Veel gestelde juridische vragen Update maart 2014 1. Is er een

Veel gestelde juridische vragen
Update maart 2014
Proclaimer
Dit document bevat antwoorden op veel gestelde vragen over de juridische aspecten rond informatieuitwisseling in de milieuhandhaving.
Het gaat daarbij onvermijdelijk om een versimpeling van de complexe juridische werkelijkheid maar het
geeft de lezer (hopelijk) wel een overzicht van de relevante juridische aspecten. PIM zal alle betrokken
partijen assisteren bij de implementatie van Inspectieview Milieu(IvM) inclusief de acties voor rechtmatige
informatie-uitwisseling.
1. Is er een wettelijke basis op basis waarvan de informatie-uitwisseling
milieuhandhaving is toegestaan?
2. Wordt de wettelijke grondslag nog uitgebreid of verbeterd?
3. Moet er verder nog iets gewijzigd worden aan of aangevuld worden op de
wettelijke kaders?
4. Moeten er met de ingebruikname van Inspectieview Milieu (IvM) voor de
informatie-uitwisseling gewacht worden totdat alle wet- en regelgeving is
ingevuld en aangenomen?
5. Zijn er andere instanties waaraan toestemming moet worden gevraagd?
6. Wat zijn de consequenties als er geen ontheffing door het Cbp wordt gegeven?
7. Welke eisen stelt de wet / stellen de wettelijke kaders aan de procesinrichting
van de bronnen en de gebruikers van IvM?
8. Is er een verschil in wettelijke eisen tussen enkelvoudige bevraging en bulk?
9. Welke eisen stelt de wet / stellen de wettelijke kaders aan de onderlinge
afspraken tussen de bronnen en de gebruikers van IvM?
10. Bestaat er hiërarchie tussen de verschillende juridische documenten?
11. Worden voor iedere aansluitende partij dezelfde documenten gehanteerd of zijn
er verschillen denkbaar?
12. Welke rollen moet een organisatie onderscheiden?
13. Is het met al die verschillende rollen nog zinvol om functionarissen te
autoriseren?
14. Hoe zit het met de bevoegdheid van leidinggevenden van toezichthouders of
analisten en met stafmedewerkers, zoals juristen in een bezwaar- of
beroepsprocedure?
15. Waar mogen gegevens die via IvM verkregen worden voor worden gebruikt?
16. Mogen de gegevens die via IvM zijn verkregen ook gebruikt worden voor
handhavingsacties?
17. Worden de gegevens vertrouwelijk behandeld of zijn ze openbaar?
1
18. Kun je vertrouwelijk verstrekte bedrijfsinformatie wel of niet delen met collegatoezichthouders?
19. Kun je vertrouwelijk verstrekte bedrijfsinformatie ook delen met inzet van IvM?
20. Moet een aangesloten partij ook reageren op een Wob-verzoek als dat betrekking
heeft op informatie die van anderen is verkregen?
21. Geldt de Wob ook voor diensten met alleen uitvoerende taken, zoals sommige
22. uitvoeringsdiensten, die dus geen bestuursorgaan zijn?
23. Wat is binnen IvM het gehanteerde beveiligingsniveau?
24. Hoe weet een bronpartij of een partij die gegevens vraagt is wie hij zegt dat hij is?
25. Kan IvM de informatie die ze verwerkt ook verrijken of anderszins veranderen?
26. Mogen uitvoeringsdiensten alle via IvM verkregen gegevens delen met hun
opdrachtgevers?
27. Wie is er verantwoordelijk voor een correcte verwerking van gegevens binnen de
ontvangende partijen?
28. Wie is er binnen de keten verantwoordelijk voor de verwerking van de gegevens?
29. Hoe lang mag of moet ik gegevens over toezichtsobjecten bewaren?
30. Wat moet ik doen als ontvangen gegevens bij mij het vermoeden wekken dat wel
eens sprake zou kunnen zijn van strafbare feiten?
31. Wat moet ik doen als ik gegevens ontvang over een toezichtobject en ik vermoed
dat die onjuist zijn?
31. Moet een partij die aansluit ook zijn interne regels weer helemaal aanpassen?
2
1
Is er een wettelijke basis op basis waarvan de informatieuitwisseling milieuhandhaving is toegestaan?
