De rechtbank Noord-Nederland heeft op 1 maart geoordeeld dat een inzageverzoek niet aan een RIEC kan worden gericht, nu een RIEC geen rechtspersoonlijkheid heeft. De convenantspartners die deelnemen aan het RIEC zijn daarentegen gezamenlijk verwerkingsverantwoordelijke. De betrokkene moet dus zijn verzoek aan al die partijen tezamen richten. Dit oordeel roept diverse vragen op.
RIEC's en LIEC's
In Nederland wordt door verschillende onderdelen van de overheid samengewerkt in Regionaal Informatie- en Expertise Centra (RIEC's) voor de bestrijding van de georganiseerde criminaliteit. Op landelijk niveau is er een overkoepelend Landelijk Expertisecentrum (LIEC). Meer informatie daarover is te vinden op https://www.riec.nl/.
Inzageverzoek aan RIEC
Een betrokkene doet een inzageverzoek aan het RIEC Noord Nederland. De man krijgt te horen dat de Nationale Politie zijn verzoek zal afhandelen. Na enkele verlengingen op de beslistermijn hoort de man niets meer, waarop hij een procedure start. Vervolgens wordt zijn verzoek toch nog gedeeltelijk toegewezen. De man zet de procedure echter voort.
Gemeente wijst op gezamenlijke verantwoordelijkheid
Bij de procedure voor de rechtbank verschijnt de Gemeente Leeuwarden, als een van de convenantspartners in het RIEC. De gemeente stelt dat het RIEC geen rechtspersoon is en dat in plaats daarvan de convenantspartners als gezamenlijk verwerkingsverantwoordelijken moeten worden gezien.
Gemeente belanghebbende?
De man vindt dat de gemeente geen belang heeft zich te mengen in de procedure. De rechtbank is het daar niet mee eens en wijst er op dat juist een convenantspartner nu bij uitstek belanghebbende is.
Verwerkingsverantwoordelijke en procespartij?
De man stelt verder dat het begrip verwerkingsverantwoordelijke ruim moet worden uitgelegd. Volgens de man is niet doorslaggevend dat het RIEC geen rechtspersoonlijkheid heeft, maar moet naar de feitelijke situatie worden gekeken. Dat is overigens op zich in lijn met wat ook de EDPB benadrukt in de opinie over de rollen in het privacyrecht.
De rechtbank kiest echter een wat meer formalistische/procesrechtelijke benadering, door allereerst te benadrukken dat het "niet mogelijk is om tegen een partij te procederen die geen natuurlijke- of rechtspersoon is". Zelfs al zou de man dus privacyrechtelijk gelijk hebben, dit brengt hem nog nergens.
Gezamenlijk verwerkingsverantwoordelijke
De rechtbank gaat echter - volledig te overvloede, maar nog best uitgebreid door - door te overwegen dat alles overziend "de enige mogelijke kwalificatie [is] dat de convenantpartners gezamenlijke verwerkingsverantwoordelijken zijn in de zin van artikel 26 AVG".
De rechtbank stelt dan ook vast dat het verzoek "tegen alle betrokkenen gericht [had] moeten zijn". Nu dit niet gebeurd is, is de man volgens de rechtbank niet-ontvankelijk.
Slotopmerking
Er zijn nog niet zo veel kwesties over gezamenlijke verwerkingsverantwoordelijken. In die zin is de kwestie interessant. Daarom daarover kort een paaropmerkingen.
Het oordeel van de rechtbank dat de betrokkene alle convenantspartners had moeten aanspreken, lijkt me lastig te rijmen met artikel 26 lid 3 AVG. Daarin staat immers letterlijk dat "de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke [kan] uitoefenen". De gedachte van de wetgever lijkt dus te zijn: eenvoud voor de burger staat voorop.
En als dit oordeel al te verenigen zou zijn met artikel 26 lid 3 AVG, zou dit potentieel een heel complexe situatie kunnen opleveren. De betrokkene moet dan aldus alle convenantspartners van een RIEC oproepen. Dat veronderstelt vervolgens dat evenzoveel partijen verschijnen. De vraag is of die partijen dan ook bij één advocaat verschijnen (en gezamenlijk verweer voeren), of juist ieder voor zich met een eigen advocaat verschijnen (en een eigen verweer voeren). Dat enkele gegeven - of en zo ja hoe verschijnen partijen - zal op zich al weer mede "inkleuren" in hoeverre partijen daadwerkelijk zijn te bezien als gezamenlijk verwerkingsverantwoordelijke. Wellicht dat partijen in zo'n geval juist strategisch verstek laten gaan, hetgeen vervolgens weer mogelijke executiegeschillen gaat oproepen.
Vervolgens wordt de vraag hoe om te gaan met verzoeken waar een deel van de convenantspartners niet aan kan voldoen. Inzage geven in stukken die je niet hebt zal immers niet gaan. En zodra dat verweer wordt gevoerd, is de vraag ook weer of partijen daadwerkelijk gezamenlijk verwerkingsverantwoordelijke zijn (en of je hierbij onderscheid moet maken tussen formeel en materieel verwerkingsverantwoordelijken, zie ook hierna).
Gezamenlijk verwerkingsverantwoordelijken zijn in beginsel hoofdelijk aansprakelijk (artikel 82 lid 4 AVG), met dien verstande dat ze intern regres op de andere mede-gezamenlijk verwerkingsverantwoordelijken hebben (artikel 82 lid 5 AVG). Dit zal in de praktijk genuanceerde kwesties opleveren, al was het maar omdat in veel situaties ondanks gezamenlijke verantwoordelijkheid de verschillende partijen hun eigen rol hebben. Dat zie je in deze procedure over RIECs ook goed, nu het verzoek in eerste instantie door een paar convenantspartners is afgehandeld. Het voelt bij eerste indruk toch wat gek om iedere convenantpartner aansprakelijk te houden voor het geheel. Dat is ook vermoedelijk niet hoe het intern regres zich zal oplossen.
Vermoedelijk zal hiervoor - indachtig het FashionID-arrest - de gehele verwerkingsketen in beeld gebracht worden, om vervolgens te bezien welke partij voor welke fase als (al dan niet gezamenlijk) verwerkingsverantwoordelijke heeft te gelden. In formele zin zijn dan wellicht alle partijen als (gezamenlijk) verwerkingsverantwoordelijke aan te merken, in meer materiele (aansprakelijkheidsrechtelijke) zin ligt dit dan genuanceerder.
Die uitkomst is dus waarschijnlijk genuanceerd. Dat laat onverlet dat de betrokkene wel ieder der partijen kan aanspreken voor het geheel. Dit laat wel zien dat partijen in hun regeling ex. artikel 26 AVG hierover goede afspraken zouden moeten maken. Beperkingen van aansprakelijkheid kunnen daarbij soms raar uitpakken (bijv. tot effect hebben dat de partij die als eerst wordt aangesproken 100% betaalt, maar slechts een deel daarvan intern kan verhalen). Let daar dus goed op, mocht u een dergelijke regeling opstellen.
Kortom, de uitkomst roept meer vragen op dan deze beantwoordt. Dit gaat dus ongetwijfeld in eventuele vervolgprocedures nog wel een staartje krijgen.
