Organisatie | Geldrop-Mierlo |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Privacyprotocol gegevensdeling bestuurlijke aanpak ondermijnende criminaliteit Geldrop-Mierlo 2023 |
Citeertitel | Privacyprotocol gegevensdeling bestuurlijke aanpak ondermijnende criminaliteit Geldrop-Mierlo 2023 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | openbare orde en veiligheid |
Eigen onderwerp |
Geen
Uitvoeringswet Algemene verordening gegevensbescherming
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
09-03-2023 | nieuwe regeling | 28-02-2023 |
Het college van burgemeester en wethouders van Geldrop-Mierlo en de burgemeester van Geldrop-Mierlo, ieder voor zover het zijn bevoegdheden betreft;
Gelet op het bepaalde in de Algemene verordening gegevensbescherming (hierna: AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG);
Overwegende dat van gemeenten meer verwacht wordt in de aanpak van georganiseerde ondermijnende criminaliteit regionaal, in het kader van de Taskforce-RIEC samenwerking alsook lokaal in het kader van de eigen taakuitvoering (niet-faciliteren van criminaliteit), is dit protocol ondersteunend in de aanpak van de georganiseerde ondermijnende criminaliteit. Voor een effectieve aanpak van deze ondermijnende activiteiten (en mogelijk georganiseerde criminaliteit) is een geïntegreerde bestuurlijke aanpak binnen de gemeente een noodzakelijk vereiste.
In dit protocol wordt verstaan onder:
Waar in dit protocol termen worden gebruikt die overeenstemmen met definities uit artikel 4 AVG wordt aan deze termen de betekenis van de definities uit de AVG toegekend.
Artikel 2. Doel bestuurlijke aanpak ondermijnende criminaliteit: duurzaam terugdringen
Onze taak in de gemeente Geldrop-Mierlo is om onze inwoners, organisaties en hun integriteit te beschermen tegen ondermijnende invloeden. Op deze manier dringen we ondermijnende criminaliteit duurzaam terug. Door zicht te hebben op ondermijnende invloeden, kunnen we inzetten daar waar de ondermijnende keten het beste verstoord kan worden. Het doel van deze aanpak is om binnen de gemeente Geldrop-Mierlo door middel van samenwerking:
Het gaat bij deze aanpak om personen/netwerken die binnen Geldrop-Mierlo actief zijn in illegale en of onrechtmatige activiteiten waarbij het doel is:
Ondermijnende criminaliteit te signaleren en analyseren waardoor een goede gemeentelijke informatiepolitie ontstaat welke bijdraagt aan de voorfase van de Taskforce-RIEC samenwerking en ook bijdraagt aan een weerbare overheid. Hiermee minimaliseren we de kans dat we als gemeente (on)bewust ondermijnende criminaliteit faciliteren.
De bestuurlijke aanpak van ondermijnende criminaliteit dient met inachtneming van wet- en regelgeving op het gebied van privacy- en gegevensbescherming plaats te vinden. Dit protocol heeft als doel de benodigde waarborgen daarvoor te bieden en verantwoording daarover af te leggen (conform het advies van de Raad van State d.d. 20 maart 2019). Daarom is dit protocol in fases ingericht, zodat de gegevensverwerking beperkt wordt tot dat wat noodzakelijk is voor het doel waarvoor de gegevens worden verwerkt. Dit protocol biedt een betrokkene inzicht in de wijze waarop de gemeente Geldrop-Mierlo bij deze aanpak persoonsgegevens verwerkt en met welk doel dat gebeurt.
Artikel 4. Doel van de gegevensverwerking
Het doel van de verwerking van persoonsgegevens die deel uitmaken van een of meerdere signalen is:
Artikel 5. Verwerkingsverantwoordelijke
Het college van burgemeester en wethouders en de burgemeester van de gemeente Geldrop-Mierlo zijn ieder voor zich verwerkingsverantwoordelijke voor verwerkingen van de persoonsgegevens die plaatsvinden binnen de gemeente en waarvoor zij als verwerkings-verantwoordelijke zijn aangemerkt in de wet- en regelgeving.
Artikel 7. Grondslag voor de verwerking
De grondslag voor de verwerking van (persoonsgegevens die deel uitmaken van) signalen is dat de gegevensverwerking noodzakelijk is voor de goede uitvoering van de gemeentelijke taken van de gezamenlijke verwerkingsverantwoordelijken. Namelijk het voorkomen dat de verwerkingsverantwoordelijken ongewild meewerken aan ondermijning of het bestrijden van ondermijning met bestuursrechtelijke instrumenten. In de toelichting is opgenomen welke persoonsgegevens worden verstrekt, voor elk doel, aan wie en welke grondslag er is om deze gegevens te verstrekken.
