De fraudehelpdesk krijgt geen vergunning voor verwerken phishing e-mails

05-08-2019

Vries, Eva de

De Fraudehelpdesk heeft als doel om mensen bewust te maken van de risico’s van fraude. Regelmatig geeft de Fraudehelpdesk waarschuwingen over frauduleuze praktijken. Ook wijst de Fraudehelpdesk mensen die te maken krijgen met fraude naar de juiste instanties. Deze zomer kwam in het nieuws dat de Fraudehelpdesk geen voorbeelden van fraude meer mag verzamelen, zoals phishing mails, spooknota’s, fraude sms’jes en frauduleuze websites. De Autoriteit Persoonsgegevens (AP) gaat ervan uit dat op deze wijze strafrechtelijke persoonsgegevens worden verwerkt. Hiervoor is een vergunning vereist en de aanvraag hiervoor is door de AP afgewezen. De verwerking van deze persoonsgegevens zou daarmee in strijd zijn met de Algemene Verordening Gegevensbescherming (AVG).

Strafrechtelijke gegevens: goedkeuring / vergunning

Uit het nieuwsbericht volgt dat de Fraudehelpdesk drie jaar geleden contact heeft gehad met de Autoriteit Persoonsgegevens over haar werkwijze. In die tijd was de AVG nog niet van kracht. Regels over het verwerken van persoonsgegevens stonden in de Wet bescherming persoonsgegevens (Wbp). Op grond van de Wbp was het niet toegestaan om strafrechtelijke persoonsgegevens te verwerken. Uiteraard zijn er ook uitzonderingen op het verbod. Onder de Wbp konden strafrechtelijke persoonsgegevens worden verwerkt na melding, voorafgaand onderzoek en goedkeuring van de AP. Daarbij moet de verwerkingsverantwoordelijke passende maatregelen nemen ter bescherming van de rechten en vrijheden van betrokkenen, bijvoorbeeld door in een protocol de verwerkingen en waarborgen te beschrijven en dit na te leven.

Ook op grond van de nieuwe privacywetgeving is het niet zonder meer toegestaan om strafrechtelijke gegevens te verwerken. De AVG bevat een verbodsbepaling ten aanzien van strafrechtelijke gegevens en deze is verder ingekleurd in de Uitvoeringswet AVG (UAVG). Het verbod is nagenoeg gelijk aan hetgeen onder de Wbp gold. In de UAVG is bovendien met zoveel woorden te lezen dat in bepaalde gevallen een vergunning is vereist voor de verwerking van strafrechtelijke gegevens. Voor het verlenen van deze vergunning is het vereist dat (i) de verwerking noodzakelijk is, (ii) de verwerking een zwaarwegend belang dient en (iii) er voldoende waarborgen zijn zodat de persoonlijke levenssfeer van de betrokkenen niet onevenredig wordt geschaad.

In de praktijk komt de goedkeuring c.q. vergunning van de AP met name terug bij het bijhouden van zwarte lijsten door (branche)organisaties die deze gegevens binnen de branche beschikbaar stellen. Deze (branche)organisaties werken volgens een specifiek protocol dat openbaar beschikbaar is. Op die manier worden de rechten en vrijheden van betrokkenen gewaarborgd. Denk bijvoorbeeld aan zwarte lijsten in de detailhandel, vastgoedverhuur en de logistieke sector. Zowel onder de Wbp als onder de AVG en UAVG worden hiervoor goedkeuringen en vergunningen gevraagd en ook verleend.

Verwerkingen door de Fraudehelpdesk: strafrechtelijke gegevens?

Net als de (branche)organisaties die met zwarte lijsten werken en informatie delen met de aangesloten bedrijven, deelt ook de Fraudehelpdesk informatie met andere organisaties. De Fraudehelpdesk heeft een aantal samenwerkingspartners die zij op haar website noemt, zoals de Politie, de Belastingdienst en International Card Services. Het is echter niet duidelijk of met hen ook daadwerkelijk strafrechtelijke persoonsgegevens worden uitgewisseld.

