafvorderlijke gegevens (Bjsg). Verder zijn in dit kader de beleidsuitgangspunten verwerkt die zijn neergelegd in de kabinetsreactie op het rapport “Big Data in een vrije en veilige samenleving” van de Wetenschappelijke Raad voor het Regeringsbeleid.3 Andere juridische aspecten dan die welke met bescherming van persoonsgegevens te maken hebben, worden buiten beschouwing gelaten. Dat laat onverlet dat daarmee uiteraard wel rekening moet worden gehouden. Daarbij valt met name te denken aan eventuele geheimhoudingsplichten in sectorale wetten ten aanzien van gegevens die voor verwerking ten behoeve van het experiment in aanmerking zouden kunnen komen. Overigens wordt aangenomen dat de gegevens die ten behoeve van een experiment worden verstrekt, door de verstrekker rechtmatig zijn verkregen. Dit kader zal dan ook geen stappen bevatten om dat te toetsen.

Omdat dit kader zich richt op consequenties van de wetgeving inzake de bescherming van persoonsgegevens voor het voorbereiden en uitvoeren van data-analyses in het kader van City Deal “Zicht op ondermijning”, neemt het begrip “persoonsgegeven” in dit kader een belangrijke plaats in. Met het oog daarop is van belang om al in deze inleiding stil te staan bij de vraag wat dit begrip inhoudt. Een persoonsgegeven is op grond van artikel 1, onder a, Wbp elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoon is identificeerbaar indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, kan worden vastgesteld. Er kan een onderscheid worden gemaakt in direct en indirect identificeerbare gegevens. Direct identificerende gegevens zijn gegevens die betrekking hebben op een persoon waarvan de identiteit zonder veel omwegen eenduidig is vast te stellen, zoals een naam, eventueel in combinatie met het adres en de geboortedatum. Van indirect identificeerbare gegevens is sprake wanneer zij via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon, bij voorbeeld een kenteken.

Het toetsingskader formuleert een aantal stappen die zullen moeten worden gezet bij de voorbereiding en uitvoering van de experimenten, voor zover daarbij (mogelijk) persoonsgegevens worden verwerkt. Elke stap is van een korte toelichting voorzien waarin de juridische gronden worden uiteengezet waarop de desbetreffende stap is gebaseerd. In weerwil van de nummering zijn de verschillende stappen niet noodzakelijkerwijs volgtijdelijk. Wel is bij sommige stappen aangegeven wat de samenhang met andere stappen is. Het is in ieder geval van belang alle stappen uit dit kader door te nemen, voordat ten behoeve van de uit te voeren analyse met de verwerking van persoonsgegevens wordt begonnen.

Dit toetsingskader dient al vanaf de aanvang van de voorbereiding van een experiment te worden toegepast. Met het oog daarop is het noodzakelijk de uitvoering van de verschillende stappen een plaats te geven in de afzonderlijke projectplannen. De opdrachtgever is verantwoordelijk voor de uitvoering van deze stappen en voor de verantwoording daarvan.

Het toetsingskader zal periodiek worden geëvalueerd aan de hand van ervaringen bij het uitvoeren van experimenten in het kader van de City Deal “Zicht op ondermijning” en als gevolg daarvan zo nodig worden aangepast en aangevuld.

De verschillende stappen in dit kader, die hierna worden uitgewerkt, zijn:

  • 1. Kies voor de analyse in de eerste plaats een vraagstuk dat zich goed voor patroonherkenning leent.

  • 2. Leg vooraf het doel van de analyse vast.

  • 3. Ga, afhankelijk van de aard van de analyse, na of met verwerking van geanonimiseerde gegevens kan worden volstaan.

  • 4. Als het noodzakelijk blijkt voor de analyse persoonsgegevens te verwerken, bepaal en leg vast welke categorieën van persoonsgegevens daartoe nodig zijn.

  • 5. Ten behoeve van de uit te voeren analyse worden in de eerste plaats gegevens verwerkt die het CBS al beschikbaar heeft.

  • 6. Verwerk de persoonsgegevens in gepseudonimiseerde vorm

  • 7. Toets of bij de verwerking van gegevens ten behoeve van de analyse zgn. bijzondere persoonsgegevens worden verwerkt.

  • 8. Ga na wie als verantwoordelijke(n) voor de eventuele verstrekking van aanvullende persoonsgegevens voor de analyse moet(en) worden aangemerkt.

  • 9. Ga na wie als verantwoordelijke voor de (verdere) verwerking van persoonsgegevens voor het uitvoeren van de analyse zelf moet worden aangemerkt.

  • 10. Ga na op welke wettelijke grondslag de verwerking van persoonsgegevens ten behoeve van de analyse kan plaatsvinden.

  • 11. Voer de verwerking van gegevens ten behoeve van de analyse uit onder het regime van de bepalingen voor wetenschappelijk onderzoek in de Wbp, Wpg en Wjsg en zorg ervoor dat de uitkomst van de analyse geen tot personen herleidbare informatie bevat.

