Collaborative organizations that structurally share personal data, such as Care and Security Centers and Regional Information and Expertise Centers (RIECs), have to deal with the Data Processing by Collaborative Organizations Act (WGS). Among other things, the law requires the appointment of a "coordinating Data Protection Officer." What exactly does this position entail, and what are the concerns and benefits for collaborating parties? Whitney Naomi van den Brand of L2P explains.
De Wet gegevensverwerking door samenwerkingsverbanden (WGS), die op 1 maart 2025 in werking is getreden, geeft een kader voor de verwerking en uitwisseling van persoonsgegevens binnen samenwerkingsverbanden. De wet stelt regels aan de taak, inrichting en werkwijze van samenwerkingen zoals Zorg- en Veiligheidshuizen en Regionale Informatie- en Expertise Centra (RIEC’s). De WGS verplicht de samenwerkende partijen - zoals gemeenten, politie en openbaar ministerie - onder andere om een coördinerend Functionaris Gegevensbescherming (FG) aan te stellen.
The coordinating FG is a new position aimed at streamlining personal data protection and ensuring the lawfulness of data processing within collaborations. The appointment of a central FG prevents ambiguities about who is responsible for internal privacy oversight in a collaboration, and ensures a unified approach to data protection.
The coordinating FG is responsible for coordination between the FGs of the collaboration participants. In addition, the coordinating FG oversees the partnership's compliance with privacy rules. What does this mean in daily practice?
Article 1.4(2) of the WGS stipulates that one of the FGs of the participating government agencies in a cooperative arrangement appoints a coordinating FG. In many cases, the FG of a (large) municipality will assume this function, in addition to the position as FG of its own organization.
According to the Explanatory Memorandum, the coordinating FG has the same duties as the FG under Article 39 of the General Data Protection Regulation (GDPR). Like the participants' FGs, the coordinating FG is also independent. Moreover, the coordinating FG does not possess any hierarchical authority over the FGs of the participating parties.
Key duties of the coordinating FG are:
Naast de coördinerend FG introduceert de WGS ook twee andere organen: de rechtmatigheidsadviescommissie en het contactpunt.
Rechtmatigheidsadviescommissie
De rechtmatigheidsadviescommissie is (op grond van artikel 1.13 van de WGS) een onafhankelijk adviesorgaan dat binnen een samenwerkingsverband toezicht houdt op de bescherming van persoonsgegevens. De leden zijn afkomstig uit de deelnemende organisaties en/of externe experts. De commissie adviseert het samenwerkingsverband over de rechtmatigheid van gegevensverwerkingen en over privacyrisico’s. De commissie let bijvoorbeeld op nieuwe initiatieven van het samenwerkingsverband om persoonsgegevens te verwerken.
Contactpunt
Een samenwerkingsverband is verplicht om een contactpunt aan te wijzen (zoals is beschreven in artikel 26, lid 1 van de AVG). Het contactpunt stelt betrokkenen in staat om AVG-rechten uit te oefenen, en regelt de informatieplicht van de AVG.
Het contactpunt publiceert bijvoorbeeld de privacyverklaring op de website van het samenwerkingsverband. Daarnaast coördineert het contactpunt de meldingen van datalekken. Het contactpunt is vooral belangrijk omdat in een samenwerkingsverband sprake is van een gezamenlijke verwerkingsverantwoordelijkheid. Door onderling afspraken te maken over de afhandeling van verzoeken en klachten van betrokkenen, voorkomt het samenwerkingsverband dat burgers verschillende deelnemende instanties moeten aanschrijven om AVG-rechten uit te oefenen. Daarnaast vermindert een centraal loket voor datalekken het risico dat een melding aan betrokkenen en de AP te laat gebeurt (dat wil zeggen na 72 uur na het incident).
The coordinating FG fulfills a crucial role in the collaborations covered by the WGS. The coordinating FG acts as an intermediary between the FGs of the participating parties, and ensures unambiguous handling of personal data.
The concrete benefits of the coordinating FG to the partnership include:
The WGS currently applies to Care and Security Centers, RIECs, the Financial Expertise Center (FEC) and the Infobox Criminal and Unexplained Assets (iCOV). It is possible that a General Administrative Order may also designate other structural collaborations as a collaborative in the sense of the WGS. For example, collaborations engaged in preventing and combating serious forms of crime.
Daarnaast is de verplichte aanstelling van een coördinerend FG opgenomen in het wetsvoorstel voor de Wet gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten (Wet PARTA).
Het is dus goed mogelijk dat steeds meer overheidsorganisaties in Nederland straks te maken hebben met een coördinerend FG.
Wat zijn de uitdagingen om dan rekening mee te houden?
If the position is filled well, the coordinating FG contributes to efficient, transparent and lawful processing of personal data within a collaborative. The combination of the appointment of a coordinating FG with the conduct of independent privacy audits and oversight by the lawfulness advisory committee is the success factor here. Indeed, the three forms of oversight provide a robust basis for data processing that does justice to the various aspects of a collaborative venture - from the societal interest to the right to privacy of data subjects.
