Inzage in uw fraudedossier bij de bank: wat zegt de AVG?
“Staat u geregistreerd in een intern of extern register van een bank, verzekeraar of andere financiële instelling? Dan is vaak niet direct duidelijk welke gegevens zijn vastgelegd en waarom de registratie is geplaatst. Op grond van artikel 15 AVG kunt u inzage vragen in de persoonsgegevens die de instelling over u verwerkt. Dat recht kan ook van belang zijn bij een IVR-registratie, EVR-registratie, Incidentenregister of ander fraudedossier. De instelling mag bepaalde informatie soms afschermen, bijvoorbeeld vanwege fraudepreventie, bedrijfsgeheimen, onderzoeksmethoden of rechten van derden. Maar zij mag niet zonder concrete beoordeling iedere vorm van inzage weigeren.”
Wat houdt het AVG-inzagerecht in?
Artikel 15 AVG geeft een betrokkene het recht om te weten of een organisatie persoonsgegevens over hem verwerkt. Als dat zo is, moet de organisatie inzage geven in die persoonsgegevens. Daarnaast moet zij op grond van artikel 15 lid 1 AVG informatie verstrekken over onder meer de verwerkingsdoeleinden, de categorieën persoonsgegevens, de ontvangers, de bewaartermijn, de herkomst van de gegevens en eventuele geautomatiseerde besluitvorming of profilering. Op grond van artikel 15 lid 3 AVG bestaat bovendien in beginsel recht op een kopie van de persoonsgegevens die worden verwerkt.
Het doel van het inzagerecht is dat de betrokkene kan controleren of zijn persoonsgegevens juist zijn en rechtmatig worden verwerkt. De rechtbank Amsterdam oordeelde dat in een uitspraak van 18 december 2025, ECLI:NL:RBAMS:2025:11295. In die zaak ging het om een verzoek op grond van artikel 35 UAVG in combinatie met artikel 15 AVG tegen onder meer ABN AMRO. De rechtbank overwoog dat inzage nodig kan zijn om andere AVG-rechten uit te oefenen, zoals rectificatie, gegevenswissing en beperking van verwerking op grond van artikelen 16, 17 en 18 AVG.
Welke gegevens kunnen onder het inzagerecht vallen?
Bij een frauderegistratie gaat het niet alleen om basisgegevens zoals naam, adres en geboortedatum. Ook de registratie zelf, de registratiedatum, de duur van de registratie, de gebruikte kwalificatie, onderliggende transacties, correspondentie, meldingen, interne beoordelingen en gegevens over verstrekking aan derden kunnen persoonsgegevens zijn. Beslissend is of de gegevens betrekking hebben op een identificeerbare persoon.
Het begrip “persoonsgegevens” in artikel 4 lid 1 AVG wordt ruim uitgelegd. Ook feitelijke of waarderende gegevens over gedrag, eigenschappen, opvattingen of risico’s kunnen daaronder vallen. De rechtbank Zeeland-West-Brabant stelde dit vast in Rechtbank Zeeland-West-Brabant 19 december 2025, ECLI:NL:RBZWB:2025:9603. In die uitspraak overwoog de rechtbank dat ook feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen persoonsgegevens kunnen zijn, voor zover zij geautomatiseerd worden verwerkt of in een bestand voorkomen.
PIFI 2026: protocol, geen wet, geen afspraak
Voor IVR– en EVR-registraties is het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen 2026 (PIFI 2026) belangrijk. Het PIFI is echter geen zelfstandige wettelijke bron van AVG-rechten. Het is een voorwaarde die de AP heeft gesteld om een vergunning aan de financiële instelling te verlenen.
De rechten van de betrokkene volgen primair uit de AVG en de UAVG, zoals het recht op inzage uit artikel 15 AVG, rectificatie uit artikel 16 AVG, gegevenswissing uit artikel 17 AVG en bezwaar uit artikel 21 AVG. Het PIFI is vooral relevant omdat het beschrijft hoe financiële instellingen persoonsgegevens mogen verwerken in het Incidentenregister en het Extern Verwijzingsregister, en welke sectorale waarborgen daarbij gelden.
