Allemaal, Iedereen, Iemand en Niemand

2
Allemaal, Iedereen, Iemand en Niemand
Een onderzoek naar het risico op lacunes in de nakoming van AVG verplichtingen bij het niet
eenduidig of expliciet kunnen aanmerken van een ‘verwerkingsverantwoordelijke’ voor de
intermediaire organisatie Stichting Inlichtingenbureau als wettelijk aangewezen verwerker.
Zandvoort, 10 februari 2018
Vrije Universiteit Amsterdam
Faculteit Rechtsgeleerdheid
Masteropleiding Privaatrecht
M. van Marle
Studentnummer 2602427
Scriptiebegeleider
Tina van der Linden
Tweede corrector
Arno Lodder

3
Het verhaal van een hele belangrijke opdracht.
“ Er moest eens een belangrijke opdracht verricht worden.
En Allemaal was er van overtuigd dat Iemand het zou doen.
Iedereen kon het doen.
Maar Niemand deed het.
Daarover was Iemand boos.
Want het was toch de taak van Allemaal?
Allemaal dacht dat Iemand het kon doen.
Maar Iedereen realiseerde zich dat Niemand het wilde doen.
Uiteindelijk gaf Iedereen Allemaal de schuld,
toen Niemand deed wat Iedereen had kunnen doen.”1

1 Management spreuk teamspirit

4
Inhoudsopgave

Voorwoord................................................................................................................................................5
Glossary....................................................................................................................................................6
Hoofdstuk 1 - Inleiding ............................................................................................................................7
1.1. Aanleiding.................................................................................................................................7
1.2. Onderzoeksvragen.....................................................................................................................9
1.3. Opbouw...................................................................................................................................10
Hoofdstuk 2 – De verwerkingsverantwoordelijke..................................................................................11
2.1. Inleiding ..................................................................................................................................11
2.2. De vaststellende instantie........................................................................................................11
2.3. Doelen en middelen.................................................................................................................12
2.4. Meervoudige verantwoordelijkheid ........................................................................................12
2.5. Wettelijke aanwijzing..............................................................................................................14
2.6. Gegevensverwerker.................................................................................................................14
2.7. Conclusie.................................................................................................................................16
Hoofdstuk 3 – De rol van het IB als wettelijk aangewezen verwerker in de SUWI-keten ....................18
3.1. Inleiding ..................................................................................................................................18
3.2. De SUWI-keten.......................................................................................................................18
3.3. Ministerie van SZW ................................................................................................................20
3.4. Gemeenten...............................................................................................................................22
3.5. Het IB......................................................................................................................................25
3.6. Conclusie.................................................................................................................................27
Hoofdstuk 4 – Risico’s op lacunes in de nakoming van AVG-verplichtingen ......................................29
4.1. Inleiding ..................................................................................................................................29
4.2. Grondslagen ............................................................................................................................30
4.3. Verwerkersovereenkomst........................................................................................................33
4.4. Verantwoordingsplicht............................................................................................................36
4.5. Conclusie.................................................................................................................................38
Hoofdstuk 5 – Conclusie en slotbeschouwing........................................................................................39
5.1 Conclusie......................................................................................................................................39
5.2 Slotbeschouwing ..........................................................................................................................40
Literatuur ................................................................................................................................................42

5
Voorwoord

Met genoegen presenteer ik hierbij mijn masterscriptie, geschreven ter afronding van de
Masteropleiding Privaatrecht Afstudeerrichting Internet, Intellectuele eigendom en ICT. Met deze
Master heb ik de mogelijkheid gehad om mijn juridische kennis te verdiepen. Ik heb daarmee
ontzettend veel kennis opgedaan, in het bijzonder op het gebied van Privacy. Kennis die ik direct
tijdens mijn stage en inmiddels huidige baan bij het Inlichtingenbureau kan toepassen. Ondanks dat
het schrijven van een scriptie in beginsel een solitair proces is, heb ik veel van het onderwerp met mijn
collega’s kunnen delen. Ik ben dan ook uitermate dankbaar voor de attentie op de problematiek in de
SUWI uitvoeringspraktijk waaruit het onderwerp van deze scriptie is voortgekomen. Uit deze
problematiek heb ik kunnen ervaren dat de begripsbepaling uit de AVG in de praktijk lastig
uitvoerbaar is gebleken. Mijn dank is groot voor alle begeleiding die ik van Jan-Peter Bergfeld en Tina
van der Linden heb gekregen bij het verrichten van dit onderzoek. Ten slotte bedank ik graag mijn
familie en vrienden voor hun enorme geduld en begrip. Door al het vallen en opstaan krijgen hun
toejuichende woorden ‘geef nooit op’ immense betekenis bij dit eindresultaat. Het was niet makkelijk.
Zonder hun steun was het me niet gelukt!
Ik wens u veel plezier bij het lezen van mijn Masterscriptie.

6
Glossary

De SVB: de Sociale Verzekeringsbank is uitvoerder van volksverzekeringen en zorgt voor correcte
uitbetaling van kinderbijslag en AOW-pensioen.
Het BKWI: het Bureau Keteninformatisering Werk en Inkomen bevordert de samenwerking tussen
overheidsorganisaties door middel van applicaties als Suwinet-Inkijk.
Het IB: het Inlichtingenbureau ondersteunt gemeenten bij elektronische gemeentelijke werkprocessen.
Het UWV: het Uitvoeringsinstituut Werknemersverzekeringen zorgt voor uitvoering van
werknemersverzekeringen zoals de WW en de Ziektewet.
Sociale voorzieningen: het geheel van uitvoeringsorganisaties betrokken bij uitkeringen betaald uit
belastingopbrengsten.
SUWI-keten: SUWI staat voor structuur uitvoeringsorganisatie werk en inkomen. De SUWI-keten
bevat gegevens en informatie rond werk en inkomsten. De organisaties die onderdeel zijn van de
SUWI-keten zijn: het UWV, de SVB, de colleges van B&W, het IB, de Sociale Inlichtingen en
Opsporingsdienst, de Arbeidsinspectie en het BKWI.
Ministerie van OCW: het Ministerie van Onderwijs, Cultuur en Wetenschap, onder meer
verantwoordelijk voor het onderwijs.
Ministerie van SZW: het Ministerie van Sociale Zaken en Werkgelegenheid, onder meer
verantwoordelijk voor het arbeidsmarktbeleid en inspectie daarop.
Ministerie van VWS: het Ministerie van Volksgezondheid, Welzijn en Sport, onder meer
verantwoordelijk voor een actieve invulling van zorg en ondersteuning.

7
Hoofdstuk 1 – Inleiding

1.1.Aanleiding
De belangrijke datum 25 mei 2018 komt steeds dichterbij. Vanaf die dag is de Autoriteit
Persoonsgegevens (AP) bevoegd de Algemene Verordening Gegevensbescherming (AVG) te
handhaven. Veel organisaties zijn druk met de implementatie van deze nieuwe verordening. Zo ook de
partijen uit de Structuur Uitvoeringsorganisatie Werk en Inkomen-keten (de SUWI-ketenpartijen). Al
enige tijd is er sprake van onduidelijkheid over de verdeling van verantwoordelijkheden voor de
SUWI-gegevensuitwisselingen. Toch is deze rolverdeling uitermate belangrijk bij het naleven van de
privacywetgeving. Aangezien de AVG nadruk legt op ‘accountability’ is eenduidige
verantwoordelijkheidsverdeling in de SUWI-keten des te belangrijker. In tegenstelling tot bij de Wet
bescherming persoonsgegevens (Wbp) moeten organisaties nauwkeurig aanduiden dat zij aan de
regels voldoen.
Het Inlichtingenbureau (IB) voert verwerkingen van persoonsgegevens uit in de keten van werk en
inkomen (SUWI). In het kader van de SUWI-keten vindt onder meer gegevensuitwisseling tussen
instanties plaats om rechtmatige uitkeringsverstrekking te waarborgen. Het IB ontvangt grote
hoeveelheden gegevens van onder meer het UWV, de SVB en de belastingdienst. Deze gegevens
worden bij het IB verwerkt zodat de juiste informatie aan de juiste gemeente wordt geleverd. Het is
technisch gezien efficiënt om de gegevens niet direct naar iedere gemeente afzonderlijk te sturen.
Figuur 1. Gegevensstromen via het IB
Bronnen Knooppunt Ontvangers
= Gegevens = Rapportage/signaal

8
Het is de Autoriteit Persoonsgegevens niet ontgaan dat in de SUWI-keten een eenduidige
verantwoordelijkheidsverdeling ontbreekt. Zo is het ministerie van Sociale Zaken en Werkgelegenheid
(SZW) door de AP gewaarschuwd en gevraagd om een juridische analyse uit te voeren waarbij de
verantwoordelijkheden worden verduidelijkt. Het IB is in de wet aangewezen als gegevensverwerker,
waarvan de verantwoordelijke niet eenduidig is vast te stellen. Bovendien krijgen gemeenten in het
kader van decentralisatie steeds meer taken toebedeeld waarvoor zij het IB kunnen gebruiken. Het gaat
daarbij om verwerkingen onder politieke verantwoordelijkheid van andere departementen, zoals het
ministerie van Volksgezondheid, Welzijn en Sport voor uitvoeringstaken in het kader van de Wet
Maatschappelijke Ondersteuning (WMO). Ook hier moet worden aangesloten bij de geldende
privacywetgeving ten aanzien van de vormgeving van het beleidsmatig kader waarbinnen het IB
opereert. Als men het wettelijk kader in andere departementen tracht over te nemen, zal een
verantwoordelijkheidsverdeling zorgvuldig moeten worden vormgegeven.
Dit onderzoek beoogt bij te dragen aan de bewustwording van de complicaties van een situatie waarin
doelen en middelen voor de verwerking bij wet worden bepaald, waarbij onduidelijk is hoeveel
zeggenschap de betrokken instanties moeten hebben om daadwerkelijk als verantwoordelijke te
kwalificeren. Dit onderzoek gaat over de vraag of de AVG tegenwicht biedt aan de Nederlandse
wetgeving in de situatie waarin de minister van SZW eigen AVG-verantwoordelijkheid bij gemeenten
en het IB neerlegt. Voorts probeer ik te onderzoeken of door deze afschuiving van
verantwoordelijkheid lacunes ontstaan in de naleving van de AVG bij de verwerkingen van het IB.
Het is de vraag of de bij een verwerking betrokken instanties een kwalificatie van verantwoordelijke in
het midden kunnen laten bij het opstellen van een onderlinge taakverdeling. Dat zou betekenen dat alle
betrokken instanties gezamenlijk verantwoordelijk zijn en het Besluit SUWI nietig is. Eerder
onderzoek onder de Wbp heeft deze vraag onbeantwoord gelaten. De verantwoordingsplicht van de
AVG vereist wel een antwoord. Voornamelijk omdat inconsistente of vage nationale wetgeving bij
strijdigheid met de Europese wetgeving kan worden genegeerd. Een andere reden is dat onder de AVG
hoge boetes opgelegd kunnen worden.
Bij het onderzoek wordt gebruik gemaakt van een studie naar en analyse van de Nederlandse en
Europese regelgeving, internationale rechtspraak en literatuur. Gelet op de beperkte geldingsperiode
van de Wet bescherming persoonsgegevens beperk ik mij in deze masterscriptie tot de AVG. Voor de
uitleg van het wettelijk kader van de AVG gebruik ik de Memorie van Toelichting en een tweetal
opiniestukken van de Artikel 29-Werkgroep passend bij de Wbp. Aangezien de definities onder de
richtlijn 95/46 en de AVG weinig van elkaar verschillen, zullen de uitleg en voorbeelden vermoedelijk
relevant blijven. Zo zullen volgens artikel 94 lid 2 AVG verwijzingen naar de Artikel 29-Werkgroep
gelden als verwijzingen naar het comité. Hoewel niet alle opinies van de Artikel 29-Werkgroep

9
afstemmen op de AVG zullen ze aanknoping bieden waar de AVG en de richtlijn 95/46 op elkaar
lijken.
De SUWI-uitvoeringsorganisaties zijn in de zin van de AVG ieder afzonderlijk verantwoordelijk voor
de gegevensverwerking ten behoeve van de eigen taken. Ook zijn alle betrokken ketenpartijen,
waaronder de knooppunten, in de zin van de AVG zelf verantwoordelijk voor de gegevensverwerking
met betrekking tot de eigen bedrijfsvoering. Het IB neemt namelijk zelf initiatief voor de verwerking
van persoonsgegevens ten aanzien van onder meer haar personeelsadministratie en klantenbestanden.
Daarnaast is het IB expliciet aangewezen als verwerker van de minister van SZW in het kader van
gegevensuitwisseling met inzet van SyRI (Systeem Risico Indicatie). Deze verwerkingen vallen buiten
de scope van deze masterscriptie.
1.2. Onderzoeksvragen
Hoofdvraag:
Deelvragen:
1. Welke opties zijn er onder de AVG mogelijk om de ’voor de verwerking verantwoordelijke’ te
kwalificeren?
2. Kunnen één of meerdere instanties eenduidig worden gekwalificeerd als verantwoordelijke(n)
voor verwerkingen van de wettelijk aangewezen gegevensverwerker, het IB?
3. Welke risico’s op lacunes in de nakoming van AVG-verplichtingen bestaan er bij het niet
eenduidig kunnen kwalificeren van de verantwoordelijke(n) in de SUWI-keten, en biedt de
verantwoordingsverplichting voldoende handvaten om deze risico’s te verminderen?
In complexe situaties waarbij sprake is van verwerkingen in een keten met intermediaire organisaties,
biedt de AVG de optie om doelen en middelen bij wet vast te stellen zonder dat voldaan wordt aan de
voorwaarde dat een ‘voor de verwerking verantwoordelijke’ wordt aangewezen of anderszins
duidelijk kan worden aangemerkt. Ontstaat hierdoor het risico op lacunes in de nakoming van de
verplichtingen?