  • 12. Toets de verstrekking ingeval het om politie-, justitiële of strafvorderlijke gegevens gaat, aan de voorwaarden in het Bpg en Bjsg.

  • 13. Ga na of de verwerking moet worden gemeld bij de Autoriteit Persoonsgegevens of de Functionaris voor de gegevensbescherming.

  • 14. Zorg ervoor dat de te verwerken data juist en nauwkeurig zijn.

  • 15. Gebruik algoritmen en analysemethoden die wetenschappelijk gevalideerd zijn.

  • 16. Bepaal de foutmarge die bij de analyse mag optreden.

  • 17. Zorg voor voldoende beveiliging tijdens de verstrekking en verdere verwerking van data ten behoeve van de analyse.

  • 18. Ga na of betrokkenen geïnformeerd dienen te worden over het feit dat over hen persoonsgegevens worden verwerkt.

  • 19. Zorg na afloop van het experiment voor vernietiging van de data die het CBS aanvullend heeft verkregen.

  • 20. Maak de resultaten van de analyse openbaar.

  • 21. Zorg voor een goede evaluatie van het analyse-traject en de uitkomst daarvan.

1. Kies voor de analyse in de eerste plaats een vraagstuk dat zich goed voor patroonherkenning leent

Data-analyses kunnen naar hun aard het best worden uitgevoerd voor vraagstukken die zich goed voor patroonherkenning lenen, d.w.z. vraagstukken met een regelmatig en terugkerend karakter. Anders gezegd: fenomenen die zich eenmalig of slechts sporadisch voordoen, lenen zich minder voor data-analyse. Als dan toch voor data-analyse wordt gekozen, neemt het belang toe van een goede validatie door experts op het desbetreffende vakgebied om het risico op foutieve uitkomsten van de analyse zoveel mogelijk te reduceren.4 Voor zover in de analyse persoonsgegevens worden verwerkt, kan dit uitgangspunt mede worden beschouwd als uitvloeisel van artikel 6 Wbp, waarin onder meer is voorgeschreven dat dergelijke gegevens op behoorlijke en zorgvuldige wijze moeten worden verwerkt.

2. Leg vooraf het doel van de analyse vast

Afhankelijk van het doel van de analyse zullen daarin mogelijk persoonsgegevens worden verwerkt. Dergelijke gegevens mogen ingevolge artikel 7 Wbp alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (principe van doelbinding). “Welbepaald” wil in dit verband zeggen dat het doel niet zo vaag of ruim mag zijn dat het tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevens nodig zijn voor dat doel of niet. “Uitdrukkelijk omschreven” houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt, schriftelijk moet hebben vastgelegd. “Gerechtvaardigde” duidt erop dat de belangen van de opdrachtgever redelijkerwijs aanleiding dienen te geven om de desbetreffende persoonsgegevens voor dat doel te mogen verwerken. Een en ander brengt mee dat het doel van de uit te voeren analyse en de daarmee verband houdende verwerking van persoonsgegevens vooraf voldoende specifiek en expliciet moet zijn omschreven.

Het is daarbij raadzaam ook het type product te noemen dat uit de analyse zou moeten komen. Daarbij kan worden gedacht aan de volgende producten:

  • trendrapportages (bijvoorbeeld een rapportage over ontwikkelingen rond de betrokkenheid van de vastgoedsector bij ondermijnende criminaliteit),

  • rapportages waarin op bepaalde terreinen patronen worden blootgelegd (bijvoorbeeld een rapportage over patronen die op betrokkenheid van de vastgoedsector bij ondermijning duiden), en

  • groepsprofielen (bijvoorbeeld een profiel met kenmerken van de categorie van ondernemers uit de vastgoedsector die bij ondermijnende criminaliteit zijn betrokken, en hun “modus operandi”)5.

3. Ga, afhankelijk van de aard van de analyse, na of met verwerking van geanonimiseerde gegevens kan worden volstaan

Op grond van artikel 11 Wbp mogen persoonsgegevens slechts worden verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. Uit deze bepaling vloeit in de eerste plaats voort dat voor de uit te voeren analyses alleen persoonsgegevens mogen worden verwerkt, voor zover dat noodzakelijk is voor het bereiken van doel van de analyse. Als dat doel het opstellen van een trendrapportage (zie stap 2) is, zal de analyse waarschijnlijk zonder verwerking van persoonsgegevens kunnen worden uitgevoerd. Daaronder is ook te begrijpen het verwerken van gegevens die van persoonsgegevens zijn afgeleid, maar vooraf zijn geanonimiseerd, d.w.z. op onomkeerbare wijze zijn omgezet naar gegevens die identificatie niet langer mogelijk maakt.6 Als het doel echter het blootleggen van bepaalde patronen is, zal het naar alle waarschijnlijkheid onvermijdelijk zijn om persoonsgegevens te verwerken. Voor het opstellen van een groepsprofiel is dat zelfs volstrekt zeker. Immers, zo’n profiel zal alleen kunnen worden opgesteld als daartoe verbanden tussen bepaalde personen en bepaalde kenmerken kunnen worden gelegd.

