De AVG verbiedt helemaal niet dat je fraudemeldingen verzamelt

| AE 11411 | Privacy | 4 reacties

De Fraudehelpdesk moet stoppen met het op grote schaal verzamelen van voorbeelden van phishing en andere vormen van fraude. Dat meldde de NOS onlangs. Elk doorgestuurd phishing-mailtje kan immers informatie over verdachten bevatten, en die mag je niet zomaar bij elkaar rapen, hoe nobel je doel daarbij ook is. Maar dat ze moeten stoppen, is natuurlijk te kort door de bocht. De AVG verbiedt eigenlijk verrassend weinig, ze zegt vooral dat je je zaakjes goed op orde moet hebben én gedocumenteerd moet hebben hoe je dat dan doet. Hoewel het wel extra spannend is om dat helemaal goed te doen als het gaat om strafrechtelijke persoonsgegevens.

De term “strafrechtelijke persoonsgegevens” klinkt alsof er strafrechtdossiers van rechtbanken mee worden bedoeld, maar de term is veel breder: “persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen”. Het idee is dat het gebruiken van dergelijke gegevens zeer ernstige gevolgen kan hebben voor de betrokkenen, en wel op manieren die nadrukkelijk niet de bedoeling zijn (iemand weigeren vanwege een ongerelateerde strafrechtelijke veroordeling, bijvoorbeeld) en dat we daarom dus dergelijke gegevens gewoon verbieden.

Er zijn uitzonderingen op dat verbod, maar specifiek als je ten behoeve van andere mensen zulke gegevens gaat verzamelen en gebruiken dan kom je al heel snel uit bij de vergunningseis uit artikel 33 lid 4 Uitvoeringswet AVG:

4 Persoonsgegevens van strafrechtelijke aard mogen ten behoeve van derden worden verwerkt: … indien de Autoriteit persoonsgegevens met inachtneming van het vijfde lid een vergunning voor de verwerking heeft verleend.
5 Een vergunning als bedoeld in het vierde lid, onderdeel c, kan slechts worden verleend, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Aan de vergunning kunnen voorschriften worden verbonden.

En het is dus die vergunning die de AP geweigerd heeft aan de Fraudehelpdesk, want “De Fraudehelpdesk heeft zijn huiswerk niet op orde”, zegt een woordvoerder van de Autoriteit Persoonsgegevens. Wat er precies mis is, is de Fraudehelpdesk echter niet duidelijk:

De gekozen bewoording in de reactie van de AP suggereert echter dat de Fraudehelpdesk als organisatie zijn zaken niet op orde heeft, niet weet waarom de gegevens verwerkt worden en de adviezen van de AP in de wind heeft geslagen. … We vinden het jammer dat de AP het resultaat van ons jarenlange overleg met hen zo eenzijdig uitlegt. In onze optiek is er in die drie jaar niet concreet geworden hoe we dan wél tot een vergunning zouden kunnen komen. Daarbij hebben we overigens diverse gespecialiseerde en hooggekwalificeerde juristen ingehuurd om dit aanvraagtraject en de gesprekken met de AP te begeleiden.

Persoonlijk hoop ik dat de Fraudehelpdesk in bezwaar en beroep gaat tegen deze afwijzing. Ik zou dan zelf ook de vraag meenemen of überhaupt sprake is van strafrechtelijke persoonsgegevens, want volgens de jurisprudentie is daarvan pas sprake wanneer “de gegevens een als strafbaar feit te kwalificeren bewezenverklaring kunnen dragen”. Slechts een redelijk vermoeden van schuld (de standaard om aangifte te kunnen doen of vervolging te starten) is onvoldoende om te spreken van strafrechtelijke persoonsgegevens, aldus onze hoogste rechtbank. Nu is die jurisprudentie van voor de AVG, maar die heeft de definitie niet inhoudelijk verruimd zodat deze volgens mij gewoon geldig blijft.

Arnoud

Hoe is het een datalek om de namen van personeel in je metadata te laten staan?

| AE 10459 | Privacy | 13 reacties

De Autoriteit Persoonsgegevens, waarbij bedrijven datalekken verplicht moeten melden, heeft zelf per ongeluk de namen van werknemers openbaar gemaakt. Dat gniffelde Nu.nl en heel wat meer media naar aanleiding van de ontdekking van onderzoeker Mischa van Geelen van beveiligingsbedrijf NFIR. Die had gezien dat namen van personeel te vinden was in de metadata van zo’n 800 pdf-documenten, terwijl beleid van de AP is om geen namen van individuele medewerkers naar buiten toe te communiceren. Ohooh de juf laat een scheetje, en het doet ook wat knullig aan natuurlijk om op die manier namen te lekken, maar is dit nu werkelijk iets om je druk over te maken?

Natuurlijk zijn namen van personeelsleden persoonsgegevens. Daar moet je als werkgever dus zorgvuldig mee omgaan, en lijsten van medewerkers zomaar aan derden geven of op internet zetten lijkt me niet echt de bedoeling. Als het toch gebeurt, zou ik echter wel moeite hebben met de conclusie dat dit dús een meldwaardig datalek is. Als er meer bij staat, zoals salaris of andere gevoelige zaken, dan zonder meer, maar alléén een naam? Welke negatieve gevolgen ondervindt iemand van de onthulling dat hij bij organisatie X werkt?

Helemaal heb ik er moeite mee omdat het hier gaat over de naam van de ambtenaar die beleidsdocument Y heeft geschreven bij organisatie X. Natuurlijk kan het beleid zijn van de AP om die niet te publiceren, maar daarmee is het nog niet automatisch een noemenswaardig datalek dat die gegevens tóch op straat komen. Volgens mij is het doodnormaal dat bij publicaties van bedrijven de namen van de werknemer(s) in kwestie genoemd wordt (en afhankelijk van hoe je de Auteurswet leest, is het zelfs een récht van de werknemer), dus daarmee zie ik niet hoe het onrechtmatig is. Laat staan dus meldplichtwaardig.

Maar goed, het was even leuk lachen. Ik neem aan dat al die bedrijven zelf keurig datalekbeleid hebben en ondertussen AVG compliant zijn?

Arnoud