En nee-hee, privacy is geen issue. Want dat heeft Cifas gewoon goed geregeld in het VK. Dus waarom hebben we zo’n frauderegister in Nederland dan nog steeds niet? Nu kunnen fraudeurs hier hun nog voor miljarden schade aanrichten. Terwijl dat dus heel eenvoudig voorkomen had kunnen worden.
‘In oktober vorig jaar was ik op een congres over fraude in Utrecht. Mij viel op dat jullie overheid, bedrijfsleven en wetshandhavers allemaal enthousiast zijn over een nationale database met fraudeurs. Maar waarom komt het debat hierover vervolgens zo ontzettend moeizaam vooruit?’ Aldus Simon Dukes, ceo van Cifas, het succesvolle non-profit antifraudecollectief van het Britse bedrijfsleven. Ruim 440 bedrijven en organisaties zijn er inmiddels bij aangesloten. Zij financieren het frauderegister zelf met een jaarlijkse contributie van enkele duizenden ponden tot een bedrag boven het miljoen – afhankelijk van hun omvang. Die bijdrage hebben ze er graag voor over om het frauderegister van Cifas te kunnen raadplegen voordat ze met een nieuwe klant in zee gaan. Zo wordt er jaarlijks voor 1 miljard pond aan fraude voorkomen dankzij de database, claimt Cifas. Voor elke pond aan contributie wordt voor 140 tot 150 pond aan schade door fraude voorkomen. De inleg wordt dus snel terugverdiend.
Hoe het frauderegister Cifas in Engeland begon
Op het kantoor van Cifas in hartje Londen werken vijftig mensen, waaronder juristen en it-specialisten. Bij binnenkomst stuit de bezoeker op een grote wandtekening waarop de geschiedenis van Cifas staat afgebeeld langs een kronkelende tijdslijn. Die start in 1987. Een grote fraude met speciale klantenkaarten (een soort creditcards) was voor zeven bedrijven aanleiding om Cifas op te richten. Sommige klanten bleken de kortingskaart op grote schaal te misbruiken. Dukes: ‘Dan sloeg een klant bijvoorbeeld voor 1000 pond in, maar de rekening werd nooit betaald. Die bedrijven waren het zat. Ze zagen dat fraudeurs alle winkels afliepen en de truc herhaalden met gestolen identiteiten. Besloten werd om de informatie te delen om herhaling te voorkomen. Het wil niet zeggen dat iemand geen krediet meer krijgt als hij of zij op de lijst staat. Maar je kunt als bedrijf meer checks uitvoeren.’
Twee jaar na de oprichting van Cifas volgden de eerste banken, kort daarna werden telecombedrijven en verzekeraars lid. Inmiddels doen ook goede doelenorganisaties en overheidsinstellingen mee. En zelfs twee Nederlandse banken: Triodos Bank en ABN AMRO.
Zo werkt het Engelse frauderegister Cifas
Het principe van Cifas is heel simpel: er is een database met gegevens van mensen die fraude hebben gepleegd. Die database wordt telkens geactualiseerd, doordat de aangesloten bedrijven zich verplichten om namen door te geven van fraudeurs waar ze zelf mee te maken hebben gehad. Overigens verdwijnt iemand die fraude heeft gepleegd en niet in herhaling valt na zes jaar automatisch van de lijst. De zorg dat iemand zijn leven achtervolgd kan worden voor een jeugdzonde wordt daarmee weggenomen. Wie zegt onterecht in de database te zijn beland, kan hier bezwaar tegen maken. Via een zogenoemde ‘Subject Access Request’ kan degene die bezwaar maakt zijn dossier opvragen. Binnen maximaal veertig dagen – ‘meestal zijn we veel sneller’, aldus Dukes – deelt Cifas dan alle informatie die het heeft over deze persoon.
Als die van mening is dat hij onterecht op de lijst staat, dan wordt gekeken van welke bedrijf de fraudemelding afkomstig is en worden de twee met elkaar in contact gebracht. Levert dat gesprek ook geen bevredigende uitkomst op, dan bestudeert Cifas het geval zelf nog eens om het daarna, indien nodig, voor te leggen aan de Nationale Ombudsman voor een eindoordeel. Volgens Dukes leidt dat overigens zelden tot een verwijdering van de lijst. ‘Meestal zeggen zij: sorry meneer of mevrouw, maar u bent toch echt een fraudeur.’
Cifas: begin klein met zo’n frauderegister
Dukes wijst erop dat leden een nieuwe klant niet kunnen afwijzen puur en alleen omdat diens naam op de zwarte lijst staat. Meer is nodig, zegt hij. ‘Ze moeten meer onderzoek doen en wij checken dat ook door de algoritmes die in ons systeem zijn ingebouwd. Aan de hand daarvan kunnen wij bijvoorbeeld zien of een verzekeraar de lijst gebruikt op een manier die eigenlijk bij een bank hoort. Zo gaan bedrijven ook zorgvuldig met het systeem om.’ Het is volgens Dukes heel goed mogelijk dat iemand die op de zwarte lijst staat, nog steeds een creditcard krijgt. ‘Maar zo iemand krijgt dan bijvoorbeeld minder bestedingsruimte. Of ze betalen meer voor het gebruik van de kaart.’
Cifas heeft ook Zuid-Afrika geholpen bij het opzetten van hun zwarte lijst, die zich overigens ook hoofdzakelijk tot financiële dienstverleners en verzekeraars beperkt. Volgens Dukes is er verder op de wereld niets vergelijkbaars te vinden. Zijn advies aan het Nederlandse bedrijfsleven is dit: ‘Begin in een kleine groep en laat zien dat het werkt. Zo is dat bij Cifas ook gegaan.’
Waar blijft de Nederlandse navolging van frauderegister Cifas? Sinds januari loopt er een proef: FraudeInfodesk, geïnspireerd op de zwarte lijst van Cifas. Maar de Autoriteit Persoonsgegevens (AP), de Nederlandse privacy-waakhond, ligt dwars. De AP vindt dat de lijst niet voldoet aan de wet, omdat onvoldoende zou zijn aangetoond dat deze vorm van gegevensverwerking gerechtvaardigd en noodzakelijk is. Het argument wat steeds klinkt is dit: wat doe je als je als fraudeur op die lijst belandt? Kom je er dan nooit weer vanaf? Natuurlijk niet. En zo is Cifas ook ingericht.