Kifid: ‘Externe registratietermijn fraude niet standaard 8 jaar’

0

De Geschillencommissie van het Kifid merkt op dat veel banken een standaard registratieperiode van 8 jaar aanhouden in geval van fraude en daarmee de AVG-regels overtreden. De persoonsgegevens van de fraudeur zijn gedurende die periode zichtbaar in onder andere in het externe verwijzingsregister (EVR).

Wanneer er sprake is van fraude dan kan een financiële dienstverlener besluiten om de persoonsgegevens van de betrokken consument te registreren in het interne verwijzingsregister (IVR), het Incidentenregister en het externe verwijzingsregister (EVR). Met regelmaat beklagen consumenten zich bij Kifid over deze registraties. In een vandaag gepubliceerde uitspraak over een dergelijke klacht concludeert de Geschillencommissie van Kifid dat de registratie van de persoonsgegevens gerechtvaardigd is, maar dat de duur van de registratie moet worden beperkt. Die uitspraak heeft gevolgen voor de huidige registratiepraktijk waar veel financiële dienstverlener standaard uitgaan van een registratietermijn van 8 jaar.

Gekozen termijn motiveren

Volgens de Geschillencommissie verlangt de Algemene verordening persoonsgegevens (AVG) dat de registratieperiode van de persoonsgegevens tot een minimum wordt beperkt. “Voor de duur van de registratie moet gekeken worden naar de omstandigheden van een specifieke zaak. Dit geldt zowel voor registratie in externe als in interne registers. Daarbij zijn in ieder geval de aard van het geregistreerde gedrag en de mate van verwijtbaarheid van belang. Bovendien moet de bank ook naar de persoonlijke situatie van de consument kijken, zoals de leeftijd en maatschappelijke positie, én het risico op herhaling van het gedrag. Een registratie mag niet zomaar voor 8 jaar worden gedaan en bij het bepalen van de registratieduur moet aan de lage kant worden begonnen. Het is aan een financiële dienstverlener om te motiveren waarom de door hem vastgestelde registratietermijn écht noodzakelijk is”, aldus de Geschillencommissie.

De zaak

In de onderliggende zaak had de klagende consument een betaalrekening met betaalpas en internetbankieren bij ABN Amro. In april 2020 reageerde de consument via Snapchat op een advertentie waarin stond dat hij snel geld kon verdienen. De consument stelt dat hij, onder bedreiging van een mes, zijn betaalpas heeft afgegeven en zijn telefoon heeft ontgrendeld. Hierop volgden een aantal pogingen tot het verhogen van de limiet van de betaalpas, een reeks transacties en geldopnames bij een geldautomaat. Volgens de consument zijn deze handelingen niet door hem verricht.

De bedragen die werden bijgeschreven op de betaalrekening van de consument en vervolgens met zijn bankpas werden opgenomen, waren afkomstig van slachtoffers van marktplaatsfraude. In de daaropvolgende week nam de consument meerdere keren contact op met de bank om het misbruik van zijn rekening door te geven. Naar aanleiding van deze gebeurtenissen heeft de bank eind mei 2020 de consument laten weten dat de overeenkomsten met hem werden beëindigd en hij voor een termijn van 8 jaar werd opgenomen in het interne verwijzingsregister (IVR), het Incidentenregister en het externe verwijzingsregister (EVR). Over deze registraties heeft de consument zich vervolgens bij Kifid beklaagd. Hij vindt de registraties onterecht en buitenproportioneel.

Registratie met ernstige gevolgen

De Geschillencommissie concludeert dat de consument willens en wetens zijn betaalpas en pincode aan een derde heeft gegeven om zo snel geld te verdienen. “Daarmee heeft hij zich schuldig gemaakt aan (schuld-) witwassen door zich als geldezel te laten gebruiken. Gezien deze feiten en omstandigheden mag de bank de persoonsgegevens van deze consument registreren in het EVR. De registratie in het EVR en het Incidentenregister mag echter niet zondermeer voor 8 jaar worden gedaan.”

Bij het registreren van persoonsgegevens in het EVR en het Incidentenregister moet de bank zich namelijk houden aan het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) en aan de in Nederland geldende privacywetgeving. Kifid: “Zowel de privacywetgeving als het PIFI schrijven voor dat de bank nagaat wat de duur van de registratie moet zijn, de zogenoemde afweging van proportionaliteit. Daarbij moet zij de belangen van de betrokken consument meewegen. Immers, de registratie kan voor de consument ernstige gevolgen hebben, zoals het niet kunnen krijgen van een hypotheek of het niet kunnen gebruiken van een gewone betaalrekening.”

In deze klachtzaak ziet de Geschillencommissie aanleiding om de duur van de registratie te verkorten tot 6 jaar. “Dienst doen als geldezel is zeer verwijtbaar, maar er zijn nog zwaardere feiten denkbaar”, lezen we in de bindende uitspraak (GC 2022-0335).

Interne registratie mag wel 8 jaar

De registraties in de Gebeurtenissenadministratie en het IVR zijn volgens Kifid wel proportioneel, omdat die alleen voor intern gebruik bij de bank zijn. “De registraties zorgen ervoor dat de consument niet langer gebruik kan maken van de diensten van de groep van financiële ondernemingen waarvan de bank deel uitmaakt. Dat hoeft het aanvragen van een rekening bij een andere bank niet in de weg te staan.”

Elke werkdag het belangrijkste financiële nieuws in uw mailbox? Meld u gratis aan voor InFinance Daily.

Deel dit artikel

Over de auteur

Redactie InFinance

De redactie is verantwoordelijk voor de dagelijkse nieuwsupdates op de website InFinance.nl en nieuwsbrief InFinance Daily.