Blog

AP: Geen vergunning voor verwerken strafrechtelijke gegevens uit phishingmails

Vorige week was in het nieuws dat de Fraudehelpdesk geen voorbeelden van phishingmails mag verzamelen van de Autoriteit Persoonsgegevens (AP). Dit is een nieuwsbericht waarbij twee IT-rechtelijke onderwerpen bij elkaar komen, namelijk cybercrime en privacy. Volgens de AP zou de Fraudedesk niet voldoende duidelijk kunnen maken waarvoor zij de persoonsgegevens uit de phishingmails wil verwerken. De AP verleent daarom geen vergunning aan de Fraudehelpdesk voor het verwerken van strafrechtelijke gegevens. Hoe zit dit precies?

De Fraudehelpdesk

De Fraudehelpdesk is naar eigen zegge het “eerste loket bij oplichting“. Bij de Fraudehelpdesk kunnen burgers en bedrijven verschillende vormen van (mogelijke) oplichting melden. Zo kunnen onder meer opmerkelijke telefoontjes, nare ervaringen met online shoppen en hackpogingen worden gemeld. Ook kunnen phishing pogingen worden gemeld.

Die meldingen kunnen persoonsgegevens bevatten van de mogelijke fraudeur. Daarvoor moet een geldige grondslag zijn.

Het verwerken van strafrechtelijke gegevens

Maar niet alle persoonsgegevens zijn “normale” persoonsgegevens. Er bestaan persoonsgegevens waarbij aan de verwerking strengere eisen worden gesteld dan bij “normale” persoonsgegevens. Zo bestaan er verschillende bijzondere persoonsgegevens (zoals medische gegevens en gegevens omtrent seksuele geaardheid) en strafrechtelijke gegevens (zoals gegevens omtrent veroordelingen of verdenkingen van strafbare feiten).

strafrechtelijke gegevens

Onder de oude privacywetgeving (de Privacyrichtlijn en de Wet bescherming persoonsgegevens) werden strafrechtelijke gegevens aangemerkt als bijzondere persoonsgegevens. In de AVG is de verwerking van strafrechtelijke gegevens echter afzonderlijk geregeld, namelijk in artikel 10:

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.

Van strafrechtelijke gegevens is volgens jurisprudentie sprake als de gegevens “een als strafbaar feit te kwalificeren bewezenverklaring (…) kunnen dragen“. Het moet om meer gaan dan gegevens betreffende een “redelijk vermoeden van schuld“.

Wat zegt de Uitvoeringswet AVG over strafrechtelijke gegevens?

In de Uitvoeringswet AVG (UAVG) zijn aanvullende bepalingen opgenomen die de verwerking van strafrechtelijke gegevens regelen. Een daarvan is art. 33 lid 4 sub c UAVG:

4. Persoonsgegevens van strafrechtelijke aard mogen ten behoeve van derden worden verwerkt:
c. indien de Autoriteit persoonsgegevens met inachtneming van het vijfde lid een vergunning voor de verwerking heeft verleend.

Lid 5 bepaalt vervolgens:

5. Een vergunning als bedoeld in het vierde lid, onderdeel c, kan slechts worden verleend, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Aan de vergunning kunnen voorschriften worden verbonden.

Met andere woorden, strafrechtelijke gegevens mogen (onder meer) worden verwerkt als daarvoor een vergunning van de AP wordt verkregen. De AP verleent zo een vergunning alleen als de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

Een voorbeeld van een situatie waarvoor de AP geregeld vergunningen verleend, zijn “zwarte lijsten”. Op zo’n zwarte lijst kunnen strafrechtelijke gegevens staan over personen, zoals een overzicht van een luchtvaartmaatschappij waarop passagiers staan die overlast geven. Op basis van zo’n zwarte lijst kunnen luchtvaartmaatschappijen bepaalde passagiers weren.

AP wijst de aanvraag voor een vergunning af

De Fraudehelpdesk wil voorbeelden verzamelen van (onder meer) phishingmails, zodat hij slachtoffers van phishing kan helpen. Deze voorbeelden van phishingmails kunnen gegevens over verdachten bevatten. De Fraudehelpdesk heeft daarom bij de AP een aanvraag gedaan voor een vergunning om strafrechtelijke gegevens te verwerken.

Zoals hiervoor al kort aangegeven, is voor het verlenen van zo’n vergunning vereist dat:

  • de verwerking van strafrechtelijke gegevens noodzakelijk is;
  • de verwerking van strafrechtelijke gegevens een zwaarwegend belang heeft; en
  • er voldoende waarborgen zijn zodat de persoonlijke levenssfeer van de betrokkenen niet onevenredig wordt geschaad.

De AP meent dat de Fraudehelpdesk niet voldoet aan de vereisten voor het verlenen van zo een vergunning. Uit de media verneem ik dat een woordvoerder van de AP heeft aangegeven dat de Fraudehelpdesk niet voldoende duidelijk heeft gemaakt welke persoonsgegevens hij wil gaan verwerken en met welk doel. Ook zou niet duidelijk zijn welke waarborgen zijn of worden getroffen om burgers of ondernemingen te beschermen om mensen te beschermen die ten onrechte op de website van de Fraudehelpdesk terechtkomen.

Vertaald naar de vereisten voor het verlenen van de vergunning: niet duidelijk zou zijn geworden waarom de verwerking noodzakelijk zou zijn en of er voldoende waarborgen zijn om betrokkenen te beschermen.

Kortom: de AP verleent de vergunning niet.

Tot slot: strafrechtelijke gegevens?

Het is lastig om een oordeel te vellen over dit besluit van de AP, omdat de stukken – op grond waarvan zij het besluit heeft genomen – niet bekend zijn. Wel rijst bij mij de vraag of door middel van het verzamelen van de e-mails überhaupt strafrechtelijke gegevens worden verwerkt. Gegevens betreffende een redelijk vermoeden van schuld zijn immers onvoldoende om te kwalificeren als strafrechtelijke gegevens. In dat kader is een vergunning mogelijk niet nodig.

Gerelateerde berichten