Al eerder schreef ik over de ongezonde belangstelling bij de Tweede Kamer voor de Engelse zwarte lijst van fraudeurs, CIFAS of Cifas.

Die belangstelling lijkt er nog steeds te zijn, want het fenomeen staat weer op de agenda, op 13 januari 2022 is een rondetafelgesprek van de commissie Justitie en Veiligheid van de Tweede Kamer gepland, onder de titel ‘Fraudepreventie (CIFAS)‘. Een nadere toelichting ontbreekt [1]. In maart 2020 is een vergadering geweest maar ik kan op overheid.nl en op de site van de Tweede Kamer niet vinden dat er daarna iets mee gebeurd is, anders dan dat er in een rapport over de VOG kort melding van wordt gemaakt [2].

Zwarte lijsten
Zwarte lijsten [3] kennen we al in de financiële sector, zoals de interne ‘gebeurtenissenadministratie’, de interne zwarte lijst (IVR) en de externe zwarte lijst (EVR) van financiële instellingen. De rechtsbescherming tegen plaatsing op die zwarte lijsten is slecht geregeld.

Verder maken ondernemingen die witwassen moeten bestrijden op grond van de Wwft, zoals banken, gebruik van schimmige databases van Angelsaksische gegevenshandelaren, waarin soms ook vermeende criminelen zijn opgenomen, naast nette burgers overigens. Nog nooit heb ik gehoord dat deze gegevenshandelaren zich aan de AVG houden, bijvoorbeeld door de personen die in hun database zijn opgenomen te informeren over de registratie, in de gelegenheid te stellen te verifiëren of de gegevens juist zijn en gegevens indien daar reden voor is te corrigeren.

Gegevensuitwisseling voor de misdaadbestrijding
In het kader van de bestrijding van misdaad (tegenwoordig ‘ondermijning’ of ‘witwassen’ genaamd) wordt op dit moment voortdurend geroepen dat er meer gegevensuitwisseling zou moeten plaats vinden, terwijl er al zoveel uitwisseling is, en de fundamentele discussie over de concepten inzake de misdaadbestrijding niet plaats vindt. Niet voor niets had de Autoriteit Persoonsgegevens zware kritiek op het wetsvoorstel Wet gegevensverwerking door samenwerkingsverbanden (WGS), zoals door de Tweede Kamer is aangenomen.

Nogmaals voor alle misdaadbestrijders die om uitwisseling roepen: de AVG staat niet in de weg aan uitwisseling maar eist:

• een goede wettelijke grondslag voor uitwisseling,
• zorgvuldige omgang met gegevens (dus niet iemand beschuldigen zonder goede feiten) en
• adequate rechtsbescherming voor de burgers.

Zodat er straks geen Toeslagenaffaire in de misdaadbestrijding ontstaat.

Position paper B. Schermer
Ten behoeve van de sessie is door B. Schermer een position paper uitgebracht waarin hij signaleert dat cross-sectorale gegevensverwerking op dit moment wettelijk niet is toegestaan. In de VK is dat anders, omdat CIFAS daar een eigen wettelijke grondslag als ‘fraud prevention organisation’ heeft. Opmerkelijk is dat er geen wetenschappelijk onderzoek is gedaan naar de negatieve effecten van CIFAS.

Schermer geeft aan dat een wettelijke basis in Nederland kan worden gecreëerd voor cross-sectorale gegevensuitwisseling:

Bij de vraag of er een wettelijke basis voor cross-sectorale gegevensdeling moet komen in Nederland moeten grofweg twee belangen worden gewogen: dat van het beschermen van consumenten en bedrijven tegen fraude en dat van de bescherming van de rechten en vrijheden van de geregistreerden. In het bijzonder moet daarbij rekening worden gehouden met personen die mogelijk onterecht in het systeem komen.

Hij geeft aan dat er dan adequate waarborgen nodig zijn, om te voorkomen dat er onzorgvuldig wordt gehandeld.

Tot slot
Het is te hopen dat de leden van de Tweede Kamer zich wat beter gaan verdiepen in alle zwarte lijsten die er in de misdaadbestrijding al zijn en in de risico’s van ongecontroleerde en ondeskundige gegevensuitwisseling. En lees nog eens Ben van der Burg, die een mooi artikel schreef onder de titel ‘Met vuur spelende data-uitwisselaars’.

