Nieuws, updates en meer

Zijn geautomatiseerde controles op fraude toegestaan?

Het voelde een beetje alsof je de Belastingdienst belt om te vragen of ze tijd en zin hebben om langs te komen voor een audit. Ook als je niks te verbergen hebt, zullen er niet veel mensen op voorhand heel enthousiast worden van dat idee. En toch was het nodig: we gingen een mail sturen naar de Autoriteit Persoonsgegevens om uitleg te vragen over hoe hun voorschriften geïnterpreteerd moesten worden.

Woord vooraf

Voordat we verder gaan, willen we even een paar dingen zeggen. Wij nemen privacy en de bescherming van gegevens erg serieus. Dat wij zorgvuldig met gegevens omgaan is de levensader van ons bedrijf. Dat er strenge privacy-wetgeving bestaat is nodig en we doen er alles aan om ons daaraan te houden. Dat de Autoriteit Persoonsgegevens een moeilijke taak heeft, om met – waarschijnlijk – weinig mankracht een enorme berg werk te verzetten, is iets waar ze waardering en respect voor verdienen.

En toch... Er zit een schaduwkant aan strenge en complexe regulering. Een kant die innovatie belemmert en van veel bedrijven onredelijk veel kennis en inspanning vraagt om alles netjes geregeld te hebben. Laten we verder gaan met het verhaal.

Automatisch potentiële fraude opsporen

Met wijcontrolerenjedata.nl analyseren we de data van onze klanten op fouten en risico’s. Onze klanten betalen ons daarvoor en in ruil besparen wij hen geld en tijd. Bijvoorbeeld omdat we dubbele facturen voor ze opsporen. We verkopen geen data. Geen advertenties. Geen gekkigheid.

Eén van de controles die we willen gaan ontwikkelen is een controle op frauderisico’s. Veel spookfacturen bevatten namelijke vreemde postadressen. Bijvoorbeeld het postadres van een tankstation. Met onze fraude-controle willen we een algoritme de facturen van onze klanten laten controleren op dat soort vreemde postadressen. De data die je daarvoor nodig hebt is heel simpel: een lijst met postadressen uit een factuurstroom en een lijst met opvallende locaties. En toch wordt het hier ineens heel ingewikkeld.

Strafrechtelijke persoonsgegevens

Fraude is namelijk strafbaar. En persoonsgegevens (wat een postadres kan zijn) die te maken hebben met fraude kunnen zogenaamde strafrechtelijke persoonsgegevens zijn. En om strafrechtelijke persoonsgegevens te mogen verwerken heb je (op een paar uitzonderingsgevallen na)... een vergunning nodig.

Even voor de duidelijkheid, in dit artikel zal ik je niet vermoeien met een inhoudelijke analyse van wanneer precies sprake is van strafrechtelijke persoonsgegevens, wat de Hoge Raad daarover zegt en welke haken en ogen daar allemaal aan zitten.

Ik wil je in dit artikel meenemen op de reis die je moet maken als goedbedoeldende dataverwerker, in je zoektocht naar het op een nette manier verwerken van data.

Nou ben ik – je nederige schrijver van dit artikel – toevallig jurist (ik was op school altijd wel goed in begrijpend lezen). EU-verdragen lezen is niet mijn hobby, door jurisprudentie spitten ook niet. Yuck. Maar ik kan het wel. Dus ging ik wel even uitzoeken of we wel of niet een fraude-controle mogen aanbieden via wijcontrolerenjedata.nl.

Mag je strafrechtelijke persoonsgegevens verwerken?

Stap 1. www.autoriteitpersoonsgegevens.nl. Op zichzelf is dat al een redelijk intimiderende ervaring. Prominent in beeld staan nieuwsberichten als: “AP: Boete orthodontiepraktijk vanwege onbeveiligde patientenwebsite.” Direct daaronder een opvallend kader met daarin de tekst “Ik wil een privacy-klacht melden”, waarbij de bijbehorende knop voorzien is van een icoontje van een grote kerkklok. Onderaan het scherm zie je onder het kopje “Privacy & over deze site” maar liefst twaalf links staan, met disclaimers, privacybeleid, et cetera. Een ding is duidelijk: deze mensen maken geen grappen.

Stap 2. Je gaat zoeken naar informatie op de site. Je ‘doorzoekt de hele site’ op de term “strafrechtelijke persoonsgegevens”.

Bam. 613 zoekresultaten.

Uiteindelijk vind je dit:

Strafrechtelijke persoonsgegevens zijn persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten. Of met veiligheidsmaatregelen die daarmee verband houden.

Hieronder vallen zowel veroordelingen als mogelijk gegronde verdenkingen. Dit wil zeggen dat er concrete aanwijzingen zijn dat iemand een strafbaar feit heeft gepleegd.

Met gegevens over veiligheidsmaatregelen worden persoonsgegevens bedoeld die te maken hebben met een door de rechter opgelegd verbod vanwege onrechtmatig of hinderlijk gedrag.

Onder de Algemene verordening gegevensbescherming (AVG) gelden speciale regels voor het verwerken van strafrechtelijke gegevens.

Best een goede uitleg, maar als er een potentiële boete van € 20.000.000 op het spel staat, is wat meer zekerheid niet verkeerd. De orthodontiepraktijk uit het nieuwsbericht kwam overigens weg met een boete van ‘maar’ € 12.000 omdat nieuwe patiënten zich via een onbeveiligde website konden aanmelden.