Artikel 8. Categorieën van betrokkenen en de verwerkte persoonsgegevens
Van de personen over wie wordt gemeld, genoemd in bijlage 2 ‘Categorieën personen als onderdeel van de checklist beoordelen signalen Ondermijning’ worden in verschillende fases de gegevens verwerkt zoals genoemd in de fases bij bijlage 1 ‘categorieën van verwerkte gegevens’ behorend bij dit protocol.
Artikel 10. Beheer en toegang tot de databestanden
De Teammanager Leefbaarheid en Veiligheid van de gemeente Geldrop-Mierlo is verantwoordelijk voor het beheer van het signalenregister. Hij draagt zorg voor het dagelijks beheer van het signalenregister waaronder de beveiliging van de persoonsgegevens, de informatieverstrekking aan betrokkenen en de afhandeling van de door betrokkene uitgeoefende rechten, het bewaken van de bewaartermijnen en het vernietigen van de gegevens na het verstrijken van de bewaartermijn.
Artikel 11. Beveiliging van persoonsgegevens
De beheerder draagt zorg voor en het management is verantwoordelijk voor passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking, gebaseerd op de Baseline informatiebeveiliging Overheid (BIO).
Hiertoe behoren in ieder geval:
De informatiecoördinator legt de motivatie voor het niet voldoen aan de informatieplicht op grond van lid 1 van dit artikel schriftelijk vast en legt vast wanneer zij verwacht dat betrokkene wel geïnformeerd kan worden, alsook van welke omstandigheden dit afhankelijk is, hoe periodiek wordt getoetst of deze omstandigheden nog aanwezig zijn en hoe/of wanneer betrokkene geïnformeerd zal worden.
Artikel 16. Looptijd en evaluatie
Dit protocol geldt voor 2 jaar, met stilzwijgende verlenging van telkens één jaar.
De verwerking van persoonsgegevens waarop dit protocol van toepassing is, zal jaarlijks worden geëvalueerd. Eventuele wijzigingen zullen door de verwerkingsverantwoordelijken vastgesteld worden.
Geldrop, datum
BURGEMEESTER EN WETHOUDERS VAN GELDROP-MIERLO
De secretaris
N. Scheltens
De burgemeester
J.C.J. van Bree
BIJLAGE 1: bij artikel 6 privacyprotocol categorieën persoonsgegevens
Van de personen over wie wordt gemeld, kunnen onderstaande gegevens, afhankelijk van de inhoud van de melding/signaal in de verschillende fases worden verwerkt en geregistreerd in het bestand.
Fase 1 Ontvangst en intake van het signaal
In fase 1 van het privacyprotocol zijn dit de volgende gegevens:
Fase 2 Zwaarte van het signaal bepalen
In fase 2 van het privacyprotocol kunnen in aanvulling op gegevens uit fase 1 onderstaande gegevens worden verwerkt, afhankelijk van de melding en of relevante casusinformatie:
Informatie uit systemen van uitkeringen, hulpmiddelen WMO, zorgbudget (PGB) van werk en inkomen (gesloten bron). Bijv. Is er wel/niet een uitkering verstrekt? en of er andere bronnen van inkomsten zijn en zo ja welke soort uitkering? (geen volledige SUWI-net gegevens en niet de hoogte van andere uitkeringen zoals bijv. WAO- of WW-uitkering). Ook kan - zo nodig - andere informatie over een uitkeringsaanvraag relevant zijn, dit bespreken en eventueel in samenwerking met sociale recherche laten verstrekken.
Fase 3 hit/no hit en bepalen vervolgaanpak
Als er in een (bron)bestand van een gemeentelijke afdeling gegevens over een persoon of organisatie die in het signaal voorkomen bekend zijn, geeft de afdeling dit aan bij de informatiecoördinator en levert gegevens die de informatiecoördinator nodig heeft om te beoordelen of deze gegevens het signaal bevestigen of versterken. Indien dit het geval blijkt te zijn dan is er een ‘hit’. Dit betreft zogeheten ‘dat’ informatie en geen ‘wat’ informatie. Voor afdelingen die werkzaam zijn in het sociaal domein houdt dit in dat zij slechts de zogenaamde buitenkantinformatie verschaffen, te weten het feit dat een persoon bekend is bijvoorbeeld als cliënt. De inhoud van het dossier (de wat-informatie) blijft echter gesloten voor de informatiecoördinator, omdat de sociaal domeinwetgeving (Participatiewet, WMO, Jeugdwet) geheimhoudingsverplichtingen kent, waardoor verstrekking van persoonsgegevens niet is toegestaan buiten een in de wet genoemde kring van personen en instanties.
