Persoonsgegevens mogen niet standaard voor acht jaar worden geregistreerd
Blog
Als een consument fraude heeft gepleegd kan de bank of de verzekeraar zijn of haar persoonsgegevens registreren in de daarvoor bestemde registers. Daarbij gelden dan wel strenge regels want het registreren van persoonsgegevens kan voor consumenten vergaande consequenties hebben. Over hoe om te gaan met de duur van de registratie bestaat veel discussie. De Commissie van Beroep van Kifid heeft recentelijk geoordeeld dat de bank bij de registratie van persoonsgegevens niet standaard mag uitgaan van acht jaar (zie CvB 22 januari 2024, nr. 2024-0001). De bank moet steeds een op de zaak toegesneden belangenafweging maken, de zogenoemde proportionaliteitstoets.
Het oordeel van de Geschillencommissie
De Geschillencommissie heeft geoordeeld dat voldoende grond aanwezig is voor opname van de persoonsgegevens van de consument in deze registers. De duur van de registratie in het EVR en het Incidentenregister moet naar het oordeel van de Geschillencommissie wel worden verkort tot vijf jaar. Daarbij heeft de Geschillencommissie specifiek geoordeeld dat bij het bepalen van de duur van de registratietermijn niet mag worden uitgegaan van een standaardtermijn van acht jaar. Uit het verweerschrift bleek namelijk dat de bank bij het bepalen van de duur van de registratietermijn is uitgegaan van een standaardtermijn van acht jaar. De bank heeft dus ‘afgeteld’ en zag in het onderhavige geval geen aanleiding om lager uit te komen dan op acht jaar. Met andere woorden: de bank heeft acht jaar als standaard genomen en is ervan uitgegaan dat onder bijzondere omstandigheden van die standaard kan worden afgeweken. Die benadering is volgens de Geschillencommissie niet juist. Onder verwijzing naar de Algemene Verordening Gegevensbescherming (AVG), met name punt 39 van de considerans van de AVG, alsmede artikel 5 lid 1 onder c van deze verordening, heeft de Geschillencommissie geoordeeld dat in gevallen als de onderhavige niet moet worden afgeteld, zoals de bank heeft gedaan. Er moet worden opgeteld, in die zin dat de registratietermijn langer zal zijn naarmate de frauderende consument, gelet op hetgeen hij op zijn kerfstok heeft, een groter risico vormt voor andere banken en geldverstrekkers. Uiteindelijk gaat het om het wegen van de gevolgen die de registratie voor de consument heeft ten opzichte van het belang van de financiële sector om gewaarschuwd te worden over, en beschermd te worden tegen, dergelijk strafbaar handelen.
De bank is tegen deze uitspraak in beroep gegaan bij Commissie van Beroep van Kifid. Zij blijft van mening dat het uitgangspunt voor de registratieduur in het externe verwijzingsregister standaard acht jaar is. Alleen bijzondere omstandigheden kunnen maken dat het korter is. De bank verwijst naar de afspraken in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI 2021) en een besluit van de Autoriteit Persoonsgegevens.
