Gegevensuitwisseling tussen banken en overheid ten behoeve van de opsporing | wetsvoorstel gegevensverwerking door samenwerkingsverbanden

Al enige tijd wordt binnen de Nederlandse overheid aangedrongen op verbetering van de mogelijkheden om ten behoeve van de opsporing van criminaliteit (inclusief belastingfraude) gegevens tussen overheid en bedrijfsleven uit te wisselen. In december 2016 schreef ik er over; onlangs werd bekend dat het voorstel bijna af was.

Gegevensuitwisseling met de private sector
Een voorbeeld van een dergelijke gegevensuitwisseling is dat de politie persoonsgegevens  van vermoedelijke criminelen aan banken geeft, zodat de banken gericht de transacties van deze mensen kunnen monitoren en makkelijker ‘ongebruikelijke transacties’ aan FIU-Nederland kunnen melden.

Een dergelijke geval kwam onlangs in het nieuws, de politie verschafte persoonsgegevens aan banken, aan de hand waarvan de banken mogelijke terrorismefinanciering opspoorden. Dat de banken – zoals in het geval in het nieuws – financiële transacties monitoren en eventueel melden, is gebaseerd op de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Ik vraag me af of er wel een wettelijke grondslag is voor de politie om gegevens van verdachten aan de banken te verstrekken. (Maar dat is meer iets voor strafrechtspecialisten.)

Consultatie
Op 7 juli jl. is de internetconsultatie gestart over het Wetsvoorstel gegevensverwerking door samenwerkingsverbanden (WGS). Het voorstel wordt in de aankondiging als volgt samengevat:

Doelgroepen die door de regeling worden geraakt
Overheidsorganisaties en private partijen die willen deelnemen aan samenwerkingsverbanden ten behoeve van een doel van zwaarwegend belang op het gebied van:
a. de voorkoming van onrechtmatig gebruik van overheidsgelden en het bevorderen dat aan wettelijke verplichtingen wordt voldaan tot betaling van belastingen,
b. de uitoefening van toezicht op de naleving van wettelijke voorschriften,
c. de handhaving van de openbare orde en veiligheid,
d. de voorkoming, opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

Verwachte effecten van de regeling voor de doelgroepen
In de praktijk lopen samenwerkingsverbanden nu regelmatig tegen knelpunten aan bij de gezamenlijke verwerking van gegevens. Deze knelpunten bemoeilijken een integrale aanpak van maatschappelijke vraagstukken zoals ondermijning. De Wet gegevensverwerking door samenwerkingsverbanden lost deze knelpunten op door middel van:
1. Een heldere basis voor gegevensverstrekking aan samenwerkingsverbanden.
2. Een heldere basis voor gegevensverwerking binnen samenwerkingsverbanden
3. Een passende grondslag voor verstrekking van de resultaten van de verwerking vanuit samenwerkingsverbanden.

De Wet gegevensverwerking door samenwerkingsverbanden is slechts van toepassing als een samenwerkingsverband bij algemene maatregel van bestuur onder de werking van die wet wordt gebracht.

Predictive policing
Uit de toelichting op het consultatievoorstel blijkt dat het de bedoeling is om de uitgewisselde gegevens te analyseren door middel van “artificiële intelligentie”, zie onder meer artikel 6 lid 3 en artikel 8 lid 4 van het voorstel:

Artikel 6 lid 3
Voor zover dat bij algemene maatregel van bestuur is bepaald, kan het samenwerkingsverband gegevens systematisch verwerken, waaronder combineren, structureren, profileren en analyseren, teneinde daaruit voor de vervulling van het doel van het samenwerkingsverband noodzakelijke informatie af te leiden en vast te leggen. (…)

Artikel 8 lid 4
4. Indien een samenwerkingsverband gegevens verwerkt op een wijze als bedoeld in artikel 6, derde lid, treft het bij of krachtens algemene maatregel van bestuur omschreven maatregelen om de kwaliteit van de gegevensverwerking te waarborgen en de resultaten van de verwerking te valideren en verschaft het, tenzij naar het oordeel van een deelnemer zwaarwegende rede- nen zich daartegen verzetten, op een voor het publiek toegankelijke wijze informatie over:
a. de toepassing en het doel van deze verwerkingswijze;
b. nuttige informatie over de onderliggende logica als bedoeld in artikel 14, tweede lid, onder g, van de Algemene verordening gegevensbescherming;
c. de eventuele toepassing van artificiële intelligentie bij de verwerking, en
d. de in de aanhef bedoelde maatregelen.

Een dergelijke analyse is vooral interessant bij grote gegevensverzamelingen die zinvolle persoonsgegevens bevatten, zoals de databanken van de belastingdienst, banken / betaalinstellingen en telecombedrijven.

