Er bestaat een onuitroeibare onkunde, als het gaat om de relatie tussen gegevenbescherming (AVG) en misdaadbestrijding.
Een sterk staaltje is te vinden in de opinie van Jorij Abraham en Marianne Junger in het NRC, in We kunnen veel meer doen tegen online fraude roepen zij:
Nederlandse Fraudehelpdesk werd in 2021 op de vingers getikt door de Autoriteit Persoonsgegevens omdat ze geen gegevens over mogelijke fraudeurs mag verzamelen en bewaren. Het gevolg is dat veel organisaties op geen enkele manier data over cybercriminaliteit durven delen. En dat is noodzakelijk om scams vroegtijdig te stoppen en meer slachtoffers te voorkomen.
De Europese Commissie lijkt langzaam tot het inzicht te komen dat de balans is doorgeslagen. Zij is bezig wetgeving aan te passen. Ook heeft Brussel recentelijk de Autoriteit Persoonsgegevens berispt omdat het de privacywetgeving te restrictief opvat.
Wat deze auteurs (en vele anderen met hen) niet begrijpen is dat de AVG het gegevens delen ten behoeve van de misdaadbestrijding niet verbiedt. Op grond van de AVG is het nodig dat er een wettelijke grondslag is voor het uitwisselen van misdaadbestrijdingsgegevens en zijn waarborgen nodig om te voorkomen dat er schade ontstaat door een onjuiste omgang door overheden en private partijen met gegevens.
Er staat niets aan in de weg om de Fraudehelpdesk via wetgeving een officiële status te geven, een wettelijke grondslag te creëren voor de verwerking van gegevens en te zorgen voor waarborgen. Dan is het niet meer nodig dat de Fraudehelpdesk op grond van de gewone gegevensbeschermingsregels een vergunning aanvraagt.
Schade door onjuiste omgang met persoonsgegevens in de misdaadbestrijding: de Toeslagenaffaire en het advies AP over fraudebestrijding door de Belastingdienst
Dat het met die omgang met persoonsgegevens vreselijk mis kan gaan, laat de Toeslagenaffaire zien.
Lees in dat verband het advies van de Autoriteit Persoonsgegevens (AP) van 21 juli jl. over nieuwe plannen voor fraudeopsporing door de Belastingdienst, zoals recent bekend gemaakt. Dit advies wordt uitgebracht ondanks het feit dat de adviesaanvraag prematuur was. De AP besluit toch te adviseren en motiveert dit aldus:
Vervolgens oordeelt de AP dat de Belastingdienst nog het nodige huiswerk heeft:
- De gegevensbeschermingseffectbeoordeling is te beperkt.
- Er dient beter te worden nagegaan of er een nauwkeurige en duidelijke wettelijke grondslag voor de gegevensverwerking is.
- Aan het beginsel van dataminimalisatie wordt niet voldaan.
- Er is het risico dat mensen als fraudeur worden gesignaleerd en daarvan nadeel ondervinden, terwijl helemaal niet is vastgesteld of er daadwerkelijk van fraude sprake is. Ook is er te weinig aandacht voor gevolgen van de signalering voor andere betrokkenen (in de omgeving van de gesignaleerde persoon).
- Er is geen zekerheid over de juistheid van de gegevens waarover de Belastingdienst beschikt. Er kan nog oude, onjuiste of discriminatoire informatie in de systemen van de fiscus zitten.
De AP concludeert:
—
NB Of de Europese Commissie de AP wel mag berispen is overigens de (juridische) vraag. De Europese Commissie houdt zich zelf niet aan de Europese databeschermingsregelgeving, wat aangeeft dat dit onderwerp bij hen niet in goede handen is. Een Europese databeschermingsorganisatie (EuGD Europäische Gesellschaft für Datenschutz mbH) steunt een procedure tegen de Europese Commissie, vanwege het gebruik van Amazon Web Services en de integratie van een Facebook login op de site van de Commissie, lees hierover dit artikel van het advocatenkantoor dat de klager bij staat.
Ellen Timmer - juridische artikelen en berichten 