Programma Informatie-uitwisseling Milieuhandhaving
Homepage > Programma > FAQ

FAQ Juridisch

 

Is er een wettelijke basis op basis waarvan de informatie-uitwisseling milieuhandhaving is toegestaan?
Ja, bestuursorganen mogen onderling gegevens uitwisselen. Dat vergt geen expliciete wettelijke basis, mits men zich aan bestaande grenzen houdt zoals opgenomen in de Wet bescherming persoonsgegevens: doelbinding, proportionaliteit en subsidiariteit. Ook vertrouwelijk verstrekte bedrijfsgegevens mogen niet zonder meer uitgewisseld. Grootschalig bestanden elektronisch delen mag echter (nog) niet, dat vergt wel een expliciete wettelijke regeling.

Wordt de wettelijke grondslag nog uitgebreid of verbeterd?
Ja, met de wet Vergunningverlening, Toezicht en Handhaving. Dit betreft een nieuwe paragraaf in de Wabo. De informatie-uitwisseling tussen bestuursrechtelijk en strafrechtelijk handhavende partijen
staat er expliciet in genoemd. Bij het schrijven van dit antwoord (augustus 2013) is de wet nog niet in werking. Naar verwachting wordt het voorstel najaar 2013 bij de Tweede Kamer ingediend en treedt de wet VTH begin 2015 in werking.

Moet er verder nog iets gewijzigd worden aan of aangevuld worden op de wettelijke kaders?
Ja, dat is het geval. In een algemene maatregel van bestuur en een ministeriële regeling zal meer in detail uitgewerkt worden welke informatie uitgewisseld mag gaan worden en hoe dat gaat gebeuren. Daarbij worden de reeds gemaakte afspraken voor het informatiemodel en Inspectieview Milieu meegenomen. Het opstellen van de amvb en de mr gebeurt gelijktijdig met de behandeling van de wet VTH in de Eerste Kamer; ze zullen tegelijk met de wet VTH inwerking treden.

Moeten er met de ingebruikname van Inspectieview Milieu (IvM) voor de informatie-uitwisseling gewacht worden totdat alle wet- en regelgeving is ingevuld en aangenomen?
Nee, dat is niet het geval. Er wordt bij het College bescherming persoonsgegevens (Cbp) ontheffing gevraagd om met de uitwisseling te starten nog voor de nieuwe wetgeving van kracht is.

Zijn er andere instanties waaraan toestemming moet worden gevraagd?
Nee, dat is niet het geval.

Wat zijn de consequenties als er geen ontheffing door het Cbp wordt gegeven?
In dat geval zal er met de structurele geautomatiseerde uitwisseling van informatie met IvM gewacht moeten worden totdat de nieuwe wet VTH in werking treedt. De Wabo voorziet nu niet in gestructureerde uitwisseling van informatie tussen handhavende instanties.

Welke eisen stelt de wet / stellen de wettelijke kaders aan de procesinrichting van de bronnen en de gebruikers van IvM?
Er is een aantal zaken waarmee rekening moet worden gehouden.

  1. De afnemende organisatie moet er voor zorg dragen dat er alleen toegang wordt verkregen tot IvM enkelvoudig / bulkbevraging door medewerkers die de informatie nodig hebben voor hun werk. Dit volgt uit de eis van doelbinding. Daarbij is het ook van belang om een onderscheid te maken tussen enkelvoudige bevraging en bulkbevraging omdat verschillende medewerkers van deze twee typen informatie gebruik gaan maken. Bijvoorbeeld inspecteurs van enkelvoudig, analisten/planners van bulkbevraging.
  2. De afnemende organisatie moet het gebruikersbeheer goed inrichten. Dat wil zeggen dat als een medewerker ander werk gaat doen of vertrekt zijn toestemmingen voor IvM moeten worden ingetrokken of aangepast.
  3. De afnemende organisatie moet inhoudelijk vastleggen welke prioriteiten in een jaar worden opgepakt om willekeurig grasduinen in informatie te voorkomen. Daarnaast zal de afnemende organisatie in het jaarplan ook moeten aangeven dat het reageert op signalen uit de omgeving. Niet alles hoeft dus van te voren in plannen worden vastgelegd.
De bronhoudende organisatie moet vaststellen welke informatie zij beschikbaar wil stellen aan welke afnemende organisaties en aan functionarissen met welke rollen. Het bijhouden (beheer) van deze autorisatieregels zal goed geborgd moeten worden.