10
1.3. Opbouw
In hoofdstuk 2 beschrijf ik het regelgevend kader dat bestaat uit de AVG. Ter uitleg en illustratie
bespreek ik daarbij tevens de toelichting op de Wbp en een tweetal opiniestukken van de Artikel 29-
Werkgroep. Ik ga in op de verschillende mogelijkheden die de AVG biedt om te kwalificeren als
verwerkingsverantwoordelijke. De begrippen ‘voor de verwerking verantwoordelijke’ en
‘gegevensverwerker’ spelen een cruciale rol in zowel de Wbp als de AVG. Middels deze begrippen
wordt uitgemaakt wie welke verantwoordelijkheden draagt voor de naleving van de regels. Door deze
rolverdeling te duiden, kan in het volgende hoofdstuk het wettelijk kader worden toegepast op de
casus van het IB als wettelijk aangewezen gegevensverwerker in de SUWI-keten. Het hoofdstuk sluit
ik af met een conclusie.
In hoofdstuk 3 ga ik dieper in op de uitvoeringspraktijk. Ik gebruik de casus van het IB om het
wettelijk kader toe te lichten. Daarbij tracht ik te laten zien hoeveel verschillende opties er zijn om de
verantwoordelijke(n) voor IB-verwerkingen te kwalificeren. Ik zal daarbij in kaart brengen met welke
onduidelijkheden de partijen in deze tamelijk complexe uitvoeringspraktijk worstelen. Voor een goed
begrip van de casus geef ik eerst een beknopte uitleg van de SUWI-keten. Vervolgens ga ik in op de
drie instanties die invloed uitoefenen op de verwerkingen van het IB. Dit pas ik toe op het wettelijk
kader zoals beschreven in het tweede hoofdstuk. Ten slotte sluit ik het hoofdstuk af met een conclusie.
In hoofdstuk 4 bespreek ik de mogelijke leemte in de AVG om kwalificatie van verantwoordelijke
ondanks de verantwoordingsplicht in het midden te laten in de situatie waarin de naleving actief wordt
geregeld en kan worden aangetoond. De Minister voelt in die situatie geen druk om het huidige
wettelijke kader met betrekking tot de SUWI-keten aan te passen. Hij kan door de kwalificatie in het
midden te laten zijn eigen AVG-verantwoordelijkheid afschuiven op de gemeenten en het IB. Daarbij
kan hij zich ook beroepen op de rechtmatige verwerkingsgrondslag die gemeenten en het IB wel
toekomt, maar de Minister zelf niet. Ik begin met een toelichting op de grondslagen. Vervolgens ga ik
in op de verwerkersovereenkomst en de verantwoordingsverplichting. Ik eindig het hoofdstuk met een
conclusie.
Tot slot wordt in hoofdstuk 5 een definitieve conclusie getrokken met betrekking tot de
onderzoeksvraag. Het hoofdstuk wordt besloten met een slotbeschouwing.

11
Hoofdstuk 2 – De verwerkingsverantwoordelijke

2.1.Inleiding
In dit hoofdstuk wordt de kwalificatievraag inzake de verantwoordelijke onderzocht. De
verwerkingsverantwoordelijke is de instantie die alleen of tezamen met anderen het doel van en de
middelen voor de verwerking van persoonsgegevens vaststelt.2 Wie deze bevoegdheid toekomt, blijkt
doorgaans uit een analyse van feiten of omstandigheden. Waar sprake is van verwerking van
persoonsgegevens is altijd een verantwoordelijke. 3
Om meer duidelijkheid te verkrijgen, ga ik in dit
hoofdstuk een antwoord vinden op de vraag: Welke opties zijn er onder de AVG mogelijk om de ‘voor
de verwerking verantwoordelijke’ te kwalificeren?
Daartoe begin ik in de tweede paragraaf met een toelichting op het criterium ‘vaststelt’. In de derde
paragraaf ga ik in op de doelen en middelen van de verwerking. In de vierde paragraaf bespreek ik de
drie hoofdvormen van meervoudige verantwoordelijkheid. Vervolgens ga ik in op de wettelijke
aanwijzing van verantwoordelijken. In paragraaf 6 ga ik in op de mogelijkheid waarin de
gegevensverwerker als verantwoordelijke kan worden beschouwd. Ten slotte sluit ik het hoofdstuk af
met een conclusie.
2.2.De vaststellende instantie
Het kwalificeren van de verantwoordelijke hangt ten eerste af van de vraag wie de vaststellende
instantie is. Een instantie kan door zowel feitelijke, contractuele als formele invloed worden
aangemerkt als degene die ‘vaststelt’. Uit de wetsgeschiedenis van de Wbp is gebleken dat in eerste
instantie een formeel-juridische benadering wordt gehanteerd.4
Zo is het voor de betrokkene het
duidelijkst welke instantie zeggenschap heeft en bij welke instantie hij moet zijn voor een verzoek tot
inzage en/of correctie.5
In situaties waarin de juridische zeggenschap niet duidelijk is, kan de
verwerking worden toegerekend aan de instantie die feitelijk vaststelt6
volgens ‘in het maatschappelijk
verkeer geldende maatstaven’. Naar aanleiding van de SWIFT-zaak benadrukt ook de Artikel 29-
Werkgroep dat, naast de formeel-juridische benadering, de relevantie van de feitelijke invloed een
zelfstandige betekenis heeft om tot kwalificatie van een verantwoordelijke te komen indien een
contractuele aanstelling niet de realiteit weergeeft. Een contractuele aanstelling is niet doorslaggevend

2 Artikel 4 lid 7 AVG
3 Kamerstukken II 1997/98, 25892, nr. 3, MvT Wbp, p. 57.
6 Advies WP-29 2006, p. 12-13.

12
voor het vaststellen van de daadwerkelijke hoedanigheid van de partijen.7 In een aantal gevallen is de
daadwerkelijke handelswijze van de instantie het uitgangspunt, zodat deze partij niet aan de
kwalificatie van verantwoordelijke ontkomt met een uitsluitingsclausule in een contract. De AP is
bevoegd de feitelijke invloed mee te nemen in de kwalificatie van verantwoordelijke indien “de
formele aanstelling niet de realiteit weergeeft”.8 Het uitgangspunt van de feitelijke benadering is
ervoor te zorgen dat betrokkenen altijd de mogelijkheid hebben om hun rechten uit te oefenen.9
Bij
beantwoording van de vraag wie de verantwoordelijke is, dient onderzocht te worden welke instanties
enerzijds formeel-juridisch en anderzijds naar functionele inhoud bevoegd zijn de doeleinden en
middelen van de gegevensverwerking vast te stellen.10
2.3.Doelen en middelen
Een tweede element dat deel uitmaakt van de begripsbepaling en van belang is om tot kwalificatie van
de verantwoordelijke te komen, betreft het doel van en de middelen voor de verwerking. Doel en
middelen hangen nauw met elkaar samen. Het gaat bij de beoordeling van dit criterium om de mate
waarin het doel en de middelen door een instantie worden vastgesteld. Gezocht wordt naar de instantie
die de verwerking initieert en derhalve bepaalt of de gegevens worden verwerkt, voor welke
verwerking met welke persoonsgegevens en voor welk doel.11
In beginsel ligt voor de hand dat deze
instantie tevens bepaalt welke middelen worden ingezet om de vastgestelde doeleinden te bereiken. De
Artikel 29-Werkgroep adviseert daarbij dat ‘de middelen’ breed moet worden opgevat en het niet
uitsluitend gaat over de technische middelen zoals de te gebruiken soft- of hardware.12
Het draait om
het ‘hoe’ van de verwerking. De middelen dienen betrekking te hebben op de wijze waarop de
verwerking plaatsvindt, zoals het beslissen over de gegevenscategorieën en betrokkenen, toegang van
of doorgifte aan derden en de bewaartermijnen.
2.4.Meervoudige verantwoordelijkheid
Indien de bevoegdheden tot het bepalen van doeleinden en middelen niet in dezelfde hand liggen,13
is
er sprake van meervoudige verantwoordelijkheid. 14 De Artikel 29-Werkgroep geeft in haar advies
enkele voorbeelden van de vele verschillende mogelijkheden.15
In de Wbp heeft de Nederlandse

7 Opinie WP-29 2010, p. 11.
8 Opinie WP-29 2010, p. 11.
9 Kamerstukken II 1997/98, 25892, nr. 3, MvT Wbp, p. 57, Opinie WP-29 2010, p. 26.
10 Kamerstukken II 1997/98, 25892, nr. 3, MvT Wbp, p. 57-59.
12 Opinie WP-29 2010, p. 16.
14 Laan, Tijdschrift voor Internetrecht 2017, p. 8.
15 Opinie WP-29 2010, p. 21.

13
wetgever drie hoofdvormen opgesteld. Hoewel deze vormen bij de toepassing van de AVG niet
limitatief zijn, kunnen deze hoofdvormen dienen als voorbeeld voor andere mogelijke vormen.
In de eerste vorm is sprake van één gemeenschappelijke verantwoordelijke die aanspreekbaar is voor
het geheel van de verwerkingen waarover hij juridische zeggenschap heeft. De overige deelnemende
instanties zijn aansprakelijk voor de aangeleverde gegevens. Een voorbeeld hiervan is een
verantwoordelijke directie of leiding van een instantie waarbij deelnemende partners in de maatschap
slechts verantwoordelijk zijn voor de juistheid van de opgenomen gegevens. De betrokkene kan dan
de directie aanspreken over zijn of haar rechten.
Een tweede vorm betreft verschillende verwerkingen die wel geïntegreerd zijn, maar waarbij geen
gemeenschappelijke verantwoordelijke kan worden aangemerkt. De betrokkene kan dan een van de
afzonderlijke verantwoordelijken aanspreken over het aandeel van die instantie. Denk hierbij aan
verwerkingen in verschillende fases. De Artikel 29-Werkgroep beschrijft in haar advies een goed
voorbeeld. Wanneer een bank gebruik maakt van een dienst voor het berichtenverkeer van financiële
transacties en beide partijen het eens zijn over de middelen voor de verwerking daarvan, zijn de
verschillende fasen, doelen en middelen nauw met elkaar verbonden. Zowel de dienstverlener als de
bank zijn voor hun eigen fase als verantwoordelijke aan te spreken. De bank voor de eerste fase bij de
verwerking van persoonsgegevens voor de transactie, de dienstverlener voor de tweede fase bij de
verwerking van persoonsgegevens voor het berichtenverkeer.16
De derde vorm houdt in dat de verschillende verwerkingen zijn geïntegreerd zonder dat er een
gemeenschappelijke verantwoordelijke is. In deze situatie zijn alle in het samenwerkingsverband
participerende partijen verantwoordelijk en aansprakelijk voor het geheel van de verwerkingen. Denk
aan een geval waarin een vijftal cafés gezamenlijk gebruikmaakt van ID-scanners die het
identiteitsdocument van iedere bezoeker kunnen lezen en opslaan.17
De scanners van de afzonderlijke
cafés maken gebruik van één centrale server.18
Alle cafés zijn verantwoordelijk voor deze centrale
server. Deze vorm is volgens de Artikel 29-Werkgroep van toepassing als sprake is van veel
verantwoordelijken waarbij onderling geen duidelijke rolverdeling is aangebracht.19
Op deze manier
dienen de rechten van de betrokkenen te allen tijden gewaarborgd te zijn zodat zij niet de dupe worden
van een verkeerde invulling van de verantwoordelijkheid.

16 Opinie WP-29 2010, voorbeeld 10 p. 24.
17 College Bescherming Persoonsgegevens augustus 2015, p. 2.
18 College Bescherming Persoonsgegevens augustus 2015, p. 17.
19 Opinie WP-29 2010, p. 28.