Het PIFI 2026 vermeldt dat het waarschuwingssysteem bestaat uit Incidentenregisters van financiële instellingen en daaraan gekoppelde Externe Verwijzingsregisters. Het EVR bevat uitsluitend verwijzingsgegevens en functioneert via een hit/no-hit-systeem. De financiële instelling die de registratie plaatst, blijft verwerkingsverantwoordelijke voor de gegevens in haar eigen Incidentenregister en het daaraan gekoppelde EVR. Het PIFI vermeldt bovendien dat voor de verwerking van strafrechtelijke persoonsgegevens overeenkomstig het protocol een vergunning van de Autoriteit Persoonsgegevens is verstrekt op grond van artikel 33 lid 5 UAVG.
Voor een betrokkene betekent dit dat het PIFI helpt om het AVG-verzoek scherp te formuleren. Het verzoek kan bijvoorbeeld zien op de vraag of persoonsgegevens in het Incidentenregister of EVR zijn opgenomen, welke verwijzingsgegevens zijn verwerkt, op welke feiten de registratie is gebaseerd, welke bewaartermijn wordt gehanteerd en of gegevens met andere deelnemers zijn gedeeld. De juridische grondslag voor het inzageverzoek blijft echter artikel 15 AVG.
Heeft u recht op het hele fraudedossier?
Niet automatisch. Artikel 15 AVG geeft recht op inzage in persoonsgegevens en op een kopie daarvan. Dat is niet hetzelfde als een onbeperkt recht op afgifte van alle interne documenten, interne e-mails, juridische adviezen of strategische notities waarin uw naam voorkomt. Bovendien bepaalt artikel 15 lid 4 AVG dat het recht op een kopie geen afbreuk mag doen aan de rechten en vrijheden van anderen.
Dat kwam duidelijk naar voren in Rechtbank Amsterdam 18 december 2025, ECLI:NL:RBAMS:2025:11295. De verzoeker vroeg ABN AMRO onder meer om interne communicatie, correspondentie met derden en stukken over de vraag of een vordering was overgedragen. De rechtbank oordeelde dat het inzagerecht niet onbeperkt is. Interne correspondentie binnen de bank hoefde niet te worden verstrekt wanneer het verzoek vooral was gericht op het verkrijgen van bewijs voor een civielrechtelijk standpunt. Ook communicatie tussen de bank en haar advocaat viel onder de geheimhoudingsplicht van de advocaat.
Voor cliënten betekent dit dat een AVG-inzageverzoek precies moet worden geformuleerd. Een algemeen verzoek om “het hele dossier” sluit niet altijd goed aan bij de reikwijdte van artikel 15 AVG. Relevanter is welke persoonsgegevens worden verwerkt: de registratie, de feiten waarop die registratie berust, de gebruikte categorieën gegevens, de bewaartermijn, de herkomst van de gegevens, ontvangers, raadplegingen, interne kwalificaties en de motivering voor het voortduren van de verwerking.
Mag de bank informatie afschermen?
Ja, maar de bank mag dat niet zonder concrete beoordeling. Het inzagerecht uit artikel 15 AVG is ruim, maar niet absoluut. Op grond van artikel 15 lid 4 AVG mag het recht op een kopie geen afbreuk doen aan de rechten en vrijheden van anderen. Ook artikel 23 AVG en artikel 41 lid 1 onder i UAVG kunnen onder omstandigheden een beperking rechtvaardigen ter bescherming van rechten en vrijheden van anderen.