Als duidelijk is dat er sprake is van een ‘hit’ en er meer informatie moet worden verzameld dan zijn er verschillende acties mogelijk te weten;
BIJLAGE 2 bij artikel 6 Categorieën personen als onderdeel van de checklist beoordelen signalen ondermijning
Deze checklist bestaat uit twee onderdelen.
Aan de hand van deze checklist beoordeelt de informatiecoördinator of een signaal betrekking kan hebben op ondermijning. De beoordeling bestaat uit twee stappen.
De inhoud van de checklist is afhankelijk van maatschappelijke ontwikkelingen en kan daarom niet als limitatief worden beschouwd.
De informatiecoördinator registreert persoonsgegevens van personen die in hun hoedanigheid als beschreven in de onderstaande lijst, mogelijk betrokken kunnen zijn bij de omschreven criminele activiteit.
Omschrijving van de (criminele) activiteiten en rollen van daarbij (al dan niet bewust) betrokken personen.
Algemeen ondermijnende activiteiten
En/of personen die een rol spelen bij een regionaal thema of een handhavingsknelpunt zoals:
Mensenhandel, -smokkel en uitbuiting (o.a. illegale prostitutie)
Georganiseerde hennepteelt/drugs(-handel)
Fraude en/of witwassen en daaraan gerelateerde vormen of andere vormen van financieel-economische criminaliteit (o.a. ook illegaal gokken/heling/underground banking)
Kenmerken van ondermijnende criminaliteit
Voor de bepaling of sprake kan zijn van ondermijnende criminaliteit bekijkt de informatiecoördinator of het signaal een van de onderstaande kenmerken bevat:
TOELICHTING PRIVACYPROTOL GEGEVENSDELING BESTUURLIJKE AANPAK ONDERMIJNENDE CRIMINALITEIT GELDROP-MIERLO 2023
De gemeente, politie en andere ketenpartners werken samen bij de integrale aanpak van complexe veiligheidsvraagstukken, waaronder (georganiseerde) criminaliteitsbestrijding. Om criminaliteit zo effectief mogelijk te kunnen bestrijden is het nodig en noodzakelijk dat gemeenten, politie en andere partijen zoals het OM en de Belastingdienst informatie met elkaar delen en de onderlinge uitwisseling goed geregeld hebben.
In het kader van de uitvoering van haar taken beschikt de gemeente over veel informatie, dat van belang kan zijn voor de criminaliteitsbestrijding. Een deel van die informatie kan en mag de gemeente gebruiken voor de veiligheidsvraagstukken.
Maar er zijn ook veel databronnen aanwezig die verbonden zijn aan specifieke doeleinden/taakvelden en die, onder andere vanwege privacywetgeving, niet zonder meer gedeeld mogen worden ten gunste van doeleinden op andere taakvelden, waaronder criminaliteitsbestrijding.
Het dilemma is duidelijk: Aan de ene kant heeft de gemeente Geldrop-Mierlo (ook volgens de Raad van State1) de taak en ook diverse wettelijke mogelijkheden (denk onder meer aan de wet Bibob) om mee te werken aan de bestrijding en voorkoming van (ondermijnende) criminaliteit en wil ze voorkomen (ongewild) bij te dragen aan de ondermijnende effecten daarvan. Aan de andere kant wil het gemeentebestuur van Geldrop-Mierlo dat haar burgers er ook op kunnen vertrouwen dat zij hun privacy beschermt en de regels naleeft die daarvoor in de wet zijn opgenomen.
Om uit dit dilemma te komen is belangenafweging en besluitvorming van bestuurlijk en ambtelijk verantwoordelijken nodig. Dit protocol heeft als doel bestuur en management een kader te bieden voor de afweging van deze soms tegenstrijdige belangen en daarover besluiten te nemen.
2. Doel en uitgangspunten van dit protocol
De gemeente Geldrop-Mierlo heeft een medewerker aangewezen die de informatiepositie van onder-mijnende criminaliteit coördineert en die de organisatie ondersteunt bij het voorkomen en bestrijden van ondermijning. Informatieverwerking over personen en organisaties is voor de doeltreffendheid van het werk van de informatiecoördinator van cruciaal belang.
Deze informatiecoördinator ontvangt signalen over vermoedens van ondermijnende activiteiten uit zijn professionele netwerk, vanuit burgers, maatschappelijke organisaties, bedrijven, politie en andere overheidsorganisaties.
