Privacy en criminaliteitsbestrijding | eerste ervaringen in Nederland met de AVG | Wwft

Op dit moment wordt door mensen met wat minder kennis van de privacyregelgeving verkondigd dat privacy in de weg zou staan aan criminaliteitsbestrijding.
Dat is onjuist, want met een wettelijke grondslag mogen persoonsgegevens ten behoeve van de bestrijding van criminaliteit worden verwerkt en uitgewisseld. De gedachte daar achter is dat een dergelijke verwerking zorgvuldig moet zijn. Voorts biedt de huidige regelgeving al de nodige mogelijkheden.

In dat verband valt op dat de brief die de Minister van Rechtsbescherming in april jl. schreef over de uitvoeringspraktijk van de AVG en de daarmee samenhangende Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) niet rept over ernstige belemmering van de criminaliteitsbestrijding.

Zwarte lijsten
In de bijlage bij de brief van de Minister wordt het onderwerp ‘zwarte lijsten’ aangeroerd:

In hun brief van 19 september 2018 stellen VNO-NCW en MKB Nederland dat de schade voor het bedrijfsleven door fraude jaarlijks in de miljarden euro’s loopt. Zij noemen in dat verband het sjoemelen met creditcards, verzekeringen en spooknota’s. In navolging van de succesvolle aanpak in Engeland willen volgens deze organisaties ook bedrijven in Nederland informatie over wangedrag en fraudeurs onderling kunnen uitwisselen. Op dit moment zou dat echter niet mogelijk zijn tussen bedrijven uit verschillende sectoren. Hoewel «zwarte lijsten» binnen bepaalde sectoren wel zijn toegestaan, zou de AP geen fiat geven voor het cross-sectoraal delen van informatie. Volgens VNO-NCW en MKB Nederland zou een mogelijke oplossing zijn gelegen in het treffen van een expliciete wettelijke grondslag voor cross-sectoraal uitwisselen van kennis over deze fraudeurs.

In reactie op dit voorstel wijs ik erop dat het aanleggen van zwarte lijsten naar zijn aard vaak gepaard gaat met het verwerken van persoonsgegevens van strafrechtelijke aard. Het verwerken daarvan is op grond van artikel 10 van de AVG alleen toegestaan indien dit geschiedt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkene bevatten. De UAVG maak het op die grond mogelijk om persoonsgegevens van strafrechtelijke aard ten behoeve van derden te verwerken, onder meer indien de AP hiervoor een vergunning heeft verleend (artikel 33, vierde lid, aanhef en onderdeel c). De AP kan een dergelijke vergunning verlenen, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad (artikel 33, vijfde lid).

Het tegengaan van fraude kan als een zwaarwegend belang voor een bedrijf of onderneming worden aangemerkt. Het is dus op grond van deze bepaling mogelijk om zwarte lijsten te delen. De AP zal dan wel vooraf, in het kader van de vergunningaanvraag, noodzaak en evenredigheid toetsen. Hierbij laat zij onder meer de volgende omstandigheden een rol spelen:

• de mate waarin opname van een individu in het systeem waarop de gegevensuitwisseling betrekking heeft, kan betekenen dat betrokkene wordt uitgesloten van bijvoorbeeld eerste levensbehoeften of van goederen of diensten die betrekking hebben op een (klassiek of sociaal) grondrecht;
• de kwetsbaarheid van bepaalde groepen betrokkenen, zoals klanten en werknemers die minderjarig zijn of oudere werknemers;
• de reikwijdte van het systeem, in termen van zowel degenen die het systeem kunnen vullen, degenen die gegevens in het systeem kunnen raadplegen en degenen van wie persoonsgegevens in het systeem worden verwerkt. Hoe groter de reikwijdte, hoe ingrijpender de gevolgen voor opname van de betrokkene in het systeem kunnen zijn. Naarmate de reikwijdte van een systeem groter is, zullen derhalve de waarborgen voor betrokkenen zwaarder moeten wegen of zal het systeem in het geheel niet door de toetsing komen. Het beperken van de reikwijdte van het systeem (geografisch, sectoraal of anderszins) kan bijdragen aan een positieve uitkomst van de proportionaliteitsafweging.12

