Ongedaan maken gevolgen: onderzoeksvragen A1-4

Bij de ongedaanmaking van de gevolgen van identiteitsfraude door het slachtoffer moeten, zoals hierboven bleek, twee situaties worden onderscheiden. Aan de ene kant de situatie dat het overheidslichaam bij de identiteitsfraude is betrokken doordat het een (positief of negatief) besluit heeft genomen op basis van achteraf onjuist gebleken gegevens. Aan de andere kant de situatie dat het

overheidslichaam bij de identiteitsfraude wordt betrokken als het verantwoordelijk is voor (basis)registraties waarin onjuiste gegevens zijn opgenomen over het slachtoffer van de fraude. Beide situaties kennen, zo blijkt uit de juridische verkenning, een andere maatstaf om te bepalen of ongedaanmaking juridisch verplicht is. Deze verschillen komen hieronder aan de orde.

Ongedaan maken gevolgen benadelende besluiten

Vooropgesteld moet worden dat een overheidsinstelling als beslissingsnemer (‘bestuursorgaan’) zorgvuldig dient te handelen en het nodige onderzoek dient te verrichten voordat het een besluit ambtshalve of op aanvraag neemt. Dit onderzoek gaat echter niet zo ver dat het bestuursorgaan moet controleren of alle gegevens, waaronder de identiteit van de aanvrager, juist zijn. Een bestuursorgaan hoeft daarom, behoudens bijzondere wettelijke voorwaarden of evidente onjuistheden, niet te controleren of een aanvraag voor een begunstigend besluit daadwerkelijk afkomstig is van de persoon op wiens naam de aanvraag staat. Dit gegeven mag worden voorondersteld. Deze vooronderstelling geldt ook in situaties waarin de aanvraag elektronisch is ingediend na bijvoorbeeld een DigiD-inlogprocedure of een DigiD-elektronische handtekening, tenzij er duidelijke indicaties zijn dat de DigiD-omgeving ten tijde van de aanvraag onvoldoende betrouwbaar was.

Het primaire besluitvormingsproces kent derhalve slechts beperkte juridische verplichtingen om identiteitsfraude op te sporen. Dit betekent echter niet dat het slachtoffer voor een voldongen feit wordt geplaatst. Zodra het slachtoffer op de hoogte raakt van onjuistheden (bijvoorbeeld omdat het post ontvangt over aanvragen die hij nooit heeft ingediend of over besluiten die kennelijk zijn gebaseerd op onjuiste gegevens) is het zaak dat hij zich meldt bij het

bestuursorgaan. Weet het slachtoffer aannemelijk te maken dat hij betrokken is bij identiteitsfraude, dan dient het bestuursorgaan het genomen besluit ongedaan te maken.

Bij de ongedaanmaking van de gevolgen van identiteitsfraude ligt de bewijslast en het bewijsrisico bij het slachtoffer. Vanuit het oogpunt van het voorkomen van onterechte beroepen op identiteitsfraude ligt dit voor de hand. Wel is de vraag hoe ver de bewijslast reikt.

Uit het jurisprudentieonderzoek is gebleken dat het slachtoffer bij het bestuursorgaan aannemelijk dient te maken dat de gegevens waarop het besluit is gebaseerd onjuist zijn, of bijvoorbeeld niet van hem afkomstig zijn. De invulling van de bewijslast is afhankelijk van alle omstandigheden van het geval. Wel is duidelijk dat een enkele aangifte bij de politie van identiteitsfraude niet voldoende is. Uit de onderzochte jurisprudentie kan worden afgeleid dat het slachtoffer oplettend dient te zijn en adequaat dient te reageren op signalen die op onjuistheden wijzen (zoals brieven of andere signalen). Doet het dat niet en negeert het slachtoffer eerdere signalen die op identiteitsfraude kunnen wijzen, dan verhoogt dat de bewijslast om identiteitsfraude aannemelijk te maken.

In het geval het bestuursorgaan gebruik maakt van gegevens uit een basisregistratie – waarvoor sinds de herstructurering vanaf 2010 een gebruiksplicht bestaat – lijkt de bewijslast voor de burger verzwaard.