4. Als het noodzakelijk blijkt voor de analyse persoonsgegevens te verwerken, bepaal en leg vast welke categorieën van persoonsgegevens daartoe nodig zijn

Als bij stap 3 blijkt dat het met het oog op het doel van de analyse noodzakelijk is persoonsgegevens te verwerken, dient vervolgens te worden bepaald en uit een oogpunt van “accountability” te worden vastgelegd welke categorieën van persoonsgegevens van welke categorieën van betrokkenen op grond van welke redenen daartoe nodig zijn, de bronnen of systemen waaruit deze gegevens afkomstig zijn, wie de verstrekker is van deze gegevens (bijvoorbeeld een gemeentelijke dienst, de politie, het OM, het CBS) en op welke wettelijke grondslag de verstrekking plaatsvindt.

Op grond van het in artikel 11 Wbp neergelegde principe dat niet meer gegevens worden verwerkt dan nodig is voor het bereiken van het gestelde doel (zie stap 3), dient men voor de analyse alleen datasets te gebruiken die volgens een degelijk onderbouwde verwachting relevant voor het doel van de analyse zijn. Indien dat technisch niet anders kan, zal het om de complete dataset uit een systeem kunnen gaan. Voor zover het echter zonder onevenredige inspanning mogelijk is om relevante extracten of deelverzamelingen uit die dataset te halen, dan dient te worden volstaan met verwerking van die data-extracten of deelverzamelingen.

5. Ten behoeve van de uit te voeren analyse worden in de eerste plaats gegevens verwerkt die het CBS al beschikbaar heeft

Op grond van de City Deal zal primair het CBS belast zijn met de uitvoering van de beoogde analyses. Het CBS heeft op grond van zijn wettelijke taken al de beschikking over zeer veel data. Daartoe behoren ook data die voor het uitvoeren van analyses in het kader van de City Deal “Zicht op ondermijning” relevant kunnen zijn, zoals data van de politie. Omdat de uitvoering van de analyses zal plaatsvinden onder het regime van wetenschap en statistiek (zie stap 11), zal het CBS deze data op grond van haar wettelijke taken daarvoor rechtmatig kunnen aanwenden. Daarvoor zij verwezen naar de artikelen 3 en 35 van de Wet op het Centraal bureau voor de statistiek (Wet CBS).

Ingevolge artikel 13 Wbp dient de verantwoordelijke in de zin van de Wbp (zie verder stap 9) passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen dienen er mede op gericht te zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Daartoe kan ook worden gerekend om primair gegevens te verwerken die het CBS al beschikbaar heeft en te vermijden dat deze gegevens door derden (opnieuw) moeten worden aangeleverd. Dat laat onverlet dat het met het oog op het doel van de analyse noodzakelijk kan zijn om persoonsgegevens te verwerken die het CBS (nog) niet in huis heeft. Dergelijke gegevens zullen niet eerst aan de gemeente in zijn rol als opdrachtgever worden verstrekt, doch rechtstreeks aan het CBS ter beschikking worden gesteld (zie verder stap 8).

6. Verwerk de persoonsgegevens in gepseudonimiseerde vorm

Voor zo ver het noodzakelijk is om bij de uitvoering van de analyse persoonsgegevens te verwerken, zal dit geschieden aan de hand van persoonsgegevens die gepseudonimiseerd zijn, d.w.z. zijn omgezet naar een ander identificerend gegeven dat evenwel in beginsel weer zou kunnen terugzet naar het oorspronkelijke identificerende gegeven. Dit vloeit voort uit het in artikel 11 Wbp vastgelegde principe dat de verwerking van persoonsgegevens niet bovenmatig mag zijn.7 Tegen deze achtergrond verwerkt het CBS persoonsgegevens altijd al in gepseudonimiseerde vorm.

7. Toets of bij de verwerking van gegevens ten behoeve van de analyse zgn. bijzondere persoonsgegevens worden verwerkt

Artikel 16 Wbp verbiedt in beginsel de verwerking van zgn. bijzondere persoonsgegevens. Dit betreft gegevens over iemands geloof, ras, politieke gezindheid, gezondheid, seksuele leven of lidmaatschap van een vakvereniging, alsmede strafrechtelijke gegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. De verwerking van dergelijke gegevens is verboden, tenzij de wet een uitzondering schept. De Wet CBS bevat een dergelijke uitzondering in artikel 35. Krachtens dat artikel kan het CBS ten behoeve van statistische doeleinden bijzondere persoonsgegevens verwerken.