Daarnaast kan de informatiecoördinator signalen genereren door databestanden zoals bijvoorbeeld BRP en BAG te vergelijken en de resultaten hiervan te analyseren. Als daar aanleiding voor is, is het noodzakelijk deze informatie en resultaten te delen met organisatieonderdelen die mogelijk (onbewust) betrokken zijn (geraakt) bij ondermijning of dit door hun handelen (onbewust) faciliteren.
Zowel het generen en verwerken van signalen als de uitwisseling van informatie, waaronder persoonsgegevens tussen de informatiecoördinator en de andere organisatieonderdelen in het kader van de aanpak van ondermijning dient met inachtneming van wet- en regelgeving op het gebied van privacy plaats te vinden.
De privacybescherming bij het genereren van signalen door bestandsvergelijking en data-analyse zal de gemeente waarborgen door op het gebruik van de bronnen en de toe te passen algoritmes een data protection impact assessment (DPIA) te laten uitvoeren en de privacy- en beveiligingsrisico’s die dit oplevert met toepasselijke maatregelen te mitigeren2. De informatiecoördinator maakt telkens een zorgvuldige belangenafweging waarbij de technische mogelijkheden worden afgewogen tegen de noodzaak om bepaalde informatie te verzamelen. De informatieverzameling moet een doel hebben in het voorkomen, verstoren of tegengaan van ondermijning.
De uitwisseling van data en dan met name van persoonsgegevens tussen de informatiecoördinator en de uitvoeringsorganisatie/ afdelingen binnen de gemeentelijke organisatie (Geldrop-Mierlo en Dienst Dommelvallei) stuit in een aantal gevallen op de grenzen van de wettelijke mogelijkheden. In het bijzonder betreft dit de wetgeving op het gebied van het sociaal domein (Participatiewet, WMO, Jeugdwet). Dat blijkt ook uit de “Handleiding binnengemeentelijke gegevensuitwisseling ten behoeve van de bestrijding van ondermijning” die Minister van Veiligheid en Justitie in februari 2020 heeft gepubliceerd.
Hierbij wordt ook de ‘wet aanpak meervoudige problematiek sociaal domein’ (Wams) betrokken op het moment dat deze in werking treedt. Deze wet voorziet in wettelijke taken voor onderzoek, planvorming en coördinatie bij meervoudige problematiek in het sociaal domein. Deze wettelijke taken vormen de grondslag voor de uitvoering van voor die wettelijke taken noodzakelijke verwerking en uitwisseling van persoonsgegevens.
Ondanks dat de ruimte voor gegevensuitwisseling vanuit sommige taakvelden zeer beperkt is of ontbreekt, is de noodzaak tot gegevensuitwisseling soms zeer urgent. De gemeente Geldrop-Mierlo heeft in dat soort gevallen toch de behoefte om over te gaan tot het delen van informatie, maar wil door middel van dit privacyprotocol de benodigde waarborgen inbouwen die eventuele risico’s voor de privacybescherming tot een minimum beperken.
De uitgangspunten van dit privacyprotocol zijn:
De organisatie is primair verantwoordelijk voor het voorkomen van ondermijnende criminaliteit Dat houdt in dat zij ervoor zorgt dat alle informatie vergaard wordt die nodig is om tot een rechtmatig besluit te komen over elke dienst of product die een burger of organisatie van haar vraagt. Een team maakt daarvoor gebruik van signalen die de informatiecoördinator spontaan of op verzoek aanlevert en verwerkt die signalen binnen de mogelijkheden van het wettelijk kader dat op de uitvoering van de werkzaamheden van een team van toepassing is. Wat voor soort informatie gedeeld wordt, bekijkt en beoordeelt de informatiecoördinator per casus.
We voldoen aan de Algemene verordening gegevensbescherming (AVG) en overige privacyvoorschriften bij de uitwisseling van persoonsgegevens. Waar dit niet of niet volledig kan, besteden we bijzondere aandacht aan:
Toetsing aan eisen van proportionaliteit en subsidiariteit. We voorkomen bovenmatig gebruik van gegevens, door middel van fasering en per fase een afweging te maken van de noodzaak tot informatiede¬ling (zie hierna 2 Procesbeschrijving). Ook beoordelen we of we hetzelfde resultaat kunnen verkrijgen met een minder belastende manier voor de betrokkene.
Het delen van signalen met de informatiecoördinator gebeurt alleen in het kader van de bestrijding van ondermijnende criminaliteit en als onderdeel van gecoördineerde interventies c.q. aanpak, zo nodig in samenwerking met externe partners van de Taskforce-TASKFORCE-RIEC. Vanzelfsprekend zal een verstrekker van een signaal wel steeds moeten vaststellen of die verstrekking in lijn is met de privacyregelgeving en indien daar twijfel over bestaat daarin de afstemming te zoeken met de privacy-adviseur van de gemeente Geldrop-Mierlo.