Het gaat niet om optellen of aftellen en een standaardtermijn van acht jaar is niet toegestaan
Onlangs heeft de Commissie van Beroep in deze kwestie een uitspraak gedaan. Het beroep van de bank is uitsluitend gericht tegen de beslissing van de Geschillencommissie dat de benadering, om bij het bepalen van de duur van de registratietermijn uit te gaan van een standaardtermijn van acht jaar, niet juist is. Het gaat dan in de kern om het oordeel van de Geschillencommissie dat in gevallen als het onderhavige, niet moet worden ‘afgeteld’, zoals de bank heeft gedaan, maar moet worden ‘opgeteld’. Nadat de Commissie van Beroep in de rechtsoverwegingen 5.4 en verder het wettelijk kader heeft geschetst, komt zij tot het volgende oordeel:
‘Naar het oordeel van de Commissie van Beroep gaat het bij de vaststelling van de duur van de registratie, niet om “optellen” of “aftellen”, maar om het maken van een op de zaak toegesneden belangenafweging. De uitkomst van deze belangenafweging kan zijn dat een registratie voor de duur van acht jaar proportioneel is, maar kan ook leiden tot een registratie van een kortere duur. Registratie voor de duur van acht jaar is dan ook geen uitgangspunt, zoals de bank stelt, omdat dit zou impliceren dat automatisch een registratie van acht jaar zou kunnen worden aangenomen. Het zou dan vervolgens aan betrokkene zijn om feiten en omstandigheden aan te voeren die kunnen leiden tot een neerwaartse bijstelling van de registratieperiode. Het hanteren van een standaardtermijn is echter in strijd met het bepaalde in artikel 5 lid 1 sub e AVG en Overweging (39) van de considerans bij de AVG, omdat op basis hiervan de opslagperiode van de persoonsgegevens tot een strikt minimum moet worden beperkt. Dit brengt mee dat door middel van een afweging van de betrokken belangen gekomen moet worden tot een zo beperkt mogelijke opslagperiode en voor een standaardtermijn dan ook geen plaats is. Bovendien verdraagt het hanteren van een standaardtermijn zich ook niet met het besluit van de AP en de toelichting bij het PIFI, waarin wordt uitgegaan van een dubbele proportionaliteitstoets voorafgaande aan de EVR registratie. Het standpunt van de bank dat bij het bepalen van de registratieduur een registratie voor de duur van acht jaar als uitgangspunt geldt, houdt dan ook geen stand.’
Algemene gezichtspunten en een puntenmatrix kunnen behulpzaam zijn
De stelling van de bank dat de lijn die de Geschillencommissie hanteert het voor de bank onmogelijk maakt om een eenduidig beleid te voeren volgt de Commissie van Beroep ook niet:
‘Of er nu wordt “opgeteld” of “afgeteld”, een op de zaak toegesneden belangenafweging zal in beide gevallen gemaakt moeten worden. Bij het uitvoeren van deze belangenafweging kan de bank desgewenst gebruik maken van algemene gezichtspunten of bijvoorbeeld een puntenmatrix. Steeds zal echter een op het individuele geval toegesneden belangenafweging moeten worden gemaakt.’
Uiteindelijk handhaaft de Commissie van Beroep de uitspraak van de Geschillencommissie en ziet zij geen reden om af te wijken van dat oordeel.
Een stap in de goede richting!
Wij juichen het oordeel van de Commissie van Beroep toe en pleiten zoals ook door de Commissie van Beroep is overwogen om bij elk dossier een op de zaak toegesneden belangenafweging te maken. Hierbij moet de focus inderdaad niet liggen op optellen of aftellen maar juist op het maken van een allesomvattende belangenafwegingen waarbij de registratieduur tot een strikt minimum wordt beperkt. Dat is ook hetgeen door de AVG wordt voorgeschreven. Het hanteren van een standaardtermijn past daar niet bij. Sterker nog, bij het hanteren van een standaardtermijn loop je het risico dat de bewijslastverdeling zoals voorschreven in de AVG uit het oog wordt verloren. Wij hopen dat banken en verzekeraars met deze uitspraak in de hand de werkwijze voor de belangenafweging bij de registratieduur, nog eens onder de loep nemen. Ondanks dat de Commissie van Beroep een duidelijk standpunt heeft ingenomen, denken wij dat het laatste woord over deze materie nog niet is gezegd. Zeker nu in de rechtspraak van de overheidsrechter ook geen duidelijke lijn is te ontdekken. Op dit moment zijn wij bezig ons verder te verdiepen in deze materie en zal er medio april van onze zijde een wetenschappelijk artikel in het Tijdschrift Aansprakelijkheid, Verzekering en Schade (AV&S) verschijnen. Het blijft een boeiende aangelegenheid, die ook op het onlinekennisplatform vast-online.nl een nadere beschouwing verdient!
Deze bijdrage is op persoonlijke titel geschreven.
Keywords
Auteur(s)
Secretaris-jurist Kifid en tevens legal mediator
Senior secretaris-jurist bij het Klachteninstituut Financiële Dienstverlening (Kifid), secretaris bij de Tuchtraad Financiële Dienstverlening en tevens legal mediator