Ja, bestuursorganen mogen onderling gegevens uitwisselen. Dat vergt geen
expliciete wettelijke basis, mits men zich aan bestaande grenzen houdt zoals
opgenomen in de Wet bescherming persoonsgegevens: doelbinding,
proportionaliteit en subsidiariteit. Ook vertrouwelijk verstrekte bedrijfsgegevens
mogen niet zonder meer uitgewisseld. Grootschalige bestanden elektronisch
delen mag echter (nog) niet, dat vergt wel een expliciete wettelijke regeling.
2
Wordt de wettelijke grondslag nog uitgebreid of verbeterd?
Ja, met de wet Vergunningverlening, Toezicht en Handhaving. Dit betreft een
nieuwe paragraaf in de Wabo. De informatie-uitwisseling tussen
bestuursrechtelijk en strafrechtelijk handhavende partijen staat er expliciet in
genoemd. Bij het actualiseren van dit antwoord (maart 2014) is de wet nog niet
in werking. Het voorstel is medio februari 2014 bij de Tweede Kamer ingediend;
hierop volgt nog een schriftelijke ronde van vragen en antwoorden en dan de
mondelinge behandeling in de Tweede Kamer. Daarna komt nog de Eerste Kamer
aan bod en naar verwachting treedt de wet VTH in de loop van 2015 in werking.
3 Moet er verder nog iets gewijzigd worden aan of aangevuld worden
op de wettelijke kaders?
Ja, dat is het geval. In een algemene maatregel van bestuur en een ministeriële
regeling zal meer in detail uitgewerkt worden welke informatie uitgewisseld mag
gaan worden en hoe dat gaat gebeuren. Daarbij worden de al gemaakte afspraken
voor het informatiemodel en Inspectieview Milieu meegenomen. Het opstellen
van de amvb en de mr gebeurt gelijktijdig met de behandeling van de wet VTH in
de Eerste Kamer; ze zullen tegelijk met de wet VTH inwerking treden.
4
Moeten er met de ingebruikname van Inspectieview Milieu (IvM)
voor de Informatieuitwisseling gewacht worden totdat alle wet- en
regelgeving is ingevuld en aangenomen?
Nee, dat is niet het geval. Er wordt bij het College bescherming persoonsgegevens
(Cbp) ontheffing gevraagd om met de uitwisseling te starten nog voor de nieuwe
wetgeving van kracht is.
5
Zijn er andere instanties waaraan toestemming moet worden
gevraagd?
Nee, dat is niet het geval.
3
6
Wat zijn de consequenties als er geen ontheffing door het Cbp wordt
gegeven?
In dat geval zal er met de structurele geautomatiseerde uitwisseling van
informatie met IvM gewacht moeten worden totdat de nieuwe wet VTH in
werking treedt. De Wabo voorziet nu niet in gestructureerde uitwisseling van
informatie tussen handhavende instanties.
7
Welke eisen stelt de wet / stellen de wettelijke kaders aan de
procesinrichting van de bronnen en de gebruikers van IvM?
Er is een aantal zaken waarmee rekening moet worden gehouden.
1) De afnemende organisatie moet er voor zorg dragen dat er alleen toegang
wordt verkregen tot IvM enkelvoudig / bulkbevraging door medewerkers die de
informatie nodig hebben voor hun werk. Dit volgt uit de eis van doelbinding.
Daarbij is het ook van belang om een onderscheid te maken tussen enkelvoudige
bevraging en bulkbevraging omdat verschillende medewerkers van deze twee
typen informatie gebruik gaan maken. Bijvoorbeeld inspecteurs van enkelvoudig,
analisten/planners van bulkbevraging.
2) De afnemende organisatie moet het gebruikersbeheer goed inrichten. Dat wil
zeggen dat als een medewerker ander werk gaat doen of vertrekt zijn
toestemmingen voor IvM moeten worden ingetrokken of aangepast.
3) De afnemende organisatie moet inhoudelijk vastleggen welke prioriteiten in
een jaar worden opgepakt om willekeurig grasduinen in informatie te
voorkomen. Daarnaast zal de afnemende organisatie in het jaarplan ook moeten
aangeven dat het reageert op signalen uit de omgeving. Niet alles hoeft dus van te
voren in plannen worden vastgelegd. De bronhoudende organisatie moet
vaststellen welke informatie zij beschikbaar wil stellen aan welke afnemende
organisaties en aan functionarissen met welke rollen. Het bijhouden (beheer) van
deze autorisatieregels zal goed geborgd moeten worden.