Op deze wijze worden alleen de strikt noodzakelijke gegevens ten behoeve van data-analyse, signaalverwerking en -verrijking en concrete acties c.q. interventies gedeeld en benut en op een manier die het minst belastend is voor betrokkenen.
Ondermijnende criminaliteit nestelt zich in de haarvaten van onze samenleving. Om daar effectief tegen op te treden is een goede informatiepositie van de overheid cruciaal. Gemeenten hebben in de aanpak van georganiseerde criminaliteit een belangrijke rol en lopen aan tegen het feit dat veel informatie die zij zelf bezitten, niet gedeeld en gebruikt mag worden binnen de eigen gemeente (tussen interne afdelingen). De reden daarvan is dat achter verschillende taken veelal specifieke sectorale wetgeving ligt met een geheimhoudingsplicht.
Het delen van informatie is nodig om te beoordelen of een actie nodig is, zo ja welke actie en welk team of welke (keten)partner die actie het beste kan uitvoeren. De keuze om een interventie te plegen kan pas worden gemaakt na het leggen van een complete informatiepuzzel. Om een vuist te kunnen maken tegen ondermijnende criminaliteit is een goede informatiepositie daarom essentieel.
Informatiedeling, het verrijken van ingekomen signalen en anonieme meldingen en informatie uit verschillende interne afdelingen is nodig voor een ontkokerde, effectieve en integrale aanpak van ondermijnende criminaliteit en daadkrachtige fraudebestrijding.
Als de gemeente de informatie waarover zij beschikt niet of niet goed kan benutten binnen de aanpak van ondermijning, werkt dit ook door naar het niet goed kunnen deelnemen in het Taskforce-RIEC samenwerkingsverband. Sterker nog: het staat haaks op de gedachte achter het Taskforce-RIEC convenant waarbij partners samen komen tot de integrale aanpak van ondermijningscasussen. Dit gebeurt onder andere door het delen van gegevens.
Als de interne informatie-uitwisseling niet optimaal is, dan kan de gemeente vanuit haar ondermijningsaanpak geen goede inschatting maken of er actie nodig is, of dat de casus naar de Taskforce-RIEC moeten worden gebracht zodat informatiedeling met externe partners kan plaatsvinden of dat zij zelfstandig direct kan ingrijpen c.q. handhaven op grond van de beschikbare en bestaande bestuursrechtelijke instrumenten.
Alhoewel de nood hoog is en er hoge maatschappelijke en politieke verwachtingen zijn ten aanzien van het ingrijpen door het gemeentebestuur, heeft de wetgever het gemeentebestuur niet voorzien van een wettelijke grondslag voor dit ingrijpen. Als geen grondslag kan worden aangewezen, is er vanuit privacy oogpunt geen basis voor het verwerken van persoonsgegevens door de gemeente voor onderzoek naar activiteiten van ondermijning en georganiseerde criminaliteit. De aanpak van ondermijning houdt namelijk in het verwerken van persoonsgegevens voor een ander doel dan waarvoor deze gegevens oorspronkelijk zijn verzameld. Informatie wordt verzameld vanuit verschillende taken en bevoegdheden, om het vervolgens voor een nieuw doel te gebruiken. Dat nieuwe doel, vaststellen van ondermijning, is nog niet wettelijk vastgelegd. Dit is in de praktijk het grootste knelpunt. Dit protocol heeft als doel handvatten te bieden hoe om te gaan met dit knelpunt.
4. Noodzaak reglement: De gemeente kan niet wachten op wetgeving
Het is duidelijk dat door het geschetste dilemma informatie-uitwisseling uiterst moeizaam of zelfs helemaal niet tot stand komt. Om misverstanden te voorkomen, wordt opgemerkt dat dit niet aan medewerkers kan worden toegerekend. Zij volgen immers de op hen van toepassing zijnde (privacy)-voorschriften.
Het gaat hier ook niet om een bevoegdheidsverdelingsvraagstuk. Dit is ook nooit een vraagstuk geweest want bij een integrale gemeentelijke aanpak hoort dat iedere afdeling/team gebruik maakt van haar eigen bevoegdheden en haar eigen instrumentarium.
Vanuit het taakveld ondermijning is het zeker niet de bedoeling om hier afbreuk aan te doen. Het gaat er uitsluitend om informatie die al binnen de gemeente aanwezig is, met elkaar te delen voor een goede uitvoering van onze bestuursrechtelijke bevoegdheden en -instrumenten.