8. Ga na wie als verantwoordelijke(n) voor de eventuele verstrekking van aanvullende persoonsgegevens voor de analyse moet(en) worden aangemerkt

Op grond van artikel 1, onder d, Wbp moet degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, als verantwoordelijke voor de verwerking van persoonsgegevens worden aangemerkt. Bij verwerking van persoonsgegevens van een gemeentelijke dienst zal dit het college van burgemeester en wethouders zijn. Voor de verwerking van bepaalde categorieën van strafrechtelijke persoonsgegevens is specifiek geregeld wie als verantwoordelijke moet worden aangemerkt: voor verwerking van politiegegevens door de politie is de Korpschef de verantwoordelijke (art. 1, onder f, Wpg), van justitiële gegevens de Minister van Veiligheid en Justitie (art. 2, eerste lid, Wjsg) en van strafvorderlijke gegevens het College van procureurs-generaal (art. 39a, eerste lid, Wjsg).

Onder verwerking van persoonsgegevens valt ook het verstrekken daarvan. Daarvan kan sprake zijn, voor zover het CBS de voor de analyse noodzakelijke gegevens niet heeft en partijen bij de City Deal aanvullend en eenmalig eigen gegevens aan het CBS verstrekken of aan derden verzoeken deze aan het CBS te verstrekken. De verantwoordelijke voor een dergelijke verstrekking kan een ander zijn dan degene die als verantwoordelijke moet worden aangemerkt voor de verdere verwerking van de verstrekte gegevens ten behoeve van de uit te voeren analyse: de opdrachtgever (zie stap 9). Het belang om te bepalen wie in dat geval als verantwoordelijke voor de verstrekking moet worden aangemerkt, ligt in het feit dat sommige stappen in dit toetsingskader naar hun aard door deze verantwoordelijke zullen moeten worden gezet (zie vooral stap 12). Wie als verantwoordelijke voor de verstrekking moet worden aangemerkt, wordt bepaald door hetgeen hiervóór is vermeld over wie als verantwoordelijke voor de verwerking valt aan te merken. Daarbij geldt dat de verantwoordelijke voor de eventuele verstrekking van aanvullende fiscale gegevens – de staatssecretaris van Financiën – daarvoor op basis van artikel 67, derde lid, van de Algemene wet rijksbelastingen ontheffing zal moeten verlenen van de geheimhoudingsplicht, bedoeld in het eerste lid van dat artikel.

9. Ga na wie als verantwoordelijke voor de (verdere) verwerking van persoonsgegevens voor het uitvoeren van de analyse zelf moet worden aangemerkt

Van degene die als verantwoordelijke voor de verstrekking valt aan te merken, moet worden onderscheiden degene die als verantwoordelijke valt aan te merken voor de (verdere) verwerking van de verstrekte gegevens ten behoeve van de uit te voeren analyse. Dat is degene die als opdrachtgever van de analyse optreedt. Hij bepaalt immers welke persoonsgegevens op welke wijze en voor welk doel worden verwerkt. Het belang om te bepalen wie als verantwoordelijke voor de verdere verwerking van de verstrekte gegevens voor de uit te voeren analyse moet worden aangemerkt, ligt in het feit dat de meeste stappen in dit toetsingskader naar hun aard door deze verantwoordelijke zullen moeten worden gezet. Binnen een gemeente ligt de rol van verantwoordelijke/opdrachtgever op grond van de Wbp bij het college van burgemeester en wethouders.8 Afhankelijk van de afspraken die binnen de daartoe geëigende driehoeken worden gemaakt, zullen politie en OM als mede-verantwoordelijke/opdrachtgever optreden.

10. Ga na op welke wettelijke grondslag de verwerking van persoonsgegevens ten behoeve van de analyse kan plaatsvinden

Artikel 8 Wbp noemt limitatief een aantal grondslagen voor de verwerking van persoonsgegevens. Voor de uitvoering van experimenten in het kader van de City Deal “Zicht op ondermijning” zal waarschijnlijk een beroep kunnen worden gedaan op grond e: de gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt. Het is aan de opdrachtgever om een beroep op deze grond goed te onderbouwen.

11. Voer de verstrekking van gegevens ten behoeve van de analyse uit onder het regime van de bepalingen voor wetenschappelijk onderzoek in de Wbp, Wpg en Wjsg en zorg ervoor dat de uitkomst van de analyse geen tot personen herleidbare informatie bevat

De experimenten in het kader van de City Deal “Zicht op ondermijning” hebben tot doel eerder en beter zicht te krijgen op ondermijnende criminaliteit. Het is niet de bedoeling de informatie uit deze experimenten ook voor operationeel gebruik, d.w.z. toezicht en opsporing in individuele gevallen, te benutten. Daarvoor zullen aparte trajecten moeten worden gestart waarin onder meer opnieuw de vraag zal moeten worden gesteld op welke wettelijke basis de verwerking van gegevens ten behoeve van de desbetreffende data-analyses voor de operationele praktijk kan worden gestoeld, en eventueel, als zo’n basis ontbreekt, of daarin alsnog kan worden voorzien. Tegen deze achtergrond ligt het voor de hand de experimenten in het kader van de City Deal “Zicht op ondermijning” uit te voeren op grond van bepalingen in de Wbp, Wpg en Wjsg over de verstrekking van gegevens ten behoeve van historische, statistische of wetenschappelijke doeleinden (art. 9, derde lid, Wbp), respectievelijk beleidsinformatie, wetenschappelijk onderzoek en statistiek (art. 22, eerste lid, Wpg en art. 15, eerste lid, en 39g, Wjsg).

