strafrechtelijke persoonsgegevens Archives

De AVG verbiedt helemaal niet dat je fraudemeldingen verzamelt

Geplaatst op 29 juli 201925 juli 2019 in Privacy, 4 reacties

De Fraudehelpdesk moet stoppen met het op grote schaal verzamelen van voorbeelden van phishing en andere vormen van fraude. Dat meldde de NOS onlangs. Elk doorgestuurd phishing-mailtje kan immers informatie over verdachten bevatten, en die mag je niet zomaar bij elkaar rapen, hoe nobel je doel daarbij ook is. Maar dat ze moeten stoppen, is natuurlijk te kort door de bocht. De AVG verbiedt eigenlijk verrassend weinig, ze zegt vooral dat je je zaakjes goed op orde moet hebben én gedocumenteerd moet hebben hoe je dat dan doet. Hoewel het wel extra spannend is om dat helemaal goed te doen als het gaat om strafrechtelijke persoonsgegevens.

De term “strafrechtelijke persoonsgegevens” klinkt alsof er strafrechtdossiers van rechtbanken mee worden bedoeld, maar de term is veel breder: “persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen”. Het idee is dat het gebruiken van dergelijke gegevens zeer ernstige gevolgen kan hebben voor de betrokkenen, en wel op manieren die nadrukkelijk niet de bedoeling zijn (iemand weigeren vanwege een ongerelateerde strafrechtelijke veroordeling, bijvoorbeeld) en dat we daarom dus dergelijke gegevens gewoon verbieden.

Er zijn uitzonderingen op dat verbod, maar specifiek als je ten behoeve van andere mensen zulke gegevens gaat verzamelen en gebruiken dan kom je al heel snel uit bij de vergunningseis uit artikel 33 lid 4 Uitvoeringswet AVG:

4 Persoonsgegevens van strafrechtelijke aard mogen ten behoeve van derden worden verwerkt: … indien de Autoriteit persoonsgegevens met inachtneming van het vijfde lid een vergunning voor de verwerking heeft verleend.
5 Een vergunning als bedoeld in het vierde lid, onderdeel c, kan slechts worden verleend, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Aan de vergunning kunnen voorschriften worden verbonden.

En het is dus die vergunning die de AP geweigerd heeft aan de Fraudehelpdesk, want “De Fraudehelpdesk heeft zijn huiswerk niet op orde”, zegt een woordvoerder van de Autoriteit Persoonsgegevens. Wat er precies mis is, is de Fraudehelpdesk echter niet duidelijk:

De gekozen bewoording in de reactie van de AP suggereert echter dat de Fraudehelpdesk als organisatie zijn zaken niet op orde heeft, niet weet waarom de gegevens verwerkt worden en de adviezen van de AP in de wind heeft geslagen. … We vinden het jammer dat de AP het resultaat van ons jarenlange overleg met hen zo eenzijdig uitlegt. In onze optiek is er in die drie jaar niet concreet geworden hoe we dan wél tot een vergunning zouden kunnen komen. Daarbij hebben we overigens diverse gespecialiseerde en hooggekwalificeerde juristen ingehuurd om dit aanvraagtraject en de gesprekken met de AP te begeleiden.

Persoonlijk hoop ik dat de Fraudehelpdesk in bezwaar en beroep gaat tegen deze afwijzing. Ik zou dan zelf ook de vraag meenemen of überhaupt sprake is van strafrechtelijke persoonsgegevens, want volgens de jurisprudentie is daarvan pas sprake wanneer “de gegevens een als strafbaar feit te kwalificeren bewezenverklaring kunnen dragen”. Slechts een redelijk vermoeden van schuld (de standaard om aangifte te kunnen doen of vervolging te starten) is onvoldoende om te spreken van strafrechtelijke persoonsgegevens, aldus onze hoogste rechtbank. Nu is die jurisprudentie van voor de AVG, maar die heeft de definitie niet inhoudelijk verruimd zodat deze volgens mij gewoon geldig blijft.

Arnoud

Minister wil data over criminelen makkelijker kunnen delen

Geplaatst op 19 maart 201915 maart 2019 in Privacy, Regulering, 11 reacties

Minister Grapperhaus van Justitie en Veiligheid wil dat het eenvoudiger wordt om gegevens over criminelen te delen, las ik bij Security.nl op gezag van een interview in de Telegraaf. Het delen van gegevens over criminelen tussen overheidsinstanties is problematisch, omdat de AVG daar strenge regels over stelt. “Er kan nog zoveel worden gewonnen met uitwisseling van informatie. Het mag alleen geen inbreuk maken op de privacy, dan gaan misdadigers zich beroepen op fouten”, aldus de minister. De oplossing lijkt me vrij simpel, maar dat kan aan mij liggen.

Het klopt natuurlijk dat de AVG zeer streng is over de omgang met strafrechtelijke gegevens en andere informatie over strafbare activiteiten. Strenger dan voorheen: waar de Wbp dergelijke gegevens ‘bijzondere persoonsgegevens’ noemde, kent de AVG er een apart regime voor dat grofweg neerkomt op “daar mag je niets mee doen”. Letterlijk:

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.

Heel plat zou je dan kunnen zeggen, er is geen probleem want je kunt als Nederlandse overheid dus gewoon een wetje maken waarin je zegt welke gegevens worden uitgewisseld en voor welk doel. Maar in de Uitvoeringswet (zeg maar de Nederlandse kop op de AVG) zijn nog wat extra beperkingen gesteld. Verwerken van die gegevens mag (artikel 31 UAVG) alleen als in de UAVG daar een grond voor is.

Artikel 32 noemt daarbij algemene gronden, zoals aparte toestemming, vitaal belang en kennelijk zelf openbaar gemaakt. Maar daar heb je als overheid vrij weinig aan. De meest passende grondslag staat volgens mij in artikel 33:

Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt, indien: (…)
b. de verwerking geschiedt door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken, indien:
1°. de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken; en
2°. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;

Een aantal samenwerkende gemeenten valt onder dit sub b als ze dit doen om zich verplaatsende criminaliteit te signaleren en te bestrijden. De vraag is dan dus, welke noodzaak is er tot uitwisseling (iets dat je dus even moet uitwerken) en welke waarborgen moeten we nemen. Bij dat laatste moet je denken aan een onterechte vermelding, zoals na een vrijspraak in hoger beroep of een persoonsverwisseling.

“Het is bijzonder dat we die informatie niet kunnen uitwisselen”, zo citeert de Telegraaf burgemeester Aboutaleb na diens constatering dat hij gegevens over een criminele ondernemer niet aan de gemeente Nissewaard (voormalig Spijkenisse en Bernisse) mocht geven.

Dat klinkt alsof de AVG er keihard aan in de weg staat, een misverstand dat ik vaker hoor. De AVG verbiedt weinig echt keihard en categorisch: vrijwel altijd mág het wel mits je maar een goed verhaal hebt. En bij de overheid betekent dat, werk het maar eens uit in een wet of regeling en leg daarbij uit hoe je met die mensen wilt omgaan. Ik vind het bijzonderder dat dat kennelijk een probleem is, zeggen wat je van plan bent.

Arnoud