Er is wetgeving voor gegevensdeling voor samenwerkingsverbanden (Wet gegevensverwerking samenwerkingsverbanden). De vraag is of deze wet het dilemma opgelost heeft en toepasbaar is binnen een gemeente. Daarnaast ligt er het al eerdergenoemde advies van de Raad van State, die stelt dat er al veel mogelijk is als het gaat om het delen van gegevens in het kader van de aanpak van georganiseerde misdaad. De uitwerking van die mogelijkheden laat vervolgens op zich wachten. De gemeente kan echter door het ontwikkelen van een werkproces met bijbehorende formats beter afwegen waarom gegevensuitwisseling in sommige gevallen toch noodzakelijk is.
De georganiseerde criminaliteit wacht daar niet op en de gemeente kan het zich niet permitteren om in de tussentijd stil te zitten. Daarom is het noodzakelijk om vooruitlopend op (toekomstige) regels, voor de gemeente Geldrop-Mierlo een protocol op te stellen voor het delen van informatie in die situaties dat de wetgever er niet in heeft voorzien. Dat biedt bestuur en management een afwegingskader en verschaft medewerkers duidelijkheid over wat zij in welke gevallen kunnen delen met het taakveld ondermijning.
Een procesbeschrijving, waarin de fasen worden beschreven die signalen doorlopen die de informatiecoördinator ontvangt of zelf heeft ontwikkeld door bestandsvergelijking en informatie-analyses, maakt onderdeel uit van dit protocol. In elke fase wordt een afweging gemaakt over het doorgaan naar de vervolgfase of beëindiging van de signaalverwerking, om onnodige uitwisseling en verwerking van persoonsgegevens te voorkomen.
De condities waaronder persoonsgegevens kunnen worden verwerkt, de registratie en uitwisseling van gegevens en de rechten van de betrokken personen, zijn vastgelegd in het privacyprotocol.
Het protocol zal tweejaarlijks worden geëvalueerd. Het protocol kan bijvoorbeeld worden aangepast als werkprocessen of wet- en regelgeving wijzigen of als er sprake is van nieuwe verschijningsvormen van ondermijning.
Procesfases van belang voor dit protocol
In deze procesbeschrijving draait het om het verwerken van signalen en het aanpakken van signalen van ondermijnende activiteiten. Het proces verloopt met het oog op proportionaliteit en subsidiariteit in vier fases. De informatiecoördinator waarborgt dat de verschillende fases ook op juiste wijze worden gevolgd. Hiervoor wordt nog een werkproces en format ontwikkeld dat handvatten geeft om hier in de praktijk vorm aan te geven.
Hieronder worden de verschillende fasen toegelicht. Daarbij geldt dat de beoordeling van een binnengekomen signaal het startpunt van het protocol vormt. Het verwerken en registreren van de signalen is op zichzelf al een verwerking van persoonsgegevens die opgenomen dient te worden in het register van verwerkingen van de gemeente Geldrop-Mierlo.
Figuur 1: Procesfasen, ontleend aan Model privacy protocol ministerie van justitie en veiligheid
Het doel van deze gefaseerde aanpak is om per fase een afweging te kunnen maken of er een noodzaak is om persoonsgegevens te verwerken, welke gegevens dat zijn en of dat leidt tot vervolgfasen (triages).
Signalen van binnen en buiten de organisatie of als resultaat data-analyse.
Een signaal is binnen het kader van dit protocol een aanwijzing of meerdere aanwijzingen dat bepaalde gedragingen en/of situaties mogelijk verband zouden kunnen houden met verschijningsvormen van georganiseerde criminaliteit dan wel dat zich een handhavingsknelpunt (bijvoorbeeld op een bedrijventerrein) voordoet dan wel dat bepaalde gedragingen en of situaties mogelijk relevant zijn voor de toepassing van de Wet Bibob. Bijlage 2 van het privacyprotocol bestuurlijke aanpak ondermijning bevat een nadere concretisering van wat een signaal kan inhouden.
Signalen kunnen afkomstig zijn van burgers en professionals of voortvloeien uit resultaten van data-analyse. Zie ook figuur 2.
Figuur 2: Klassieke en datagedreven signaalverwerking
Fase 1 Ontvangst, intake en registratie signaal
Fase 1 heeft betrekking op het beoordelen van signalen van criminele activiteiten, onrechtmatigheden en maatschappelijke dreigingen. Een signaal kan op verschillende manieren binnenkomen zoals per mail, MOR- of MMA-melding. Ook kan naar signalen worden gezocht door middel van data-analyse.