14
2.5.Wettelijke aanwijzing
Ten slotte laat de definitie de mogelijkheid open dat een bijzondere wet bepaalt wie de
verantwoordelijke is, of volgens welke criteria deze wordt aangewezen.20
Veelal is sprake van een
verwerking waarbij de doelen en middelen bij wet worden vastgesteld.21
Een formele aanwijzing en
omschrijving van doelen en middelen in de wet schetst een beoordelingskader van de te verwerken
gegevens en bevordert de rechtszekerheid. Een uitgangspunt bij deze mogelijkheid kan zijn dat er geen
persoonsgegevens automatisch worden verwerkt waarvoor niemand aanspreekbaar is. Een ander
uitgangspunt heeft betrekking op een aanwijzing in het geval van meervoudige verantwoordelijkheid.
In dit geval zorgt de aanwijzing ervoor dat in ieder geval één verantwoordelijke zonder nader
onderzoek door de betrokkene kan worden gekend.22
Voorbeelden van een dergelijke aanwijzing zijn
te vinden in artikel 3a Kadasterwet, artikel 4 Wet kenbaarheid publiekrechtelijke beperkingen
onroerende zaken, artikel 39a Wet justitiële en strafvorderlijke gegevens en artikel 2 Regeling
justitiële keteninformatisering Jeugdwet. Alle voorbeelden komen min of meer neer op de volgende
formulering: ‘Het bestuursorgaan’ is in de zin van de Wbp23
de verantwoordelijke voor het verwerken
van persoonsgegevens ten behoeve van ‘de doeleinden of een verwijzing naar bepaling waarin de
doeleinden zijn beschreven’.24
Uit het gedeelte: ‘kan worden bepaald’ of zoals de oorspronkelijke
Engelse versie beschrijft: ‘may be provided for’ blijkt dat het niet verplicht is de verantwoordelijke of
de criteria om tot verantwoordelijke te komen, vervolgens bij wet aan te wijzen.
2.6.Gegevensverwerker
De gegevensverwerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens
verwerkt.25
In tegenstelling tot de expliciet in de begripsbepaling omschreven mogelijkheid om de
verantwoordelijke bij wet aan te wijzen, ontbreekt een dergelijke wettelijke aanwijzing in de definitie
van gegevensverwerker.26
De gegevensverwerker voert verwerkingen uit binnen de doeleinden en
middelen die gesteld zijn door een verwerkingsverantwoordelijke. Een voorbeeld uit de medische
wereld om de relatie te duiden, is dat de verantwoordelijke als ‘supervisor’ optreedt en de verwerker
als ‘assistent’. Er is geen assistent zonder supervisor om te verzekeren dat de assistent voldoende
sturing krijgt. De verwerker heeft een uitvoerende taak en heeft daarom geen zeggenschap over de
verwerkingswijze. Zijn bestaan en handelen zijn afhankelijk van het besluit van de verantwoordelijke
om de verwerking te delegeren aan een externe instantie. In dat geval dient de verwerker aanwijzingen

21 Artikel 4 lid 7 AVG, tweede volzin.
23 Per 25 mei 2018 wordt dit de AVG in plaats van de Wbp.
24 Minister van Veiligheid en Justitie 2011, p. 42.

15
en instructies op te volgen.27
Als er een gegevensverwerker bij de verwerking betrokken is, dient de
verantwoordelijke te beslissen over de doeleinden van de verzameling of/en verdere verwerking van
persoonsgegevens door deze verwerker.
In de praktijk wordt veelal van een dienstverlener verwacht dat hij verwerker is bij het uitvoeren van
een opdracht. Dat blijkt echter niet altijd het geval. Zo faciliteert het bedrijf Bluetrace een Wifi-
tracking systeem en daaraan gerelateerde diensten aan winkeliers om zicht te hebben op
bezoekersstromen. Primair is de dienstverlening gericht op het instaleren en onderhouden van het
systeem. De verwerking van gegevens zoals het genereren, analyseren, opslaan en beheren van de
meetgegevens, is een uitvloeisel van de dienstverlening.28
Volgens de Autoriteit Persoonsgegevens is
de primaire activiteit het faciliteren van het systeem. Dat de verwerking van gegevens een gevolg is
van deze dienstverlening zorgt voor een indicatie dat de dienstverlener geen verwerker is. De
Autoriteit Persoonsgegevens stelt derhalve dat enkel sprake kan zijn van een dienstverlener die
verwerker is, indien de opdracht aan hem primair gericht is op het verwerken van gegevens en de
verwerking niet louter een bijkomstigheid is. De dienstverlener is dan zelf verantwoordelijk voor de
dienstverlening.29
Een verkeerde of uitblijvende sturing op wettelijke vereisten kan ervoor zorgen dat de
gegevensverwerker als verwerkingsverantwoordelijke is aan te merken. De verschuiving van
verantwoordelijkheden valt dan te baseren op de feitelijke invloed op de verwerkingen op grond van
artikel 28 lid 10 AVG. De bepaling waarin de verwerker als verantwoordelijke kan worden beschouwd
indien hij de doelen en middelen van de verwerking vaststelt, is nieuw.30
Deze bepaling sluit aan bij
het belang van de feitelijke invloed die de verantwoordelijkheid van de gegevensverwerker doet
verschuiven, hetgeen is geadviseerd door de Artikel 29-werkgroep in de SWIFT-zaak. Ondanks het
feit dat de SWIFT-zaak geen bindend advies betreft, kan worden gekeken naar een aantal feiten en
omstandigheden die van belang zijn om volgens artikel 28 lid 10 te beoordelen of de
gegevensverwerker feitelijk de doelen en middelen vaststelt. Immers kan een gegevensverwerker in
zijn hoedanigheid in beginsel formeel-juridisch niet bevoegd zijn de doelen en middelen vast te
stellen. Deze bevoegdheid komt alleen de verantwoordelijke toe.
In de SWIFT-zaak riep de Artikel 29-werkgroep op om de doorgifte van persoonsgegevens in
overeenstemming met de wet te brengen. Het bedrijf SWIFT faciliteert financieel berichtenverkeer
voor internationale overboekingen. Alle berichten werden gedurende 124 dagen opgeslagen in

27 Kamerstukken II 1997/98, 25892, nr. 3, MvT Wbp, p.60-61.
28 College Bescherming Persoonsgegevens oktober 2015, p. 5-6.
29 Autoriteit Persoonsgegevens 2016, overweging 28.

16
verwerkingscentra in de EU en de VS. Het bedrijf werd bij dwangbevel door de Amerikaanse overheid
gesommeerd toegang te verlenen tot de persoonsgegevens in de berichten. SWIFT gaf daaraan gevolg.
Opvallend is dat SWIFT als gegevensverwerker zelfstandig kon beslissen over de doorgifte van de
persoonsgegevens. Het bedrijf kon zowel de doeleinden van de gegevensverwerking als de gevolgde
werkwijze bepalen door nieuwe diensten en verwerkingsmethoden te ontwikkelen, te
commercialiseren en aan te passen.31
Zo bepaalde het standaarden voor de vorm en inhoud van
betalingsopdrachten zonder dat daarvoor toestemming van de financiële instellingen moest worden
gevraagd. Voorts voegde het waarde toe aan de verwerking van persoonsgegevens, zoals opslag,
validatie en een hoog beveiligingsniveau. Tot slot was het management autonoom bevoegd het
contractbeleid en de bijbehorende documenten op te stellen en te wijzigen.32
Doorslaggevend was de
daadwerkelijk verkregen en benutte handelingsruimte die SWIFT in deze situatie, voor de verwerking
betreffende doorgifte aan de Amerikaanse overheid, volgens de Artikel 29-werkgroep deed
kwalificeren als verwerkingsverantwoordelijke.
2.7.Conclusie
Uit het voorgaande volgt dat er veel verschillende mogelijkheden zijn om tot de kwalificatie van
verwerkingsverantwoordelijke te komen. Het is ten eerste van belang te onderzoeken of één of
meerdere instanties formeel-juridisch en/of feitelijk bevoegd zijn over de doelen en middelen van de
verwerking te beslissen. Daarnaast zijn er nog twee andere opties mogelijk om te kwalificeren als
verantwoordelijke. De eerste is middels een wettelijke aanwijzing wanneer de doelen en middelen
tevens bij wet zijn vastgesteld. De tweede optie is een gegevensverwerker die buiten de door zijn
verantwoordelijke vooraf bepaalde grenzen gaat en derhalve feitelijke invloed heeft op de vaststelling
van eigen doelen van en middelen voor de verwerking.
Indien bij de vaststelling van de doelen en middelen sprake is van meerdere betrokken instanties zal de
onderlinge relatie moeten worden uitgediept. Wanneer sprake is van een dergelijke relatie moet
worden uitgemaakt wie welke taken op zich neemt. De kwalificatie van het begrip
‘verwerkingsverantwoordelijke’ hangt af van een analyse van feiten en omstandigheden van het geval
indien in de praktijk sprake is van complexe verwerkingen met veel betrokken partijen of waar een
gegevensverwerker betrokken is.

31 Advies WP-29 2006, p.12.
32 Advies WP-29 2006, p. 12-13.

17
In het volgende hoofdstuk ga ik dieper in op de toepassing van het wettelijk kader in de praktijk. Ik
doe dit aan de hand van een complexe gegevensverwerking, namelijk de verwerking van het IB in de
SUWI-keten.

18
Hoofdstuk 3 – De rol van het IB als wettelijk aangewezen
verwerker in de SUWI-keten

3.1.Inleiding
In dit hoofdstuk wordt het wettelijk kader, zoals beschreven in het vorige hoofdstuk, toegepast op
verwerkingen van persoonsgegevens door het IB in de SUWI keten. Het IB is voor deze verwerkingen
wettelijk aangewezen als gegevensverwerker. Deze tamelijk complexe casus dient als voorbeeld om te
laten zien hoe de begrippen in de praktijk worden geïnterpreteerd. Met deze casus behandel ik de
verschillende criteria om een verantwoordelijke te kwalificeren. De casus laat toe op alle criteria in te
gaan, zo is sprake van een gegevensverwerker, bij wet vastgestelde doelen en middelen en
mogelijkheid op meervoudige verantwoordelijkheid. Ik ga in dit hoofdstuk een antwoord vinden op de
vraag: Kunnen één of meerdere instanties eenduidig worden gekwalificeerd als verantwoordelijke(n)
voor verwerkingen van de wettelijk aangewezen gegevensverwerker, het IB?
Ik begin het hoofdstuk met een korte uitleg van de SUWI-keten en een gegevensknooppunt.
Vervolgens bespreek ik de drie instanties die bij machte zijn invloed uit te oefenen op de
verwerkingen van het IB. Ik begin in paragraaf 3 met de minister van SZW. Vervolgens ga ik in
paragraaf 4 in op de gemeenten en eindig ik met het IB zelf in paragraaf 5. Ik beschrijf in paragraaf 6
de uitvoeringspraktijk in relatie tot het wettelijk kader. Ten slotte sluit ik het hoofdstuk af met een
conclusie.
3.2.De SUWI-keten
Ongeveer zeventien jaar geleden introduceerde het ministerie van SZW de Wet SUWI als hulpmiddel
voor elektronische gegevensoverdracht om mogelijkheden te creëren voor groepen op de arbeidsmarkt
die nog niet volwaardig participeren.33
De introductie van dit hulpmiddel had betrekking op het
toenmalige politieke credo: werk boven inkomen. De insteek is dat informatie over onder meer WW-
gerechtigde personen die uit een UWV-traject komen, ook beschikbaar is bij gemeenten. Zo gaat het
traject van het UWV niet verloren zodra deze persoon van een WW-uitkering in een bijstandsuitkering
terechtkomt. Gemeenten hebben informatie nodig van de SUWI-uitvoeringsorganisaties, waaronder
het UWV, om de personen effectief van dienst te kunnen zijn en te kunnen beslissen over het recht op

33 Kamerstukken II 2000/01, 27588, nr. 3, MvT Wet SUWI, p. 1.

19
bijstand, het verzorgen van de uitkeringshandelingen en/of de re-integratie van bijstandsgerechtigden
en niet-uitkeringsgerechtigden.34
Om elektronische gegevensoverdracht mogelijk te maken, moeten de SUWI-uitvoeringsorganisaties
onderling gegevens uitwisselen. Daarvoor dient de SUWI-keten. Het uitgangspunt van de SUWI-keten
is dat organisaties parallel aan de eigen diensten ook diensten verlenen die een gezamenlijk vastgesteld
resultaat opleveren. De SUWI-uitvoeringsorganisaties leveren aan de keten op grond van artikel 62
Wet SUWI uit eigen beweging en op verzoek, kosteloos alle gegevens die noodzakelijk zijn voor de
uitvoering van taken die krachtens de Wet SUWI, de Participatiewet en andere sociale
verzekeringswetten, aan gemeenten zijn opgedragen.35
Daarbij moet gebruik worden gemaakt van de
knooppunten/intermediairs: het Bureau Keteninformatisering Werk & Inkomen (BKWI) en het IB.
Waar het IB optreedt als knooppunt voor gemeenten, fungeert het BKWI als knooppunt voor de
verschillende vestigingen van het UWV en de SVB. De problematiek die in dit hoofdstuk middels het
IB wordt belicht, roept mogelijk dezelfde vragen op voor de positionering van het BKWI. Wegens de
beperkte omvang van deze scriptie blijft het BWKI echter verder buiten beschouwing. Het IB is de
tussenschakel van en naar de gemeenten en fungeert als centraal punt in de gegevensuitwisselingen.
Voorts structureert het de bevragingen van de SUWI-uitvoeringsorganisaties over en weer.
Figuur 2: Verschil zonder en met gebruik van een knooppunt
Een goed voorbeeld van de werking van een knooppunt/intermediair binnen de keten is als volgt. De
op grond van artikel 62 Wet SUWI verstrekte gegevens gaan de keten rond als auto’s op een rotonde.
Het knooppunt (het IB) combineert de informatie in de auto’s die de afslag richting de gemeenten
nemen zodat de auto de juiste informatie bevat en niet boventallig is. Vervolgens geeft het knooppunt
de auto’s een soort routebeschrijving mee zodat ze bij de juiste gemeente arriveren. Niet alleen de