8
Is er een verschil in wettelijke eisen tussen enkelvoudige bevraging en
bulk?
Nee, dat is niet het geval. Beide voorzieningen moeten aan eisen van doelbinding,
proportionaliteit en subsidiariteit voldoen. Bij enkelvoudige bevraging is er
systeemtechnisch voor gekozen om de uitvraag bij de uiteindelijke bron te doen
op basis van de specifieke zoekvraag die de gebruiker stelt. De zoekvraag is
relevant voor de gebruiker (doelbinding), er wordt niet meer geleverd dan
gevraagd (proportionaliteit).
Bij bulk is de vraag algemener omdat de gebruiker nog op zoek is naar relevante
‘hits’. In feite maakt de gebruiker een eerste selectie om daarna verder in de
informatie te zoeken. Door te werken met selectiecriteria als SBI code en
postcodegebied wordt de zoekvraag specifiek genoeg (doelbinding).
4
Daartoe wordt onder verantwoordelijkheid van de bronhouder een
tussenbestand opgebouwd, waarna de elektronische intelligentie binnen de
aansluitvoorziening de gevraagde selectie maakt. Het opbouwen van een
tussenbestand heeft technisch gezien de voorkeur en wordt voor niets anders
gebruikt dan de levering op basis van de specifieke zoekvraag. Daarmee is het
proportioneel.
9
Welke eisen stelt de wet / stellen de wettelijke kaders aan de
onderlinge afspraken tussen de bronnen en de gebruikers van IvM?
Er is een aantal zaken waarmee rekening moet worden gehouden:
1. Het is belangrijk dat er omwille van complexiteitsreductie maar enkele te
onderscheiden rollen zijn. Zoals inspecteur, analist, bijzondere
opsporingsambtenaar (BOA), maar ook aan de verschillende functionarissen in
dienst van het bevoegd gezag. Door uit te gaan van een beperkt aantal rollen zijn
er ook een beperkt aantal autorisatieregels te handhaven bij het
gebruikersbeheer en bij de bronpartijen. Deze beperking van complexiteit volgt
niet zozeer uit de wet maar maakt het wel eenvoudiger om de wettelijke eis van
doelbinding via gebruikers, rollen en organisaties in te vullen.
2. Het is verplicht om de onderlinge informatie-uitwisseling vast te leggen in een
informatieprotocol. In dat protocol wordt er bilateraal vastgelegd welke
informatie er tussen welke organisaties wordt gedeeld, volgens welke
standaarden en binnen welke veiligheidsmarges. Het informatieprotocol zal
moeten worden ondertekend door of namens de verantwoordelijken voor de
organisaties die van IvM gebruik maken.
10
Bestaat er hiërarchie tussen de verschillende juridische
documenten?
Voor zover het betreft de meer algemene documenten is het antwoord 'ja'. Met
het Juridisch Kader zijn de wettelijke (en door de jurisprudentie gepreciseerde)
grenzen beschreven binnen welke IvM kan en mag worden gebruikt. In het
Informatieprotocol is vervolgens in algemene termen beschreven hoe we de
ruimte binnen die grenzen willen gaan benutten. In de Aansluitovereenkomsten
worden de afspraken tussen partijen meer precies vastgelegd.
Autorisatiebesluiten regelen tenslotte, tot op het niveau van type functionaris
('rol'), wie over welke gegevens mag beschikken.
11
Worden voor iedere aansluitende partij dezelfde documenten
gehanteerd of zijn er verschillen denkbaar?
Er zijn zeker verschillen denkbaar. Partijen hebben aangegeven zelf te willen
blijven bepalen welke gegevens (of informatie) aan welke andere partij en,
daarbinnen, aan welk type functionaris (welke 'rol') beschikbaar kan worden
5
gesteld. Dat leidt dus altijd tot maatwerk. Wel streeft PIM naar het beschikbaar
maken van modeldocumenten.
12
Welke rollen moet een organisatie onderscheiden?