Voor de beoordeling van een signaal is van belang te weten wat het signaal inhoudt en of het betrekking heeft op ondermijning. Dat betreft de eerste weging. Een signaal wordt bij de intake beoordeeld op grond van een aantal kenmerken en indicatoren, die zijn weergegeven in bijlage 2 van het privacyprotocol bestuurlijke aanpak ondermijning. Er dient tenminste sprake te zijn van één van de indicatoren en/of categorieën van personen.
De informatiecoördinator registreert elk signaal in een overzicht. Dit overzicht bevat de inhoud van het signaal, de naam van de persoon op wie het signaal betrekking heeft en het resultaat van een eerste onderzoek van de informatiecoördinator.
Voordat het signaal verder in behandeling/onderzoek wordt genomen, beoordeelt de informatiecoördinator of het signaal betrekking heeft
Deze vragen beantwoordt de informatiecoördinator door een of meerdere signalen te vergelijken met informatie uit openbare bronnen zoals het Handelsregister (bij de Kamer van Koophandel), het eigendommenregister (bij het Kadaster), publicaties (al dan niet op internet) en bekende informatie binnen het vakgebied Ondermijning.
Na dit eerste onderzoek volgt een eerste beslismoment:
Verder in behandeling nemen kan inhouden dat de informatiecoördinator het signaal:
naar de politie stuurt met behulp van een proces-verbaal van bevindingen dat door een buitengewoon opsporingsambtenaar wordt gemaakt omdat het signaal betrekking heeft op opsporings-taken van de politie bijvoorbeeld het vermoeden van een hennepkwekerij, aanwijzingen van dealen, heling of prostitutie.
naar de bevoegde toezichthouders van een andere gemeentelijk afdeling of team stuurt, die vervolgens het signaal vertaalt naar concrete acties of verder onderzoek uitvoert binnen het kader van de eigen wettelijke taken en bevoegdheden. Bijvoorbeeld bij vermoeden van uitkeringsfraude gaat er een signaal naar Senzer en fraudesignalen op het gebied van WMO en Jeugd worden doorgezet naar de afdeling Samenleving.
De behandelaars onder a. en b. koppelen het resultaat van hun handelen terug naar de informatiecoördinator. De informatiecoördinator noteert dat resultaat in het signalenregister. Dat resultaat kan luiden:
Als het proces wordt voortgezet, koppelt de behandelaar het eindresultaat terug aan het eind van het proces. Voortzetting van het proces kan ook tot gevolg hebben dat de behandelaar de informatiecoördinator adviseert tot opschaling. Het signaal wordt bewaard tot één jaar na het moment waarop het eindresultaat is geregistreerd en daarna binnen één maand verwijderd.
Fase 2: Weging zwaarte signalen (derde weging)
Fase 2 start met een eerste nadere verkenning. De informatiecoördinator vraagt de relevante gemeentelijke afdelingen/teams na te gaan of er in relatie tot het signaal relevante informatie over een (rechts)persoon bekend is. Dit gaat in deze fase nog niet om zogeheten ‘wat’ informatie. Het gaat om óf er informatie beschikbaar is, niet welke informatie. Afdelingen/teams raadplegen hiervoor de bronnen waarover zij de beschikking hebben zoals BAG, BRP, informatie van vergunningverlening en toezicht- en handhaving. Daardoor ontstaat meer zicht op de inhoud en omvang van het signaal op basis waarvan de informatiecoördinator kan beoordelen of een vervolg (fase 3) nodig is.
Fase 3: Hit No Hit en beslissen vervolgaanpak
Als er in een (bron)bestand van een gemeentelijke afdeling gegevens over een persoon of organisatie die in het signaal voorkomen bekend zijn, geeft de afdeling dit aan bij de informatiecoördinator en levert gegevens die de informatiecoördinator nodig heeft om te beoordelen of deze gegevens het signaal bevestigen of versterken. Indien dit het geval blijkt te zijn dan is er een ‘hit’. Voor afdelingen die werkzaam zijn in het sociaal domein houdt dit in dat zij slechts de zogenaamde buitenkantinformatie verschaffen, te weten het feit dat een persoon bekend is bijvoorbeeld als cliënt. De inhoud van het dossier (de wat-informatie) blijft echter gesloten voor de informatiecoördinator, omdat de sociaal domeinwetgeving (Participatiewet, WMO, Jeugdwet) geheimhoudingsverplichtingen kent, waardoor verstrekking van persoonsgegevens niet is toegestaan buiten een in de wet genoemde kring van personen en instanties.