Deze bepalingen en de daarop berustende bepalingen in het Bpg en Bjsg hebben gemeen dat de verstrekking van gegevens voor wetenschap en statistiek niet als onverenigbaar wordt beschouwd met het oorspronkelijke doel waarvoor de desbetreffende gegevens zijn verzameld. In zoverre bieden deze bepalingen voor wetenschappelijk onderzoek meer ruimte voor gegevensverwerking dan de bepalingen in die wetten die voor gegevensverwerking voor operationele doeleinden gelden.

Daar staat tegenover dat artikel 9, derde lid, Wbp de verantwoordelijke verplicht de nodige maatregelen te treffen om te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van historische, statistische of wetenschappelijke doeleinden. Deze maatregelen dienen te voorkomen dat de gegevens worden gebruikt voor het nemen van maatregelen of besluiten die tegen een bepaald persoon zijn gericht. Het is echter niet nodig dergelijke maatregelen te treffen, indien het resultaat van de verwerking niet tot personen herleidbare informatie betreft.9 De bepalingen in de Wpg en Wjsg voor wetenschappelijk onderzoek geven zelf expliciet aan dat de resultaten van de verwerking geen persoonsgegevens mogen bevatten.10 In hiermee vergelijkbare zin bepaalt artikel 37, derde lid, Wet CBS dat de door het CBS gebruikte gegevens slechts zodanig openbaar mogen worden gemaakt dat daaraan geen herkenbare gegevens over (onder meer) een afzonderlijke persoon kunnen worden ontleend. Een en ander impliceert dat de experimenten in het kader van de City Deal “Zicht op ondermijning” niet mogen resulteren in rapportages die tot personen herleidbaar zijn.

Resumerend impliceren de vorige en deze stap tezamen dat in beginsel:

  • de verstrekking van gegevens plaatsvindt op grond van artikel 9, derde lid, Wbp, artikel 22, eerste lid, Wpg en artikel 15, eerste lid, of 39g Wjsg,

  • de verwerking van de verstrekte gegevens om de analyse uit te voeren een grondslag moet vinden in artikel 8e Wbp,

  • de analyse moet uitmonden in een rapportage die niet tot personen herleidbaar is.

12. Toets de verstrekking ingeval het om politie-, justitiële of strafvorderlijke gegevens gaat, aan de voorwaarden in het Bpg en Bjsg

Ingeval de verstrekking van politiegegevens voor de uitvoering van de analyse geschiedt op basis van het artikel in de Wpg voor wetenschappelijk onderzoek (artikel 22), stelt artikel 4:7 Bpg daaraan een aantal nadere voorwaarden. Deze zijn deels procedureel van aard: voor de verstrekking moet toestemming worden gegeven door de minister van Veiligheid en Justitie als het om gegevens gaat die worden verwerkt onder gezag van de officier van justitie, en door de burgemeester als het gaat om gegevens die worden verwerkt onder het gezag van de burgemeester. Als het gaat om verstrekking van gegevens, bedoeld in de artikelen 8 en 13 Wpg, is de ministeriële toestemming gemandateerd aan het OM. Ingeval van verstrekking van gegevens, bedoeld in artikel 9 en 10 Wpg, dient de minister van Veiligheid en Justitie zelf toestemming te geven. De toestemming wordt slechts gegeven, indien het onderzoek het algemeen belang dient, de organisatie van de politie niet onnodig wordt belast, het onderzoek zonder de betrokken gegevens niet kan worden uitgevoerd, en de persoonlijke levenssfeer van de desbetreffende personen niet onevenredig wordt geschaad. Ingeval de verstrekking van justitiële of strafvorderlijke gegevens voor de uitvoering van de analyse geschiedt op basis van de artikelen in de Wjsg voor wetenschappelijk onderzoek (artikelen 15 en 39g), stelt artikel 31 Bjsg daaraan een aantal nadere voorwaarden die vergelijkbaar zijn met die voor verstrekking van politiegegevens, met dien verstande dat de toestemming dient te worden verleend door de minister van Veiligheid en Justitie, respectievelijk het College van procureurs-generaal.

13. Ga na of de verwerking moet worden gemeld bij de Autoriteit Persoonsgegevens of de Functionaris voor de gegevensbescherming

Ingevolge artikel 27 Wbp moet een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens worden gemeld bij de Autoriteit Persoonsgegevens of de Functionaris voor de gegevensbescherming. De uitvoering van de data-analyse is een nieuwe gegevensverwerking, die dan ook in beginsel zal moeten worden gemeld. Of er daadwerkelijk moet worden gemeld, hangt af de reikwijdte van eventuele eerdere door de betrokken organisaties gedane meldingen. De desbetreffende meldingen kunnen vrij abstract geformuleerd zijn, zodat verwerkingen ten behoeve van analyses in het kader van de City Deal “Zicht op ondermijning” al onder deze meldingen kunnen vallen. Een toets in het concrete geval dient uit te maken of dat werkelijk het geval is.