Elke ontvangende partij onderscheidt binnen haar medewerkers ten minste de
rollen van toezichthouder en analist. Tot toezichthouders kunnen ook diegenen
worden gerekend die besluiten op vergunningaanvragen e.d. moeten beoordelen.
Die toetsing kun je immers zien als 'toezicht vooraf'. Verder hangt het natuurlijk
ook af van hoe de ontvangende partij is ingericht. Er zullen altijd leidinggevenden
zijn, die op zijn minst enige bevoegdheden zullen moeten hebben. Dat zelfde geldt
ook juristen en wellicht andere staffunctionarissen.
13
Is het met al die verschillende rollen nog zinvol om functionarissen te
autoriseren?
Ja. Niet iedereen die toegang krijgt tot gegevens hoeft bevoegd te zijn om dat ook
rechtstreeks via IvM op te vragen. Toegang hoeft niet altijd direct volledig te zijn
maar kan bijvoorbeeld ook bestaan uit een melding hit/no hit. In andere gevallen
kun je denken aan toestemming per geval of kijken met vier ogen. Maatwerk
waardoor de proportionaliteit gehandhaafd blijf is altijd te realiseren.
14
Hoe zit het met de bevoegdheid van leidinggevenden van
toezichthouders of analisten en met stafmedewerkers, zoals juristen
in een bezwaar- of beroepsprocedure?
Leidinggevenden en andere medewerkers moeten inzicht hebben in gegevens
voor zover dat voortvloeit uit hun functie. Dat betekent dat je steeds moet kijken
naar de omstandigheden van het geval. Vaak zal voor hen toegang tot IvM niet
nodig zijn, maar volstaat kennisname van een uitdraai. Juristen kunnen
geautoriseerd worden voor uitsluitend het dossier, waarover ze een bezwaar
behandelen. Maar als een leidinggevende bijvoorbeeld onjuist gebruik van IvM
vermoedt is mogelijk ook een maatwerkafspraak met de betreffende
bronhouders denkbaar.
15
Waar mogen gegevens die via IvM verkregen worden voor worden
gebruikt?
Gegevens die door middel van Inspectieview Milieu zijn verkregen mogen
uitsluitend worden gebruikt ('verwerkt') voor processen van
vergunningverlening, het verwerken van meldingen en het houden van toezicht
op bedrijven en andere organisaties die activiteiten verrichten waarop de
milieuwetgeving van toepassing is. Ander gebruik zou betekenen dat het doel van
de verwerking binnen IvM wordt losgelaten. Dat mag in elk geval voor
persoonsgegevens niet en heel veel informatie bevat ook persoonsgegevens.
6
16
Mogen de gegevens die via IvM zijn verkregen ook gebruikt worden
voor handhavingsacties?
Ja en nee. Je mag ze daarvoor wel gebruiken, maar niet zonder meer. Handhaving
– of dat nou een waarschuwing, een boete of bijvoorbeeld bestuursdwang betreft
– moet altijd ook gebaseerd zijn op door de handhavende organisatie zelf verricht
onderzoek.
17
Worden de gegevens vertrouwelijk behandeld of zijn ze openbaar?
Dat hangt van de soort gegevens af. Sommige gegevens, zoals bepaalde
milieugegevens, zijn wettelijk altijd openbaar. Andere gegevens, zoals bepaalde
fabricageprocessen of omzetgegevens, kunnen vertrouwelijk zijn verstrekt. De
meeste informatie zal (zoals dat genoemd wordt) 'passief openbaar' zijn. Dat
betekent dat ze niet automatisch worden gepubliceerd (al kan dat soms wel, bv.
in nieuwsberichten) maar zijn op te vragen met een beroep op de Wob (Wet
openbaarheid van bestuur).
18
Kun je vertrouwelijk verstrekte bedrijfsinformatie wel of niet delen
met collegatoezichthouders?
Dat hangt er van af. In principe is vertrouwelijk natuurlijk vertrouwelijk. Maar
het kan noodzakelijk zijn om vertrouwelijke informatie te delen, bv. in
gezamenlijke acties of omdat er bij het niet delen van informatie een calamiteit
dreigt. In elk geval ligt het niet voor de hand om vertrouwelijke informatie min of
meer automatisch te delen. Het lijkt wijs daarover een eigen afweging te maken,
specifiek gericht op de omstandigheden van het geval.
