AP geeft banken en verzekeraars vergunning om gegevens van fraudeurs te delen
De Autoriteit Persoonsgegevens (AP) geeft ruim honderdzestig banken, verzekeraars en andere financiële instellingen een vergunning om gegevens van fraudeurs te registeren en met elkaar te delen. In het nieuwe Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) staan de voorwaarden waar het uitwisselen van gegevens aan moet voldoen.
Financiële instellingen mogen zelf een lijst met fraudeurs binnen de eigen organisatie bijhouden, waaronder persoonsgegevens. Deze gegevens mogen niet op grote schaal worden uitgewisseld. Via het PIFI is dit wel mogelijk en kunnen banken en verzekeraars controleren of nieuwe klanten in het Incidentenwaarschuwingssysteem geregistreerd staan. Het gaat dan bijvoorbeeld om identiteitsfraude of bankhelpdeskfraude.
De Autoriteit Persoonsgegevens benadrukt dat er geen centrale database of zwarte lijst komt waarin gezocht kan worden naar details over fraudeurs. Bij iedere vraag moeten de instellingen afwegen of het noodzakelijk is om de gegevens te verstrekken of te ontvangen. Klanten van financiële instellingen hebben het recht om te weten of ze in het systeem geregistreerd staan. Ook kunnen zij bezwaar maken als ze het niet met de registratie eens zijn.
"Fraudebestrijding en het opsporen van daders zijn natuurlijk van groot belang", zeg AP-bestuurslid Katja Mur. "Maar het bijhouden en delen van strafrechtelijke gegevens moet wel met grote terughoudendheid en zorgvuldigheid gebeuren. We hebben in de Toeslagenaffaire gezien dat mensen 'op het verkeerde lijstje' terecht kunnen komen, met vreselijke gevolgen. Sta jij als fraudeur te boek, dan kan dat grote gevolgen hebben. Bijvoorbeeld dat je geen verzekering of lening kunt aanvragen."
"De belangrijkste wijziging ten opzichte van eerdere protocollen is dat de teksten van dit nieuwe Protocol in lijn zijn gebracht met de Algemene verordening gegevensbescherming (AVG). Onder het nieuwe Protocol kunnen ook banken en verzekeraars die geen lid zijn van een brancheorganisatie aansluiten", zo laat de Nederlandse Vereniging van Banken (NVB) weten. Volgens de NVB is een waarschuwingssysteem essentieel om misbruik van het financiële stelsel tegen te gaan en schade bij andere banken te voorkomen.
Wanneer banken en verzekeraars zich niet aan de regels van het protocol houden kan de Autoriteit Persoonsgegevens een vergunning ook weer intrekken. Het PIFI is tot stand gekomen door de Nederlandse Vereniging van Banken, het Verbond van Verzekeraars, de Stichting Fraudebestrijding Hypotheken, de Vereniging van Financieringsondernemingen in Nederland en Zorgverzekeraars Nederland.
Dit PIFI systeem dient om financiële instellingen tegen fraudeurs te beschermen. Ik verwacht dat deze financiële instellingen zo minder kosten aan fraude hebben; dus efficiënter kunnen werken. Dat is (net als het BKR), indirect, ook in het algemeen belang.
Het grote verschil is vooral dat PIFI decentraal is en BKR centraal.
Bij die toeslagenaffaire was voor zover ik het nog begrepen heb het probleem juist dat er geen concrete lijst bestond (wellicht omdat die niet mocht worden bijgehouden) en men daarom in plaats daarvan werkte met typische indicatoren van potentiele fraude, die later werden opgewaardeerd tot indicator van daadwerkelijke fraude.
Dat is juist een risico van het beperken van de mogelijkheid om zwarte lijsten op te stellen. Men wil evengoed risico beperken, en dus gaat men er links en rechts omheen werken en treft men wellicht onschuldigen.
Wat dat betreft is dit systeem een goede zaak, want het voorkomt dat potentiele klanten worden geprofileerd op andere metrics zoals postcode, afkomst, inkomen, etc. Je wilt de FRAUDEURS eruit filteren, niet de mensen die toevallig in een groep zitten waar eerder vaak gefraudeerd is.
Dat is wat de toeslagenaffaire bewijst.
Dit PIFI systeem dient om financiële instellingen tegen fraudeurs te beschermen. Ik verwacht dat deze financiële instellingen zo minder kosten aan fraude hebben; dus efficiënter kunnen werken. Dat is (net als het BKR), indirect, ook in het algemeen belang.
Het grote verschil is vooral dat PIFI decentraal is en BKR centraal.
Ik hoop wel dat BKR niet als voorbeeld is genomen. In correctie van foutieve registraties heeft BKR een zeer slechte naam.
Dit soort dingen kan wel, maar een van de eerste vereisten is dat mensen die ten onrechte in dergelijke registraties komen te staan er minimaal even snel weer uit gehaald kunnen worden als ze in de problemen zijn geraakt en terug geholpen kunnen worden naar de status quo ante. Anders is het niet beter dan een buckaroo mentaliteit en die kunnen we niet gebruiken in de 21e eeuw.
Dit PIFI systeem dient om financiële instellingen tegen fraudeurs te beschermen. Ik verwacht dat deze financiële instellingen zo minder kosten aan fraude hebben; dus efficiënter kunnen werken. Dat is (net als het BKR), indirect, ook in het algemeen belang.