34 Kamerstukken II 2000/01, 27588, nr. 3, MvT Wet SUWI, p. 2-3.
35 Artikel 62 Wet SUWI

20
auto’s met informatie naar de juiste gemeente maar ook de auto’s van de gemeente naar bijvoorbeeld
het UWV of een andere gemeente, worden door het IB gecombineerd en krijgen een routebeschrijving
mee. Het knooppunt zorgt op efficiënte wijze dat de juiste informatie op de juiste plek terechtkomt.
Figuur 3: Keteninformatisering
Omdat, zoals in paragraaf 3.2 beschreven, op lokaal niveau geen sprake is van één organisatie en
iedere gemeente voor onder meer bijstandsverlening een eigen autonome bevoegdheid heeft,
functioneert het IB als (gemeenschappelijk) knooppunt.36
Voor 2008 was het IB door de Minister
aangewezen en belast met een eigen verantwoordelijkheid in de zin van de Wbp. In 2008 is de Wet
SUWI in het kader van deregulering herzien. De positionering van het IB is per besluit gewijzigd van
verantwoordelijke naar verwerker. Dat het IB door de Minister is aangewezen als verwerker voor de
uitvoering van haar coördinerende en dienstverlenende taken voor gemeenten, staat expliciet
beschreven in artikel 5.24 Besluit SUWI jo. artikel 1 sub m Wet SUWI. Maar omdat de kwalificatie
als gegevensverwerker afhankelijk is van de verwerkingsverantwoordelijke, is met de expliciete
aanwijzing niet alles gedaan. Daarvoor is van belang te analyseren welke partijen juridische en/of
feitelijke invloed uitoefenen op de doelen van en middelen voor de verwerkingen van het IB. Zoals in
het vorige hoofdstuk is beschreven, blijkt de bevoegdheid om ‘vast te stellen’ doorgaans uit een
analyse van feiten of omstandigheden.
3.3.Ministerie van SZW
Het IB verwerkt gegevens omdat het op grond van de Wet SUWI in opdracht van de minister van
SZW een wettelijk toebedeelde taak heeft in het faciliteren van ondersteunende dienstverlening bij
gemeentelijke werkprocessen. De betrokkenheid van het IB is voor gemeenten noodzakelijk om aan de

36 Bergfeld, Privacy & Informatie 2015, p. 86.

21
wettelijke verplichting inzake gegevensuitwisseling volgens artikel 62 Wet SUWI te kunnen voldoen.
Zonder verwerkingen van persoonsgegevens door het IB als elektronische collectieve
stelselvoorziening is het niet goed mogelijk om aan deze wettelijke verplichting in de SUWI-keten te
voldoen. De gemeenten zijn immers middels gelijkwaardige samenwerking verplicht om het essentiële
element van de keten, namelijk het door de ketenpartijen gezamenlijk vastgestelde resultaat, te
waarborgen. De Minister zet het IB in om ervoor te zorgen dat gemeenten kunnen voldoen aan de
uitvoering van SUWI-taken.
Op grond van artikel 5.24 lid 3 Besluit SUWI is de minister van SZW formeel-juridisch bevoegd37
om
doelen en middelen voor de verwerking van het IB vast te stellen. De Minister kan bij Algemeen
Verbindend Voorschrift38
bepalen met welke gegevens en onder welke voorwaarden het IB haar
verwerkingen uitvoert. Middels het hiervoor genoemde artikel wordt bepaald welke gegevens het IB
verwerkt en onder welke voorwaarden het voor gemeenten optreedt. Voor de diensten die het IB
aanbiedt, worden jaarlijks specifieke verwerkingsdoeleinden in het Inlichtingenbureau
Gegevensregister (IB-GR)39
wettelijk vastgesteld door de minister van SZW. Naast de specifieke
verwerkingsdoeleinden staan de benodigde gegevens, de verstrekkers en ontvangers en de
bewaartermijnen in het Gegevensregister beschreven. Het IB beslist over de vormgeving van de
diensten, de gegevens, de verstrekkers en ontvangers en de bewaartermijnen. Vervolgens wordt dit ter
goedkeuring en optekening voorgelegd aan de Minister. De Minister van SZW zegt bovendien
middels wettelijke vaststelling van het Gegevensregister (IB-GR) in bijlage XVIII Regeling SUWI
jaarlijks te voorzien in een wettelijke bewerkersovereenkomst.40
In hoofdstuk 4 wordt onderzocht of
deze bewerkersovereenkomst onder de AVG ook als verwerkersovereenkomst kan gelden.
Ondanks de formeel-juridische bevoegdheid om te beslissen over de doelen van en middelen voor de
verwerkingen van het IB, staat niet vast dat de minister van SZW hiermee zijn eigen doeleinden
nastreeft. De constructie waarbij de doelen en middelen door de minister van SZW in de wet zijn
vastgesteld, lijkt op de constructie in de tweede zinsnede van de begripsbepaling van de
verantwoordelijke. Wanneer de doeleinden en middelen in de wet zijn vastgesteld, kan bepaald
worden wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen. Als
de aanwijzing van de verantwoordelijke voor IB-verwerkingen is uitgebleven, is het niet ondenkbaar
dat de Minister volgens feitelijke benadering zelf verantwoordelijk is. In de situatie waarin de Minister
belast is met uitvoeringstaken, draagt hij de verantwoordelijkheid. Zo is de Minister verantwoordelijk

37 Kamerstukken II 1997/98, 25892, nr. 3, MvT Wbp, p. 16 en 55.
38 Materiele wetgeving met belang voor alle burgers.
39 Bijlage XVIII Regeling SUWI
40 Stichting Inlichtingenbureau 2015, p.3.

22
voor de gegevensverwerking in het register risicomeldingen in het kader van het SyRI-project.41
Voorts is een verantwoordelijkheid voor verwerkingen van een knooppunt niet uitgesloten. De
minister van Justitie en Veiligheid is wettelijk aangewezen als verantwoordelijke voor de inrichting en
het beheer van het gegevensknooppunt de Collectieve Opdrachten Routeer Voorziening (CORV).42
De Minister is echter in dit kader zelf niet belast met de taken en uitoefening van de bevoegdheden
waarvoor de gegevens worden verwerkt. Hij maakt geen werkelijk deel uit van de SUWI-keten omdat
hij stelselverantwoordelijke is en geen uitvoeringspartij met betrekking tot de verwerking van het IB.
De minister van SZW is politiek verantwoordelijk voor het formele kader en voor de
beleidsontwikkeling waarbinnen de ketenpartijen naleving van de AVG voldoende geborgd hebben.43
Het is de vraag of de Minister directe AVG-verantwoordelijkheid draagt nu hij volgens de Wet SUWI
niet belast is met de uitvoering van de IB-verwerking. Het IB verwerkt de gegevens namelijk voor de
uitvoering van de SUWI-taken van gemeenten en niet voor de Minister.
3.4.Gemeenten
Het is mogelijk dat gemeenten middels een tamelijk vage wettelijke bepaling als verantwoordelijke
zijn aangewezen. Artikel 5.24 lid 3 besluit SUWI stelt dat het IB “als bewerker voor colleges van
burgemeester en wethouders optreedt”. Deze formulering wekt de indruk dat de gemeenten wettelijk
zijn aangewezen als verantwoordelijken. Zoals in het vorige hoofdstuk staat beschreven, komt een
duidelijke aanwijzing neer op de formulering: ‘Het bestuursorgaan’ is de verantwoordelijke in de zin
van de Wbp44
voor het verwerken van persoonsgegevens ten behoeve van ‘de doeleinden of een
verwijzing naar bepaling waarin de doeleinden zijn beschreven’.45
Dat op grond van artikel 5.24 lid 3
Besluit SUWI bij ministeriële regeling kan worden bepaald onder welke voorwaarden het IB als
bewerker voor gemeenten optreedt, zou kunnen impliceren dat gemeenten gezamenlijk
verantwoordelijk zijn. De definitie van de ‘voor de verwerking verantwoordelijke’ in de verordening
biedt de optie dat meerdere partijen als verantwoordelijke optreden. Het is de vraag of deze impliciete
aanwijzing voldoende toereikend is. Immers zou de bepaling veel duidelijker kunnen worden
omschreven als de Minister de gemeenten daadwerkelijk aanwijst als verantwoordelijke.

41 Artikel 5a. 5 lid 2 Besluit van 1 september 2014 tot wijziging van het Besluit SUWI in verband met regels
voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde
gegevens met inzet van SyRI.
42 Artikel 2 lid 3 Regeling van de Staatssecretaris van Veiligheid en Justitie en de Staatssecretaris van
Volksgezondheid, Welzijn en Sport van 8 december 2014, nr. 590600, houdende regels omtrent de verzending
en ontvangst van berichten inzake jeugdhulp, kinderbeschermingsmaatregelen en jeugdreclassering (Regeling
justitiële keteninformatisering Jeugdwet).
43 Hulsebosch & Versmissen 2014, p. 51.
44 Per 25 mei 2018 wordt dit de AVG in plaats van de Wbp.
45 Minister van Veiligheid en Justitie 2011, p. 42.

23
De Minister bepaalt de voorwaarden waarop het IB optreedt voor gemeenten. In de praktijk is de
Minister dus degene die de doelen en middelen vaststelt. Daarnaast is een verwerkersovereenkomst
verplicht om ervoor te zorgen dat het IB binnen deze doelen en middelen handelt. Aangezien het
organisatorisch is complex om 388 gemeenten gezamenlijk de verwerkersovereenkomst voor de IB-
verwerking vast te stellen, voorziet de minister in deze overeenkomst met het Gegevensregister. Iedere
gemeente heeft namelijk een eigen autonome bevoegdheid die ze niet graag uit handen geeft. In de
praktijk zou dat resulteren in een ingewikkelde periodieke vergadering van alle 388 gemeenten en het
IB.46
Niet alleen de doelen en middelen, maar ook de verwerkersovereenkomst worden dan voor de
gemeenten bepaald. Vraag is in hoeverre een dergelijke instantie als verantwoordelijke kan worden
aangewezen als hij over de verwerking van de verwerker zeer weinig heeft in te brengen. Volgens de
Artikel 29-Werkgroep kan de instantie die geen juridische dan wel feitelijke invloed heeft op de
vaststelling van doelen en middelen voor de verwerking niet kwalificeren als verantwoordelijke.47
Inherent aan de wettelijke aanwijzing van de verantwoordelijke is een vaststelling van doelen en
middelen bij wet door een met wetgevende bevoegdheid belaste persoon of overheidsorgaan. Hoewel
de verantwoordelijke in dat geval over de doelen en middelen geen zeggenschap heeft, gaat deze
situatie een stap verder door ook de te maken afspraken in de verwerkersovereenkomst van de
verantwoordelijke te ontnemen. De impliciete aanwijzing in artikel 5.24 lid 3 Besluit SUWI zorgt voor
een onheldere driehoeksverhouding tussen de minister van SZW, de gemeenten en het IB.
Uit de vorige paragraaf is gebleken dat de minister van SZW volgens de formele benadering doelen,
middelen en de verwerkersovereenkomst vaststelt. Nu kan het zijn dat gemeenten deze doelen en
middelen aanvullen of de overige, niet in het Gegevensregister geconcretiseerde middelen vaststellen.
Zo voorziet het ministerie van SZW met het Gegevensregister in een aantal middelen niet, waaronder
de rechten van de betrokkenen, en gaat de verwerkersovereenkomst niet in op de rechten en plichten
van de verwerkingsverantwoordelijke, de geheimhoudingsverplichting en de mogelijkheid om toe te
zien op de verwerker. Wel moet daarbij worden opgemerkt dat verantwoordelijkheid volgens de
Artikel 29-Werkgroep pas kan worden toegewezen aan de instantie die de wezenlijke middelen
vaststelt.48
Indien gemeenten voorzien in vaststelling van de wezenlijke middelen zou sprake kunnen
zijn van medeverantwoordelijkheid. Vaststelling van de middelen heeft dan betrekking op het regelen
van technische en organisatorische aspecten van de verwerking die niet net zo goed aan een verwerker
kunnen worden gedelegeerd. Deze aspecten betreffen onder meer de vaststelling van
gegevenscategorieën, de bewaartermijnen en de toegankelijkheid van de gegevens. Beslissingen over
de beveiligingsmaatregelen kunnen eveneens als wezenlijk aspect worden aangemerkt. Louter