19
Kun je vertrouwelijk verstrekte bedrijfsinformatie ook delen met
inzet van IvM?
Dat hangt af van de omstandigheden. In het geval dat een grote verzameling data
moet worden gedeeld kan IvM een nuttig hulpmiddel zijn: het biedt een snelle
koppeling waarop partijen zijn aangesloten waarbinnen specifiek geautoriseerde
personen gegevens kunnen verwerken. Maar het ligt niet voor de hand om
vertrouwelijk verstrekte gegevens op te nemen in een verstrekking in bulk.
Daar is immers die afweging over de specifieke omstandigheden niet voor te
maken.
20
Moet een aangesloten partij ook reageren op een Wob-verzoek als
dat betrekking heeft op informatie die van anderen is verkregen?
Ja. De Wet openbaarheid van bestuur verplicht bestuursorganen om een verzoek
te beoordelen tot openbaarmaking van alle onder hen berustende bestuurlijke
informatie. Informatie weigeren onder de mededeling dat een ander de
bronhouder is, is niet toegestaan. Wel kun je verwijzen naar de bronhouder met
de mededeling dat die over meer context of wellicht een actueler beeld beschikt.
7
Maar als de aanvrager aandringt, moet er een besluit over openbaarmaking
worden genomen. Daartoe lijkt de volgende procedure het meest aangewezen.
Het Wob-verzoek zal een of meerdere bedrijven betreffen. Die kunnen worden
aangemerkt als zgn. derden-belanghebbende. De Wob voorziet er in, dat het
bestuursorgaan het verzoek voorlegt aan zo'n derde-belanghebbende met de
vraag wat die er van vindt, of die wel of geen bezwaar heeft tegen
openbaarmaking. Zijn er geen bezwaren, dan is het probleem de wereld uit. Ziet
het bedrijf wel bezwaren, dan is het zaak om die goed gemotiveerd te krijgen. Het
bestuursorgaan moet immers zelfstandig een besluit nemen maar behoort dat zo
volledig en zorgvuldig als mogelijk is te doen. Reageert het bedrijf helemaal niet,
dan moet het bestuursorgaan ook zelf de afweging maken of openbaarheid – de
hoofdregel – moet worden toegestaan. Maar dan heeft een bedrijf achteraf
minder kans van slagen met een eventuele klacht: men heeft zijn kans immers
gehad.
21
Geldt de Wob ook voor diensten met alleen uitvoerende taken, zoals
sommige uitvoeringsdiensten, die dus geen bestuursorgaan zijn?
Ja, de Wob is daarin ruimhartiger dan elders in het bestuursrecht gebruikelijk is.
Bij de Wob is het ook mogelijk een verzoek in te dienen bij een bestuursorgaan of
een instelling (dat kan ook een bedrijf zijn) die (of: dat) onder
verantwoordelijkheid van een ander bestuursorgaan werkt.
22
Wat is binnen IvM het gehanteerde beveiligingsniveau?
Verwerking van gegevens door middel van IvM vindt plaats op het
beveiligingsniveau Departementaal Vertrouwelijk (DV). Dat is een binnen het Rijk
gangbare standaard. Binnen andere overheden als gemeenten, provincies en
waterschappen worden eigen standaarden gehanteerd. Die zijn ook toegestaan,
mits ze gelijkwaardig (of natuurlijk: hoger) zijn dan DV.
23
Hoe weet een bronpartij of een partij die gegevens vraagt is wie hij
zegt dat hij is?
Gegevens kunnen uitsluitend worden verwerkt door partijen die daartoe zijn
geautoriseerd terwijl elke ontvangende partij zich steeds moet hebben
geïdentificeerd met behulp van PKI-overheid.
24
Kan IvM de informatie die ze verwerkt ook verrijken of veranderen?
Nee. IvM levert de informatie ongewijzigd door. Verrijking kan vervolgens plaats
vinden binnen de ontvangende organisatie.
8
25
Mogen uitvoeringsdiensten alle via IvM verkregen gegevens delen
met hun opdrachtgevers?
Ja, toezichthouders kunnen gegevens doorleveren aan bevoegde gezagen. Verder
verstrekken van gegevens kan alleen voor zover dat nodig is voor de uitoefening
van de publieke taak van degene aan wie die verstrekking plaatsvindt.
