De Fraudehelpdesk krijgt geen vergunning voor verwerken phishing e-mails

De
Fraudehelpdesk heeft als doel om mensen bewust te maken van de risico’s van fraude.
Regelmatig geeft de Fraudehelpdesk waarschuwingen over frauduleuze praktijken.
Ook wijst de Fraudehelpdesk mensen die te maken krijgen met fraude naar de
juiste instanties. Deze zomer kwam in het nieuws dat de Fraudehelpdesk geen voorbeelden van fraude meer mag
verzamelen, zoals phishing mails, spooknota’s, fraude sms’jes en frauduleuze
websites. De Autoriteit Persoonsgegevens (AP) gaat ervan uit dat op deze wijze
strafrechtelijke persoonsgegevens worden verwerkt. Hiervoor is een vergunning
vereist en de aanvraag hiervoor is door de AP afgewezen. De verwerking van deze
persoonsgegevens zou daarmee in strijd zijn met de Algemene Verordening
Gegevensbescherming (AVG).

Strafrechtelijke
gegevens: goedkeuring / vergunning

Uit het nieuwsbericht volgt dat de Fraudehelpdesk
drie jaar geleden contact heeft gehad met de Autoriteit Persoonsgegevens over
haar werkwijze. In die tijd was de AVG nog niet van kracht. Regels over het
verwerken van persoonsgegevens stonden in de Wet bescherming persoonsgegevens
(Wbp). Op grond van de Wbp was het niet toegestaan om strafrechtelijke persoonsgegevens
te verwerken. Uiteraard zijn er ook uitzonderingen op het verbod. Onder de Wbp
konden strafrechtelijke persoonsgegevens worden verwerkt na melding,
voorafgaand onderzoek en goedkeuring van de AP. Daarbij moet de
verwerkingsverantwoordelijke passende maatregelen nemen ter bescherming van de
rechten en vrijheden van betrokkenen, bijvoorbeeld door in een protocol de
verwerkingen en waarborgen te beschrijven en dit na te leven.

Ook op grond van de nieuwe privacywetgeving is
het niet zonder meer toegestaan om strafrechtelijke gegevens te verwerken. De
AVG bevat een verbodsbepaling ten aanzien van strafrechtelijke gegevens en deze
is verder ingekleurd in de Uitvoeringswet AVG (UAVG). Het verbod is nagenoeg
gelijk aan hetgeen onder de Wbp gold. In de UAVG is bovendien met zoveel
woorden te lezen dat in bepaalde gevallen een vergunning is vereist voor de
verwerking van strafrechtelijke gegevens. Voor het verlenen van deze vergunning
is het vereist dat (i) de verwerking noodzakelijk is, (ii) de verwerking een
zwaarwegend belang dient en (iii) er voldoende waarborgen zijn zodat de
persoonlijke levenssfeer van de betrokkenen niet onevenredig wordt geschaad.

In de praktijk komt de goedkeuring c.q.
vergunning van de AP met name terug bij het bijhouden van zwarte lijsten door
(branche)organisaties die deze gegevens binnen de branche beschikbaar stellen. Deze
(branche)organisaties werken volgens een specifiek protocol dat openbaar
beschikbaar is. Op die manier worden de rechten en vrijheden van betrokkenen
gewaarborgd. Denk bijvoorbeeld aan zwarte lijsten in de detailhandel,
vastgoedverhuur en de logistieke sector. Zowel onder de Wbp als onder de AVG en
UAVG worden hiervoor goedkeuringen en vergunningen gevraagd en ook verleend.

Verwerkingen
door de Fraudehelpdesk: strafrechtelijke gegevens?

Net als de (branche)organisaties die met zwarte
lijsten werken en informatie delen met de aangesloten bedrijven, deelt ook de
Fraudehelpdesk informatie met andere organisaties. De Fraudehelpdesk heeft een
aantal samenwerkingspartners die zij op haar website noemt, zoals de Politie,
de Belastingdienst en International Card Services. Het is echter niet duidelijk
of met hen ook daadwerkelijk strafrechtelijke persoonsgegevens worden
uitgewisseld.

Ten aanzien van het verzamelen van phishing
e-mails, berichten en vermeend frauduleuze websites kun je je de vraag stellen
of het wel gaat om strafrechtelijke gegevens. Wanneer een (vermeend)
frauduleuze mail wordt doorgestuurd aan de Fraudehelpdesk, kunnen er
persoonsgegevens van de afzender worden gedeeld. Dit zegt echter nog weinig
over strafrechtelijk- of hinderlijk gedrag.