Er bestaat een grote behoefte om op basis van dergelijke analyses te voorspellen wie crimineel gedrag zal kunnen gaan vertonen, zie bijvoorbeeld deze passage in de toelichting:

Een en ander laat een individuele deelnemer aan een samenwerkingsverband voldoende ruimte de blootgelegde patronen en de groepsprofielen die hij van het samenwerkingsverband heeft ontvangen, te gebruiken om deze binnen de grenzen van zijn wettelijke taken en bevoegdheden te matchen met gegevens waarover hijzelf rechtmatig beschikt, om daaruit bijvoorbeeld lijsten te destilleren van personen die bepaalde risico’s op het desbetreffende taakgebied vertonen. Dat is niet anders dan dat hij dergelijke lijsten opstelt aan de hand van patronen en profielen die op basis van meer “klassiek” wetenschappelijk onderzoek tot stand zijn gebracht. Wat op dit moment echter niet is toegestaan is dat samenwerkingsverbanden op basis van de door de deelnemers verstrekte persoonsgegevens gemeenschappelijke data-analyses verrichten die tot lijsten leiden van personen aan wie bepaalde risico’s zijn verbonden, als het doel van deze analyse niet verenigbaar is met de doelen waarvoor de desbetreffende gegevens zijn verzameld. Omdat het dan om een verwerking voor operationele doeleinden zou gaan, kunnen de eerder bedoelde mogelijkheden van gegevensverwerking voor wetenschap en statistiek, met inbegrip van de mogelijkheid om voor onverenigbare doelen te verwerken, daarvoor geen basis bieden.12 Als voor het onderzoek of de statistiek strafrechtelijke gegevens worden verwerkt die op grond van de Wpg en Wjsg zijn verstrekt, geldt bovendien expliciet dat de resultaten van de verwerking geen persoonsgegevens mogen bevatten.13 Een en ander brengt mee dat zo’n subjectgerichte data-analyse aan alle algemene voorwaarden voor gegevensverwerking moet voldoen, met inbegrip van de eisen rond doelbinding en met inachtneming van de verboden om bijzondere categorieën van persoonsgegevens of strafrechtelijke gegevens te verwerken.

Dit beperkt de mogelijkheden om in samenwerkingsverbanden met moderne analysetechnieken bepaalde risico’s met betrekking tot individuele personen in beeld te brengen. Zo kan de infobox Crimineel en Onverklaarbaar Vermogen (iCOV)14 de door haar ontwikkelde profielen niet matchen met de haar ter beschikking staande gegevens om een lijst te genereren van personen met een groot risico dat zij fraude (gaan) plegen. Eenzelfde knelpunt heeft zich destijds voorgedaan bij het project FinPro. In antwoord op Kamervragen over dat project heeft het kabinet dan ook de conclusie getrokken dat op dit moment een heldere basis ontbreekt voor het gebruik van de uitkomsten van moderne analysetechnieken door samenwerkingsverbanden ten behoeve van de uitvoering van de wettelijke taken van de deelnemers.15 Immers, de basis die men daarvoor thans gebruikt, is het regime voor wetenschap en statistiek en op grond daarvan is verwerking van persoonsgegevens ten behoeve van operationele doeleinden niet mogelijk.

12 De Artikel 29 werkgroep – het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders – hanteert in dit verband het principe van functionele scheiding: “This means that data used for statistical purposes or other research purposes should not be available to ‘support measures or decisions’ that are taken with regard to the individual data subjects concerned (unless specifically authorized by the individuals concerned).” Zie hoofdstuk III.2.3 van Opinion 03/2013 on purpose limitation (http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf).

13 Zie artikel 22 Wpg en de artikelen 15 en 39g Wjsg.
14 iCOV is een samenwerkingsverband van de Belastingdienst, de Douane, de FIOD, de politie, FIU Nederland en het OM.
15 Aanhangsel Handelingen II 2015/16, nr. 3413.

Door middel van een algemene maatregel van bestuur worden samenwerkingsverbanden die gegevens mogen uitwisselen aangewezen. Belangrijk is hoe met die aanwijzingsbevoegdheid wordt omgegaan en of men zich beperkt tot die terreinen waar overheidsingrijpen dringend noodzakelijk is (zoals het geval is bij criminele infiltratie in het overheidsbestuur). Verder is belangrijk of de kwaliteit van de organisatie en de systemen hoog is. Als onschuldige burgers worden beschuldigd en hinder ondervinden (‘collateral damage’), kunnen dit soort systemen averechts werken.

Het voorstel past in de ontwikkeling dat de wettelijke mogelijkheden worden verruimd om gegevens uit te wisselen in het kader van de opsporing van criminaliteit.

Meer informatie:


Aanvulling 10 juli 2018

 

Aanvulling 12 juli 2018
Ook binnen de overheid mogen niet altijd gegevens worden uitgewisseld. Op 11 juli jl. stond bij DeBontSpotOn het bericht “AFM teruggefloten door het CBb” over de (destijds) illegale verstrekking door de belastingdienst aan de AFM van gegevens over personen die gebruik hadden gemaakt van de fiscale inkeerregeling, in verband met toetsing van die personen door de AFM op hun antecedenten.