Is er een verschil in wettelijke eisen tussen enkelvoudige bevraging en bulk?
Nee, dat is niet het geval. Beide voorzieningen moeten aan eisen van doelbinding, proportionaliteit en subsidiariteit voldoen.
Bij enkelvoudige bevraging is er systeemtechnisch voor gekozen om de uitvraag bij de uiteindelijke bron te doen op basis van de specifieke zoekvraag die de gebruiker stelt. De zoekvraag is relevant voor de gebruiker (doelbinding), er wordt niet meer geleverd dan gevraagd (proportionaliteit).
Bij bulk is de vraag algemener omdat de gebruiker nog op zoek is naar relevante ‘hits'. In feite maakt de gebruiker een eerste selectie om daarna verder in de informatie te zoeken. Door te werken met selectiecriteria als SBI code en postcodegebied wordt de zoekvraag specifiek genoeg (doelbinding). Daartoe wordt onder verantwoordelijkheid van de bronhouder een tussenbestand opgebouwd, waarna de elektronische intelligentie binnen de aansluitvoorziening de gevraagde selectie maakt. Het opbouwen van een tussenbestand heeft technisch gezien de voorkeur en wordt voor niets anders gebruikt dan de levering op basis van de specifieke zoekvraag. Daarmee is het proportioneel.

Welke eisen stelt de wet / stellen de wettelijke kaders aan de onderlinge afspraken tussen de bronnen en de gebruikers van IvM?

Er is een aantal zaken waarmee rekening moet worden gehouden:
  1. Het is belangrijk dat er omwille van complexiteitsreductie maar enkele te onderscheiden rollen zijn. Zoals inspecteur, analist, bijzondere opsporingsambtenaar (BOA), maar ook aan de verschillende functionarissen in dienst van het bevoegd gezag. Door uit te gaan van een beperkt aantal rollen zijn er ook een beperkt aantal autorisatieregels te handhaven bij het gebruikersbeheer en bij de bronpartijen. Deze beperking van complexiteit volgt niet zozeer uit de wet maar maakt het wel eenvoudiger om de wettelijke eis van doelbinding via gebruikers, rollen en organisaties in te vullen.
  2. Het is verplicht om de onderlinge informatie-uitwisseling vast te leggen in een informatieprotocol. In dat protocol wordt er bilateraal vastgelegd welke informatie er tussen welke organisaties wordt gedeeld, volgens welke standaarden en binnen welke veiligheidsmarges. Het informatieprotocol zal moeten worden ondertekend door of namens de verantwoordelijken voor de organisaties die van IvM gebruik maken.

Bestaat er hiërarchie tussen de verschillende juridische documenten?
Voor zover het betreft de meer algemene documenten is het antwoord 'ja'. Met het Juridisch Kader ijn de wettelijke (en door de jurisprudentie gepreciseerde) grenzen beschreven binnen welke IvM kan en mag worden gebruikt. In het Informatieprotocol is vervolgens in algemene termen beschreven hoe we de ruimte binnen die grenzen willen gaan benutten. In de Aansluitovereenkomsten worden de afspraken tussen partijen meer precies vastgelegd. Autorisatiebesluiten regelen tenslotte, tot op het niveau van type functionaris ('rol'), wie over welke gegevens mag beschikken.

Worden voor iedere aansluitende partij dezelfde documenten gehanteerd of zijn er verschillen denkbaar?
Er zijn zeker verschillen denkbaar. Partijen hebben aangegeven zelf te willen blijven bepalen welke gegevens (of informatie) aan welke andere partij en, daarbinnen, aan welk type functionaris (welke 'rol') beschikbaar kan worden gesteld. Dat leidt dus altijd tot maatwerk. Wel streeft PIM naar het beschikbaar maken van modeldocumenten.

Welke rollen moet een organisatie onderscheiden?
Elke ontvangende partij onderscheidt binnen haar medewerkers ten minste de rollen van toezichthouder en analist. Tot toezichthouders kunnen ook diegenen worden gerekend die besluiten op vergunningaanvragen e.d. moeten beoordelen. Die toetsing kun je immers zien als 'toezicht vooraf'. Verder hangt het natuurlijk ook af van hoe de ontvangende partij is ingericht. Er zullen altijd leidinggevenden zijn, die op zijn minst enige bevoegdheden zullen moeten hebben. Dat zelfde geldt ook juristen en wellicht andere staffunctionarissen.

Is het met al die verschillende rollen nog zinvol om functionarissen te autoriseren?
Ja. Niet iedereen die toegang krijgt tot gegevens hoeft bevoegd te zijn om dat ook rechtstreeks via IvM op te vragen. Toegang hoeft niet altijd direct volledig te zijn maar kan bijvoorbeeld ook bestaan uit een melding hit/no hit. In andere gevallen kun je denken aan toestemming per geval of kijken met vier ogen. Maatwerk waardoor de proportionaliteit gehandhaafd blijf is altijd te realiseren.