Als er geen hit is na raadpleging van de gemeentelijke bronnen dan volgt verder geen actie, tenzij het oorspronkelijke signaal zo sterk is dat volgens de informatiecoördinator nader onderzoek nodig is. Volgt er definitief géén actie, dan wordt informatie die naar aanleiding van het signaal ontvangen is tijdelijk bewaard in de niet-actieve omgeving van het signalenregister. De verzamelde informatie leidt niet tot verder onderzoek en blijft bewaard gedurende één jaar na het beslismoment en wordt daarna binnen één maand vernietigd.
Bij een hit beslist de informatiecoördinator op basis van de beoordeling van de verzamelde informatie wat er verder met die informatie gaat gebeuren.
De volgende acties zijn mogelijk.
Om een beter beeld te krijgen van alle digitale informatie uit gemeentelijke bronnen en -systemen plant de informatiecoördinator zo nodig een lokaal informatie-overleg in met interne, bij de casus betrokken, collega’s om de casus te bespreken. Het doel is verdere beeldvorming, verrijking van het signaal en het beoordelen van concrete interventiemogelijkheden. Elke afdeling treedt, zo nodig, op conform eigen bevoegdheden en instrumentarium. De informatiecoördinator zorgt voor de overall-regie en planning. De informatiecoördinator zorgt voor verslaglegging en dat de gemaakte afspraken tijdens het overleg vastgelegd worden.
Controle door de BOA/Toezichthouder
De informatiecoördinator stuurt het signaal of de casus door naar de buitengewone opsporingsambtenaar en/of toezichthouder. Deze voert, zo nodig ondersteund door de lokale politie en andere partners, een flexcontrole3 uit om overtredingen te constateren en vast te leggen zodat hier handhavend tegen kan worden opgetreden door de gemeente. De toezichthouder of BOA stemt de controleresultaten af met de handhavingsjurist en/of de afdeling vergunningverlening en koppelt terug naar de informatiecoördinator. De informatiecoördinator verwerkt het resultaat in het signalenregister.
Delen met Taskforce-RIEC-partner(s), verrijking informatie door Taskforce-RIEC en Taskforce-RIEC aanpak
Indien de informatiecoördinator vermoedt dat hij een ondermijningssignaal onderhanden heeft welke zich leent voor een bestuurlijk geïntegreerde aanpak onder het Taskforce-RIEC convenant, kan de informatiecoördinator de intell specialist van de Taskforce-RIEC consulteren. De intell specialist Taskforce-RIEC verzorgt de intake van het signaal. De intell specialist kan ook adviseren om het signaal op een andere wijze te routeren.
Indien de informatiecoördinator besluit het signaal te routeren voor een Taskforce-RIEC aanpak wordt het signaal via een signaaldocument aangeleverd bij de intell specialist. De agendeert het signaaldocument voor het ambtelijk voorbereidingsoverleg (AVO). Het signaaldocument wordt hiertoe geüpload in een fileshare map binnen het Taskforce-RIEC informatiesysteem (Taskforce-RIECIS). Dit betreft een beveiligde, afgeschermde digitale omgeving waartoe alleen de deelnemers aan het AVO-overleg toegang hebben.
In de informatiefase wordt het signaal, onder regie van de intell specialist van de Taskforce-RIEC, verrijkt met informatie van de samenwerkende partners. Dit is het moment waarop alle relevante gemeentelijke informatie wordt gedeeld binnen het Taskforce-RIEC samenwerkingsverband. Ook de andere partners delen alleen de informatie die voor een andere partner nodig is om tot de benodigde analyse en interventies te komen. Het Taskforce-RIEC -bureau voert de analyse uit. De informatie van de partners wordt gescheiden bewaard.
Uit Advies Raad van State van 20 maart 2019: “Het mag duidelijk zijn dat ook de bestuurlijke aanpak van ondermijning tot de taak van de gemeente behoort. ….. De strafrechtelijke aanpak van ondermijning is een taak van politie en OM. De bestuurlijke aanpak is een taak van gemeenten, waarbij zowel het college van B&W als de burgemeester beschikken over bevoegdheden die uiterst effectief kunnen zijn bij het tegengaan van ondermijnende criminaliteit”.
Let op: Daarmee ontstaat geen generaal pardon op de toepassing van dit instrumentarium. De gemeente zal in haar privacybeleid moeten opnemen dat bij bestandsvergelijkingen met nieuwe bronnen en/ of nieuwe analysemethodes er steeds opnieuw een DPIA uitgevoerd moet worden. Ook van belang om van tijd tot tijd aan de hand van criteria van proportionaliteit en subsidiariteit het gebruik van de vergelijkingen en analyse te evalueren.