Het grote verschil is vooral dat PIFI decentraal is en BKR centraal.
Grote verschil in mijn ogen is dat schulden wat makkelijker vast te stellen zijn dan fraude.
Of je wel of niet voldaan hebt aan je betalingsverplichtingen is een simpele ja/nee vraag.
Als je iets bewust verkeerd doet, kan dit fraude zijn, maar dat is niet altijd simpel vast te stellen.
Er zijn al vaker mensen onterecht als fraudeur bestempeld.
Je wordt minder vaak onterecht bestempeld als iemand met een hypotheek.
Dit PIFI systeem dient om financiële instellingen tegen fraudeurs te beschermen. Ik verwacht dat deze financiële instellingen zo minder kosten aan fraude hebben; dus efficiënter kunnen werken. Dat is (net als het BKR), indirect, ook in het algemeen belang.
Het grote verschil is vooral dat PIFI decentraal is en BKR centraal.
Grote verschil in mijn ogen is dat schulden wat makkelijker vast te stellen zijn dan fraude.
Of je wel of niet voldaan hebt aan je betalingsverplichtingen is een simpele ja/nee vraag.
Als je iets bewust verkeerd doet, kan dit fraude zijn, maar dat is niet altijd simpel vast te stellen.
Er zijn al vaker mensen onterecht als fraudeur bestempeld.
Je wordt minder vaak onterecht bestempeld als iemand met een hypotheek.
Het gedoe om BKR kwam niet zozeer vanwege onterecht met een hypotheek geregistreerd staan, maar met een registratie van wanbetaling op een lening.
Een heleboel hele en halve tokkies met een telefoon-op-afbetaling - en een betalingsachterstand op de rekening kregen een *negatieve* BKR codering . En ontdekten bij het aan willen gaan van een hypotheek dat niemand geld wil lenen aan iemand die eerdere leningen niet terugbetaald heeft (no shit..) .
En dan kwamen de jammer verhalen dat die nooit betaalde 50 euro aan de telefoonboer ze een huis gekost heeft.
Overigens zie ik niet waarom je PIFI decentraal noemt, en BKR centraal .
BKR is ook alleen een verzamelbak waarin de aangesloten financiële partijen gegevens delen .
Vandaar dat BKR altijd stelt _wij_ wijzigen niets, dat moet degene doen die de registratie gemaakt heeft .
Je kunt verwachten dat ze voor PIFI ook een soort van clearinghouse opzetten om die uitwisseling te doen.
Maar ook zonder dat - of de implementatie nu een soort van broadcast tussen deelnemers is, of een centrale verzamelbak : een registratie bij één deelnemer heeft in principe effect op de beslissingen van alle partijen.
Een heleboel hele en halve tokkies met een telefoon-op-afbetaling - en een betalingsachterstand op de rekening kregen een *negatieve* BKR codering . En ontdekten bij het aan willen gaan van een hypotheek dat niemand geld wil lenen aan iemand die eerdere leningen niet terugbetaald heeft (no shit..) .
En dan kwamen de jammer verhalen dat die nooit betaalde 50 euro aan de telefoonboer ze een huis gekost heeft.
Hetzelfde natuurlijk met dit systeem. Op het schoolplein aangesproken door iemand die ze vroeg hun bankpas uit te
lenen voor een paar honderd euro en daarna 10 jaar lang geen bankrekening en verzekering meer kunnen krijgen.
En dan gaan roepen dat dat zielig is en dat het systeem alleen echte FRAUDEURS zou moeten registreren ipv dat
fraudeurs als zij zou moeten aanpakken. Zij zien zichzelf niet als fraudeur maar als slachtoffer.
Dit PIFI systeem dient om financiële instellingen tegen fraudeurs te beschermen. Ik verwacht dat deze financiële instellingen zo minder kosten aan fraude hebben; dus efficiënter kunnen werken. Dat is (net als het BKR), indirect, ook in het algemeen belang.
Het grote verschil is vooral dat PIFI decentraal is en BKR centraal.
Grote verschil in mijn ogen is dat schulden wat makkelijker vast te stellen zijn dan fraude.
Of je wel of niet voldaan hebt aan je betalingsverplichtingen is een simpele ja/nee vraag.
Als je iets bewust verkeerd doet, kan dit fraude zijn, maar dat is niet altijd simpel vast te stellen.
Er zijn al vaker mensen onterecht als fraudeur bestempeld.
Je wordt minder vaak onterecht bestempeld als iemand met een hypotheek.
Nee, een fraudeur is een fraudeur als hij/zij wegens fraude is veroordeeld. Klaar. Dan is er een rechter aan te pas gekomen en is eenduidig vastgesteld dat er sprake van fraude is.
Dat is een vrijbrief voor oplichting en misdaad zoals whatsapp fraude want zolang er geen rechterlijke uitspraak is zou je daar niets tegen mogen ondernemen. Nu is de AP het misschien met die opstelling eens dat privacy van daders van oplichting boven die van de slachtoffers gaat. Dat is een probleem met de juridische opleiding die het verdienmodel boven ethiek zet.
kijk naar de belasting affaire.
PIFI bestaat al sinds 2011... en daarvoor was er het EVA protocol.
Dat deze update van PIFI, waar feitelijk niks aan extra ruimte wordt geboden als een groot succes wordt gevierd door de AP is puur politieke stemmingmakerij. Een wassen neus.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
