2073
Vragen van het lid Van Oosten (VVD) aan de Minister voor Rechtsbescherming over het bericht «Een database om miljardenfraudes te voorkomen: in het VK kan ’t wél» (ingezonden 30 maart 2018). Antwoord van Minister Dekker (Rechtsbescherming), mede namens de Minister van Justitie en Veiligheid (ontvangen 15 mei 2018). Zie ook Aanhangsel Handelingen, vergaderjaar 2017–2018, nr. 1887.

Vraag 1
Kent u het bericht «Een database om miljardenfraudes te voorkomen: in het VK kan ’t wél»?1
Ja.

Vraag 2
Wat vindt u van het Britse frauderegister? Deelt u de mening dat dit voor Nederland ook nuttig kan zijn?
Het Britse frauderegister, uitgevoerd door de non-profit organisatie Cifas, bestaat uit twee databases. De eerste is de National Fraud Database, die in hoofdzaak gegevensuitwisseling over een aantal verschijningsvormen van fraude gepleegd door bedrijven en burgers omvat. Voorbeelden zijn identiteitsfraude en verzekeringsfraude. De tweede is de Internal Fraud Database, die erop gericht is om signalen omtrent een fraudeverleden van (mogelijk) nieuwe medewerkers met werkgevers te delen. Het Britse Frauderegister draagt bij aan de preventie en bestrijding van fraude in het Verenigd Koninkrijk doordat de aangesloten, voornamelijk private partijen, bijvoorbeeld financiële instellingen en verzekeringsinstellin- gen, elkaar via deze nationale database waarschuwen voor fraudesignalen («confirmed fraude data»). Op basis hiervan kan de ontvanger van zo’n signaal nader onderzoek doen («flagged warning»). De fraudesignalen worden via het National Fraude Intelligence Bureau (NFIB) gedeeld met de politie.

Cifas is in de Britse Serious Crime Act 2007 aangemerkt als «Specified Anti-fraud Organisation». Hiermee kent het Verenigd Koninkrijk een specifieke wettelijke basis voor deze publiek-private gegevensuitwisseling op fraudege- bied. Zoals in het bericht in Forum van 23 maart jl. staat aangegeven kent het systeem van Cifas een aantal waarborgen ter bescherming van de in het systeem opgenomen personen: de registratie vervalt automatisch na zes jaren wanneer er geen nieuwe fraudes zijn gepleegd, een betrokkene kan tegen een onterechte opname in het systeem bezwaar maken en zijn dossier opvragen, er wordt contact tot stand gebracht tussen de betrokkene en het bedrijf dat de betrokkene heeft geregistreerd om die registratie nader te onderzoeken, Cifas onderzoekt de registratie en uiteindelijk kan de kwestie worden voorgelegd aan de Britse ombudsman. De focus van het kabinetsbeleid met betrekking tot fraude in Nederland ligt op de preventie van fraude door het versterken van bewustwording van burgers en bedrijven en het opwerpen van barrières om het de fraudeur zo moeilijk mogelijk te maken. Daarin heeft ook het bedrijfsleven een belangrijke rol. Een frauderegister ten behoeve van private deelnemers zou kunnen bijdragen aan de preventie van fraude, maar moet dan uiteraard wel voldoen aan de voorwaarden die het gegevensbeschermingsrecht daaraan stelt. Ik wijs in dat verband naar het antwoord op vraag 4.

Vraag 3
Klopt het dat de FraudeInfodesk is geïnspireerd op het Britse frauderegister, maar dat de Autoriteit Persoonsgegevens dwarsligt? Wat zijn volgens u de bezwaren van de Autoriteit Persoonsgegevens tegen de FraudeInfodesk? Hoe oordeelt u over deze bezwaren? Wat heeft dit voor gevolgen voor de toekomst van de FraudeInfodesk?
Tijdens het Algemeen Overleg Criminaliteitsbestrijding op 22 februari jl. heeft de Minister van Justitie en Veiligheid aangegeven dat de Autoriteit Persoons- gegevens (AP) functioneert in volledige onafhankelijkheid. Het is niet aan de Minister van Justitie en Veiligheid of aan mij om de AP sturing te geven op de wijze waarop zij na de inwerkingtreding van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) krachtens artikel 33, vierde lid, aanhef en onderdeel c, en vijfde lid van die wet vergunningen verleent. Het is dus ook niet aan mij om te oordelen over eventuele bezwaren van de AP tegen bepaalde vormen van gegevensuitwisseling, bijvoorbeeld in het geval van de zogenaamde FraudeInfodesk. De FraudeInfodesk moet functioneren binnen het geldende wettelijke kader en heeft met het oog op de verwerking van persoonsgegevens van strafrechtelijke aard een vergunning nodig van de AP. Binnen het Nationaal Platform Criminaliteitsbeheersing is afgesproken om onder regie van het bedrijfsleven te verkennen hoe binnen de geldende wettelijke kaders cross-sectoraal gegevens kunnen worden uitgewisseld. De AP heeft aangegeven hierbij een rol te willen vervullen.