Hoe zit het met de bevoegdheid van leidinggevenden van toezichthouders of analisten en met stafmedewerkers, zoals juristen in een bezwaar- of beroepsprocedure?
Leidinggevenden en andere medewerkers moeten inzicht hebben in gegevens voor zover dat voortvloeit uit hun functie. Dat betekent dat je steeds moet kijken naar de omstandigheden van het geval. Vaak zal voor hen toegang tot IvM niet nodig zijn, maar volstaat kennisname van een uitdraai. Juristen kunnen geautoriseerd worden voor uitsluitend het dossier, waarover ze een bezwaar behandelen. Maar als een leidinggevende bijvoorbeeld onjuist gebruik van IvM vermoedt is mogelijk ook een maatwerkafspraak met de betreffende bronhouders denkbaar.

Waar mogen gegevens die via IvM verkregen worden voor worden gebruikt?
Gegevens die door middel van Inspectieview Milieu zijn verkregen mogen uitsluitend worden gebruikt ('verwerkt') voor processen van vergunningverlening, het verwerken van meldingen en het houden van toezicht op bedrijven en andere organisaties die activiteiten verrichten waarop de milieuwetgeving van toepassing is. Ander gebruik zou betekenen dat het doel van de verwerking binnen IvM wordt losgelaten. Dat mag in elk geval voor persoonsgegevens niet en heel veel informatie bevat ook persoonsgegevens.

Mogen de gegevens die via IvM zijn verkregen ook gebruikt worden voor handhavingsacties?
Ja en nee. Je mag ze daarvoor wel gebruiken, maar niet zonder meer. Handhaving – of dat nou een waarschuwing, een boete of bijvoorbeeld bestuursdwang betreft – moet altijd ook gebaseerd zijn op door de handhavende organisatie zelf verricht onderzoek.

Worden de gegevens vertrouwelijk behandeld of zijn ze openbaar?
Dat hangt van de soort gegevens af. Sommige gegevens, zoals bepaalde milieugegevens, zijn wettelijk altijd openbaar. Andere gegevens, zoals bepaalde fabricageprocessen of omzetgegevens, kunnen vertrouwelijk zijn verstrekt. De meeste informatie zal (zoals dat genoemd wordt) 'passief openbaar' zijn. Dat betekent dat ze niet automatisch worden gepubliceerd (al kan dat soms wel, bv. in nieuwsberichten) maar zijn op te vragen met een beroep op de Wob (Wet openbaarheid van bestuur).

Kun je vertrouwelijk verstrekte bedrijfsinformatie wel of niet delen met collega-toezichthouders?
Dat hangt er van af. In principe is vertrouwelijk natuurlijk vertrouwelijk. Maar het kan noodzakelijk zijn om vertrouwelijke informatie te delen, bv. in gezamenlijke acties of omdat er bij het niet delen van informatie een calamiteit dreigt. In elk geval ligt het niet voor de hand om vertrouwelijke informatie min of meer automatisch te delen. Het lijkt wijs daarover een eigen afweging te maken, specifiek gericht op de omstandigheden van het geval.

Kun je vertrouwelijk verstrekte bedrijfsinformatie ook delen met inzet van IvM?
Dat hangt af van de omstandigheden. In het geval dat een grote verzameling data moet worden gedeeld kan IvM een nuttig hulpmiddel zijn: het biedt een snelle koppeling waarop partijen zijn aangesloten waarbinnen specifiek geautoriseerde personen gegevens kunnen verwerken. Maar het ligt niet voor de hand om vertrouwelijk verstrekte gegevens op te nemen in een verstrekking in bulk. Daar is immers die afweging over de specifieke omstandigheden niet voor te maken.

Moet een aangesloten partij ook reageren op een Wob-verzoek als dat betrekking heeft op informatie die van anderen is verkregen?
Ja. De Wet openbaarheid van bestuur verplicht bestuursorganen om een verzoek te beoordelen tot openbaarmaking van alle onder hen berustende bestuurlijke informatie. Informatie weigeren onder de mededeling dat een ander de bronhouder is, is niet toegestaan. Wel kun je verwijzen naar de bronhouder met de mededeling dat die over meer context of wellicht een actueler beeld beschikt. Maar als de aanvrager aandringt, moet er een besluit over openbaarmaking worden genomen.

Geldt de Wob ook voor diensten met alleen uitvoerende taken, zoals sommige uitvoeringsdiensten, die dus geen bestuursorgaan zijn?
Ja, de Wob is daarin ruimhartiger dan elders in het bestuursrecht gebruikelijk is. Bij de Wob is het ook mogelijk een verzoek in te dienen bij een bestuursorgaan of een instelling (dat kan ook een bedrijf zijn) die (of: dat) onder verantwoordelijkheid van een ander bestuursorgaan werkt.

