De Fraudehelpdesk moet stoppen met het op grote schaal verzamelen van voorbeelden van phishing en andere vormen van fraude. Dat meldde de NOS onlangs. Elk doorgestuurd phishing-mailtje kan immers informatie over verdachten bevatten, en die mag je niet zomaar bij elkaar rapen, hoe nobel je doel daarbij ook is. Maar dat ze moeten stoppen, is natuurlijk te kort door de bocht. De AVG verbiedt eigenlijk verrassend weinig, ze zegt vooral dat je je zaakjes goed op orde moet hebben én gedocumenteerd moet hebben hoe je dat dan doet. Hoewel het wel extra spannend is om dat helemaal goed te doen als het gaat om strafrechtelijke persoonsgegevens.
De term “strafrechtelijke persoonsgegevens” klinkt alsof er strafrechtdossiers van rechtbanken mee worden bedoeld, maar de term is veel breder: “persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen”. Het idee is dat het gebruiken van dergelijke gegevens zeer ernstige gevolgen kan hebben voor de betrokkenen, en wel op manieren die nadrukkelijk niet de bedoeling zijn (iemand weigeren vanwege een ongerelateerde strafrechtelijke veroordeling, bijvoorbeeld) en dat we daarom dus dergelijke gegevens gewoon verbieden.
Er zijn uitzonderingen op dat verbod, maar specifiek als je ten behoeve van andere mensen zulke gegevens gaat verzamelen en gebruiken dan kom je al heel snel uit bij de vergunningseis uit artikel 33 lid 4 Uitvoeringswet AVG:
4 Persoonsgegevens van strafrechtelijke aard mogen ten behoeve van derden worden verwerkt: … indien de Autoriteit persoonsgegevens met inachtneming van het vijfde lid een vergunning voor de verwerking heeft verleend.
5 Een vergunning als bedoeld in het vierde lid, onderdeel c, kan slechts worden verleend, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Aan de vergunning kunnen voorschriften worden verbonden.
En het is dus die vergunning die de AP geweigerd heeft aan de Fraudehelpdesk, want “De Fraudehelpdesk heeft zijn huiswerk niet op orde”, zegt een woordvoerder van de Autoriteit Persoonsgegevens. Wat er precies mis is, is de Fraudehelpdesk echter niet duidelijk:
De gekozen bewoording in de reactie van de AP suggereert echter dat de Fraudehelpdesk als organisatie zijn zaken niet op orde heeft, niet weet waarom de gegevens verwerkt worden en de adviezen van de AP in de wind heeft geslagen. … We vinden het jammer dat de AP het resultaat van ons jarenlange overleg met hen zo eenzijdig uitlegt. In onze optiek is er in die drie jaar niet concreet geworden hoe we dan wél tot een vergunning zouden kunnen komen. Daarbij hebben we overigens diverse gespecialiseerde en hooggekwalificeerde juristen ingehuurd om dit aanvraagtraject en de gesprekken met de AP te begeleiden.
Persoonlijk hoop ik dat de Fraudehelpdesk in bezwaar en beroep gaat tegen deze afwijzing. Ik zou dan zelf ook de vraag meenemen of überhaupt sprake is van strafrechtelijke persoonsgegevens, want volgens de jurisprudentie is daarvan pas sprake wanneer “de gegevens een als strafbaar feit te kwalificeren bewezenverklaring kunnen dragen”. Slechts een redelijk vermoeden van schuld (de standaard om aangifte te kunnen doen of vervolging te starten) is onvoldoende om te spreken van strafrechtelijke persoonsgegevens, aldus onze hoogste rechtbank. Nu is die jurisprudentie van voor de AVG, maar die heeft de definitie niet inhoudelijk verruimd zodat deze volgens mij gewoon geldig blijft.
Arnoud