Antwoord schriftelijke vragen : Antwoord op vragen van het lid Van Dam over het bericht “Fraudehelpdesk in Apeldoorn moet miljoenen gegevens van fraudeurs vernietigen”

Antwoord van Minister Dekker (Rechtsbescherming) (ontvangen 22 oktober 2019). Zie
ook Aanhangsel Handelingen, vergaderjaar 2018–2019, nr. 3978.

Vraag 1

Bent u bekend met het bericht «Fraudehelpdesk in Apeldoorn moet miljoenen gegevens
van fraudeurs vernietigen?1

Antwoord 1

Ja, ik ben bekend met dit bericht.

Vraag 2

Hoe beoordeelt u de situatie waarin de Autoriteit Persoonsgegevens de Fraudehelpdesk
plaatst door geen vergunning te verlenen aan de Fraudehelpdesk, waardoor de Fraudehelpdesk
genoodzaakt is de verzamelde gegevens te vernietigen?

Antwoord 2

Ik heb vernomen dat de Autoriteit Persoonsgegevens (hierna: AP) de door de stichting
Safecin ten behoeve van de Fraudehelpdesk aangevraagde vergunning niet heeft verleend
omdat die aanvraag nog niet voldeed en op onderdelen nader ingevuld en onderbouwd
moet worden. Dit betekent dat de Fraudehelpdesk voor nu haar werkzaamheden heeft moeten
aanpassen en de verwerking van persoonsgegevens, waarvoor een vergunning van de AP
vereist is, heeft moeten beëindigen.

Voorts heeft de Fraudehelpdesk aangegeven met de AP in gesprek te zullen gaan en een
nieuwe aanvraag voor een vergunning te zullen indienen. Als deze aanvraag goed is
en goed is onderbouwd heb ik er vertrouwen in dat deze aanvraag tot een vergunning
kan leiden. Daarbij merk ik wel op dat deze beoordeling uiteindelijk in handen ligt
van de AP als onafhankelijk toezichthouder.

Vraag 3

In hoeverre krijgt de aanvrager terugkoppeling van de Autoriteit Persoonsgegevens
indien een vergunningsverzoek wordt afgewezen? Is sprake van een dialoog tussen de
aanvrager van een vergunning en de Autoriteit Persoonsgegevens in het traject rondom
de vergunningverlening?

Antwoord 3

Indien de aanvrager van een vergunning dat wenst, geeft de AP een toelichting op de
zaken waarop de aanvrager in het bijzonder moet letten. Overigens geeft de AP op haar
website een uitgebreide uitleg over het aanvragen van een vergunning.2

De AP heeft in de casus van de Fraudehelpdesk overleg gevoerd met de Fraudehelpdesk
over de voorwaarden waaronder de Fraudehelpdesk haar werk zou kunnen doen binnen de
kaders van de wetgeving.

Zoals hiervoor aangegeven was de aanvraag van de Fraudehelpdesk om strafrechtelijke
gegevens te verwerken onvoldoende onderbouwd en daarom zag de AP zich genoodzaakt
deze af te wijzen.

Vraag 4

Deelt u de analyse dat in het actieplan Veilig Ondernemen onder meer het belang van
goede gegevensuitwisseling (nogmaals) wordt benadrukt? In hoeverre worden particuliere
organisaties zoals de Fraudehelpdesk bijgestaan in hun inspanningen om tot betrouwbare
en efficiënte gegevensdeling te komen?

Antwoord 4

Ja, die analyse deel ik. In dit actieplan staat voorts dat de gegevensuitwisseling
binnen de kaders van de Algemene Verordening Gegevensbescherming (hierna: AVG) en
de Uitvoeringswet AVG (hierna: UAVG) dient plaats te vinden, en met vergunning van
de AP indien dat noodzakelijk is.

Er heeft overleg tussen de AP en Safecin plaatsgevonden. Ook in andere gevallen is
de AP desgewenst bereid om in een gesprek de mogelijkheid van het indienen van een
vergunningaanvraag toe te lichten.

Vraag 5

Is uw standpunt, zoals geformuleerd in uw beleidsreactie van 11 juni jl. op het rapport
over de mogelijkheden van cross-sectorale gegevensdeling, dat de ervaringen van private
organisaties ten aanzien van het verkrijgen van vergunningen voor cross-sectorale
gegevensdeling moeten worden afgewacht voordat bekeken kan worden of nieuwe wetgeving
nodig zal zijn veranderd door het oordeel van de Autoriteit Persoonsgegevens?3 Zo nee, waarom niet?

Antwoord 5

Mijn standpunt is niet veranderd. Nieuwe wetgeving is pas aan de orde, als de noodzaak
daartoe voldoende is aangetoond. Met verwijzing naar mijn antwoord op vraag 2 meen
ik dat die noodzaak nog onvoldoende is aangetoond.

Vraag 6

Deelt u de opvatting dat een wettelijke basis voor cross-sectorale gegevensdeling
ter bestrijding van fraude meer rechtszekerheid en duidelijkheid voor de betrokken
partijen kan geven?

Antwoord 6

Op basis van de UAVG is cross-sectorale gegevensdeling nu al mogelijk, als daartoe
een vergunning wordt verleend. De beoordeling van een vergunningaanvraag geschiedt
aan de hand van het bestaande wettelijke kader, zoals neergelegd in de AVG en de UAVG.
Dat kader biedt voldoende rechtszekerheid en duidelijkheid.

Vraag 7

Bent u van mening dat de Autoriteit Persoonsgegevens sneller een vergunning kan verlenen
indien in de wet is vastgelegd dat cross-sectorale gegevensuitwisseling ter bestrijding
van fraude is toegestaan onder bepaalde voorwaarden? Zo nee, waarom niet?

Antwoord 7

Zoals uit het antwoord op vraag 6 blijkt, zijn de voorwaarden waaronder een vergunning
wordt verleend, nu al ontleend aan de AVG en UAVG. Tegen die achtergrond valt niet
in te zien dat, indien in de wet is vastgelegd dat cross-sectorale gegevensuitwisseling
ter bestrijding van fraude onder bepaalde voorwaarden is toegestaan, dit tot een snellere
verlening van een vergunning zou leiden. De snelheid waarmee een vergunning kan worden
verleend, hangt vooral af van de snelheid waarmee de aanvrager van de vergunning aan
de gestelde voorwaarden voldoet.

Vraag 8

Bent u anders gaan denken over het feit dat de Autoriteit Persoonsgegevens vergunning
uitgeeft? Zou het niet geschikt zijn om deze taak bij de het ministerie te beleggen
en de Autoriteit Persoonsgegevens hierop vervolgens toe te laten zien?

Antwoord 8

Daar ben ik niet anders over gaan denken. Het past goed in het takenpakket van de
AP om de hier bedoelde vergunning af te geven, aangezien zij vergelijkbare taken heeft,
zoals het goedkeuren van een gedragscode als bedoeld in artikel 40, vijfde lid van
de Algemene verordening gegevensbescherming.

Vraag 9

Acht u het nog steeds realistisch dat in de toekomst wel vergunningen verleend zullen
worden aan particuliere instanties? Zo ja, waarom?

Antwoord 9

Ja, ik acht dat realistisch. Zoals ik ook in mijn antwoord op vraag 3 aangeef meen
ik dat als een organisatie een vergunningaanvraag indient die goed is ingevuld en
onderbouwd, en aan de voorwaarden voldoet die de AP stelt, is verlening van een vergunning
wel degelijk mogelijk.