Privacy Alerts #21: Bijhouden fraudelijst meerdere keren door de AP afgewezen

Share

MKB-Nederland en de vereniging Veilig Ondernemen Door Informatie Op Maat (VODIOM) willen cross-sectoraal informatie over potentiële fraudeurs uitwisselen en zijn dan ook teleurgesteld dat de Autoriteit Persoonsgegevens (AP) hun vergunningsaanvraag hiervoor heeft afgewezen. Verder in Privacy Alerts #21: uit onderzoek van de AP blijkt dat de zwarte lijst van de Belastingdienst (FSV) in strijd is met Europese privacywetgeving (AVG) en de EDPB publiceert richtlijnen over het beperken van de rechten van betrokkenen in het licht van artikel 23 AVG.

Bijhouden fraudelijst meerdere keren door de AP afgewezen

MKB-ondernemers mogen onderling geen data uitwisselen over fraudeurs. Dat heeft de Autoriteit Persoonsgegevens (AP) bepaald. Vorige week heeft de privacytoezichthouder de vergunningsaanvraag van de vereniging VODIOM voor het bijhouden van een zwarte lijst afgewezen. VODIOM is een initiatief van onder meer belangenorganisatie MKB Nederland. De vereniging wilde een zwarte lijst van mogelijke fraudeurs bijhouden en delen met bedrijven uit meerdere sectoren. Sinds de inwerkingtreding van de AVG in mei 2018 is daarvoor een vergunning nodig van de privacytoezichthouder. De AP kan zo’n vergunning verlenen wanneer het ‘noodzakelijk’ is dat de gegevens worden gedeeld. De AP heeft in dit geval bepaald dat VODIOM geen ‘fraudeursdatabase’ mag bijhouden.

Deze zomer oordeelde de AP ten aanzien van de Fraudehelpdesk dat ook zij geen gegevens over potentiële fraudeurs mag verzamelen en bewaren. De vergunningsaanvraag van de Fraudehelpdesk werd afgewezen.

Hoewel Katja Mur, bestuurslid van de Autoriteit Persoonsgegevens, erkent dat ‘fraude in Nederland een groot probleem is’, wordt geoordeeld dat het verzamelen van namen, telefoonnummers en e-mailadressen van vermoedelijke daders in principe is voorbehouden aan de overheid, oftewel aan politie en justitie. Bij het bijhouden van een zwarte lijst van vermoedelijke fraudeurs gaat het om strafrechtelijke gegevens die worden verzameld. Deze gegevens – ook wel bijzondere persoonsgegevens – zijn door de wetgever extra beschermd. Volgens de privacywaakhond is fraudebestrijding in Nederland mede in het licht daarvan ‘primair een taak van de overheid’. Hoewel bepaalde organisaties een uitzondering kunnen krijgen om een zwarte lijst aan te kunnen leggen van bijvoorbeeld horecabezoekers of wanbetalers in de detailhandel, is het de verantwoordelijkheid van de overheid om in de strijd tegen (georganiseerde) criminaliteit gegevensuitwisseling tussen sectoren mogelijk te maken.

Het registreren van persoonsgegevens van (vermoedelijke) fraudeurs behoort uitdrukkelijk niet tot de taken van de Fraudehelpdesk. De Fraudehelpdesk is immers geen opsporingsinstantie. Bij politie en justitie zijn er allerlei beveiligingsmaatregelen getroffen om te voorkomen dat onbevoegden bij de (gevoelige) gegevens kunnen. De Fraudehelpdesk zou daarentegen te weinig waarborgen kennen om bescherming tegen misbruik van persoonsgegevens te garanderen. De risico’s zijn dan ook te groot als het de Fraudehelpdesk zou worden toegestaan om een ‘politiedatabase’ te beheren, met daarin allerlei gegevens van mensen die ‘mogelijk’ misdaden hebben gepleegd, maar waarbij dat niet (concreet) bewezen is.

Het is niet de eerste keer dat de Autoriteit Persoonsgegevens een vergunningsaanvraag van de Fraudehelpdesk afwijst. In 2019 wees de toezichthouder ook al een aanvraag van de Fraudehelpdesk af. De organisatie moest toen zijn database van o.a. malafide webshops en frauduleuze telefoonnummers verwijderen.

Zwarte lijst van de Belastingdienst (FSV) in strijd met de wet

Uit onderzoek dat de Autoriteit Persoonsgegevens (AP) vorige week presenteerde, blijkt dat de Belastingdienst een zwarte lijst met potentiële fraudeurs – ook wel bekend als de Fraude Signalering Voorziening (FSV) – bijhield. De Belastingdienst kon de FSV bijvoorbeeld raadplegen bij het beoordelen van belastingaangiftes, bij aanvragen voor toeslagen en bij het invorderen van schulden. De lijst bestond uit gegevens over meer dan een kwart miljoen (ca. 270.000) mensen, waaronder minderjarigen.

De Belastingdienst had nooit persoonsgegevens mogen verwerken op de manier waarop dit jarenlang gebeurde. Bij de verwerking werden een aantal belangrijke kernbeginselen van de AVG op ernstige wijze geschonden door de Belastingdienst. De belangrijkste overtreding is dat er geen wettelijke basis (grondslag) bestond voor het bijhouden van de zwarte lijst. Elke gegevensverwerking moet rechtmatig zijn. Dit betekent dat er een wettelijke (verwerkings)grondslag moet zijn voor de verwerking (artikel 6 AVG). Zonder geldige grondslag is het verwerken van persoonsgegevens verboden en mag een organisatie geen persoonsgegevens verwerken. Dit betekent concreet dat de Belastingdienst geen gegevens had mogen registreren in de FSV.