26
Wie is er verantwoordelijk voor een correcte verwerking van
gegevens binnen de ontvangende partijen?
Elke ontvangende partij draagt er zorg voor dat gegevens uitsluitend op
rechtmatige wijze worden verwerkt. Daartoe hanteert ze bij voorkeur een
privacyreglement waarmee de gang van zaken genormeerd en toetsbaar wordt.
Daarin is in ieder geval geregeld welke functionaris over welke gegevens mag
beschikken.
27
Wie is er binnen de keten verantwoordelijk voor de verwerking van
de gegevens?
Bronpartijen, ontvangende partijen en de minister voor I&M zijn ieder voor hun
deel van de keten verantwoordelijk voor beveiliging van de gegevensverwerking.
De minister is met de bewerker van Inspectieview Milieu overeengekomen dat de
beveiliging zal worden ingericht op een niveau dat past bij Departementaal
Vertrouwelijk.
28
Hoe lang mag of moet ik gegevens over toezichtsobjecten bewaren?
In beginsel zo kort mogelijk. Dat geldt zowel persoonsgegevens als
bedrijfsgegevens. Daarentegen wordt de rapportage van een feitelijke
toezichtactie – ook als die tot een bevredigend of zelfs uitstekend oordeel over
het betreffende bedrijf heeft geleid – natuurlijk wel bewaard. Elke ontvangende
partij hanteert daarbij zijn eigen geldende voorschriften. Let er wel op dat die
voorschriften voor verschillende categorieën gegevens uiteen kunnen lopen.
29
Wat moet ik doen als ontvangen gegevens bij mij het vermoeden
wekken dat wel eens sprake zou kunnen zijn van strafbare feiten?
Die situatie is niet denkbeeldig, omdat via IvM gegevens kunnen worden
verkregen die uit verschillende bronnen afkomstig zijn. Een ontvangende partij
kan dus meer zien dan een enkele bronhouder. Toch is het zaak om niet direct de
betreffende bronhouders in te lichten. Dat kan immers een lopend justitieel
onderzoek doorkruisen. Anderzijds is een vermoeden van strafbaar handelen
door een toezichtobject ook nog geen zekerheid. In de meeste gevallen zal het
raadzaam zijn om eerst de politie te informeren. Geeft die groen licht, dan kan
met de bronhouders worden overlegd.
9
30
Wat moet ik doen als ik gegevens ontvang over een toezichtobject
waarvan ik vermoed dat die onjuist zijn?
Gegevens van collega-toezichthouders zijn geen gegevens zoals die vanuit
basisregistraties, waarvan het gebruik – behoudens enkele wettelijke
uitzonderingen – voor bestuursorganen is voorgeschreven. Sterker: een
handhavingactie mag nooit alleen zijn gebaseerd op elektronisch verkregen
informatie; er is – al dan niet met behulp van die informatie – altijd eigen
onderzoek nodig. Als uit dat eigen onderzoek blijkt dat de collegiaal aangeleverde
informatie niet correct zou zijn – en dat is dus alleen bij voorbereiding van
toezicht op een concreet benoemde onderneming – dan ligt het voor de hand de
collega-toezichthouder van het verschil tussen gegevens en feitelijke situatie in
kennis te stellen.
31.
Moet een partij die aansluit ook zijn interne regels weer helemaal
aanpassen?
De inzet van IvM binnen omgevingsdiensten leidt op zichzelf niet tot de noodzaak
om nieuwe regels te stellen op bv. de gebieden privacybescherming of
informatiebeveiliging. Alle omgeviongsdiensten kennen veiligheidsvoorschriften,
archiveringsregels en allerhande werkinstructies en protocollen. De komst van
een nieuwe gegevensstroom leidt doorgaans niet tot principiële wijzigingen in
dergelijke documenten. Wel moet worden beoordeeld of ze ook de nieuwe
situatie 'dekken', of ze nog volledig zijn. Dat kan echter alleen ter plaatse worden
beoordeeld; er zijn geen algemene uitspraken over te doen.
Mocht u na het lezen van deze informatie nog vragen hebben, dan kunt u contact opnemen
met het programmabureau PIM, [email protected]. Uw vragen kunnen
worden gebruikt voor de verdere ontwikkeling van dit document.
10