14. Zorg ervoor dat de te verwerken data juist en nauwkeurig zijn

Op grond van artikel 11, tweede lid, Wbp dient degene die een data-analyse uitvoert, de nodige maatregelen te treffen om ervoor te zorgen dat de persoonsgegevens die hij daarbij verwerkt, juist en nauwkeurig zijn.11 In artikel 4, eerste lid, Wpg en artikel 3, eerste lid, Wjsg zijn hiermee vergelijkbare bepalingen opgenomen. Het gaat hier om een inspanningsverplichting. Een garantie voor de juistheid van gegevens kan van degene die de analyse uitvoert, niet worden gevergd. Wel dient hij alle maatregelen te treffen die in redelijkheid kunnen worden gevergd. De redelijkheid stelt daarbij, afhankelijk van bij voorbeeld de soort gegevens die voorwerp van verwerking zijn, de stand van techniek en de kosten die met de maatregelen gepaard gaan, grenzen aan de te nemen maatregelen.12

Voorbeelden van maatregelen die kunnen worden genomen, zijn:

  • 1. Het controleren van de hash (uniek gegenereerde code) van een bronbestand met het bestand waarop onderzoek wordt gepleegd. Dit wordt vaak in een forensische context gebruikt. De vraag die dan wordt beantwoord is: komen de onderzochte gegevens exact overeen met de gevorderde gegevens?

  • 2. Het regelmatig analyseren van gestructureerde gegevensbronnen. Hierbij wordt gekeken naar de (verwachte) spreiding van de gegevens en de correctheid van de ingevulde informatie en geautomatiseerde testen om na te gaan of de ingevulde waarden valide zijn. Dergelijke analyses kunnen tevens bijdragen aan het opsporen van bias in de gegevens. Daarnaast kan een dergelijke analyse de waarnemingen en conclusies van een data-analyse nuanceren.

  • 3. Het betrekken van sleutelfiguren uit het primaire proces bij het ontwikkelen van data-analyses. Deze sleutelfiguren ervaren wat de waarde van de ingevoerde gegevens zijn en fungeren daarmee als ambassadeur voor het belang van datakwaliteit richting het primaire proces. Het kunnen relateren van de kwaliteit van de resultaten aan de ingevoerde gegevens maakt het belang ervan inzichtelijk en kan leiden tot een intrinsieke motivatie om met meer zorg gegevens in te voeren.

15. Gebruik algoritmen en analysemethoden die wetenschappelijk gevalideerd zijn

Algoritmen en methoden die bij data-analyses worden gebruikt, moeten deugdelijk zijn en aan de wetenschappelijke criteria voor goed (statistisch) onderzoek voldoen. Bij voorkeur worden algoritmen gebruikt die wetenschappelijk zijn getoetst, blijkend uit bijvoorbeeld publicaties of peer reviews.13 Een zorgplicht met betrekking tot de deugdelijkheid van gebruikte algoritmen en methoden ligt opgesloten in artikel 6 Wbp, waarin is bepaald dat persoonsgegevens op behoorlijke en zorgvuldige wijze worden verwerkt.

16. Bepaal de foutmarge die bij de analyse mag optreden

Toepassing van profielen op concrete situaties levert vrijwel altijd een foutmarge op, omdat een profiel altijd over- of onderinclusief is. Weliswaar gaat het in het kader van de City Deal “Zicht op ondermijning” om experimenten en vindt geen toepassing op concrete situaties plaats, maar is het met het oog op een eventuele latere toepassing in de praktijk niettemin wenselijk al in deze experimenteerfase bij ieder analyse gaande het proces de acceptabele foutmarge te bepalen. Daarbij dient niet alleen te worden gelet op de potentiële impact op de privacy en de veiligheid, maar ook de zeldzaamheid van het fenomeen waarop de analyse betrekking heeft. Naarmate de potentiële gevolgen van het gebruik van de profielen voor het individu of de maatschappij groter worden, neemt ook het belang van adequate benchmarks toe.14 Ook de behoefte om de toelaatbare foutmarge te bepalen kan worden herleid tot artikel 6 Wbp, waarin is bepaald dat persoonsgegevens op behoorlijke en zorgvuldige wijze worden verwerkt.