Daarnaast was het doel van de FSV vooraf niet voldoende specifiek omschreven. Dit terwijl één van de kernbeginselen van de AVG juist inhoudt dat gegevens worden verwerkt voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel, ook wel bekend als doelbinding of doelspecificatie. Verder waren de gegevens in bepaalde gevallen onjuist of niet actueel en ook werden de gegevens vaak te lang bewaard.

Behalve dat belangrijke kernbeginselen niet in acht zijn genomen, is ook niet duidelijk welke factoren ervoor hebben gezorgd dat mensen (onterecht) op de zwarte lijst terecht konden komen. Burgers kwamen terecht in het registratiesysteem op basis van wat bij de Belastingdienst ‘vermoedens’ of ‘signalen’ van fraude genoemd werden. Mensen op deze zwarte lijst hoorden daar niets over en konden zich ook niet verweren, maar werden wel bestempeld als ‘potentiële fraudeur’ met alle gevolgen van dien. De zwarte lijst vormde ook de basis voor risicoselectie, stigmatisering en (etnische) profilering van groepen burgers. Deze burgers werden onterecht onderworpen aan extra controle en toezicht door de Belastingdienst. De Belastingdienst heeft zich daarmee schuldig gemaakt aan ernstige mensenrechtenschendingen, aldus Amnesty International.

Richtlijnen EDPB inzake beperkingen op rechten betrokkenen ex artikel 23 AVG

Op 13 oktober 2021 heeft het Europees Comité voor gegevensbescherming (EDPB) richtsnoeren vastgesteld inzake beperkingen op grond van artikel 23 van de Algemene verordening gegevensbescherming (AVG).

Artikel 23 AVG staat de EU-lidstaten toe om beperkingen op te leggen aan de rechten van de betrokkenen, voor zover de beperkingen ‘de wezenlijke inhoud van de grondrechten en fundamentele vrijheden van personen eerbiedigen’ en ‘in een democratische samenleving noodzakelijk en evenredig zijn ter vrijwaring van, bijvoorbeeld, de nationale veiligheid, de landsverdediging of de openbare veiligheid’.

De rechten van de betrokkenen waarop de beperkingen van toepassing kunnen zijn, betreffen de rechten welke zijn neergelegd in artikel 5 AVG (de beginselen van gegevensverwerking), in de artikelen 12 tot en met 22 AVG (zoals het recht op inzage en ‘het recht op vergetelheid’) en in artikel 34 AVG.

In de richtsnoeren wordt onder andere het standpunt van de EDPB ten aanzien van de toepassing van artikel 23 AVG uiteengezet, worden de criteria voor de beperkingen nader bezien en wordt verduidelijkt hoe betrokkenen hun rechten kunnen uitoefenen zodra de beperking is opgeheven.

Volgens de richtsnoeren die zijn uitgevaardigd door de EDPB moeten de beperkingen in een ‘duidelijke en precieze’ wettelijke maatregel zijn vervat. Dat wil zeggen dat de mogelijke toepassing ervan voorzienbaar moet zijn voor degenen die eraan onderworpen zijn. De relevante (nationale) wetgeving dient personen een adequate indicatie te geven van de omstandigheden waarin en de voorwaarden waaronder de verwerkingsverantwoordelijke zich op de beperking(en) mag beroepen. In de richtsnoeren wordt daarmee benadrukt dat in de desbetreffende maatregel duidelijk het verband moet worden aangegeven tussen de voorgestelde beperkingen en het nagestreefde doel om aan het voorzienbaarheidscriterium te voldoen.

Wat betreft het vereiste in artikel 23 dat de beperking ‘een in een democratische samenleving noodzakelijke en evenredige maatregel moet zijn’, wordt in de richtsnoeren gesteld dat een beperking een noodzakelijkheids- en proportionaliteitstoets moet doorstaan. Om de noodzaak van de beperking te (kunnen) beoordelen, dient de doelstelling die door de beperking moet worden gewaarborgd voldoende gedetailleerd te worden beschreven. Nadat de noodzaak is vastgesteld, moet vervolgens de proportionaliteit van de voorgestelde beperking worden beoordeeld. De proportionaliteitstoets vereist dat wordt vastgesteld dat de beperking een geschikt middel is om de nagestreefde legitieme doelstellingen te verwezenlijken en niet verder gaat dan wat passend en noodzakelijk is om deze doelstellingen te bereiken. Vanzelfsprekend is deze proportionaliteitstoets niet relevant indien niet is aangetoond dat de beperking überhaupt noodzakelijk is.

Tot slot wordt in de richtlijnen van de EDPB gewezen op (extra) maatregelen die organisaties moeten nemen wanneer zij zich op een beperking beroepen. Het gaat daarbij om maatregelen zoals het documenteren en bijhouden van de wijze waarop de beperking is toegepast. De richtlijnen benadrukken daarbij dat de verwerkingsverantwoordelijke die de beperkingen op de rechten van betrokkenen toepast, zich bewust moet zijn van het ‘uitzonderlijke karakter’ daarvan.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.