Terug naar ons plan om factuurfraude op te sporen door het factuuradres te matchen met ongebruikelijke locaties. Verstuur je een factuur met daarop het adres van een tankstation of een aanlegsteiger, dan zou dat een concrete aanwijzing kunnen zijn dat iemand een strafbaar feit heeft gepleegd. Een strafbaar feit gepleegd door degene die de factuur heeft verstuurd, niet door de eigenaar van de aanlegsteiger, waarvan het adres is misbruikt. En toch zou er een kans kunnen zijn dat de fraude negatief afstraalt op de rechtmatige eigenaar van de aanlegsteiger.

Reden genoeg om dit zorgvuldig uit te zoeken. Tijd voor stap 3. We gaan het de Autoriteit Persoonsgegevens vragen.

Op de contactpagina staat netjes een telefoonnummer, maar er staat ook bij dat vragen van een Functionaris Gegevensbescherming (hé dat ben ik!) via de ‘speciale FG-contactkanalen’ dienen te verlopen.

Ik voel me graag speciaal en klik snel door.

Daar aangekomen viel mijn oog op een linkje met de tekst “met wat voor vragen kan ik als FG wel en niet bij de AP terecht?”. Daaruit blijkt dat het niet de bedoeling is om zomaar even een vraag te stellen. Je bent FG of je bent het niet. Geen domme vragen, doe je huiswerk. Of zoals de Autoriteit Persoonsgegevens het omschrijft: “We verwachten dat u als FG het nodige voorwerk heeft gedaan voordat u ons een vraag stelt. Verwijs bij uw vraag zo veel mogelijk naar specifieke wetsartikelen, guidelines of jurisprudentie waarnaar u heeft gekeken. Dan kunnen wij uw vraag sneller beantwoorden.” en verder “We geven zelden een oordeel over een specifieke situatie. Dat vraagt namelijk om een beoordeling van alle feiten, omstandigheden en belangen. Als FG heeft u bij uitstek het benodigde inzicht in de relevante gegevensverwerkingen, de informatiesystemen en de proportionaliteit van de verschillende beschermingsmaatregelen. Als FG ziet u erop toe dat de verwerkingsverantwoordelijke de verschillende persoonsgegevens op een passende manier beveiligt en dit kan verantwoorden richting klanten, burgers en natuurlijk aan de AP als toezichthouder.”

Ok, helder. Geen domme vragen en waarschijnlijk geen specifiek antwoord terug. Eigenlijk is het gewoon een beetje een zwaktebod om als FG überhaupt een vraag te stellen. Een goede FG, weet het antwoord zelf.

Ik stapte over mijn trots heen en ging het doen. Ik ging over naar stap 4. Ik dook er in. Las jurisprudentie, analyseerde een vergelijkbare casus van de Fraudehelpdesk en pakte mijn kopie van de Uitvoeringswet Algemene verordening gegevensbeschering erbij. Het kostte tijd, moeite en overdreven veel gesteun. Maar hij lag er.

Een blinkende mail waarin ik mijn casus gedetailleerd uitlegde, verwees naar jurisprudentie, mijn begrip uitsprak voor het feit dat men waarschijnlijk geen specifiek oordeel zou kunnen geven en smeekte of er in algemene zin wat meer duidelijkheid te geven was.

Een mail verzenden voelde nog nooit zo beangstigend en geruststellend tegelijk.

Grofweg drie weken later werd ik gebeld.

De zeer vriendelijke medewerker van de Autoriteit Persoonsgegevens zag dat ik een uitgebreide mail had gestuurd. Vond even bellen wel zo makkelijk, gaf aan niks te kunnen zeggen over mijn specifieke geval, deed een paar algemene (hoogover) uitspraken en deed de suggestie om een advocaat in te huren om naar mijn casus te kijken.

Vervolg

En nu?

Nu weet ik het nog niet. In onze optiek hebben we voor ons algoritme geen vergunning nodig. We hebben desondanks besloten voor zekerheid te gaan en een vergunning aan te vragen voor de beoogde data-analyse. Dan hebben we in ieder geval een gedetailleerde uitspraak.

De moraal van dit verhaal?

Privacy is heel erg belangrijk. Wij doen er alles aan om die te beschermen en het is heel goed dat we een machtige organisatie in Nederland hebben die voor die privacy vecht.

Punt.

Witregel.

En ja, we snappen dat de Autoriteit Persoonsgegevens heel voorzichtig is met het doen van uitspraken in gevallen waarin ze misschien niet alle details kennen. Hun medewerkers werken hard, hebben het erg druk en zullen met de beste intenties doen wat ze doen.

Maar als je regelgeving zo taai en complex maakt dat bedrijven alleen door specialisten in te huren kunnen snappen ‘wat er staat’, dan klopt er iets niet. Ten eerste fnuik je innovatie. Goede ideeën zullen blijven liggen, uit angst om als orthodontiepraktijk een boete van € 12.000 te krijgen. Bedrijven die wel durven, zullen de regels breken. Niet omdat ze dat willen, maar omdat ze de regels niet snappen.

En dat is eeuwig zonde.

Zo, dan is het nu tijd voor het starten van een vergunningsaanvraag...

Wens me sterkte.

Welkom bij
WijControlerenJedata.nl

Voordat je verder gaat, vragen we je akkoord te gaan met onze Algemene voorwaarden en onze Cookies.

Ik ga niet akkoord Ik ga akkoord

Controleren javascript ondersteuning

Voor een optimale gebruikerservaring, maakt deze website intensief gebruik van javascript.

Als deze tekst niet snel wordt vervangen, ondersteunt uw browser GEEN javascript. Schakel javascript in uw browser in of gebruik een andere browser.