17. Zorg voor voldoende beveiliging tijdens de verstrekking en verdere verwerking van data ten behoeve van de analyse

Ingevolge artikel 13 Wbp dient de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen dienen, rekening houdend met de stand van de techniek en de uitvoeringskosten, een passend beveiligingsniveau te garanderen, gelet op de risico’s die die de verwerking en de aard van te beschermen gegevens meebrengen. In artikel 4, derde lid, Wpg en artikel 7, eerste lid, Wjsg zijn hiermee vergelijkbare bepalingen opgenomen. Omdat het bij data-analyses om verwerking van grote hoeveelheden data gaat, is de verantwoordelijkheid voor een goede beveiliging van de data navenant groot.

Mogelijke maatregelen om gegevens te beveiligen zijn de volgende:

  • 1. Maak afspraken over welke veiligheidsmaatregelen er getroffen dienen te worden met betrekking tot het transport, de verwerking en eventueel de vernietiging van de gegevens.*

  • 2. Leg degenen die betrokken zijn bij het verwerken van persoonsgegevens ten behoeve van de data-analyse een geheimhoudingsplicht op, die zich vertaalt in het ondertekenen van een geheimhoudingsverklaring.

  • 3. Indien de combinatie van de gegevensbronnen heel gevoelig is, zou deze hetzelfde regime kunnen volgen als (hoog)gerubriceerde informatie, zoals in het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie voorschrijft.

Het is uiteindelijk aan de opdrachtgevers om in samenspraak met het CBS afspraken te maken over de beveiliging van te verwerken persoonsgegevens. Daarbij geldt met het oog op de verwerking van gegevens die het CBS al heeft, dat tenminste de beveiligingsmaatregelen zullen worden toegepast die het CBS standaard hanteert, met inbegrip van de door het CBS vastgestelde “Regeling beveiligingsincidenten en datalekken”. Dit impliceert dat de analyses worden uitgevoerd binnen de beveiligde omgeving van het CBS via het Centrum voor Beleidsstatistiek. De analyses worden in principe on-site (fysiek) bij het CBS uitgevoerd (maar dat kan technisch ook met behulp van Remote Access) conform het daarvoor vigerend CBS-beleid. Voordat politie en OM tot verstrekking van eventuele aanvullende gegevens overgaan, zullen zij met het CBS afspraken maken over additionele maatregelen.

18. Ga na of betrokkenen geïnformeerd dienen te worden over het feit dat over hen persoonsgegevens worden verwerkt

Degene die als verantwoordelijke in de zin van de Wbp optreedt, heeft ingevolge artikel 34 Wbp in beginsel de plicht om een betrokkene te informeren over het feit dat over hem persoonsgegevens worden verstrekt c.q. verder worden verwerkt. Dat geldt zowel voor de verantwoordelijke die ten behoeve van de analyse gegevens verstrekt, als de verantwoordelijke (de opdrachtgever) die deze gegevens daartoe verder verwerkt. Voor verantwoordelijken in de zin van de Wpg en de Wjsg geldt deze verplichting niet. Indien een verwerking plaatsvindt door instellingen of diensten voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische en wetenschappelijke doeleinden kunnen worden gebruikt, kan de verantwoordelijke ingevolge artikel 44, eerste lid, Wbp het informeren van betrokkene achterwege laten. Dergelijke voorzieningen zijn niet nodig, indien het resultaat van de verwerking niet tot personen herleidbare informatie betreft.15

19. Zorg voor na afloop van het experiment voor vernietiging van de data die het CBS aanvullend heeft verkregen

Ingevolge artikel 10 Wbp mogen persoonsgegevens niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld en vervolgens worden verwerkt. Hieraan wordt in dit kader gevolg gegeven door te bepalen dat na afloop van het experiment alle persoonsgegevens die het CBS specifiek voor het uitvoeren van de analyse heeft verkregen, kopieën en bewerkingen daarvan, alsmede alle gegevensdragers waarop deze persoonsgegevens, kopieën of bewerkingen daarvan zijn vastgelegd, tenzij anders afgesproken, onmiddellijk na oplevering van het resultaat van de analyse dienen te worden vernietigd.

20. Maak de resultaten van de analyse op zorgvuldige wijze openbaar

Op grond van artikel 3, eerste lid, Wet CBS heeft het CBS tot taak het resultaat van de analyse openbaar te maken. De openbaarmaking dient zo te geschieden dat daaraan geen herkenbare gegevens over een afzonderlijk persoon, huishouden, onderneming of instelling kunnen worden ontleend (art. 37, derde lid, Wet CBS). Tevens moet worden gewaakt voor de definiëring van een herkenbare groep (groepsonthulling). Hoewel er in een dergelijk geval geen individuele eenheid kan worden herkend, is er sprake van schending van vertrouwelijkheid indien de informatie geldig is voor vrijwel elk lid van de groep en de groep als zodanig herkenbaar is.16 Daarnaast bepaalt artikel 15 van de City Deal dat de gemeenten over het resultaat van de analyse rapporteren aan hun gemeenteraad. Het CBS, de gemeenten en de andere partners in de City Deal van wie de data zijn geanalyseerd, bepalen in onderling overleg de manier waarop de resultaten worden gepubliceerd (inhoud, vorm, tijdstip e.d.). Het gepubliceerde resultaat van de analyses is voor verder gebruik beschikbaar.