Het bestuursorgaan beschikt doorgaans niet meer over een controle met gegevens uit een ander register, waaraan een beroep op identiteitsfraude kan worden gespiegeld. Aan de ene kant verhoogt dit de juistheid van de basisregistratie, maar aan de andere kant kan een fout in de basisregistratie sneller op meerdere plaatsen terecht komen. In het kader van de onderzoeksplicht en de zorgvuldigheid

van de besluitvorming mag het bestuursorgaan in de regel zijn besluit baseren op deze gegevens. De drempel om als slachtoffer aannemelijk te maken dat deze centraal opgeslagen gegevens onjuist zijn, lijkt hiermee enigszins verhoogd.

In vergelijking met de civiele rechtspraak valt op dat civiele partijen vaker dienen aan te geven hoe de identificatie van de wederpartij heeft plaatsgevonden. In de civiele rechtspraak lijkt daarmee een strengere lijn te gelden voor de verkopende partij dan in het bestuursrecht voor het bestuursorgaan. Waar het bestuursorgaan in de regel mag aannemen dat de aangeleverde gegevens kloppen, dient een civiele partij – zeker bij online tot stand gekomen overeenkomsten – te controleren of de (vermeende) wederpartij daadwerkelijk de wil heeft gehad de overeenkomst aan te gaan. Hoe ver dit onderzoek reikt is niet geheel duidelijk; geautomatiseerde controle via een e-mailadres is bijvoorbeeld mogelijk, maar sluit niet uit dat de fraudeur zelf een e-mailadres op naam van een ander heeft aangemaakt. Bij betwisting van de gesloten overeenkomst door de wederpartij zal de verkopende partij in ieder geval enkele controlestappen hebben moeten verrichten bij de totstandkoming ervan. Op bestuursorganen rust, behoudens bijzondere wettelijke voorschriften en de controle van de methode van elektronische handtekeningen, een dergelijke verplichting niet.

Ongedaan maken onjuiste gegevens in basisregistraties

Tot slot is geconstateerd dat herstel van de gevolgen van identiteitsfraude niet alleen maar plaatsheeft in procedures tegen het materiële benadelende besluit, maar ook in procedures tegen onjuistheden in basisregistraties. De verantwoordelijkheid voor de basisregistratie ligt veelal bij een ander bestuursorgaan dan het bestuursorgaan dat als gebruiker van de registratie het besluit heeft

genomen. Dit zorgt ervoor dat het slachtoffer in de systeemketen meerdere procedures zal moeten starten. Opvallend daarbij is dat het rechtsvermoeden dat de gegevens uit de basisregistratie juist zijn, sterk is. In plaats van aannemelijk te maken dat de gegevens onjuist zijn, draagt het slachtoffer bij de aanpassing van onjuiste gegevens de volledige bewijslast. De rechtszekerheid en de betrouwbaarheid van de registratie staat voorop. Alleen als onomstotelijk vaststaat dat de in het register opgenomen gegevens onjuist zijn, bestaat een verplichting de gegevens aan te passen. Als dit vervolgens vaststaat, dient de beheerder van het register de aanpassing wel terstond op te nemen als daarmee de kans op verder misbruik wordt voorkomen.

Als het slachtoffer slaagt in het bewijs dat de gegevens onjuist zijn, is vervolgens de hoofdregel dat aanpassing van deze gegevens niet met terugwerkende kracht geschiedt. Dit betekent dat extra procedures over toekomstige materiële besluiten die gebruik maken van historische gegevens niet altijd valt uit te sluiten. Slechts bij hoge uitzondering is aanpassing met terugwerkende kracht mogelijk. Op dit punt geeft de beschikbare jurisprudentie nog geen duidelijk beeld wanneer een uitzondering juridisch moet worden gemaakt. Ook in het geval van aanpassing met terugwerkende kracht zal het slachtoffer verzoeken moeten indienen bij één of meerdere overheidsinstanties om terug te komen op eerdere, onherroepelijke, besluiten genomen op basis van de oude gegevens.

Vergoeding van schade bij ongedaanmaking gevolgen

Uit het jurisprudentieonderzoek is niet gebleken van toegekende schadevergoedingen voor anderszins geleden schade naar aanleiding van onjuiste besluiten. Wel ontvangt het slachtoffer na een procedure bij de rechter een forfaitaire vergoeding van de proceskosten en een vergoeding van de griffierechten.