Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

Banken mogen een zwarte lijst aanleggen van fraudeurs

 

Banken mogen een zwarte lijst aanleggen van fraudeurs

Dat is wat kort door de bocht maar het komt er wel op neer.

Persbericht

Uit een persbericht van de AP 20 augustus: “Banken en andere financiële instellingen hebben een vergunning gekregen van de Autoriteit Persoonsgegevens om gegevens van personen die een bedreiging vormen voor het financiële stelsel onder voorwaarden te delen.
Deze voorwaarden staan in het vernieuwde Protocol Incidentenwaarschuwings-systeem Financiële Instellingen (PIFI).
Hierdoor kunnen banken en andere financiële instellingen elkaar blijven waarschuwen voor criminaliteit in de financiële sector via het Incidentenwaarschuwingssysteem Financiële Instellingen.”. Kortweg: PIFI.

Goed en slecht nieuws

Dat is goed nieuws en slecht nieuws. Het goede nieuws is dat het natuurlijk heel logisch dat gegevens worden gedeeld om verdere fraude te voorkomen. Dat scheelt geld en ontmoedigt frauderen. Het systeem om fraude te bestrijden is nu erg inflexibel en desondanks niet waterdicht tegen kwaadwillenden. Het zou heel mooi zijn om meer grip op fraude te krijgen.

Het slechte nieuws is dat er een vergunning nodig is om een zwarte lijst op te bouwen, zodat de AP weet wat er speelt. Dat is natuurlijk weer een drempel. Maar onlogisch is dat niet; we weten allemaal met de toeslagenaffaire hoe dat bij de Belastingdienst is gelopen!
Het verkrijgen van een vergunning betekent ook dat scherpe checks-and-balances moeten zijn toegepast tegen willekeurige toepassing van lijsten en criteria.

Zwarte lijsten in andere sectoren

Het belang van de vergunning straalt ook uit naar andere sectoren: scholen, openbaar vervoer, zorg, en verenigingen. Voor hen een klein exposé over deze ontwikkeling en de zwarte lijst zelf.

De “zwarte lijst”

Een zwarte lijst mag, onder voorwaarden worden aangehouden. We kennen al de “collectieve horeca-ontzegging” en het “collectief winkelverbod”. Het PIFI dateert ook al van 2011 en is al in 2013 eens herzien.

Het verschil zit’m erin dat de eerste twee sectoraal zijn: alleen de horeca en de lokale winkels mogen onderling gegevens delen, terwijl het PIFI over alle financiële sectoren heen gaat. Daarnaast mag men, onder voorwaarden, ook strafrechtelijke registreren en gegevens delen! De AP beseft dat dat een grote reikwijdte heeft en dus grote gevolgen voor Betrokkenen die op die lijst komen te staan. Er zijn dus gedegen check-and-balances ingesteld!

Soorten van zwarte lijsten

De AP noemt een paar soorten zwarte lijsten, elk met zijn eigen reikwijdte.
De interne lijst: een interne verwerking; eigen “ervaring” mag worden vastgelegd. Dan de sectorale lijst, die beperkt is in (gelijksoortige) deelnemers en/of geografische gebied. Daarop volgt de cross-sectorale lijst die over meerdere toepassingen gaat zoals nu het geval is met het PFI. De laatste lijst kan dus ook strafrechtelijke gegevens bevatten.

De Check-and-balances

In de  “Handreiking cross-sectorale gegevensdeling tussen private partijen” geeft de AP aanwijzingen:

C-a-B 1: een DPIA

Allereerst zal er een diepgaande DPIA moeten worden gedaan. Alle risico’s moeten in kaart worden gebracht en maatregelen moeten worden genomen die te mitigeren.

C-a-B 2: de Grondslag

Een zwarte lijst is een “verwerking” en moet dus voldoen aan de AVG. Er zal dus een grondslag. Van de 6 bestaande grondslagen is alleen die van Gerechtvaardigd Belang toepasbaar. Er zal dus heel goed moeten worden nagedacht over de motivering van de belangen van de organisatie(s) en die van de Betrokkenen. Aan deze belangenafweging wordt door de AP groot belang gehecht, temeer daar er ook strafrechtelijk gegevens kunnen worden verwerkt!

C-a-B 3: gegevens delen? Dan vergunning van de AP!

De AP wil weten wat er speelt om toezicht te kunnen houden. Een vergunning is noodzakelijk om een zwarte lijst te mogen aanhouden.

C-a-B 4: Betrokkene moet worden ingelicht

Dat klinkt vreemd maar dat is het niet: een lijst heeft alleen zin wanneer die wordt gehandhaafd! Formeel moet dat pro-actief, maar in de praktijk zal het wel zo zijn dat dat gebeurt bij voorkomende gelegenheden. Het bijhouden van een lijst is daarnaast een “gewone” verwerking en art. 14 AVG is gewoon van kracht.

B moet gewoon zijn rechten kunnen uitoefenen (art 15-22. AVG). Een uitzondering daarop wordt gemaakt indien het feit dat zijn naam op de lijst voorkomt al bij B bekend is of wanneer er een vervolging tegen hem wordt ingesteld.

Welke zwarte lijst?

Het PIFI is nu alleen bedoeld voor financiële instellingen. Voor toepassing daarvan moeten deze instellingen een vergunning van de AP hebben.

Voor de andere vormen van gebruik van een zwarte lijst, in andere sectoren en bij andere soorten van instellingen dus, gelden aparte regels.
Welzijn, openbaar vervoer, zorg en sportclubs kunnen altijd een interne lijst opstellen maar ook gebruik maken van de sectorale lijst. De soorten en hun condities daarvoor zijn, in het kort, als onderstaand.

Een interne lijst is een verwerking. Moet dus worden opgenomen in het Register. Distributie van de gegevens moet zo beperkt mogelijk worden gehouden. Er mogen geen strafrechtelijk gegevens worden geregistreerd.
Betrokkene moet worden verteld dat hij/zij er op staat. Toepassing alleen voor B’s bij de eigen instelling.

De sectorale lijst, bedoeld om te worden gedeeld met instellingen in dezelfde sector of lokaal geografisch.
Naast een zwaarwegend belang moeten (extra) scherpe en vaste criteria worden aangelegd voor opname op de lijst. Indien de er ook strafrechtelijk gegevens worden geregistreerd, dan moet vergunning van de AP worden verkregen. Noot: voor deelnemen aan de bestaande vormen “horecaontzegging” en “winkelverbod” moet sowieso vergunning worden aangevraagd bij de AP!

De cross-sectorale lijst: bedoeld voor breed en/of geografische bereik. Vergunning aanvragen bij de AP. Verder moet worden voldaan aan de voorwaarden uit de “Handreiking cross-sectorale gegevensdeling tussen private partijen”!

Voor alle lijsten geldt dat de AVG onverkort van kracht is! Dus de rechten van B mogen worden uitgeoefend!

Afdrukken