21. Zorg voor een goede evaluatie van het analyse-traject en de uitkomst daarvan

Het is van belang om het analyse-traject en de uitkomst daarvan goed te evalueren, omdat deze evaluatie een rechtvaardiging kan opleveren voor een eventuele overstap in de toekomst naar analyse voor operationeel gebruik, waarbij ook een toetsing heeft plaatsgevonden aan een aantal principes met betrekking tot het beschermen van persoonsgegevens. Daartoe is het wenselijk om tijdens het analysetraject aantekening te houden van een aantal zaken dat relevant is voor het uitvoeren van de evaluatie. Het gaat daarbij om zaken die kunnen helpen om bij de evaluatie antwoord te geven op tenminste de volgende vragen:

  • 1. Zijn (de extracten uit) de datasets die bij de analyse zijn betrokken, alle voldoende relevant geweest of zijn er die niet meer betrokken behoeven te worden in een analyse voor operationeel gebruik?

  • 2. Is de opbrengt van de analyse van voldoende waarde om de noodzaak van verwerking van de gebruikte data te kunnen rechtvaardigen als de overstap wordt gemaakt naar analyse voor operationeel gebruik?

  • 3. Hebben zich bij de uitvoering van de stappen uit dit kader bijzonderheden voorgedaan waarmee bij een overstap naar analyse voor operationeel gebruik rekening moet worden gehouden?

  • 4. Is de analyse met het oog op transparantie en verantwoording achteraf reproduceerbaar?

  • 5. Welke eventuele (wettelijke) knelpunten zijn naar boven gekomen waaraan tijdens eventuele vervolgtrajecten aandacht dient te worden besteed?


X Noot
1

Zie o.a. Kamerstukken II, vergaderjaar 2014/15, 30 996, nr. 96, VenJ brief onderzoeksrapport Wijkenaanpak en Veiligheid; Kamerstukken II, vergaderjaar 2014/15, 32 847, nr. 131 MinWenR brief Voortgangsbrief Wijkaanpak 2014; NSOB (2016) ‘Ondermijning Ondermijnt’ i.o.v het ministerie van BZK.

X Noot
2

Zie voetnoot 1.

X Noot
3

Kamerstukken II 2016–2017, 26 643, nr. 426.

X Noot
4

Aanbeveling 1 in § 6.4.1 in de bijlage bij de kabinetsreactie op het WRR-rapport “Big Data in een vrije en veilige samenleving” (Kamerstukken II 2016–2017, 26 643, nr. 426).

X Noot
5

Gelet op stap 11 en 20 zullen deze producten nimmer tot personen herleidbaar mogen zijn.

X Noot
6

Zie voor nadere richtlijnen over het gebruik van methoden van anonimiseren: Opinion 05/2014 on Anonymisation Techniques van de Article 29 Data Protection Working Party, (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf).

X Noot
7

Pseudonimisering als maatregel om het principe van minimale gegevensverwerking uit te voeren zal met ingang van 25 mei 2018 een expliciete grondslag hebben in artikel 25 van de Algemene Verordening Gegevensbescherming.

X Noot
8

Kamerstukken II 1997–1998, 25 892, nr. 3, blz. 56.

X Noot
9

Kamerstukken II 1997–1998, 25 892, nr. 3, blz. 92. Zie voor nadere richtlijnen over te treffen maatregelen om te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van historische, statistische of wetenschappelijke doeleinden: Hoofdstuk III.2.3 van Opinion 03/2013 on purpose limitation van de Article 29 Data Protection Working Party (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf).

X Noot
10

Voor verstrekking op grond van deze bepalingen bevatten het Bpg en het Bjsg nog een aantal nadere voorwaarden. Zie stap 12.

X Noot
11

Aanbeveling 1 in § 6.4.4 in de bijlage bij de kabinetsreactie op het WRR-rapport “Big Data in een vrije en veilige samenleving” (Kamerstukken II 2016–2017, 26 643, nr. 426).

X Noot
12

Vgl. Kamerstukken II 1997–1998, 25 892, nr. 3, blz. 97.

X Noot
13

Aanbeveling 1 in § 6.4.4 in de bijlage bij de kabinetsreactie op het WRR-rapport “Big Data in een vrije en veilige samenleving” (Kamerstukken II 2016–2017, 26 643, nr. 426).

X Noot
14

Aanbeveling 1 in § 6.4.5 in de bijlage bij de kabinetsreactie op het WRR-rapport “Big Data in een vrije en veilige samenleving” (Kamerstukken II 2016–2017, 26 643, nr. 426).

XNoot
*

Omdat het CBS als bewerker optreedt, vindt de verwerking van gegevens plaats binnen de goed beveiligde IT-omgeving van het CBS. De toegang tot deze omgeving is afgeschermd door middel van minimaal twee-factor-authenticatie.

X Noot
15

Zie ook stap 11.

Naar boven