De Minister van Rechtsbescherming schreef in een brief aan de Tweede Kamer dat aanpassing van de privacyregels wordt overwogen in verband met de misdaadbestrijding. De Minister beziet of aanpassing wenselijk als het gaat om:
· een adequate grondslag voor profilering door banken ter voorkoming van witwassen en fraude,
· cross-sectorale gegevensdeling te behoeve van de bestrijding van fraude,
· gebruik van het BSN-nummer door ondernemers, meer in het bijzonder door banken e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen.
De hierboven beschreven gegevensdeling en het gebruik van het BSN zou misschien kunnen bijdragen aan misdaadbestrijding. Er zitten ook grote risico’s aan, bijvoorbeeld als er onjuiste gegevens worden verspreid of als er datalekken optreden.
In een bijlage bij de brief worden de voorstellen als volgt toegelicht:
1.2.2 Geautomatiseerde besluitvorming en profilering door banken ter voorkoming van witwassen en fraude
Banken hebben de verplichting om hun bedrijfsvoering zo in te richten dat een goede werking van het betalingsverkeer wordt gewaarborgd. [15] Op grond van deze verplichting nemen zij maatregelen om fraude te voorkomen. Daarnaast monitoren banken transacties van hun cliënten vanwege verplichtingen op grond van Wet ter voorkoming van witwassen en financieren van terrorisme. Banken detecteren onregelmatigheden in transacties door ze te vergelijken met transacties die klanten met eenzelfde profiel normaal gesproken uitvoeren. Dit gebeurt geautomatiseerd. Als banken een afwijkende transactie detecteren, kan die worden bevroren, zodat de bank onderzoek kan instellen of kan doen bij de betrokkene. De hierboven beschreven handelswijze (het tijdelijk bevriezen van een transactie) van banken kwalificeert zich mogelijk als geautomatiseerde besluitvorming op basis van profileren. Op grond van artikel 22 van de AVG is daarvoor een wettelijke grondslag nodig, die ook voorziet in passende maatregelen om de rechten van betrokkenen te beschermen. VNO-NCW en MKB-Nederland hebben dit knelpunt in meer algemene bewoordingen in haar brief van 19 september 2018 onder mijn aandacht gebracht.
Het is onzeker of het daadwerkelijk gaat om geautomatiseerde besluitvorming op basis van profileren. Het kabinet gaat er vooralsnog vanuit dat de wetgeving die de verplichtingen aan banken oplegt, voldoet als grond voor de verwerkingen. Om dit met zekerheid te kunnen vaststellen is het nodig om meer onderzoek te doen naar hoe banken in de praktijk aan deze verplichting uitvoering geven. Het ministerie van Financiën zal hierover in overleg gaan met de sector. Eventueel kan naar aanleiding daarvan de wetgeving waarin deze specifieke verplichtingen voor banken zijn opgenomen, worden aangepast en kunnen daarin aanvullende waarborgen worden opgenomen. (…)1.2.4 Cross-sectorale gegevensdeling
In een brief van 11 juni jl. van de minister van JenV en mij heb ik bevestigd dat cross-sectorale uitwisseling van strafrechtelijke persoonsgegevens op basis van een door de AP te verlenen vergunning mogelijk is, als deze uitwisseling noodzakelijk is met het oog op een zwaarwegend belang van bepaalde private partijen en is voorzien in voldoende waarborgen dat personen niet ten onrechte op bijvoorbeeld een lijst komen te staan of blijven staan, met namen van personen die mogelijk fraude plegen. Tegen deze achtergrond is denkbaar – zo stelden wij – dat een vergunningaanvraag wordt ingediend voor de uitwisseling van persoonsgegevens van strafrechtelijke aard ten behoeve van de aanpak van bijvoorbeeld vastgoedfraude door naast betrokken partijen, zoals notarissen, makelaars, banken en pandeigenaren, die aan deze vereisten voldoet. [18]