Een belangrijke uitspraak in het kader van deze belangenafweging is Gerechtshof Amsterdam 14 april 2026, ECLI:NL:GHAMS:2026:961. In die zaak vroeg een journalist, Danny Mekić, van X, voorheen Twitter, inzage in interne gegevens over accountbeperkingen en contentmoderatie. X beriep zich op bedrijfsgeheimen, systeemveiligheid en bescherming van haar contentmoderatiesystemen. Het hof oordeelde dat zulke belangen kunnen meewegen, maar dat zij er niet toe mogen leiden dat de betrokkene feitelijk alle relevante informatie wordt onthouden. Het hof verwees daarbij naar artikel 15 lid 4 AVG, artikel 41 lid 1 onder i UAVG en overweging 63 AVG.
Die lijn is ook relevant voor financiële instellingen. Banken en verzekeraars kunnen zich beroepen op fraudepreventie, vertrouwelijkheid van onderzoeksmethoden, bescherming van medewerkers, veiligheid van het betalingsverkeer of rechten van derden. Dat kunnen legitieme belangen zijn. Maar een algemene weigering is onvoldoende. De instelling moet concreet beoordelen welke persoonsgegevens kunnen worden verstrekt, welke gegevens moeten worden afgeschermd en waarom die afscherming noodzakelijk en proportioneel is.
In de X-zaak leidde die belangenafweging tot een gedeeltelijke oplossing: X moest grotendeels inzage geven, maar hoefde namen van medewerkers en exacte tijdstippen niet te verstrekken. Dat laat zien dat de uitkomst niet zwart-wit is. Ook bij een fraudedossier van een bank kan de juiste oplossing zijn dat bepaalde persoonsgegevens worden verstrekt, terwijl namen van medewerkers, gegevens van derden of specifieke onderzoekstechnische details worden afgeschermd.
Wat als de bank zich beroept op de Wwft?
Banken en andere financiële instellingen verwerken vaak persoonsgegevens in het kader van Wwft-cliëntenonderzoek. Dat kan rechtmatig en soms noodzakelijk zijn. Maar de Wwft geeft geen vrijbrief om onbeperkt persoonsgegevens te verwerken of inzage categorisch te weigeren. Ook wanneer de bank gegevens verwerkt op basis van een wettelijke verplichting als bedoeld in artikel 6 lid 1 onder c AVG, moeten de AVG-beginselen worden nageleefd.
Dat volgt ook uit Hoge Raad 13 maart 2026, ECLI:NL:HR:2026:392, een zaak over International Card Services. De Hoge Raad overwoog dat het vastleggen en bewaren van een foto van het gezicht verwerking van persoonsgegevens is. Daarbij moeten de beginselen uit artikel 5 lid 1 AVG worden nageleefd, waaronder rechtmatigheid, behoorlijkheid, transparantie en minimale gegevensverwerking. De Hoge Raad benadrukte bovendien dat het noodzakelijkheidsvereiste meebrengt dat niet meer persoonsgegevens mogen worden verwerkt dan nodig is.
Voor een inzageverzoek betekent dit dat een financiële instelling niet alleen kan verwijzen naar “Wwft” of “compliance”. Zij moet kunnen uitleggen welke persoonsgegevens worden verwerkt, waarom die verwerking noodzakelijk is, hoe lang de gegevens worden bewaard en waarom bepaalde informatie eventueel moet worden afgeschermd.
Kan de bank zeggen dat u misbruik maakt van het inzagerecht?
Niet snel. Het enkele feit dat iemand de ontvangen gegevens mogelijk wil gebruiken in een procedure tegen een bank, verzekeraar of andere instelling, betekent niet automatisch dat sprake is van misbruik van het AVG-inzagerecht. In Rechtbank Amsterdam 24 december 2025, ECLI:NL:RBAMS:2025:11286, een kort geding tegen Risepoint/Unibet, oordeelde de voorzieningenrechter dat het onvoldoende was dat het inzageverzoek vermoedelijk mede was bedoeld om een procedure over gokverliezen voor te bereiden. De rechtbank verwees daarbij naar het arrest van het Hof van Justitie van 26 oktober 2023, ECLI:EU:C:2023:811, waaruit volgt dat een eerste kopie van persoonsgegevens ook moet worden verstrekt wanneer het verzoek met een ander doel wordt gedaan.
