Kifid: registratie persoonsgegevens niet standaard 8 jaar

Wanneer er sprake is van fraude dan kan een financiële dienstverlener besluiten om de persoonsgegevens van de betrokken consument te registreren. Met regelmaat beklagen consumenten zich bij Kifid over deze registraties. In een vandaag gepubliceerde uitspraak over een dergelijke klacht concludeert de Geschillencommissie van Kifid dat de registratie van de persoonsgegevens gerechtvaardigd is. Echter, de duur van de registratie moet worden beperkt. De Geschillencommissie oordeelt dat de financiële dienstverlener niet standaard mag uitgaan van een registratietermijn van 8 jaar. De Algemene verordening persoonsgegevens (AVG) verlangt dat de registratieperiode van de persoonsgegevens tot een minimum wordt beperkt.

De consument had een betaalrekening met betaalpas en internetbankieren bij ABN AMRO. In april 2020 reageerde de consument via Snapchat op een advertentie waarin stond dat hij snel geld kon verdienen. De consument stelt dat hij, onder bedreiging van een mes, zijn betaalpas heeft afgegeven en zijn telefoon heeft ontgrendeld. Hierop volgden een aantal pogingen tot het verhogen van de limiet van de betaalpas, een reeks transacties en geldopnames bij een geldautomaat. Volgens de consument zijn deze handelingen niet door hem verricht. De bedragen die werden bijgeschreven op de betaalrekening van de consument en vervolgens met zijn bankpas werden opgenomen, waren afkomstig van slachtoffers van marktplaatsfraude.

In de daaropvolgende week nam de consument meerdere keren contact op met de bank om het misbruik van zijn rekening door te geven. Naar aanleiding van deze gebeurtenissen heeft de bank eind mei 2020 de consument laten weten dat de overeenkomsten met hem werden beëindigd en hij voor een termijn van 8 jaar werd opgenomen in het interne verwijzingsregister (IVR), het Incidentenregister en het externe verwijzingsregister (EVR). Over deze registraties heeft de consument zich bij Kifid beklaagd. Hij vindt de registraties onterecht en buitenproportioneel.

Geldezelpraktijk

De hiervoor omschreven gebeurtenissen passen bij het gedragspatroon van iemand die als geldezel fungeert. Een geldezel stelt zijn bankrekening ter beschikking van criminelen, die geld dat afkomstig is van een misdrijf via de betreffende bankrekening weer opnemen. In deze klachtzaak is komen vast te staan dat de consument zich als geldezel heeft laten gebruiken. De Geschillencommissie concludeert dat de consument willens en wetens zijn betaalpas en pincode aan een derde heeft gegeven om zo snel geld te verdienen. Gezien deze feiten en omstandigheden mag de bank de persoonsgegevens van deze consument registreren in het EVR.

8 jaar niet de standaard

Bij het registreren van persoonsgegevens in het EVR en het Incidentenregister moet de bank zich houden aan het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) en aan de in Nederland geldende privacywetgeving. Zowel de privacywetgeving als het PIFI schrijven voor dat de bank nagaat wat de duur van de registratie moet zijn, de zogenoemde afweging van proportionaliteit. Daarbij moet zij de belangen van de betrokken consument meewegen. Immers, de registratie kan voor de consument ernstige gevolgen hebben, zoals het niet kunnen krijgen van een hypotheek of het niet kunnen gebruikmaken van een gewone betaalrekening. De Geschillencommissie ziet veel banken uitgaan van 8 jaar. Volgens de AVG moet de registratieperiode van persoonsgegevens echter worden beperkt tot een strikt minimum. De Geschillencommissie oordeelt in deze uitspraak dat een registratie in het EVR en het Incidentenregister niet zondermeer voor 8 jaar mag worden gedaan.

Duur vereist belangenafweging

Persoonsgegevens mogen niet langer worden verwerkt dan nodig is voor het doel, zo schrijft de AVG voor. De Geschillencommissie oordeelt dat voor de duur van de registratie gekeken moet worden naar de omstandigheden van een specifieke zaak. Dit geldt zowel voor registratie in externe als in interne registers. Daarbij zijn in ieder geval de aard van het geregistreerde gedrag en de mate van verwijtbaarheid van belang. Bovendien moet de bank ook naar de persoonlijke situatie van de consument kijken, zoals de leeftijd en maatschappelijke positie, én het risico op herhaling van het gedrag. Een registratie mag niet zomaar voor 8 jaar worden gedaan en bij het bepalen van de registratieduur moet aan de lage kant worden begonnen. De Geschillencommissie concludeert dat het aan een financiële dienstverlener is om te motiveren waarom de door hem vastgestelde registratietermijn écht noodzakelijk is.

Registraties met externe werking niet proportioneel

In deze klachtzaak heeft de consument willens en wetens zijn betaalpas en -rekening ter beschikking gesteld aan criminelen. Daarmee heeft hij zich schuldig gemaakt aan (schuld-) witwassen door zich als geldezel te laten gebruiken. De Geschillencommissie ziet echter aanleiding om de duur van de registratie te verkorten tot 6 jaar. Dienst doen als geldezel is zeer verwijtbaar, maar er zijn nog zwaardere feiten denkbaar.

Interne registraties 8 jaar

De registraties in de Gebeurtenissenadministratie en het IVR zijn wel proportioneel: de registraties in het IVR en de Gebeurtenissenadministratie zijn alleen voor intern gebruik bij de bank. De registraties zorgen ervoor dat de consument niet langer gebruik kan maken van de diensten van de groep van financiële ondernemingen waarvan de bank deel uitmaakt. Dat hoeft het aanvragen van een rekening bij een andere bank niet in de weg te staan.

De uitspraak GC 2022-0335 over de klacht van een consument tegen ABN AMRO is bindend.

Uitspraak