Op 20 augustus 2021 kwam het bericht naar buiten dat de Autoriteit Persoonsgegevens (AP) ruim 160 vergunningen verleent aan financiële instellingen om gegevens over fraudeurs te registeren en met elkaar te delen in het incidentenwaarschuwingssysteem.
Volgens de Nederlandse Vereniging van Banken is de stijging van cybercriminaliteit zorgwekkend: “De groei van de totale schade door fraude en oplichting onderstreept de noodzaak om samen met overheid en andere partijen snel tot een integrale aanpak te komen om deze vormen van criminaliteit te bestrijden.’’ De stijging van criminaliteit door fraude en oplichting is duidelijk terug te zien bij financiële instellingen, zoals banken en verzekeraars. Deze instellingen worden regelmatig geconfronteerd met fraude. Daarbij komt dat fraudeurs vaak actief zijn bij meerdere financiële instellingen.
Een van de maatregelen om dit tegen te gaan is het incidentenwaarschuwingssysteem. In dit systeem, dat al in 2002 is opgesteld, worden verschillende incidenten opgenomen. Onder incidenten vallen veel verschillende vormen van fraude, denk bijvoorbeeld aan identiteitsfraude, maar ook marktplaatsfraude en phishing. Het incidentenwaarschuwingssysteem biedt financiële instellingen de mogelijkheid om gegevens over frauderende personen te registreren en met elkaar te delen om elkaar te waarschuwen voor fraudeurs. Dit stelt een bank bijvoorbeeld in staat om na te gaan of (potentiële) klanten of (ex)medewerkers een dreiging vormen.
De regels en waarborgen met betrekking tot het incidentenwaarschuwingssysteem, waaraan financiële instellingen zich moeten houden, zijn vastgelegd in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Per 1 april 2021 heeft de AP het nieuwe PIFI goedgekeurd. Het eerder geldende PIFI dateert uit 2017 en was gebaseerd op de toen geldende Wet bescherming persoonsgegevens, de voorloper van de AVG. De belangrijkste wijziging ten opzichte van eerdere PIFI’s is dat het nieuwe PIFI in lijn is gebracht met de AVG.
Uit het nieuwe PIFI volgt dat instellingen niet zomaar grootschalig gegevens mogen uitwisselen. Het PIFI heeft hiervoor een strikte procedure. Iedere deelnemer aan het waarschuwingssysteem dient een eigen Incidentenregister bij te houden, waarin de gegevens van personen worden vastgelegd die betrekking hebben op een incident. Aan het Incidentenregister is het Externe Verwijzingsregister gekoppeld. Het Extern Verwijzingsregister bevat uitsluitend verwijzingsgegevens die onder strikte voorwaarden in het register mogen worden opgenomen.
Het systeem werkt als en hit/no-hit-systeem. Een deelnemende instelling kan vragen of een persoon geregistreerd staat. Als deze persoon geregistreerd staat, en er dus sprake is van een ‘hit’, kan de deelnemende instantie, indien noodzakelijk en proportioneel, meer gegevens opvragen.
Deelnemen aan het incidentenwaarschuwingssysteem, houdt in dat een financiële instelling gegevens over incidenten en personen opneemt in een register en dus gegevens verwerkt. Het verwerken van persoonsgegevens vereist op grond van de AVG een grondslag. Hoewel een bank of verzekeraar als private organisatie in beginsel niet de wettelijke verplichting of taak heeft om fraude te voorkomen, kan een dergelijke financiële instelling wel een gerechtvaardigd belang hebben om gegevens over frauderende personen te verwerken om bijvoorbeeld fraude in een eigen financiële instelling te voorkomen.
Voor het verwerken van gegevens over frauderende personen is het gerechtvaardigd belang als grondslag echter niet genoeg. Dit komt doordat gegevens over frauderende personen, persoonsgegevens van strafrechtelijke aard zijn. De AVG vereist dat deze persoonsgegevens alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van betrokkene bieden. De wetgever heeft gebruik gemaakt van deze ruimte door vergunningen te verlenen voor de verwerking van deze gegevens. Een financiële instelling kan zelf een vergunning aanvragen bij de AP. Deze vergunning wordt slechts verleend aan financiële instellingen, waarbij de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Indien een instelling zich niet aan het PIFI houdt, kan de AP als toezichthouder een vergunning intrekken.
Het is dus van belang dat de deelnemende financiële instelling bij iedere vraag om gegevens te verstrekken of te ontvangen, steeds opnieuw een zorgvuldige belangenafweging maakt. De instelling dient zich af te vragen of het noodzakelijk is om gegevens van betrokkenen te verstrekken of te ontvangen. Dit gaat om een afweging tussen het privacybelang van de betrokkene(n) enerzijds en de belangen van de financiële instelling, zoals het bestrijden van fraude, anderzijds. Als het verstrekken of ontvangen van gegevens door de financiële instelling niet (langer) noodzakelijk is, zal het privacybelang van de betrokkene(n) meer gewicht in de schaal leggen.
Bestempeld worden als fraudeur, door registratie in het incidentenwaarschuwingssysteem, heeft ingrijpende gevolgen. Verwerking van strafrechtelijke gegevens, zoals fraudegegevens, vraagt daarom om een grote terughoudendheid en zorgvuldigheid. Voor je het weet ontstaat er eenzelfde situatie zoals bij de Toeslagenaffaire en belanden mensen ook hier op ‘het verkeerde lijstje’. We hebben gezien dat dit kan leiden tot ernstige gevolgen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.