Wel moet het verzoek daadwerkelijk betrekking hebben op persoonsgegevens. Als een verzoek in werkelijkheid is gericht op interne bewijsstukken, juridische analyses of strategische correspondentie die buiten het doel van artikel 15 AVG vallen, kan het geheel of gedeeltelijk worden afgewezen. Dat volgt ook uit de ABN AMRO-zaak van 18 december 2025, waarin interne correspondentie en advocaatcommunicatie niet hoefden te worden verstrekt.
Wat als de bank onvolledig reageert?
Wanneer een financiële instelling niet reageert, te algemeen antwoordt of onvoldoende inzage geeft, kan een aanvullend AVG-verzoek aan de orde zijn. Daarbij kan ook worden verzocht om rectificatie, verwijdering, beperking van verwerking of bezwaar tegen verdere verwerking op grond van artikelen 16, 17, 18 of 21 AVG. Als de bank het verzoek afwijst of onvolledig behandelt, kan artikel 35 UAVG een route naar de civiele rechter bieden. In spoedeisende gevallen kan ook een kort geding aan de orde zijn.
In de Risepoint-zaak van 24 december 2025 werd in kort geding een bevel gegeven om transactiegegevens te verstrekken in een gangbaar formaat, zodat de betrokkenen de juistheid van de persoonsgegevens en de rechtmatigheid van de verwerking konden controleren. Dat laat zien dat een inzagegeschil niet altijd hoeft te wachten op een bodemprocedure, mits sprake is van voldoende spoedeisend belang en een voldoende afgebakend verzoek.
Conclusie
Een cliënt met een IVR-, EVR- of frauderegistratie heeft op grond van artikel 15 AVG recht op betekenisvolle inzage in de persoonsgegevens die een financiële instelling over hem verwerkt. Dat betekent niet automatisch dat de bank het volledige interne fraudedossier, interne e-mails of advocaatcorrespondentie moet afgeven. Wel moet de instelling concreet inzicht geven in de persoonsgegevens, de doelen van verwerking, de herkomst, ontvangers, bewaartermijnen en gegevens die aan de registratie ten grondslag liggen.
Het PIFI 2026 is daarbij relevant als sectoraal protocol en vergunningskader voor incidentenregistraties, maar de kernrechten volgen uit de AVG en UAVG. Als informatie wordt afgeschermd, moet de bank kunnen uitleggen waarom dat noodzakelijk en evenredig is. De lijn uit de X-beschikking van het gerechtshof Amsterdam is daarbij belangrijk: belangen zoals bedrijfsgeheimen, systeemveiligheid of fraudepreventie kunnen meewegen, maar mogen niet leiden tot een algemene weigering van betekenisvolle inzage.
Heeft u een AVG-inzageverzoek gedaan en reageert de bank, verzekeraar of kredietverstrekker niet of onvoldoende? Dan kan juridische beoordeling nodig zijn. Voor vragen over AVG-inzage, verwijdering van persoonsgegevens of een mogelijke procedure op grond van artikel 35 UAVG kunt u vrijblijvend contact opnemen met Financieel Recht Advocaten. Wij beoordelen welke juridische route in uw situatie passend is.
Wie zijn wij?
Financieel Recht Advocaten staat cliënten onder meer bij in bank- en financiële geschillen waarin de toegang tot bancaire dienstverlening, reputatie of financiering onder druk staat. Dat geldt bijvoorbeeld bij cliëntenonderzoek, Wwft-kwesties, beëindiging van bankrelaties, EVR/IVR-registraties, hypotheek- en financieringskwesties en procedures tegen financiële dienstverleners. Mr. R.H.J.M. Silvertand heeft ervaring met het voeren van privacy-verweren in het kader van financieelrechtelijke geschillen. Bij complexe of principiële bankgeschillen kan vrijblijvend contact worden opgenomen voor een eerste beoordeling van de juridische positie.