46 Bergfeld, Privacy & Informatie 2015, p. 88-89.
47 Opinie WP-29 2010, p. 37.
48 Opinie WP-29 2010, p. 16.

24
voorzien in de vaststelling van de overige middelen zoals de keuze uit te gebruiken hard- of software
om de verwerking mogelijk te maken is onvoldoende.
De dienstverlening van het IB valt te onderscheiden in enerzijds verwerkingen ten aanzien van de
ontwikkeling en het beheer van de diensten, en anderzijds de verwerkingen waarbij een specifieke
gemeente met gebruik van de IB-diensten een verzoek doet tot transport van gegevens. Wat de doelen
en middelen van de verwerkingen met betrekking tot ontwikkeling en het beheer van de
dienstverlening van het IB betreft, is voor vaststelling door gemeenten weinig ruimte. Deze doelen en
middelen zijn door het IB en de minister van SZW opgesteld in het Gegevensregister en gelden
specifiek voor de vormgeving en het beheer van die diensten van het IB waarin persoonsgegevens
worden verwerkt. Gemeenten hebben daarom bovendien weinig te zeggen over de specifieke
gegevensverwerkingen die zij met de diensten van het IB uitvoeren. De verwerkingen zijn afhankelijk
van de doelen en middelen die in het register zijn opgesteld. Op deze manier is de dienstverlening
vormgegeven, betaald en zijn de middelen wettelijk vastgesteld. Gemeenten kunnen geen andere
gegevens bij het IB opvragen dan waarvoor de dienst is ingericht.
Figuur 4: Onderscheid in fasen van verwerkingen in de SUWI-keten
Bronnen Knooppunt Ontvangers
Zodra de gegevens zijn ontvangen, begint, zoals in figuur 4 staat weergegeven, een nieuwe
verwerking. Namelijk de eigen gegevensverwerking van gemeenten voor het onderzoeken van de
uitkeringen. Hiervoor zijn door gemeenten zelf doelen en middelen vastgesteld. Gemeenten zijn
daarbij weliswaar gebonden aan de geldende SUWI-wetgeving en de keten Service Level Agreement
(SLA), maar de verwerking door gemeenten betreft wel degelijk een andere verwerking en derhalve
andere middelen dan die voor de dienstverlening van het IB van toepassing zijn. Zo gebruiken
gemeenten de aangeleverde bestanden van het IB om deze in de eigen software in te lezen en
uitkeringsaanvragen te onderzoeken. Iedere gemeente benut de dienstverlening op haar eigen manier
en met haar eigen software. De middelen van de IB-verwerkingen hebben betrekking op een eerdere

25
fase, namelijk de koppeling van de juiste gegevens en de levering daarvan aan de verzoekende
instantie. Zodra de verzochte gegevens bij de ontvangende gemeente aankomen, verwerkt deze
gemeente de gegevens voor eigen doeleinden, waaronder het onderzoek voorafgaand aan de
toewijzing van een bijstandsaanvraag. Gemeenten kunnen voor wat de dienstverlening van het IB in
de SUWI-keten betreft enkel invloed uitoefenen op het aantal gegevensverwerkingen. De keuze is de
dienst te aanvaarden met bijbehorende voorwaarden of de dienst niet te gebruiken. De laatste is geen
optie nu gemeenten voor verwerkingen in de SUWI-keten zonder het IB te gebruiken, niet kunnen
voldoen aan hun wettelijke verplichting. Gemeenten hebben derhalve geen zeggenschap over de
uitvoering en inhoud van de dienstverlening van het IB. Dat gemeenten toegang hebben tot gegevens
van het IB is op zichzelf geen voorwaarde voor de kwalificatie van de verantwoordelijke.49
3.5. Het IB
Zoals in het eerste hoofdstuk staat beschreven, is verantwoordelijke degene die de doelen van en
middelen voor de verwerking vaststelt. In de huidige SUWI-uitvoeringspraktijk zijn de doeleinden van
de verwerking alsmede de wezenlijke middelen bepaald in het SUWI-Gegevensregister. Dit wordt
wettelijk vastgesteld door de minister van SZW. De handelingsvrijheid van het IB maakt dat zij
wellicht als mede verantwoordelijke kwalificeert. De analyse van de SWIFT-zaak door de Artikel 29-
Werkgroep leert dat voor de kwalificatie van verantwoordelijke kan worden gekeken naar een aantal
feiten en omstandigheden, afgezien van de contractuele aanstelling als verwerker. De verschuiving van
de verantwoordelijkheid valt dan te baseren op de feitelijke invloed van de gegevensverwerker, in casu
het IB. Wel dient te worden opgemerkt dat de SWIFT-zaak geen bindend advies betreft. Bovendien is
in casu geen sprake van een contractuele aanstelling maar van een formele aanstelling. De door de
Artikel 29-Werkgroep geanalyseerde feiten en omstandigheden kunnen echter wel illustreren waar de
aandachtspunten liggen. Aangezien in deze casus sprake is van een dienstverlener die tijdens de
uitvoering van een opdracht persoonsgegevens verwerkt is tevens het sanctiebesluit van de AP inzake
Bluetrace van belang voor de analyse.
Het IB is opgericht als zelfstandige organisatie om ondersteunende werkzaamheden te verrichten voor
de gegevensuitwisseling tussen de gemeenten en andere bij de SUWI-keten betrokken instanties. Het
is de bedoeling dat het IB in opdracht en ten dienste van de gemeenten haar werkzaamheden verricht,
waardoor geen sprake is van een zelfstandig bestuursorgaan.50
Het IB heeft derhalve de opdracht haar
dienstverlening aan te bieden aan gemeenten die vervolgens met de dienstverlening persoonsgegevens
verwerken. In vergelijking tot het sanctiebesluit van de AP inzake Bluetrace51
, is ook hier in beginsel

49 Opinie WP-29 2010, p. 26.
50 Oprichting Stichting Inlichtingenbureau, Brief van de Minister van SZW, 27 635, nr. 223.
51 Autoriteit Persoonsgegevens 2016, p. 1-2.

26
sprake van een organisatie die primair dienstverlening aanbiedt. Bijkomstig gebruiken de gemeenten
de dienstverlening om de persoonsgegevens te verwerken. In tegenstelling tot deze indicatie die laat
zien dat wellicht geen sprake is van een verwerker in de zin van de AVG moet het IB om als
verantwoordelijke te kwalificeren invloed kunnen uitoefenen op het doel van en de middelen voor de
verwerking.
Aangezien het IB wordt gefinancierd uit rijksmiddelen, dient het jaarlijks een begroting en jaarverslag
te overleggen aan de minister van SZW. Voorts bestaat het bestuur van het IB voor het merendeel uit
vertegenwoordigers van gemeenten. De bestuursvoorzitter wordt echter aangesteld door het ministerie
van SZW.52
Wat betreft de invulling van haar taken is het IB is bij machte bestaande en nieuwe
diensten en verwerkingsmethoden te ontwikkelen en aan te passen. Wel is hiervoor uiteindelijk de
goedkeuring vereist van de minister van SZW middels optekening in het Gegevensregister. Het IB kan
op deze manier na goedkeuring van de Minister standaarden stellen voor de vorm en inhoud van
diensten ten aanzien van SUWI-gegevensverwerkingen voor gemeenten, zonder dat daarvoor de
toestemming van gemeenten is vereist. Daarbij kan de dienstverlening van het IB aan verschillende
ministeries worden aangeboden, bijvoorbeeld aan het ministerie van Volksgezondheid, Welzijn en
Sport voor de uitvoeringstaken van gemeenten in het kader van de WMO. Daarbij worden geen
persoonsgegevens gebruikt die in het kader van de SUWI-keten zijn verkregen. Bovendien worden de
diensten niet voor commerciële doeleinden ontwikkeld. Verder wordt aan de verwerking waarde
toegevoegd, waaronder opslag en een hoog beveiligingsniveau. Wat betreft het contractbeleid zijn het
IB en de andere SUWI-ketenpartijen grotendeels gebonden aan de documenten in de bijlagen van de
Regeling SUWI.53
In vergelijking tot de rol van SWIFT kent het IB een beperkte handelingsruimte. SWIFT was in staat
autonoom en niet transparant te onderhandelen over de voorwaarden aan de doorgifte.54
Het IB heeft
handelingsvrijheid in de ontwikkeling van de diensten. In de fase van vormgeving van de diensten is
voor de Minister niet duidelijk welke doelen en middelen gebruikt gaan worden. De invloed van de
minister van SZW is erop gericht na de ontwikkeling de doelstellingen van de verwerking en de
daarbij gevolgde werkwijze te bepalen. De Minister houdt in grote mate toezicht op het IB middels de
bestuursvoorzitter en de vaststelling van een begroting en een jaarplan.55
Het IB heeft daarbij de
vrijheid om als ICT-dienstverlener met zeer specialistische kennis, de meest geschikte technische en

52 Organisatie Inlichtingenbureau, https://www.inlichtingenbureau.nl/Pages/Organisatie.aspx, geraadpleegd op
14 januari 2018 13:04.
53 Keten Service Level Agreement, het SUWI-Gegevens Register, de SUWI-Ketenarchitectuur en de
Verantwoordingsrichtlijn Privacy & Beveiliging GeVS.
54 Advies WP-29 2006, p.13.
55 Artikel 5.25 Besluit SUWI

27
organisatorische middelen te kiezen.56
Expertise kan voor de verwerker meer inbreng in de naleving
van wettelijke verplichtingen met zich meebrengen. De Artikel 29-Werkgroep merkt op dat het als
verwerkers opstellen van standaarddiensten en –contracten door gespecialiseerde dienstverleners,
waardoor bepaalde standaardverwerkingen van persoonsgegevens ontstaan, dit op zichzelf
onvoldoende is om te kunnen spreken van een verantwoordelijke. Immers stemt de verantwoordelijke
in alle vrijheid in met het gebruik van deze standaardverwerking.57
Dit houdt in dat het IB ondanks
haar ruime handelingsvrijheid in de positie van verwerker blijft omdat de Minister in alle vrijheid de
uiteindelijke beslissing neemt over de vormgeving van de verwerking. Het valt te beargumenteren dat
het IB als verwerker specifieke verantwoordelijkheden op zich neemt. Van specifieke, vooraf gegeven
aanwijzingen over hoe de verwerker moet handelen bij de ontwikkeling van de dienstverlening is geen
sprake. Het is echter de vraag of dat problematisch is. Het kan immers niet aantoonbaar gemaakt
worden dat die verantwoordelijkheden verder gaan dan de normale opdrachten en taken van een
verwerker en dat ze niet verenigbaar zijn met de aanwijzing als gegevensverwerker in Besluit SUWI.58
3.6.Conclusie
Voor beantwoording van de vraag wie verantwoordelijk is voor de IB-verwerkingen in de SUWI-
keten, is het van belang de mogelijke opties te bestuderen waarin welke instanties formeel-juridisch of
feitelijk bevoegd zijn de doelen en middelen vast te stellen. De complexe verwerkingen van
persoonsgegevens in een keten maken het lastig om eenduidig een verantwoordelijke aan te wijzen.59
De toepassing van de IB-casus op het wettelijk kader in dit hoofdstuk laat zien dat kwalificatie van
verantwoordelijkheid gecompliceerd is, met name doordat alle instanties een mogelijkheid hebben om
zowel wel als niet te kwalificeren als verantwoordelijke. In eerste opzicht is de Minister degene die de
doelen van en middelen voor de IB-verwerkingen in het Gegevensregister vaststelt. Hij is degene die
de door het IB aangedragen doelen en middelen per dienst wettelijk vaststelt in het Gegevensregister.
Daarbij heeft het IB wat betreft de ontwikkeling van de dienstverlening veel handelingsvrijheid. Zo
kan het IB zich ondanks de verstrekkende handelingsvrijheid in het aandragen van doelen en middelen
bij de vormgeving van de diensten verschuilen achter de formele aanstelling als gegevensverwerker.
Wel is het de Minister die uiteindelijk in alle vrijheid instemt met de manier van verwerking door de
doelen en middelen vervolgens in het register op te stellen. Bovendien is het de minister van SZW die
betaalt voor de dienstverlening en middels een begroting en jaarplan toezicht houdt op het IB.

56 Opinie WP-29 2010, p. 18.
57 Opinie WP-29 2010, p. 30.
58 Advies WP-29 2006, p. 12.
59 Bonthuis, Privacy & Informatie 2016, p. 158.

28
Gemeenten zijn belast met de wettelijke verplichting gegevens te verwerken in de SUWI-keten. Dat
gemeenten daarvoor het IB gebruiken, betekent niet meteen dat zij verantwoordelijk zijn voor het
beheer en de ontwikkeling van de IB-dienstverlening. Gemeenten hebben enkel de mogelijkheid om
de gegevens die verkregen zijn via de dienstverlening van het IB te gebruiken voor eigen
verwerkingen van persoonsgegevens. Louter toegang tot deze gegevens op zich is onvoldoende om te
kwalificeren als verantwoordelijke.60
Voorts is er weinig ruimte voor de vaststelling van doelen van en
middelen voor de specifieke gegevensverwerkingen waarvoor gemeenten het IB gebruiken, omdat ook
deze doelen en middelen bij wet61
voor gemeenten zijn vastgesteld.
Verder is het scenario mogelijk dat gemeenten middels een vage omschrijving in Besluit SUWI zijn
aangewezen als verantwoordelijken voor de IB-verwerkingen. De zinsnede dat het IB “als bewerker
voor colleges van burgemeester en wethouders optreedt” wekt gegronde twijfel op om gemeenten als
verantwoordelijke te kwalificeren. Daarentegen is de Minister degene die naast de doelen en middelen
ook de verwerkersovereenkomst bij wet vaststelt. Gevolg daarvan is dat gemeenten geen enkele
zeggenschap hebben over de verwerkingen die het IB uitvoert.
Uit het hiervoor beschrevene kan enerzijds worden afgeleid dat als gevolg van de onduidelijke situatie
alle betrokken instanties verantwoordelijk zijn. Anderzijds bestaat naar feitelijke en juridische invloed
de mogelijkheid dat de Minister verantwoordelijk is. In dat geval kan de bepaling in Artikel 5.24 lid 3
Besluit SUWI als inconsistent worden aangemerkt. Wat dit betekent voor de daadwerkelijke invulling
van de verantwoordelijkheden en rechten van de betrokkenen, wordt in het volgende hoofdstuk
onderzocht.