Volgens de memorie van toelichting bij de Wbp
heeft het begrip ‘strafrechtelijke gegevens’ niet alleen betrekking op
informatie over veroordelingen, maar ook op min of meer gegronde verdenkingen:
concrete aanwijzingen jegens een bepaalde persoon. Het kan ook gaan om een melding
of aangifte. De reden voor het verbod op de verwerking ligt in het vermoeden
van onschuld (onschuld presumptie) wat inhoudt dat iemand niet zomaar aan een
verdenking mag worden onderworpen; gegevens hierover mogen niet zonder
aanvullende waarborgen worden verwerkt. In de Memorie van Toelichting bij de
UAVG is aangesloten op de begripsbepaling uit de Memorie van Toelichting in de
Wbp. Het begrip is daarmee gelijk gebleven na de invoering van de AVG en de
UAVG op 25 mei 2018.

In jurisprudentie
is echter een minder breed begrip van ‘strafrechtelijke gegevens’ gehanteerd. In
een verzoek van een betrokkene om persoonsgegevens uit een incidentenregister
van een bank te verwijderen, oordeelde het hof in 2007 dat zij onder
‘strafrechtelijke gegevens’ gegevens verstaat die concrete feiten en
omstandigheden bevatten die een als strafbaar feit te kwalificeren
bewezenverklaring kunnen dragen. De Hoge Raad volgde deze uitleg in haar
uitspraak in 2009. Dit uitgangspunt is in latere rechtspraak herhaald, recentelijk ook onder de AVG. De
Rechtbank Midden-Nederland oordeelde dat het weliswaar niet noodzakelijk is dat
vervolging heeft plaatsgevonden om te spreken van een strafrechtelijk gegeven,
maar dat een vermoeden van schuld ook onvoldoende is.

Voornoemde uitspraken gingen over een specifieke
casus en een specifieke betrokkene die om verwijdering van persoonsgegevens
verzocht. In beide gevallen ging het om een incidentenregister van een bank. Het
feit dat voor het incidentenregister zelf goedkeuring c.q. een vergunning is
vereist stond niet ter discussie. De zwarte lijst voor banken is in 2002
ingesteld door de Nederlandse Vereniging van Banken, en werkt thans volgens
Protocol Incidentwaarschuwingssysteem Financiële Instellingen, met goedkeuring van de AP (laatstelijk
in 2017).

Tot slot

Helaas is uit het korte nieuwsbericht en uit de
persverklaring van de Fraudehelpdesk niet goed op te maken of de discussie over
of er wel of niet sprake is geweest van strafrechtelijke persoonsgegevens
gevoerd is.

Het is ook niet duidelijk waarom de AP de
vergunningsaanvraag van de Fraudehelpdesk precies heeft afgewezen. De AP meent dat
de Fraudehelpdesk niet inzichtelijk kon maken welke persoonsgegevens zij
precies verwerkt en voor welke doeleinden. Het is niet bekend of de
Fraudehelpdesk een protocol ten aanzien van de gegevensverwerking heeft, en
indien dat het geval is, wat daaraan schort waardoor de AP meent dat de Fraudehelpdesk
haar huiswerk niet goed heeft gedaan.

Wanneer de AP aangeeft geen vergunning te
zullen verlenen, is dit een besluit in de zin van de Algemene wet bestuursrecht
(Abw) waartegen beroep en bezwaar open. De Fraudehelpdesk zou deze weg kunnen
volgen om (opnieuw) te toetsen of daadwerkelijk sprake is van strafrechtelijke
gegevens. De Fraudehelpdesk heeft echter op haar website bekend gemaakt dat zij
voor verschillende werkzaamheden opnieuw een vergunning aan zal vragen.

Source

Platform Informatie Technologie en Recht

De Fraudehelpdesk krijgt geen vergunning voor verwerken phishing e-mails

Brill

Personal Data

The History of Unicode

Meltdown and Spectre

Argument Timing

Tinder

Emoji Sports

Twitter Verification

Nightmare Email Feature

Email Reply

Computers vs Humans

Supervillain Plan

Obsolete Technology

USB Cables

Digital Resource Lifespan

Categorieën: ‘Van kern tot rand’

NOS – Tech

Recht.nl – Privacy

NU – Tech

Europa – Nu

Recht.nl – Informatie & Technologie

TagCloud

Ius Mentis