Onderwijl hadden VNO-NCW en MKB-Nederland de AP gevraagd aan te geven onder welke voorwaarden een dergelijk cross sectoraal frauderegister mogelijk is. [19] Daarover is in aanvulling op wat in de eerder genoemde brief van 11 juni is vermeld, nog meer duidelijkheid ontstaan, nu de AP op 19 juni jl. een verzoek van Safecin om een vergunning voor het verwerken van persoonsgegevens van strafrechtelijke aard door de Fraudehelpdesk heeft afgewezen. [20] Uit dat besluit blijkt dat de aanvraag op een aantal onderdelen nog nader ingevuld of onderbouwd moet worden. Safecin heeft inmiddels laten weten hierover met de AP in gesprek te gaan en voor de Fraudehelpdesk een nieuwe vergunningaanvraag te willen indienen. Dat lijkt mij een goede weg, omdat de Fraudehelpdesk een nuttige bijdrage aan de preventie van fraude levert. Zoals in de brief van 11 juni al is aangegeven, wachten de minister van JenV en ik de ervaringen die door private organisaties worden opgedaan met hun voornemen tot cross-sectorale gegevensdeling ten behoeve van fraudebestrijding en eventuele daarbij spelende knelpunten binnen het huidige wettelijke privacy-kader af. Afhankelijk van die ervaringen zal zo nodig nadere wetgeving kunnen worden overwogen (…)1.2.7 Gebruik van het BSN
VNO-NCW en MKB-Nederland hebben gevraagd het burgerservicenummer (BSN), gezien de meerwaarde die het gebruik daarvan heeft voor allerlei administratieve processen en klantgerichte vertrouwensmodellen, vrij te geven voor een breder gebruik. Zij wijst daarbij op de regelgeving die Zweden op dit punt hanteert.
Voor de overheid is het gebruik van het BSN geregeld in artikel 10 van de Wet algemene bepalingen burgerservicenummer (Wabb). Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak gebruikmaken van het BSN, zonder dat daarvoor nadere regelgeving vereist is. Voor instellingen die geen beroep kunnen doen op artikel 10 Wabb, dient het gebruik te zijn voorgeschreven in sectorale wetgeving. Uitbreiding van het gebruik is mogelijk als het geregeld kan worden in sectorale wetgeving. Het ministerie van BZK is bekend met vragen vanuit het bedrijfsleven over het gebruik van BSN en zal over die vragen in gesprek met VNO/NCW en MKB-Nederland gaan, waarbij ook de Zweedse regelgeving zal worden betrokken.
Daarnaast ligt de vraag voor of het gebruik van het BSN dient te worden toegestaan ten behoeve van het uitoefenen van de poortwachtersfunctie van instellingen, zoals banken, andere financiële ondernemingen en verschillende beroepsbeoefenaars zoals advocaten, notarissen en accountants. Zij moeten op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme onderzoek doen naar hun cliënten om de risico’s op witwassen en financieren van terrorisme te beoordelen en daarop eventuele mitigerende maatregelen te treffen. Gebruik van het BSN kan deze taak vergemakkelijken. Met het oog op die vraag heeft de minister van Financiën mede namens de minister van JenV onlangs de AP om advies gevraagd over onder meer het gebruik van het BSN voor specifiek dit doel. Deze adviesaanvraag vloeit voort uit het Plan van aanpak witwassen dat op 30 juni jl. naar uw kamer is gezonden.[Noten]
[15] Artikel 3:10 en 3:17 Wet op het financieel toezicht (Wft) juncto de artikelen 14, vierde lid, en 26c Besluit prudentiële regels Wft.
[18] Kamerstukken II 2018/19, 17050, nr. 576, p. 7-8.
[19] Brief van 23 mei 2019 aan de voorzitter en de leden van de Vaste Commissie voor Justitie en Veiligheid van de Tweede Kamer der Staten-Generaal.
[20] Besluit z2018-12010.
Bovenstaande passage staat in een brief aan de Tweede Kamer over aanpassing van de Nederlandse uitvoeringswet op het gebied van de gegevensbescherming, de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). In die wet staan Nederlandse regels, in aanvulling op de Europese verordening, de Algemene Verordening Gegevensbescherming (AVG).
Meer informatie:
- Vindplaats brief: pagina Tweede Kamer Voornemens met betrekking tot de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) en Algemene verordening gegevensbescherming (AVG). Er wordt verwezen naar een brief (MS Word).
- Andere berichten op dit blog over de UAVG zijn hier te vinden. Op dit blog zijn diverse berichten over de AVG en over het BSN te vinden.
Ellen Timmer - juridische artikelen en berichten 