Wat is binnen IvM het gehanteerde beveiligingsniveau?
Verwerking van gegevens door middel van IvM vindt plaats op het beveiligingsniveau Departementaal Vertrouwelijk (DV). Dat is een binnen het Rijk gangbare standaard. Binnen andere overheden als gemeenten, provincies en waterschappen worden eigen standaarden gehanteerd. Die zijn ook toegestaan, mits ze gelijkwaardig (of natuurlijk: hoger) zijn dan DV.

Hoe weet een bronpartij of een partij die gegevens vraagt is wie hij zegt dat hij is?
Gegevens kunnen uitsluitend worden verwerkt door partijen die daartoe zijn geautoriseerd terwijl elke ontvangende partij zich steeds moet hebben geďdentificeerd met behulp van PKI-overheid.

Kan IvM de informatie die ze verwerkt ook verrijken of veranderen?
Nee. IvM levert de informatie ongewijzigd door. Verrijking kan vervolgens plaats vinden binnen de ontvangende organisatie.

Mogen uitvoeringsdiensten alle via IvM verkregen gegevens delen met hun opdrachtgevers?
Ja, toezichthouders kunnen gegevens doorleveren aan bevoegde gezagen. Verder verstrekken van gegevens kan alleen voor zover dat nodig is voor de uitoefening van de publieke taak van degene aan wie die verstrekking plaatsvindt.

Wie is er verantwoordelijk voor een correcte verwerking van gegevens binnen de ontvangende partijen?
Elke ontvangende partij draagt er zorg voor dat gegevens uitsluitend op rechtmatige wijze worden verwerkt. Daartoe hanteert ze bij voorkeur een privacyreglement waarmee de gang van zaken genormeerd en toetsbaar wordt. Daarin is in ieder geval geregeld welke functionaris over welke gegevens mag beschikken.

Wie is er binnen de keten verantwoordelijk voor de verwerking van de gegevens?
Bronpartijen, ontvangende partijen en de minister voor I&M zijn ieder voor hun deel van de keten verantwoordelijk voor beveiliging van de gegevensverwerking. De minister is met de bewerker van Inspectieview Milieu overeengekomen dat de beveiliging zal worden ingericht op een niveau dat past bij Departementaal Vertrouwelijk.

Hoe lang mag of moet ik gegevens over toezichtsobjecten bewaren?
In beginsel zo kort mogelijk. Dat geldt zowel persoonsgegevens als bedrijfsgegevens. Daarentegen wordt de rapportage van een feitelijke toezichtactie – ook als die tot een bevredigend of zelfs uitstekend oordeel over het betreffende bedrijf heeft geleid – natuurlijk wel bewaard. Elke ontvangende partij hanteert daarbij zijn eigen geldende voorschriften. Let er wel op dat die voorschriften voor verschillende categorieën gegevens uiteen kunnen lopen.

Wat moet ik doen als ontvangen gegevens bij mij het vermoeden wekken dat wel eens sprake zou kunnen zijn van strafbare feiten?
Die situatie is niet denkbeeldig, omdat via IvM gegevens kunnen worden verkregen die uit verschillende bronnen afkomstig zijn. Een ontvangende partij kan dus meer zien dan een enkele bronhouder. Toch is het zaak om niet direct de betreffende bronhouders in te lichten. Dat kan immers een lopend justitieel onderzoek doorkruisen. Anderzijds is een vermoeden van strafbaar handelen door een toezichtobject ook nog geen zekerheid. In de meeste gevallen zal het raadzaam zijn om eerst de politie te informeren. Geeft die groen licht, dan kan met de bronhouders worden overlegd.

Wat moet ik doen als ik gegevens ontvang over een toezichtobject waarvan ik vermoed dat die onjuist zijn?
Gegevens van collega-toezichthouders zijn geen gegevens zoals die vanuit basisregistraties, waarvan het gebruik – behoudens enkele wettelijke uitzonderingen – voor bestuursorganen is voorgeschreven. Sterker: een handhavingactie mag nooit alleen zijn gebaseerd op elektronisch verkregen informatie; er is – al dan niet met behulp van die informatie – altijd eigen onderzoek nodig. Als uit dat eigen onderzoek blijkt dat de collegiaal aangeleverde informatie niet correct zou zijn – en dat is dus alleen bij voorbereiding van toezicht op een concreet benoemde onderneming – dan ligt het voor de hand de collega-toezichthouder van het verschil tussen gegevens en feitelijke situatie in kennis te stellen.

PIM is een samenwerking
tussen Rijk, IPO en VNG
RSS