Vraag 4
Herinnert u zich de antwoorden van de toenmalige Minister van Binnenlandse Zaken en Koninkrijksrelaties tijdens het vragenuur van 10 oktober 2017, die zei: «Als de conclusie van de collega van VenJ is dat er binnen het huidige wettelijke kader onvoldoende fraudebestrijding mogelijk is, komt er wellicht een moment om het wettelijk kader aan te passen»? Is de conclusie dat er binnen het huidige wettelijke kader onvoldoende fraudebestrijding mogelijk is? Zo nee, waarom niet? Zo ja, op welke wijze gaat u dan het wettelijke kader aanpassen, zodanig dat fraudeurs niet keer op keer bedrijven kunnen oplichten omdat hun persoonsgegevens niet mogen worden gedeeld?
Deze herinner ik mij. De Minister van Justitie en Veiligheid heeft tijdens het Algemeen Overleg Criminaliteitsbestrijding aangegeven dat hij, zoals door de toenmalig Minister van Binnenlandse Zaken en Koninkrijksrelaties is toegezegd, met de stichting SAFECIN en de Autoriteit Persoonsgegevens gesprekken heeft gevoerd over de juridische vraagstukken die spelen op het gebied van informatiedeling tussen private partijen binnen de zogenaamde FraudeInfodesk. Hij heeft toen ook aangegeven dat hij de uitkomsten van die gesprekken heeft beschouwd in het licht van de Algemene verordening egevensbescherming (AVG) die per 25 mei a.s. op die private cross-sectorale gegevensuitwisseling van toepassing is.

Ik concludeer op dit moment niet dat binnen het huidige wettelijke kader onvoldoende fraudebestrijding mogelijk is. In het hiervoor genoemde Algemeen Overleg Criminaliteitsbestrijding op 22 februari jl. heeft de Minister van Justitie en Veiligheid aangegeven dat cross-sectorale gegevensuitwisse- ling ter bestrijding van fraude – net als binnen het nu nog geldende wettelijke kader van de Wet bescherming persoonsgegevens – ook binnen het kader van de AVG mogelijk blijft. Hierbij geldt als voorwaarde dat de AP daarvoor vergunning heeft verleend.

De AP kan een dergelijke vergunning verlenen, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van betrokkenen niet onevenredig wordt geschaad (artikel 33, vijfde lid UAVG). Het tegengaan van fraude kan als een zwaarwegend belang voor onderneming en bedrijf worden aangemerkt. De AP zal vooraf de vergunning- aanvraag toetsen op noodzaak en evenredigheid. Daarbij kunnen, zoals in de Nota naar aanleiding van het verslag bij de UAVG2 reeds is gemeld, onder andere de volgende omstandigheden een rol spelen:

– de mate waarin opname van een individu in het systeem waarop de gegevensuitwisseling betrekking heeft, kan betekenen dat betrokkene wordt uitgesloten van bijvoorbeeld eerste levensbehoeften of van goederen of diensten die betrekking hebben op een (klassiek of sociaal) grondrecht;
– de kwetsbaarheid van bepaalde groepen betrokkenen, zoals minderjarige klanten en werknemers, oudere werknemers en werknemers die geen mogelijkheid hebben om een eventueel ontslag aan te vechten;
– de reikwijdte van het systeem, in termen van zowel degenen die het systeem kunnen vullen, degenen die gegevens in het systeem kunnen raadplegen en degenen van wie persoonsgegevens in het systeem kunnen worden verwerkt. – Hoe groter de reikwijdte van het systeem, hoe ingrijpender de gevolgen van opname van een betrokkene in het systeem kunnen zijn. Naarmate de reikwijdte van een systeem groter is, zullen derhalve de waarborgen voor betrokkenen zwaarder moeten zijn of zal het systeem in het geheel niet door de toetsing komen. Het beperken van de reikwijdte van het systeem (geografisch, sectoraal of anderszins) kan bijdragen aan een positieve uitkomst van de proportionaliteitsafweging.3

Tijdens de behandeling door uw Kamer van het voorstel voor de UAVG op 8 maart jl. is de motie-Koopmans overgenomen die de regering vraagt uw Kamer binnen een half jaar na inwerkingtreding van de AVG en de UAVG te berichten over de ervaringen met onder andere de privacyaspecten rondom het branchebreed aanleggen van zwarte lijsten van fraudeurs en over haar voornemens inzake de aanpak daarvan, zo nodig door middel van nieuwe wetgeving.4 Ik wacht de ervaringen met betrekking tot de aanvraag van een vergunning bij de AP voor cross-sectorale gegevensuitwisseling tussen private partijen ten behoeve van fraudebestrijding binnen de zogenaamde FraudeInfodesk af. Afhankelijk van deze ervaringen zal zo nodig en mogelijk nieuwe wetgeving kunnen worden overwogen.

---

Bronnenlijst
1 Forum, 23 maart 2018
2 Kamerstuk 34 851, nr. 7, blz. 55
3 Kamerstuk 34 851, nr. 7, blz. 54–55.
4 Kamerstukken II, vergadering 8 maart 2018, blz. 59-4-33.