Wil er aanleiding zijn te overwegen de UAVG te wijzigen overeenkomstig het voorstel van VNO/NCW en MKB Nederland, dan zullen eerst ervaringen moeten zijn opgedaan met het indienen van een aanvraag tot een vergunning als bedoeld in artikel 33, vijfde lid, UAVG en de reactie daarop van de AP. Met het oog hierop en gelet op de nieuwe toepasselijke aanvraagprocedure zal ik, samen met VNO/NCW en MKB Nederland, in gesprek gaan met de AP over de betekenis hiervan voor nieuwe aanvragen voor cross-sectorale uitwisseling van gegevens over fraudeurs. De ervaringen die door bedrijven met deze procedure zijn opgedaan kunnen worden betrokken in het door mijn ambtgenoot van Justitie en Veiligheid toegezegde vergelijkende onderzoek naar cross-sectorale gegevensuitwisseling tussen private partijen in Nederland en in het Verenigd Koninkrijk. Daarbij zal in het bijzonder worden gekeken naar de eventuele meerwaarde van het systeem Cifas, dat in het Verenigd Koninkrijk bestaat, en hoe dit eventueel toepasbaar is in het Nederlandse rechtssysteem.13

[Noten]
12 Kamerstuk 34 851, nr. 7, p. 55.
13 Kamerstuk 29 911, nr. 210, p. 26.

 

Profilering / geautomatiseerde besluitvorming
Ook de uitzonderingen op het verbod van geautomatiseerde besluitvorming in het kader van criminaliteitsbestrijding komen in de bijlage bij de brief aan bod. Dit is relevant voor Wwft-plichtige ondernemingen, zoals banken, die geacht worden geautomatiseerd criminaliteit op te sporen.

De Minister schrijft het volgende over dit onderwerp:

In de motie Koopmans c.s. (Kamerstuk 34 851, nr. 19) wordt naar de reikwijdte van de uitzonderingen op het verbod van geautomatiseerde individuele besluitvorming gevraagd. Dit verbod is neergelegd in artikel 22 AVG: «De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft».

In dit artikel worden een aantal begrippen genoemd zoals «profilering», «besluit» en «hem in aanmerkelijke mate treft». Deze begrippen dienen als volgt te worden uitgelegd.

In de AVG wordt profilering omschreven als geautomatiseerde verwerking van persoonsgegevens voor het evalueren van persoonlijke aspecten, met name om zaken over personen te analyseren of te voorspellen. Het gebruik van het woord «evalueren» suggereert dat bij profilering een zekere beoordeling over een persoon wordt gemaakt».

In algemene bewoordingen betekent profilering het verzamelen van informatie over een persoon (of een groep personen) en het evalueren van hun kenmerken of gedragspatronen om deze persoon of personen in een bepaalde categorie of groep te plaatsen, met name om zijn of hun: vermogen om een taak uit te voeren; interesses; of waarschijnlijk gedrag te analyseren of hierover voorspellingen te doen.33

Het begrip «besluit» in artikel 22 moet ruimer worden gelezen dan in de Algemene wet bestuursrecht staat. Zo vallen beslissingen genomen door private partijen ook onder de reikwijdte van dit artikel.34

Wanneer een gevolg verbonden is aan het besluit dat iemand in «aanmerkelijke mate treft», zelfs zonder dat er iets verandert aan zijn wettelijke rechten of plichten, dan kan een betrokkene toch in zodanige mate worden getroffen dat de bescherming van artikel 22 AVG geldt. De drempel voor aanmerkelijke mate moet dus vergelijkbaar zijn met de mate waarin de betrokkene wordt getroffen bij een besluit waaraan wèl een rechtsgevolg verbonden is.35

Op grond van artikel 22, tweede lid, onder b. AVG geldt het verbod op geautomatiseerde besluitvorming niet, indien het besluit is toegestaan bij – onder meer – een lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene.

Van deze mogelijkheid heeft de Nederlandse wetgever gebruik gemaakt door in artikel 40, eerste lid, UAVG te bepalen dat het verbod uit het eerste lid van artikel 22 van de AVG niet geldt, indien de geautomatiseerde individuele besluitvorming, noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang. Deze nationaal rechtelijke uitzondering geldt echter expliciet niet voor besluiten die tot stand zijn gekomen op basis van profilering.