Noten

[1] In de besluitenlijst JenV van 21 januari 2021 staat niet meer dan ‘Gesprek Cifas’. Hetzelfde wordt in een agenda van 19 januari 2021 gezegd. Op 24 maart 2020 was een gesprek, daar schreef ik in april 2020 over. In een verzoek van 24 maart 2020 is vermeld:

Van: Commissie J&V
Verzonden: donderdag 19 maart 2020 17:03
Aan: GC-Commissie-J&V
Onderwerp: J&V: e-mailprocedure gesprek over het Engelse Cifas-systeem

Geachte (plv.) leden van de vaste commissie voor Justitie en Veiligheid,

Op 2 april a.s. was het gesprek gepland met de projectgroep VODIOM (voorheen FraudeInfodesk) en VNO-NCW/MKB-Nederland, die zich samen inzetten voor een experiment t.a.v. een cross-sectoraal register om fraude en het faciliteren van ondermijning te voorkomen. In dat gesprek zou de commissie worden geïnformeerd over de werking van het Engelse Cifas-systeem (www.cifas.org.uk). Dit gesprek is tot nader order uitgesteld vanwege de ontwikkelingen t.a.v. het coronavirus.

Vanuit de sprekers wordt het volgende alternatief voorgesteld:

“Onze stuurgroep zorgt samen met het Engelse Cifas voor een online demo van het Engelse cross-sectorale register (in te zetten op het tegengaan van zowel ondermijning als fraude), in alle rust en in eigen geplande tijd te bekijken via een beveiligde sessie. De voorzitter van MKB-Nederland, Jacco Vonhof, zal ter zake en online een korte inleiding houden.

In een algemeen overleg van 13 juni 2019 (vaste commissie JenV) kwam Cifas kort aan de orde:

Een tweede punt is de crosssectorale gegevensdeling. Ik dank de Minister voor het rapport van de firma Considerati, waarin wordt gekeken hoe in Engeland Cifas geregeld is en of dat in Nederland ook zou kunnen. Ik dank hem ook voor de beleidsreactie, maar ik zal heel eerlijk zeggen dat ik het een buitengemeen bleke beleidsreactie vond. Ik zou me kunnen voorstellen dat deze Minister van VVD-huize best aan criminaliteitsbestrijding wil doen. In de brief van de Minister staan alle letters op de goede plek, maar het is op zich toch een heel goed teken dat ondernemers in het bedrijfsleven zelf verantwoordelijkheid willen nemen om binnen de grenzen van de AVG boeven van hun erf te houden? Dat is ook voor alle andere consumenten een voordeel. In Engeland besparen ze op jaarbasis een miljard pond, gewoon door pure criminaliteit buiten de deur te houden, met toezicht door een ombudsman en een verbinding met de politie. En laten we wel wezen. Ik weet dat er, onder andere door het Verbond van Verzekeraars, een poging is gewaagd om hier iets aan te doen en bij de AP een vergunning aan te vragen. Dat heeft het Verbond van Verzekeraars tonnen gekost aan juridisch advies en juridische ondersteuning. Maar van deze brief druipt niet het enthousiasme om dat maar eens in brede zin, zoals in Engeland, te doen. Let wel: in Engeland zijn ze 20 of 30 jaar bezig geweest om van een bescheiden initiatief te komen tot wat het nu is. Ik vraag de Minister uitdrukkelijk om zelf meer een positie in te nemen en te zeggen wat hij hiervan vindt, dus gewoon politiek, en toch te kijken of we niet in de nieuwe wet gegevensdeling of in de UAVG een wettelijke basis kunnen vinden. Ik denk namelijk dat we dit puntje niet op het bord van de AP moeten leggen, want we weten dat dat bord al heel vol is. Aan dit onderwerp zitten ook echt politieke aspecten, die zich lenen voor een behandeling in wetsverband. Daarom vraag ik de Minister uitdrukkelijk om daarover iets te zeggen in zijn termijn.

[2] Rapport Verklaring Omtrent het Gedrag Rechtspersonen, Kamerstuk 35570-VI, nr. 112. Op pagina 31 worden alternatieven voor de VOG besproken en staat:

Tot slot zijn ook de laagdrempeligheid en snelheid van het instrument mogelijke verbeterpunten. Met name voor kleinere organisaties zijn dit belangrijke redenen om ergens wel of geen gebruik van te maken. Eén gesprekspartner suggereerde bijvoorbeeld een andere aanpak, vergelijkbaar met ‘Cifas’ in Engeland.⁴¹ Dit is een frauderegister waarmee bedrijven gegevens over frauduleuze rechtspersonen kunnen uitwisselen, dat altijd ‘real-time’ toegankelijk is. Het controleren van andermans integriteit wordt zo aanmerkelijk eenvoudiger.

⁴¹ Zie: https://www.cifas.org.uk/.

[3] Over zwarte lijsten in het algemeen is informatie bij de Autoriteit Persoonsgegevens te vinden.