Peter Westdijk
Privacybeleid of privacy statement
Een korte rondgang langs diverse organisaties (steekproef op banken, verzekeraars en pensioenfondsen) laat zien dat banken op hun website in het privacy reglement melding maken van het feit dat zij registreren wanneer een persoon op een sanctielijst voorkomt. Het beeld bij verzekeraars wisselt en bij pensioenfondsen ontbreekt in vrijwel alle gevallen dit element. Actiepuntje!
Bij enkele banken viel mij op dat zij sanctie-gerelateerde gegevens wel opnemen, maar deze rubriceren als ‘strafrechtelijke gegevens’. Geen gelukkige naam: formeel is het verwerken van strafrechtelijke gegevens aan strenge regels gebonden en voorbehouden aan justitiële organisaties; ook is het staan op een sanctielijst nog geen teken dat iemand iets strafbaars heeft gedaan. Een hit is in mijn ogen dan ook geen strafrechtelijk gegeven en daardoor leidt die kwalificatie ook meteen tot gefronste wenkbrauwen. Tijd voor een creatieve en meer accurate woordkeuze?
Hit of geen hit?
Het registreren van een hit is een wettelijke plicht. In het proces zullen ook false positives worden geregistreerd, omdat een mogelijke hit nog nader moet worden uitgezocht. Dus ook een mogelijke hit wordt vastgelegd.
In mijn ogen betekent dat logischerwijs dat het niet registreren van een (mogelijke) ‘hit’ dus eigenlijk ‘geen hit’ is.. Computersystemen werken (voor zover ik weet) met velden in een database, dus zal er een veld bestaan met “hit’ en datum/tijd van de constatering. Als het veld leeg is, is betrokkene niet opgenomen op een sanctielijst. Dat lege karakter van het veld is dus, binnen het geheel van informatie van de database, een persoonsgegeven omdat het herleidbaar is naar een natuurlijke persoon. Of, populistisch gesteld, een spatie in dat veld is, binnen die specifieke context een persoonsgegeven.
En nu?
Sanctiescreening krijgt veel aandacht, bijvoorbeeld o.b.v. de DNB publicatie Integriteitstoezicht in beeld, waarin voor bijvoorbeeld pensioenfondsen wordt opgemerkt dat DNB bij haar toezicht werkzaamheden heeft geobserveerd dat sanctiescreening bij uitbestedingspartners tekortkomingen had en risico’s niet voldoende waren geïdentificeerd. Ook bij verzekeraars heeft sanctiescreening verhoogde aandacht, omdat ook daar door DNB tekortkomingen zijn gesignaleerd.
Dat betekent dat veel financiële instellingen stappen moeten zetten op het gebied van sanctiescreening. Een geïntegreerde aanpak, waarbij rekening wordt gehouden met verschillende onderdelen van de internationale wet- en regelgeving, is noodzakelijk. De vermelding in het privacy reglement is daarbij maar een klein onderdeel. Klein, maar wel een signalering van een mogelijk grotere en lastige uitdaging om sanctiescreening goed en risicogebaseerd in te richten. En ja dus, een spatie kan een persoonsgegeven zijn!