Branchevereniging VNO-NCW en MKB Nederland heeft mij bij brief van 19 september 2018 laten weten dat wanneer er geen geautomatiseerde besluiten op basis van profielen mogen worden genomen dit de ontwikkeling van nieuw profiel-gebaseerde technieken in de weg zit. Deze nieuwe technieken kunnen volgens de branchevereniging bijvoorbeeld worden gebruikt om beter op fraude te kunnen detecteren of witwaspraktijken te voorkomen. VNO-NCW en MKB Nederland stelt daarom als mogelijke oplossing voor artikel 40, eerste lid, UAVG aan te passen door te voorzien in een meer algemene uitzondering op het verbod van artikel 22 AVG, die wel ook geldt voor besluiten genomen op basis van profilering.

Geautomatiseerde besluitvorming op basis van profilering brengt echter het risico mee dat de betrokken individuele persoon een generiek kenmerk van een groep personen wordt tegengeworpen, terwijl dat kenmerk op hem niet van toepassing is en daarmee voor hem een zogenoemd false positive oplevert. Ook bestaat het risico dat de betrokken persoon niet aan alle kenmerken van de groep voldoet, maar wel tot die groep zou moeten worden gerekend en daarmee voor hem een zogenoemd false negative oplevert. Deze risico’s zijn van dien aard dat het ongepast zou zijn de algemene grondslag voor geautomatiseerde besluitvorming die artikel 40 van de UAVG biedt, ook te laten gelden voor geautomatiseerde besluitvorming op basis van profilering.
Als er in de toekomst behoefte ontstaat in een concrete sector om geautomatiseerde besluitvorming op basis van profilering te laten plaatsvinden dan zal daarvoor een specifieke op de situatie/de sector toegespitste wettelijke grondslag nodig zijn, waarbij dan ook specifieke maatregelen dienen te worden getroffen om de genoemde risico’s te mitigeren en de rechten van betrokkene te waarborgen.36

Tegen deze achtergrond wijst het kabinet een algemene grondslag voor geautomatiseerde besluitvorming op basis van profilering, zoals door VNO-NCW en MKB Nederland voorgesteld, af, omdat zij onvoldoende specifiek is en ook geen specifieke maatregelen behelst waarmee eerder genoemde risico’s kunnen worden beperkt. Dit impliceert overigens niet dat profilering om fraude te detecteren niet mogelijk zou zijn. Artikel 22 AVG bevat immers geen algemeen verbod op profilering, noch een verbod op geautomatiseerde verwerking van persoonsgegevens als een onderdeel van besluitvorming. Het opstellen van bijvoorbeeld een risicoprofiel van een persoon met behulp van geautomatiseerde processen is op zichzelf dus niet verboden, zolang er op enig moment in het proces sprake is van menselijke tussenkomst. Om van «menselijke tussenkomst» te kunnen spreken moet de verwerkingsverantwoordelijke er dan wel voor zorgen dat het toezicht op de besluitvorming zinvol is en niet slechts een symbolische handeling vormt. Zo moet deze tussenkomst worden uitgevoerd door iemand die bevoegd en bekwaam is om het besluit te veranderen en die alle relevante gegevens in zijn analyse dient te betrekken.37 Op deze wijze mag met behulp van profilering in beginsel ook een proces worden ingericht dat detectie van fraude tot doel heeft.

[Noten]
33 Groep Gegevensbescherming artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, zoals laatstelijk gewijzigd en vastgesteld op 6 februari 2018, p. 7. Deze richtsnoeren zijn op 25 mei 2018 overgenomen door het Europees Comité voor gegevensbescherming («de gezamenlijke toezichthouders»).
34 Kamerstuk 34 851, nr. 3, p. 46.
35 Groep Gegevensbescherming artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, p. 25.
36 Kamerstuk 34 851, nr. 7, p. 72–73.
37 Groep Gegevensbescherming artikel 29, Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, zoals laatstelijk gewijzigd en vastgesteld op 6 februari 2018, p. 24–25.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce en getagged met , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s