60 Opinie WP-29 2010, p. 26.
61 Bijlage II, bedoeld in artikel 6.1 van de Regeling SUWI eenmalige gegevensuitvraag
Regeling SUWI.

29
Hoofdstuk 4 – Risico’s op lacunes in de nakoming van AVG-
verplichtingen

4.1.Inleiding
Voor zover het onder de richtlijn geldende privacyrecht nog mogelijk was om te profiteren van een
onduidelijke rolverdeling, is dit naar alle waarschijnlijkheid door de AVG aan banden gelegd.62
Als er
sprake is van meerdere verantwoordelijken, vereist de AVG een duidelijk vastgestelde onderlinge
taakverdeling.63
Deze laat echter nog steeds alle opties open om de verantwoordelijkheid te regelen.
Zo kan bijvoorbeeld de Minister de rechtmatige grondslag van de IB-verwerking overlaten aan
gemeenten, en het uitvoeren van Privacy Impact Assessments (PIA’s) en meldingen van datalekken
overlaten aan het IB. De vraag is of dit betekent dat wanneer al deze punten zijn opgetekend en
expliciete kwalificatie achterwege blijft, voldoende wordt voldaan aan de AVG-verplichtingen. In dit
hoofdstuk ga ik een antwoord vinden op de vraag: Welke risico’s op lacunes in de nakoming van AVG-
verplichtingen bestaan er bij het niet eenduidig kunnen kwalificeren van de verantwoordelijke(n) in de
SUWI-keten, en biedt de verantwoordingsverplichting voldoende handvaten om deze risico’s te
verminderen?
Allereerst laat ik zien in figuur 5 hoe invloed van verschillende instanties op de dienstverlening van
het IB zoals beschreven in de vorige hoofdstukken in een metamodel kan worden samengevat.
Vervolgens wijd ik een paragraaf aan de rechtmatige grondslagen onder de AVG en een toepassing
daarvan op de casus van het IB. Daarna ga ik in op de verwerkersovereenkomst en de vereiste
invulling daarvan. In de vierde paragraaf ga ik in op de verantwoordingsverplichting. Ik sluit het
hoofdstuk af met een conclusie.

62 AVG considerans 74 en 79.
63 Artikel 26 AVG

30
Figuur 5: Invloed van actoren
4.2.Grondslagen
De verwerkingsgrondslag is, na het in vorige hoofdstukken beschreven criteria ter bepaling van de
doelen en middelen, een belangrijke vereiste om te kunnen spreken van een rechtmatige
gegevensverwerking. Artikel 6 AVG bevat een limitatieve opsomming van gerechtvaardigde gronden
voor de gegevensverwerking. Allereerst is de verwerking van persoonsgegevens rechtmatig als de
betrokkene toestemming heeft gegeven voor de verwerking voor vooraf bekende, specifieke
doeleinden. Daarnaast bieden sub b t/m f in lid 1 van artikel 6 een rechtvaardiging om
persoonsgegevens te mogen verwerken, namelijk: ter uitvoering van een overeenkomst, voldoening
aan een wettelijke verplichting van de verantwoordelijke, bescherming van de vitale belangen van de
betrokkene, vervulling van een taak van algemeen belang of uitoefening van het openbaar gezag en ten
slotte voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of
een derde. Dit laatste punt is als verwerkingsgrondslag voor overheidsinstellingen expliciet
uitgesloten.64
Zonder rechtmatige grondslag mogen de persoonsgegevens niet verwerkt worden.
De verantwoordelijke is degene die zorg draagt voor een behoorlijke en zorgvuldige wijze van
verwerking van persoonsgegevens.65
Hij dient te verzekeren dat de verwerking op één van de zes
limitatieve grondslagen plaatsvindt. Indien, zoals in de huidige situatie, gebruik wordt gemaakt van

65 Artikel 5 lid 1 sub a jo. lid 2 AVG

31
een verwerker, zal de verantwoordelijke ervoor zorgen dat de verwerker de hiervoor beschreven taak
nakomt.66
Het is de taak van verantwoordelijke is de grondslag daadwerkelijk te bepalen en te
controleren dat de verwerker zich houdt aan de aan verantwoordelijke toekomende rechtmatige
grondslag. De verantwoordelijke is zoals in het vorige hoofdstuk staat beschreven de baas en bepaalt
welke rechtmatige grondslag hem toekomt met betrekking tot zijn eigen gedelegeerde verwerking.
Een aantal verwerkingsgrondslagen is in de huidige situatie ten aanzien van de IB-verwerkingen in het
kader van de SUWI-keten niet toereikend. Zo is toestemming als grondslag niet mogelijk omdat
sprake is van een uitzondering, aangezien de toestemming rechtstreeks voortkomt uit een
afhankelijkheidsrelatie. 67
Dit houdt in dat er geen hiërarchische of machtsverhouding mag zijn zoals
het geval is bij de relatie tussen overheid en burger.68
Daarnaast is het verwerken van
persoonsgegevens voor de uitvoering van een overeenkomst niet van toepassing. De betrokkene vraagt
bij de gemeente een uitkering aan, waarvoor de gemeente gegevens nodig heeft en die ze via het IB
verkrijgt. Hoewel dit in zekere mate lijkt op bijvoorbeeld het afsluiten van een hypotheek, waarvoor
de bank gegevens nodig heeft zoals een BSN-nummer, ontstaat in de huidige situatie geen
overeenkomst tussen de burger en de overheid omdat een uitkering een overheidsvoorziening is.
Voorts kan de verwerking ten aanzien van het vitaal belang van de betrokkene worden uitgesloten.
Deze grondslag is bedoeld ter bestrijding van ernstig gevaar voor de gezondheid bij noodsituaties, ter
waarborging van het leven van de betrokkene. Ten slotte is het gerechtvaardigd belang in deze situatie
geen mogelijkheid, omdat dit punt expliciet is uitgesloten voor overheidsinstellingen.69
De
verwerkingsgrondslag moet derhalve worden gevonden in de overige twee opties in artikel 6 lid 1 sub
c of e AVG.
De overige twee grondslagen bieden wellicht meer aanknopingspunten. Ten eerste wordt ingegaan op
de wettelijke verplichting. Hiervoor geldt dat het niet mogelijk is om de wettelijke verplichting uit te
voeren zonder de verwerking van persoonsgegevens door de verantwoordelijke.70
Zo is het voor
gemeenten en andere SUWI-uitvoeringsorganisaties op grond van artikel 62 Wet SUWI wettelijk
verplicht om de gegevens aan de verzoekende gemeenten te verstrekken. Wat betreft de verwerkingen
van het IB ligt dit iets genuanceerder. Het IB is door de minister van SZW belast met een
coördinerende en dienstverlenende taak ten behoeve van gemeenten.71
Uit het vorige hoofdstuk van
deze scriptie is gebleken dat van alle partijen de Minister de meeste zeggenschap heeft over de
vaststelling van doelen en middelen en dat gemeenten niet beschikken over deze zeggenschap. Het IB

66 Artikel 28 AVG
70 Artikel 6 lid 1 sub c AVG jo. Kamerstukken II 1997/98, 25892, nr. 3, MvT Wbp, p. 82.
71 Artikel 1 lid 1 sub m Wet SUWI

32
handelt voor de verwerking van persoonsgegevens ter voldoening van een wettelijke verplichting van
een andere verantwoordelijke, te weten de gemeente. Daarentegen is betrokkenheid van het IB voor
gemeenten noodzakelijk om aan de eigen wettelijke verplichting inzake de SUWI-
gegevensuitwisseling te kunnen voldoen. Zonder verwerkingen bij het IB als knooppunt is het voor
gemeenten niet goed mogelijk om de wettelijke verplichting uit te voeren. Toch kan niet met zekerheid
gesteld worden dat deze grondslag in de huidige situatie van toepassing is omdat gemeenten geen
invloed hebben op de ontwikkeling van de dienstverlening van het IB. De grondslag van verwerking
ten aanzien van de wettelijke verplichting van gemeenten heeft slechte betrekking op de specifieke
verwerkingen die gemeenten uitvoeren met de dienstverlening van het IB.
De laatste mogelijkheid is het algemeen belang. Sub e maakt gegevensverwerking mogelijk voor
zover deze noodzakelijk is voor de vervulling van een taak van algemeen belang of een taak in het
kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is
opgedragen.72
Onder de Wbp was deze grondslag toegespitst op de vervulling van een
publiekrechtelijke taak en kon hij ruimer gebruikt worden.73
Onder de AVG moet de
publiekrechtelijke taak bestaan uit een specifieke wettelijke bepaling. Er moet dus sprake zijn van een
publieke taak van de verantwoordelijke die de wet hem opdraagt.74
Een voorbeeld is het verstrekken
van informatie over een strafbaar feit door het OM aan verzekeraars. Deze verwerking vloeit voort uit
de taak van het OM om bij te dragen aan de belangenbehartiging van het slachtoffer van een strafbaar
feit door schadeverhaling op de dader mogelijk te maken.75
Echter, in deze situatie is de Minister niet
belast met een publiekrechtelijke taak tot verwerking van gegevens in de SUWI-keten. Hoewel het IB
is belast met een dergelijke taak, is zij niet de verantwoordelijke voor de verwerkingen in de SUWI-
keten. Het is opmerkelijk dat een publiekrechtelijke taak aan het IB toekomt nu zij expliciet uitsluitend
als gegevensverwerker mogen optreden.
Kortom, wanneer de minister van SZW verantwoordelijk is voor de verwerking van het IB, bestaat er
geen wettelijke grondslag om de persoonsgegevens te verwerken. De grondslag bestaat wel indien de
gemeente ofwel het IB zelf verantwoordelijke is. De Minister lijkt zich daarom te verschuilen achter
de verwerkingsgrondslag die het IB en gemeenten wel toekomt. Om de gegevens rechtmatig door het
IB te laten verwerken, heeft de Minister een eigen publiekrechtelijke taak in de wet nodig om namens
hem door het IB de gegevens te doen verwerken voor goede werking van de SUWI-keten. Hij is
degene met de feitelijke en juridische invloed op de verwerkingen. Dit indiceert dat de Minister
middels de vage impliciete bepaling gemeenten als verantwoordelijke kan aan wijzen om zo een

72 Artikel 6 lid 1 sub e AVG
74 Kamerstukken II 1997/98, 25892, nr. 3, MvT Wbp, p.33.
75 Kamerstukken I 1999/2000, 25892, nr. 92c, MvA Wbp, p. 16.

33
rechtmatige grondslag voor de verwerking te creëren zonder de handelingsvrijheid van het IB te
vergroten.
4.3.Verwerkersovereenkomst
In beginsel richten de AVG-vereisten zich tot de verantwoordelijke. Zo is de verantwoordelijke
gehouden de nodige beveiligingsmaatregelen te treffen en te voldoen aan de meldplicht. Voorts dient
hij te voldoen aan de informatieverplichting jegens betrokkenen zodat zij zo nodig hun rechten kunnen
uitoefenen.76
Deze verplichtingen gelden ook in de gevallen waarin de verantwoordelijke een
verwerker inschakelt. Om de taakverdeling vorm te geven en ervoor te zorgen dat de eerder genoemde
vereisten worden nageleefd, wordt een verwerkersovereenkomst opgesteld.77
Deze overeenkomst
vermeldt afspraken over onder meer de tussen verantwoordelijke en verwerker overeengekomen
inhoud en frequentie van rapportages over de gegevensbeveiliging, incidenten en dienstverlening.78
De
overeenkomst is een verplichting voor de verantwoordelijke. Ze vormt een hulpmiddel bij de
afbakening van de concrete en feitelijke werkzaamheden van de verwerker en is relevant voor de
invulling van de verhouding tussen verantwoordelijke en verwerker.
In tegenstelling tot de Wbp omvat de AVG gedetailleerdere eisen ten aanzien van de inhoud van de
overeenkomst.79
Volgens artikel 28 lid 3 AVG dienen het onderwerp en de duur van de verwerking, de
aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen
alsmede de rechten en verplichtingen van de verwerkingsverantwoordelijke beschreven te worden.
Voorts zijn een geheimhoudingsverplichting van de verwerker en de mogelijkheid voor de
verantwoordelijke om te kunnen controleren of de verwerker zich aan de gemaakte afspraken houdt,
vereist. De AVG stelt ook als voorwaarde dat de overeenkomst schriftelijk of elektronisch wordt
aangegaan. Daarentegen is het niet verplicht dat de overeenkomst als apart document wordt
aangegaan. De vereiste bepalingen mogen opgenomen worden in bijvoorbeeld een overeenkomst van
opdracht of in algemene inkoop- dan wel verkoopvoorwaarden.80
De hiervoor beschreven vereisten en
de uitvoering daarvan moeten derhalve ook in de overeenkomst met het IB worden geregeld.
In het vorige hoofdstuk staat beschreven dat de minister van SZW middels een jaarlijkse wettelijke
vaststelling van het Gegevensregister in de bijlage van de Regeling SUWI dient te voorzien in een
wettelijke bewerkersovereenkomst. Het Gegevensregister zou de aan een bewerkersovereenkomst

77 Gezien de definitie bewerker onder de AVG veranderd in verwerker, veranderd ook de naam van de
Bewerkersovereenkomst in Verwerkersovereenkomst. Echter, is hier nog sprake van een onder de Wbp geldende
Bewerkersovereenkomst en kan derhalve nog niet geschreven worden over een Verwerkersovereenkomst.
78 College Bescherming Persoonsgegevens 2013, p. 33.
79 De Weerd 2017
80 Engelfried, Meij & Kager 2017, p. 127.