Ten aanzien van het verzamelen van phishing e-mails, berichten en vermeend frauduleuze websites kun je je de vraag stellen of het wel gaat om strafrechtelijke gegevens. Wanneer een (vermeend) frauduleuze mail wordt doorgestuurd aan de Fraudehelpdesk, kunnen er persoonsgegevens van de afzender worden gedeeld. Dit zegt echter nog weinig over strafrechtelijk- of hinderlijk gedrag.

Volgens de memorie van toelichting bij de Wbp heeft het begrip ‘strafrechtelijke gegevens’ niet alleen betrekking op informatie over veroordelingen, maar ook op min of meer gegronde verdenkingen: concrete aanwijzingen jegens een bepaalde persoon. Het kan ook gaan om een melding of aangifte. De reden voor het verbod op de verwerking ligt in het vermoeden van onschuld (onschuld presumptie) wat inhoudt dat iemand niet zomaar aan een verdenking mag worden onderworpen; gegevens hierover mogen niet zonder aanvullende waarborgen worden verwerkt. In de Memorie van Toelichting bij de UAVG is aangesloten op de begripsbepaling uit de Memorie van Toelichting in de Wbp. Het begrip is daarmee gelijk gebleven na de invoering van de AVG en de UAVG op 25 mei 2018.

In jurisprudentie is echter een minder breed begrip van ‘strafrechtelijke gegevens’ gehanteerd. In een verzoek van een betrokkene om persoonsgegevens uit een incidentenregister van een bank te verwijderen, oordeelde het hof in 2007 dat zij onder ‘strafrechtelijke gegevens’ gegevens verstaat die concrete feiten en omstandigheden bevatten die een als strafbaar feit te kwalificeren bewezenverklaring kunnen dragen. De Hoge Raad volgde deze uitleg in haar uitspraak in 2009. Dit uitgangspunt is in latere rechtspraak herhaald, recentelijk ook onder de AVG. De Rechtbank Midden-Nederland oordeelde dat het weliswaar niet noodzakelijk is dat vervolging heeft plaatsgevonden om te spreken van een strafrechtelijk gegeven, maar dat een vermoeden van schuld ook onvoldoende is.

Voornoemde uitspraken gingen over een specifieke casus en een specifieke betrokkene die om verwijdering van persoonsgegevens verzocht. In beide gevallen ging het om een incidentenregister van een bank. Het feit dat voor het incidentenregister zelf goedkeuring c.q. een vergunning is vereist stond niet ter discussie. De zwarte lijst voor banken is in 2002 ingesteld door de Nederlandse Vereniging van Banken, en werkt thans volgens Protocol Incidentwaarschuwingssysteem Financiële Instellingen, met goedkeuring van de AP (laatstelijk in 2017).

Tot slot

Helaas is uit het korte nieuwsbericht en uit de persverklaring van de Fraudehelpdesk niet goed op te maken of de discussie over of er wel of niet sprake is geweest van strafrechtelijke persoonsgegevens gevoerd is.

Het is ook niet duidelijk waarom de AP de vergunningsaanvraag van de Fraudehelpdesk precies heeft afgewezen. De AP meent dat de Fraudehelpdesk niet inzichtelijk kon maken welke persoonsgegevens zij precies verwerkt en voor welke doeleinden. Het is niet bekend of de Fraudehelpdesk een protocol ten aanzien van de gegevensverwerking heeft, en indien dat het geval is, wat daaraan schort waardoor de AP meent dat de Fraudehelpdesk haar huiswerk niet goed heeft gedaan.

Wanneer de AP aangeeft geen vergunning te zullen verlenen, is dit een besluit in de zin van de Algemene wet bestuursrecht (Abw) waartegen beroep en bezwaar openstaat. De Fraudehelpdesk zou deze weg kunnen volgen om (opnieuw) te toetsen of daadwerkelijk sprake is van strafrechtelijke gegevens. De Fraudehelpdesk heeft echter op haar website bekend gemaakt dat zij voor verschillende werkzaamheden opnieuw een vergunning aan zal vragen.


Meer artikelen van SOLV

Dit artikel is ook te vinden in het dossier AVG

Van onze partners

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Hanna Rab (junior uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail hanna@berghauserpont.nl.

Seminar: Privacy en de gemeente

→ Lees meer

Masterclass Privacy: the next step

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer