In een advies aan uitvoerings- en toezichtsorganen zet de AP uiteen onder welke voorwaarden persoonsgegevens uit ongevraagde tips en meldingen mogen worden verwerkt. Het advies is bedoeld voor organisaties die onder meer uitkeringen, subsidies en kredieten verstrekken en voor toezichthouders die meldingen ontvangen over mogelijke overtredingen.
Onderbouwen
De enkele aanname dat een signaal nuttig kan zijn voor toezicht of handhaving is onvoldoende, aldus de AP. Een overheidsorganisatie moet per verwerking kunnen onderbouwen dat het gebruik van persoonsgegevens noodzakelijk en doeltreffend is. Als het doel niet rechtstreeks uit de wet voortvloeit, moet nauwkeurig worden vastgelegd waarom de gegevens worden verwerkt. Algemene omschrijvingen, zoals het registreren en behandelen van fraudesignalen, zijn daarvoor onvoldoende.
Voor accountants en fiscalisten kan dat van belang zijn wanneer een controle, boekenonderzoek of informatieverzoek is gestart na een externe tip. In zo’n geval kan worden gevraagd op welke wettelijke grondslag het signaal is verwerkt en waarom die verwerking noodzakelijk was.
Convenant onvoldoende
Ook voor verdere verwerking gelden strikte regels. Gegevens die voor één doel zijn verzameld, mogen niet zonder meer voor een ander doel worden gebruikt. Ontbreekt daarvoor een wettelijke grondslag, dan is die verdere verwerking niet toegestaan. Een convenant vormt op zichzelf geen wettelijke grondslag voor het verstrekken van persoonsgegevens, benadrukt de AP. Organisaties kunnen het delen van informatie dus niet uitsluitend baseren op samenwerkingsafspraken.
Onbetrouwbare meldingen wissen
Overheidsorganisaties moeten voortdurend beoordelen of fraudesignalen juist en betrouwbaar zijn. Meldingen kunnen voortkomen uit rancune, een persoonsverwisseling bevatten of gebaseerd zijn op vermoedens die later onjuist blijken. Bij onvoldoende zekerheid mag een signaal niet zonder meer worden opgepakt. Eerst moet aanvullende informatie worden verzameld. Lukt dat niet, dan adviseert de AP het signaal niet verder te verwerken en te wissen. Ook gegevens die na een eerste beoordeling als onvoldoende betrouwbaar worden aangemerkt, moeten in beginsel direct worden vernietigd. Persoonsgegevens mogen bovendien niet langer worden bewaard dan noodzakelijk is.
Extra bescherming
Meldingen over mogelijke fraude kunnen bijzondere of strafrechtelijke persoonsgegevens bevatten. Voor die categorieën gelden aanvullende beperkingen vanwege het risico op stigmatisering en discriminatie. Niet iedere tip waarin fraude wordt genoemd, is automatisch een strafrechtelijk persoonsgegeven. Daarvoor moet de informatie volgens de AP voldoende gewicht hebben, bijvoorbeeld doordat zij afkomstig is van de politie of betrekking heeft op een concrete verdenking van een strafbaar feit. De toezichthouder wijst er daarnaast op dat termen als ‘fraude’ of ‘mogelijke fraude’ alleen mogen worden gebruikt wanneer dat daadwerkelijk noodzakelijk is.
AI afgeraden
De AP raadt het gebruik van AI, algoritmes en chatbots voor het beoordelen van de echtheid en betrouwbaarheid van meldingen sterk af. Dergelijke toepassingen brengen volgens de toezichthouder aanzienlijke privacy- en biasrisico’s met zich mee. Ook de inrichting van ICT-systemen moet aan de privacyregels voldoen. Zo moet de toegang tot fraudesignalen worden beperkt tot medewerkers die de gegevens voor hun werkzaamheden nodig hebben.
Betrokkenen informeren
Wie onderwerp is van een melding, moet in beginsel binnen een maand worden geïnformeerd over de verwerking van zijn persoonsgegevens. Die informatieplicht kan worden uitgesteld wanneer kennisgeving een lopend onderzoek ernstig zou belemmeren. Daarnaast moeten overheidsorganisaties beleid hebben voor de afhandeling van inzageverzoeken en andere privacyrechten. Ook moeten zij kunnen verantwoorden waarom een bepaald signaal aanleiding vormde voor een onderzoek.
Aanknopingspunten
Voor accountants en fiscalisten biedt het advies aanknopingspunten wanneer een cliënt vermoedt dat een onderzoek is gestart op basis van een tip of een onbevestigd fraudesignaal. Behalve de fiscale of bestuursrechtelijke aspecten kan dan ook worden beoordeeld of de verwerking van de persoonsgegevens voldoet aan de AVG.


Geef een reactie