34
gestelde noodzakelijke eisen op grond van de Wbp bevatten en de afbakening van de concrete
feitelijke werkzaamheden van het IB modelleren. Nu echter met ingang van mei 2018 de AVG-eisen
van toepassing zijn, is het de vraag of het register ook als verwerkersovereenkomst toereikend is.
Ten aanzien van de vorm eist de AVG dat de overeenkomst schriftelijk of elektronisch wordt
aangegaan. Ze hoeft niet als apart document te worden afgesloten. De verwerkersovereenkomst kan
dus als bijlage wettelijk vastgesteld zijn in de Regeling SUWI. Het Gegevensregister gaat in op de
wezenlijke middelen van de verwerking en bepaalt specifiek welke gegevens per dienst worden
verwerkt.81
Het gaat in op het onderwerp van de verwerking, de aard en het doel van de verwerking,
het soort persoonsgegevens en de categorieën van betrokkenen. Dat is echter niet voldoende. Artikel
28 lid 3 AVG stelt dat de overeenkomst een aantal minimumeisen kent. In het Gegevensregister
ontbreekt informatie over voldoening aan de rechten van betrokkenen, de uitvoering van Privacy
Impact Assessments, de meldplicht datalekken, de beveiliging van de persoonsgegevens en de
mogelijkheid voor de verantwoordelijke om toe te zien op de verwerker. Deze vereisten zijn van
belang met het oog op de plicht van de verantwoordelijke om te kunnen aantonen en erop toe te zien
dat de verwerker de AVG-beginselen naleeft.82
In de volgende paragrafen wordt een korte uitleg
gegeven van de eisen. Voorts wordt beoordeeld of de voorwaarden, ondanks dat ze niet schriftelijk
zijn vastgesteld, wellicht toch in de praktijk worden ingevuld.
Rechten van betrokkenen
Het recht van de betrokkene op informatie,83
inzage,84
rectificatie,85
verwijdering,86
beperking87
en
bezwaar88
aangaande de gegevensverwerking is een van de basisprincipes in de AVG. Deze rechten
moeten kunnen worden uitgeoefend bij de verantwoordelijke. Wanneer een verwerker betrokken is,
assisteert de verwerker de verantwoordelijke bij het vervullen van zijn verplichting om aan dergelijke
verzoeken te voldoen.
Het voldoen aan de rechten van betrokkenen in een keten is complex. Binnen de SUWI-keten is sprake
van een groot aantal verwerkingsverantwoordelijken die betrokken zijn bij de vaststelling van de eigen
gegevens voordat deze gegevens in de SUWI-keten verder worden verwerkt. Het IB is als knooppunt
afhankelijk van de door de bronnen, zoals het UWV en de gemeenten, vastgestelde en aangeleverde

81 Bijlage B
83 Artikel 13 jo. 14 AVG
84 Artikel 15 AVG
85 Artikel 16 AVG
86 Artikel 17 AVG
87 Artikel 18 AVG
88 Artikel 21 AVG

35
gegevens. Indien een verzoek betrekking heeft op deze gegevens, zal de betrokkene worden
doorgestuurd naar de vaststellende instantie. Zo ontstaat voor de betrokkene een vrij onduidelijke
situatie waarbij hij of zij het recht bij meerdere organisaties zal moeten uitoefenen. Een verzoek tot
correctie van gegevens bijvoorbeeld zal bij zowel de bron als het IB als de ontvangende gemeente
moeten worden doorgevoerd. Echter hebben deze verzoeken betrekking op de gehele keten en kan
slechts door verduidelijking van de onderlinge afspraken tussen de ketenpartijen naar verbetering
worden gezocht.
Opmerkelijk is dat de invloed van het ministerie op het IB niet aan de betrokkene kenbaar wordt
gemaakt in het Register. Dat hoeft in beginsel niet problematisch te zijn als tussen het ministerie en
het IB is afgesproken dat het IB zelf het aanspreekpunt is voor verzoeken van betrokkenen. Het is de
vraag of het noodzakelijk is om aan betrokkenen te melden dat het ministerie van SZW betrokken is
bij de verwerkingen van het IB. Daarbij komt dat, hoewel het Gegevensregister als bijlage vermeld
wordt in de Regeling SUWI en op de website van het IB staat weergegeven, het voor betrokkenen niet
vanzelfsprekend is dat bij een bijstandsaanvraag de gegevens in de keten door het IB worden verwerkt.
Privacy Impact Assessment
Een Privacy Impact Assessment, ofwel PIA, is verplicht, zodat de instantie voorafgaand aan
verwerkingen nadenkt over eventuele privacyrisico’s bij de verwerking. De verantwoordelijke bepaalt
of het uitvoeren van een PIA noodzakelijk is. Als dat het geval is, moet de verwerker de
verantwoordelijke ondersteunen middels het verstrekken van alle benodigde informatie.89
Een PIA is
onder meer nodig bij verwerkingen van gegevens over kwetsbare groepen personen. Het IB verwerkt
voor gemeenten gegevens over personen die een uitkering aanvragen of ontvangen. Er is derhalve
sprake van een ongelijke machtsverhouding tussen de uitkeringsgerechtigde en de gemeente.
Over het uitvoeren van PIA’s voorafgaand aan de IB-verwerkingen of ontwikkeling van
dienstverlening is in het Gegevensregister en andere ketendocumentatie niets vastgelegd. Toch voelt
het IB zich er verantwoordelijk voor, vooral omdat zowel de gemeenten als de minister van SZW de
opdracht niet geven. Het IB voert momenteel op eigen kracht PIA’s uit voor bestaande en nieuwe
dienstverlening.90
Meldplicht datalekken en beveiliging
Op grond van artikel 33 AVG zal de verantwoordelijke waar mogelijk datalekken binnen 72 uur
moeten melden aan de AP. Voorts is de verantwoordelijke verplicht alle inbreuken, feiten omtrent de

89 Artikel 28 lid 3 sub f AVG
90 Stichting Inlichtingenbureau 2018, paragraaf 4.3.

36
inbreuk en de genomen corrigerende maatregelen, te documenteren.91
Zoals hiervoor al is beschreven,
zijn de verantwoordelijken verplicht toe te zien op de daadwerkelijke naleving van de afspraken in de
verwerkersovereenkomst. Voldoende inzicht in het geboden beveiligingsniveau van de verwerker is
essentieel. De verantwoordelijken dienen de met de verwerker overeengekomen rapportages te
ontvangen en te voorzien van een inhoudelijke beoordeling. De verantwoordelijken zijn degenen die
oordelen over beveiligingsincidenten en datalekken en nemen na periodieke evaluatie, indien de
beveiligingsmaatregelen onvoldoende toereikend zijn, het initiatief tot aanpassing.
Waar het gaat om toezicht op datalekken en de beveiliging van de IB-verwerkingen wordt het
complex. Het Gegevensregister van de Minister gaat niet specifiek in op de meldplicht of de
beveiliging van gegevens. Wel is het IB verplicht jaarlijks te rapporteren over onder meer de
beveiliging en incidenten.92
Het zou onpraktisch zijn als alle gemeenten afzonderlijk meldingen doen.
Dat zou tot gevolg hebben dat de datalekken 388 keer gemeld worden of dat het IB met 388
verschillende audits te maken krijgt. Van gemeenten kan in deze situatie moeilijk worden verwacht dat
ze voldoende kennis hebben van de diensten, de technische en juridische kenmerken en de risico’s.93
Daarom voorziet het IB momenteel in deze verplichting.
4.4.Verantwoordingsplicht
Verantwoordelijken moeten onder de AVG aantonen dat zij toezien op naleving van de beginselen uit
de verordening.94
De basisbeginselen zijn: rechtmatigheid, behoorlijkheid en transparantie,
doelbinding, minimale verwerking, juistheid, opslagbeperking en integriteit en vertrouwelijkheid.95
Volgens de AVG is de verantwoordelijke verplicht aan te tonen dat de beginselen worden nageleefd.
Deze verantwoordingsplicht introduceert een omgekeerde bewijslast. Indien de verantwoordelijke niet
kan aantonen dat hij voldoet aan de zes beginselen, kan hem een boete worden opgelegd.96
Deze
verantwoordingsplicht geldt des te meer wanneer sprake is van meervoudige verantwoordelijkheid.
Volgens artikel 26 AVG moeten gezamenlijk verantwoordelijken in een onderlinge regeling hun
respectieve verplichtingen vaststellen.97
Indien gebruik wordt gemaakt van een verwerker zal de verantwoordelijke moeten aantonen dat de
verwerker zich houdt aan deze beginselen. De verwerker zal middels de opdracht van de

92 Artikel 5.25 Besluit SUWI
93 Advies WP-29 2006, p. 29.
96 Artikel 82 lid 2 jo. lid 3 AVG
97 Artikel 26 AVG

37
verantwoordelijke de gegevens verwerken in overeenstemming met artikel 5 AVG. Het is daarom van
belang dat de verwerker de verantwoordelijke de mogelijkheid biedt om te kunnen controleren of de
hij zich aan de gemaakte afspraken houdt. Het gemakkelijkst is om een dergelijke bepaling in de
verwerkersovereenkomst te bedingen. Voordeel van de verantwoordingsplicht is onder meer dat een
heldere beschrijving van processen het gemakkelijker maakt om beveiligingslekken te voorkomen, op
te sporen en te dichten.98
Grotere transparantie bevordert bovendien de positie van de betrokkene. Op
basis van helder beschreven verwerkingsprocessen kan de betrokkene eenvoudiger zijn rechten
uitoefenen.99
De verantwoordingsverplichting verplicht het aantonen van de basisbeginselen uit de AVG. Welke
instantie welke taken op zich neemt, is niet van belang. Zowel de verwerker als de verantwoordelijken
zijn gehouden aan de AVG-beginselen. De essentie zit in het feit dat de instanties de beginselen
nakomen en dit kunnen laten zien. In casu zijn alle instanties actief betrokken bij de uitvoering van de
AVG-verplichtingen; ze dragen allemaal zorg voor de rechtmatige gegevensverwerking. Wel vervult
elke instantie een eigen aandeel in de rechtmatigheid van verwerkingen binnen de SUWI-keten. Zo is
het IB in de praktijk degene die voldoet aan de Meldplicht Datalekken en het uitvoeren van PIA’s. De
Minister zorgt voor de vaststelling van de doelen van en middelen voor de IB-verwerkingen. Voorts
voorzien gemeenten in de verzoeken van de betrokkenen. Het is de vraag of rechtmatig wordt voldaan
aan de verantwoordingsverplichting als deze taakverdeling gedocumenteerd wordt maar de
kwalificatie van verwerkingsverantwoordelijke in het midden blijft. De praktijk zal leren welke
organisatie hiertoe het initiatief neemt en wie bevoegd is wie aan te spreken op eventuele fouten of een
verkeerde taakuitvoering. Als het IB, de minister van SZW en gemeenten dit samen doen, kan wellicht
toch sprake zijn van een gezamenlijke verantwoordelijkheid, waarbij ieder verantwoordelijk is voor
zijn eigen deel.
Als dat niet het geval is, rust op de Minister politieke verantwoordelijkheid voor het formele kader en
de beleidsontwikkeling. Vanzelfsprekend mag van hem initiatief worden verwacht bij het inregelen
van de verantwoordingsplicht. Toch kan hij voor de uitvoering van bepaalde taken als de grondslag, de
meldplicht, de uitvoering van PIA’s en de rechten van betrokkenen naar gemeenten wijzen. Dit is
opvallend omdat, zoals in het vorige hoofdstuk is beschreven, gemeenten geen zeggenschap hebben
over de verwerkingen van het IB en het organisatorisch zeer lastig is deze resterende taken te
vervullen.

