Kifid geeft signaal af: EVR-registratie van acht jaar mag niet de standaard zijn

Blog

Achtergrond

In een week tijd hebben zich (achteraf gebleken) frauduleuze activiteiten afgespeeld met de bankrekening van een consument. Zo is er herhaaldelijk tevergeefs geprobeerd om de limiet voor de betaalpas fors te verhogen en is een nieuwe telefoon gekoppeld aan de bankrekening. Er zijn bovendien meerdere bedragen ontvangen die afkomstig bleken van Marktplaats-fraude. Ook is er een aanzienlijk bedrag opgenomen uit een geldautomaat, waarbij de pincode in één keer juist werd ingetoetst.

De consument heeft na ruim een week tijd zijn bank gebeld en heeft aangegeven dat er misbruik is gemaakt van zijn bankrekening. De bank heeft een maand later aan de consument geschreven dat de overeenkomsten met hem beëindigd zullen worden en zijn persoonsgegevens in het Intern Verwijzingsregister (IVR) en Extern Verwijzingsregister (EVR) voor de duur van acht jaar geregistreerd zullen worden. De consument heeft tegen deze beslissing bezwaar gemaakt met de toelichting dat hij geen fraudeur is, maar juist zelf het slachtoffer is van oplichting. Hij zou zijn bankpas en pincode hebben afgestaan onder bedreiging van een mes. De bank heeft – ook nadat de consument de klachtenprocedure heeft doorlopen – laten weten het standpunt niet te wijzigen. De consument stuurt tot slot nog een brief van het Arondissementsparket waaruit volgt dat de consument niet meer wordt vervolgd voor witwassen, vanwege onvoldoende bewijs. Ook dit document heeft niet tot een ander standpunt bij de bank geleid.

Oordeel Geschillencommissie

Registratie gerechtvaardigd?

De consument vordert bij Kifid ongedaanmaking van de registraties. De Geschillencommissie overweegt dat hiervoor de vraag moet worden beantwoord of de registraties gerechtvaardigd zijn. In dat kader moet sprake zijn van een zwaardere verdenking dan een redelijk vermoeden van schuld.

Niet in geschil is dat de bankrekening van de consument op frauduleuze wijze is gebruikt. De consument ontkent alleen dat hij hierbij zelf een rol heeft gespeeld. De geschillencommissie gaat mee in de stellingen van de bank dat de betrokkenheid van de consument bij fraude in voldoende mate vast is komen te staan. Bepalend hiervoor is het volgende.

De consument heeft zijn bankpas en pincode aan een ander gegeven. De consument heeft vervolgens een week lang afgewacht. In die tijd stroomde er geld binnen uit Marktplaats-fraude en is er geld opgenomen uit een geldautomaat. Pas nadat zich dit heeft voltrokken, heeft de consument zijn bank ingelicht. Die omstandigheden passen bij het gedrag van een geldezel. De consument heeft hier niet voldoende tegenover gesteld om dit te ontkrachten. Dat de consument stelt dat hij bedreigd is met een mes en daarom de pas heeft afgegeven, is onvoldoende. Die dreiging is niet vast komen te staan, waarbij meespeelt dat de consument niet direct zijn pinpas heeft geblokkeerd. De consument heeft zijn betaalpas aan een derde gegeven met het doel snel geld te verdienen en heeft hierbij de aanmerkelijke kans aanvaard dat er strafbare handelingen zouden plaatsvinden op zijn rekening. De sepotbeslissing van het OM maakt dit ook niet anders, nu deze beslissing op een andere verdenking lijkt te zien.

Proportionaliteit

De geschillencommissie buigt zich vervolgens over de vraag of de registratieduur van acht jaar in dit geval proportioneel is. Uit het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) volgt dat de gegevens maximaal acht jaar na opname verwijderd moeten worden uit het EVR. De geschillencommissie wijst erop dat zij veelal ziet dat financiële dienstverleners deze achtjaarstermijn als uitgangspunt gebruiken zonder motivering. Dat kan niet zonder meer, aldus de geschillencommissie. De gegevens mogen op grond van de Algemene Verordening Gegevensbescherming namelijk niet langer worden verwerkt dan noodzakelijk is voor de doeleinden van de verwerking. Hieruit vloeit voort dat er telkens een op de zaak toegesneden afweging moet worden gemaakt, waarbij de omstandigheden van het geval moeten worden meegewogen. Bepalend zijn onder meer de aard en ernst van het strafrechtelijk bewijsbaar en kwalificeerbaar verwijt, en de persoonlijke omstandigheden van de consument, waaronder leeftijd, maatschappelijke positie en recidiverisico.

De geschillencommissie overweegt dat niet zonder meer voor een registratieduur van acht jaar kan worden gekozen, maar dat eerder aan de voet daarvan moet worden begonnen. De bank zal dan ook aan de hand van een belangenafweging moeten motiveren waarom de registratieduur noodzakelijk is. De consument moet in dat kader in de gelegenheid worden gesteld zijn zienswijze hierover kenbaar te maken, zodat met deze omstandigheden rekening kan worden gehouden. In de onderhavige kwestie heeft de consument geen persoonlijke omstandigheden naar voren gebracht en weegt het belang om te registreren zwaarder dan het belang van de consument. Wel verlaagt de geschillencommissie de registratieduur van acht naar zes jaar, omdat er zwaardere feiten denkbaar zijn dan het fungeren als geldezel.

De registratie in het Incidentenregister wordt ook verkort naar zes jaar, nu niet is gebleken van argumenten die een langere duur dan de EVR-registratie rechtvaardigen. De registraties in de interne registers mogen gehandhaafd blijven voor een duur van acht jaar, omdat deze registers zuiver intern zijn. Die registratie belemmert de consument niet om bancaire relaties aan te gaan met andere partijen.

Conclusie

De geschillencommissie gebruikt deze uitspraak om een algemeen signaal af te geven aan financiële dienstverleners. De registratieduur van acht jaar mag niet standaard het uitgangspunt zijn; er zal eerder laag begonnen moeten worden, met een motivering waarom de vastgestelde registratietermijn écht noodzakelijk is (zie ook het nieuwsbericht). Om de registratieduur vast te stellen dient altijd een belangenafweging plaats te vinden waarbij onder meer de persoonlijke omstandigheden van de consument meegewogen moeten worden.