Het betreft twee uitspraken uit 2017: College van Beroep voor het bedrijfsleven 22 februari 2017, ECLI:NL:CBB:2017:46 en ECLI:NL:CBB:2017:47.

De samenvatting op rechtspraak.nl van de tweede zaak luidt:

Heenzending van beleidsbepaler – antecedenten – verkrijging belastinggegevens door AFM van de Belastingdienst – Onderdelen u en s van artikel 43c, eerste lid, aanhef, van de Uitvoeringsregeling Algemene wet inzake rijksbelastingen 1994 (Uitvoeringsregeling Awr)

De regelgever heeft het noodzakelijk geacht om in genoemd onderdeel u een uitzondering op de geheimhoudingsplicht te maken als het gaat om de versterking van de integriteit van de financiële sector. Binnen dat – ruim geformuleerde – doel is het kunnen uitvoeren van de betrouwbaarheidstoetsing als bedoeld in genoemd onderdeel s een specifiek doel. Ten aanzien van dat specifieke doel heeft de regelgever, daarbij kennelijk rekening houdende met de met de geheimhoudingsplicht te beschermen belangen, de gegevensverstrekking beperkt tot gegevens over opgelegde vergrijpboetes. Het College volgt AFM niet in haar betoog dat op grond van onderdeel u en het FEC Convenant ook andere gegevens ten behoeve van de betrouwbaarheidstoetsing kunnen worden verstrekt, omdat anders onderdeel s als speciale uitzondering geen betekenis meer zou hebben. Gelet op het voorgaande en nu de Belastingdienst gegevens over de inkeerregeling aan AFM heeft verstrekt ten behoeve van de betrouwbaarheidstoetsing als bedoeld in onderdeel s en die gegevens geen vergrijpboete betreffen, deelt het College met de rechtbank de conclusie dat de uitzondering van onderdeel u hier niet van toepassing is. Nu voorts AFM niet bestrijdt dat hier geen andere uitzondering geldt, heeft de rechtbank terecht geoordeeld dat de Belastingdienst door gegevens over de inkeerregeling aan AFM te verstrekken heeft gehandeld in strijd met de geheimhoudingsplicht en dat aldus AFM die gegevens onrechtmatig heeft verkregen.

Het College constateert dat tot aan de aangevallen uitspraak over de uitleg van (de verhouding tussen) de onderdelen u en s van artikel 43c, eerste lid, van de Uitvoeringsregeling Awr geen toelichting van de regelgever of een uitspraak van de rechter beschikbaar was. Gelet hierop was de destijds op de tekst van onderdeel u en het FEC Convenant gebaseerde opvatting van AFM en de Belastingdienst, dat gegevensverstrekking over de inkeerregeling ten behoeve van de betrouwbaarheidstoetsing mogelijk was, niet op voorhand onverdedigbaar. Voorts is niet zonder betekenis dat op grond van de Regeling van de Staatssecretaris van Financiën van 30 december 2015, nr. DB/2015/465M, tot wijziging van enige uitvoeringsregelingen inzake de fiscaliteit, toeslagen en douane alsmede van de Wet op de accijns (Stcrt. 2015, 47716) met ingang van 1 januari 2016 een gewijzigd onderdeel s in werking is getreden op grond waarvan de verstrekking van gegevens is verruimd (van opgelegde vergrijpboetes) tot gegevens en inlichtingen die van belang kunnen zijn voor de betrouwbaarheidstoetsing. Volgens de nota van toelichting bij die regeling is het voor een adequate en integrale betrouwbaarheidstoetsing noodzakelijk dat niet alleen informatie over vergrijpboetes maar ook andere relevante informatie kan worden verstrekt.

Op grond van het voorgaande, in onderlinge samenhang bezien, kan niet worden gezegd dat AFM de gegevens van de Belastingdienst heeft verkregen op een wijze die zozeer indruist tegen wat van een behoorlijk handelende overheid mag worden verwacht dat gebruik hiervan door AFM ontoelaatbaar moet worden geacht. Dit betekent dat de rechtbank ten onrechte heeft geoordeeld dat AFM de door de Belastingdienst verstrekte gegevens niet ten grondslag mocht leggen aan haar besluitvorming.

AFM heeft kunnen vaststellen dat de betrouwbaarheid van de beleidsbepaler niet buiten twijfel staat.
De heenzending is in strijd met het evenredigheidsbeginsel.
AFM zal een nieuw besluit op bezwaar moeten nemen waarbij onder herroeping van het primaire besluit hooguit een minder verstrekkende aanwijzing wordt opgelegd

Advertenties

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce, Strafrecht en getagged met , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s