98 Comijs, Privacy & Informatie 2016, p. 250.
99 Comijs, Privacy & Informatie 2016, p. 250.

38
4.5.Conclusie
Zoals uit de vorige hoofdstukken is gebleken, zijn er veel verschillende opties om de
verantwoordelijkheid voor het IB als wettelijk aangewezen gegevensverwerker voor verwerkingen in
de SUWI-keten te regelen. De partijen zijn verplicht onderling in te gaan op de rolverdeling ten
aanzien van inzageverzoeken, beveiliging, de privacyverklaring en het aanspreekpunt voor
betrokkenen. Op deze punten gaat het Gegevensregister niet in. Dat partijen verschillende AVG-
verplichtingen op zich nemen, maakt kwalificatie van de verantwoordelijke nog complexer. In de
praktijk zien we dat het IB het invullen van de PIA’s en de melding van datalekken op zich neemt.
Voorts voorzien gemeenten logischerwijs in de rechten van betrokkenen omdat zij contact hebben met
de betrokken uitkeringsgerechtigden of werkzoekenden.
Het is de vraag of het op schrift stellen van deze taakverdeling om te kunnen aantonen dat de AVG-
basisbeginselen worden nageleefd, voldoende is om te voorzien in de verantwoordingsverplichting.
Uitblijvend initiatief tot het opstellen van de afspraken kan passiviteit veroorzaken bij de invulling van
PIA’s, de melding van datalekken en de rechten van betrokkenen.
De minister van SZW kan politiek verantwoordelijk worden gehouden voor het uitblijven van deze
afspraken. Daarbij kan hij de AVG-verantwoordelijkheid afschuiven op het IB en de gemeenten,
terwijl hij degene is die de meeste feitelijke en juridische zeggenschap heeft over de IB-verwerkingen.
De Minister heeft een belangrijke achterliggende reden om de verplichtingen op het IB en de
gemeenten af te schuiven. Hem komt zelf immers geen rechtmatige verwerkingsgrondslag toe. Het is
de vraag of de AP overgaat tot een sanctiebesluit en aan welke instelling deze dan wordt opgelegd.
Daadwerkelijke verduidelijking van het recht zal naar waarschijnlijkheid achterwege blijven nu
onwaarschijnlijk is dat deze zaak voor de rechter komt als geen grote fouten worden begaan.

39
Hoofdstuk 5 – Conclusie en slotbeschouwing

5.1 Conclusie
De hoofdvraag van dit onderzoek luidt als volgt:
In complexe situaties waarbij sprake is van verwerkingen in een keten met intermediaire
organisaties, biedt de AVG de optie om doelen en middelen bij wet vast te stellen zonder dat
voldaan wordt aan de voorwaarde dat een ‘voor de verwerking verantwoordelijke’ wordt
aangewezen of anderszins duidelijk kan worden aangemerkt. Ontstaat hierdoor het risico op
lacunes in de nakoming van de verplichtingen?
Het begrip ‘verwerkingsverantwoordelijke’ staat centraal bij de uitvoering van de AVG. Middels dit
begrip wordt uitgemaakt wie verantwoordelijk is voor de naleving van de regels die de AVG oplegt. In
de praktijk betreft dit met name de verplichtingen ten aanzien van de bescherming van gegevens en de
manier waarop betrokkenen hun rechten uit kunnen oefenen. In hoofdstuk 1 zijn de verschillende
mogelijkheden beschreven om tot kwalificatie van een ‘verwerkingsverantwoordelijke’ te komen.
In beginsel is volgens de definitie sprake van een instantie die, alleen of samen met anderen, de doelen
van en middelen voor de verwerking vaststelt. In de tweede volzin laat de definitie de mogelijkheid
open dat de doelen van en middelen voor de verwerking worden vastgesteld bij wet. Wanneer dat het
geval is kan vervolgens bij wet worden bepaalt wie de verantwoordelijke is dan wel volgens welke
criteria deze verantwoordelijke wordt aangewezen.100
Uit het gedeelte: ‘kan worden bepaald’ of zoals
de oorspronkelijke Engelse versie beschrijft: ‘may be provided for’ blijkt dat het niet verplicht is de
verantwoordelijke of de criteria om tot verantwoordelijke te komen, vervolgens bij wet aan te wijzen.
Als de criteria of de verantwoordelijke niet is aangewezen dan zal de ‘verwerkingsverantwoordelijke’
volgens de eerste volzin uit de begripsbepaling de instantie zijn die alleen of samen met anderen de
doelen van en middelen voor de verwerking vaststelt.
De toepassing van het wettelijk kader op de IB-casus laat zien dat de kwalificatie van de
‘verwerkingsverantwoordelijke’ genuanceerd is. Het IB is bij wet aangewezen als
‘gegevensverwerker’. Een ‘gegevensverwerker’ heeft altijd een ‘verwerkingsverantwoordelijke’ die de
eigen verwerking delegeert en hem de opdracht tot verwerking van gegevens verstrekt. Dat houdt kort
gezegd in dat de verantwoordelijke de doelen van en wezenlijke middelen voor de verwerking van
gegevens door de verwerker vaststelt. De vaststelling van doelen en middelen kan bij wet.
Logischerwijs is de minister van SZW dan verantwoordelijk voor de verwerkingen van het IB. De

100 Artikel 4 AVG

40
Minister stelt immers de doelen van en wezenlijke middelen voor de verwerkingen bij wet vast in het
Gegevensregister. Maar artikel 5.25 lid 3 Besluit SUWI stelt dat de minister bevoegd is te bepalen
onder welke voorwaarden het IB ‘als bewerker voor gemeenten optreedt’. Dit lijkt op een wettelijke
aanwijzing van gezamenlijk verantwoordelijken. Toch ligt dat genuanceerder. De Minister stelt niet
alleen de doelen en middelen vast, maar zegt middels het Gegevensregister bovendien te voorzien in
een verwerkersovereenkomst. Dat betekent dat aan gemeenten geen enkele zeggenschap toekomt ten
aanzien van de verwerkingen van gegevens door het IB. Dat gemeenten kunnen worden aangesproken
op de uitvoering van een taak, terwijl zij die taak niet zelf uitvoeren is merkwaardig. Daarnaast is de
handelingsvrijheid van het IB voor de eigen dienstverlening opmerkelijk. Het IB is bevoegd de
diensten te ontwikkelen en de doelen en middelen daarvoor op te stellen. De Minister is degene die
enkel in alle vrijheid instemt met de manier van verwerken door het register bij wet vast te stellen. Op
de vraag in hoeverre de verschillende invloeden van zowel de Minister, de gemeenten en het IB leiden
tot kwalificatie van de ‘verwerkingsverantwoordelijke’ voor de IB-verwerkingen kan geen eenduidig
antwoord worden gegeven.
De doelen van en middelen voor de verwerking zijn in deze situatie bij wet vastgesteld zonder dat
voldaan wordt aan de voorwaarde dat een ‘verwerkingsverantwoordelijke’ expliciet wordt aangewezen
of anderszins eenduidig kan worden aangemerkt. In deze gevallen is de met wetgevende bevoegdheid
belaste persoon of overheidsorgaan degene die zeggenschap heeft over de doelen en middelen. In het
algemeen is deze persoon of dit orgaan bij machte te bepalen wie hij als
‘verwerkingsverantwoordelijke’ aanwijst. Hem komt de bevoegdheid toe de verwerking aan een
bepaalde partij te delegeren. Als hij dit nalaat zal hij volgens de begripsbepaling zelf kwalificeren als
verantwoordelijke. In de situatie van het IB volgt dat de minister van SZW als gevolg daarvan de
mogelijkheid heeft om AVG-verplichtingen op andere gemeenten af te schuiven en een eigen
kwalificatie te ontkennen. Daarmee ontstaat het risico op uitblijvend initiatief tot het opstellen van een
onderlinge taakverdeling en passiviteit bij de invulling van PIA’s, meldingen van datalekken en het
voorzien in rechten van betrokkenen. Bovendien kan de Minister de verwerking met betrekking tot het
beheer en de ontwikkeling van de dienstverlening baseren op de verwerkingsgrondslag die enkel het
IB toekomt.
5.2 Slotbeschouwing
Uit de conclusies die op basis van de onderzoeksvragen in dit onderzoek zijn getrokken kan worden
opgemaakt dat discutabel is wie verantwoordelijk is voor de verwerking van persoonsgegevens van
het IB. Gemeenten zouden expliciet kunnen worden aangewezen. Belangrijk is dan wel dat zij aan de
AVG verplichtingen kunnen voldoen. Ze zullen gezamenlijk de verwerkersovereenkomst moeten
opstellen om te voldoen aan de verantwoordingsverplichting. Het is ingewikkeld om dat door

41
gemeenten te laten doen omdat zij dan allemaal verplicht zijn PIA’s uit te voeren, een datalek te
melden en toe te zien op de basisbeginselen van de AVG. Inmiddels is het idee in werking gezet om
een werkgroep van Functionarissen Gegevensbescherming van een aantal gemeenten op te richten.
Deze werkgroep vertegenwoordigt dan alle gemeenten bij het uitvoeren van de verplichtingen uit
hoofde van de AVG. Wel moeten aanpassingen in bijvoorbeeld de beveiliging van gegevens eerst bij
de minister van SZW worden neergelegd aangezien hij degene is die betaalt voor dergelijke
aanpassingen in de dienstverlening. Dit alles overziend, is het wellicht een stuk eenvoudiger om direct
de minister van SZW als verantwoordelijke aan te merken. Maar in hoeverre kan hem dat worden
afgedwongen als hij het daar zelf niet mee eens is?
Het kan aan een volgend onderzoeker zijn om in vervolg op dit onderzoek in te gaan op andere
intermediaire organisaties die moeilijkheden ondervinden bij de invulling van verantwoordelijkheid en
vervulling van verplichtingen uit hoofde van de AVG. Een andere onderzoeksmogelijkheid is de
vormgeving van eenzelfde rolverdeling ten aanzien van de verwerkingen van het IB in departementen
als VWS en OCW.

42
Literatuur
Literatuurlijst
Advies WP-29 2006
Groep gegevensbescherming artikel 29-advies SWIFT 2006, WP 128, 01935/06/NL, 22 november
2006
Autoriteit Persoonsgegevens 2016
Autoriteit Persoonsgegevens, Last onder dwangsom Bluetrace, z2015-00981, 30 juni 2016
Beunes, Ghosh, Kossen, Nijenhuis, De Zwart & Claassen 2015
T. Beunes, S. Ghosh, W. Kossen, E. Nijenhuis, R. De Zwart & I. Claassen, KArWeI,
‘Ketenarchitectuur Werk en Inkomen versie 2.5’, november 2015, bkwi.nl
Bergfeld, Privacy & Informatie 2015, p. 84-92
J.P.R. Bergfeld, ‘Gemeentelijk berichtenverkeer: van Wet SUWI naar 3D in het perspectief van de
Wbp?’, Privacy & Informatie 2015/3, p. 84-92
Bonthuis, Privacy & Informatie 2016, p. 156-162
M.J. Bonthuis, Dataprotectie in ketens. Zijn de huidige privacy concepten wel geschikt voor
toepassing in ketens, Privacy & Informatie, Augustus 2016/4, p. 156–162
College Bescherming Persoonsgegevens 2013
College bescherming Persoonsgegevens, CBP richtsnoeren, Beveiliging van persoonsgegevens,
februari 2013
College Bescherming Persoonsgegevens 2015
College Bescherming Persoonsgegevens, Cf. de officiële adviezen van het CBP aan de regering: CBP-
Jeugdwet 2015 en CBP-WMO 2015
College Bescherming Persoonsgegevens augustus 2015
College bescherming persoonsgegevens, Onderzoek naar het gebruik van identiteitsdocument-
scanners in de horeca, z2014-00386, Augustus 2015
College Bescherming Persoonsgegevens oktober 2015

43
College Bescherming Persoonsgegevens, Rapport inzake Wifi-tracking van mobiele apparaten in en
rond winkels door Bluetrace, z2014-00944, 13 oktober 2015
Comijs, Privacy & Informatie 2016, p. 250-257
D.E. Comijs, Accountability in de AVG: betere processen en een sterkere positie van betrokkenen,
Privacy & Informatie, december 2016/6, p. 250-257
De Weerd 2017
T.J.M. de Weerd, Modellen voor de Rechtspraktijk, VIII 5.65 Bewerkersovereenkomst, Houthoff
Buruma, Amsterdam, 15 januari 2017
Engelfried, Meij & Kager 2017
A. Engelfriet, L. Meij, P. Kager, De Algemene Verordening Gegevensbescherming, artikelsgewijs
commentaar, januari 2017
Europese Commissie 2012
Europese commissie, voorstel voor een verordening van het Europees parlement en de raad,
betreffende Algemene Verordening Gegevensbescherming, januari 2012
Gelevert, Roosendaal, De Koning, Kort & Hut 2016
H. Gelevert, A. Roosendaal, N. de Koning, J. Kort, H. Hut, Uitkomsten van een onderzoek naar de
betrouwbaarheid en veiligheid van de pilots publieke en private middelen in het BSN-domein, 27 mei
2016
Hulsebosch & Versmissen 2014
B. Hulsebosch & K. Versmissen, in opdracht voor het Ministerie van SZW, Privacy Impact
Assessment Suwinet, Novay en Privacy Management Partners, april 2014
Inspectie Sociale Zaken en Werkgelegenheid 2015
Inspectie Sociale Zaken en Werkgelegenheid, ‘Suwinet veilig omgaan met elkaars gegevens’,
(R1502), mei 2015
Laan, Tijdschrift voor Internetrecht 2017
V.I. Laan, Privacy en blockchain, wanneer is er voor wie werk aan de winkel?, Tijdschrift voor
Internetrecht, nr. 1 maart 2017

Allemaal, Iedereen, Iemand en Niemand

Allemaal, Iedereen, Iemand en Niemand

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Similar to Allemaal, Iedereen, Iemand en Niemand

Similar to Allemaal, Iedereen, Iemand en Niemand (20)

Allemaal, Iedereen, Iemand en Niemand