“Het Incidentenregister is een intern waarschuwingssysteem van banken en verzekeraars waarin u al bij een vermoeden van fraude of integriteitsrisico kunt worden opgenomen. Dit mag alleen als het dient ter bescherming van de financiële sector en moet zorgvuldig worden onderzocht. Zonder voldoende onderbouwing moet de registratie worden verwijderd.”
Inleiding
Het Incidentenregister is vaak de eerste stap in een traject dat kan leiden tot ernstige gevolgen, zoals een EVR-registratie of beëindiging van uw bankrelatie. Toch is dit register minder bekend bij het grote publiek. In de praktijk zien wij dat cliënten vaak pas ontdekken dat zij in het Incidentenregister staan wanneer hun bank vragen stelt, transacties blokkeert of de relatie opzegt. In deze blog leggen wij specifiek uit hoe het Incidentenregister werkt, wanneer registratie is toegestaan en waar de juridische grenzen liggen.
Wanneer mag een bank of verzekeraar u opnemen in het Incidentenregister?
Het Incidentenregister is bedoeld voor het vastleggen van gegevens over (mogelijke) incidenten die de integriteit van de financiële sector raken. Denk aan fraude, misleiding, identiteitsfraude of andere gedragingen die schade kunnen veroorzaken.
Opvallend is dat de drempel voor opname relatief laag is. Anders dan bij een EVR-registratie is geen hard bewijs vereist. Uit de juridische literatuur volgt dat registratie al mogelijk is bij een redelijk vermoeden van een incident. Zelfs een eerste signaal kan voldoende zijn om gegevens tijdelijk vast te leggen, zodat onderzoek kan plaatsvinden.
Dit betekent concreet dat u in het Incidentenregister kunt terechtkomen terwijl nog niet vaststaat dat u iets verkeerd heeft gedaan. Dit maakt het systeem effectief voor fraudepreventie, maar ook risicovol voor betrokkenen.
Hoe vertrouwelijk is het Incidentenregister echt?
Het Incidentenregister is strikt intern en wordt beheerd door de afdeling Veiligheidszaken van de betreffende instelling. De gegevens zijn niet vrij toegankelijk binnen de organisatie en mogen alleen worden gebruikt voor specifieke doeleinden, zoals fraudeonderzoek en risicobeheersing.
Dat interne karakter is juridisch belangrijk. In tegenstelling tot het EVR (Extern Verwijzingsregister) wordt uw registratie niet automatisch gedeeld met alle banken of verzekeraars. Dit betekent dat de directe impact in eerste instantie beperkt blijft tot de betreffende instelling.
Toch is deze “interne werking” relatief. Het PIFI (Protocol Incidenten-waarschuwingssysteem Financiële Instellingen) staat toe dat gegevens onder voorwaarden worden gedeeld met andere veiligheidsafdelingen en fraudeloketten. Ook kunnen andere instellingen via het EVR een signaal krijgen en vervolgens informatie opvragen. Hierdoor kan een interne registratie indirect toch bredere gevolgen hebben.
In de praktijk zien wij dat dit onderscheid vaak onvoldoende wordt uitgelegd aan cliënten, terwijl het essentieel is voor de beoordeling van de rechtmatigheid.
Waarom mogen gegevens al tijdens een onderzoek worden geregistreerd?
Het doel van het Incidentenregister is niet alleen om vastgestelde fraude vast te leggen, maar juist ook om incidenten te kunnen onderzoeken en voorkomen. Daarom mogen gegevens al worden opgenomen tijdens een lopend onderzoek.
De gedachte hierachter is dat financiële instellingen snel moeten kunnen reageren op risico’s. Als zij pas mogen registreren na volledig bewijs, zou dat de effectiviteit van fraudebestrijding ondermijnen.
Volgens de juridische lijn is dit toegestaan zolang er sprake is van een redelijk vermoeden en het onderzoek voortvarend wordt uitgevoerd. De registratie moet dus een tijdelijk karakter hebben en gericht zijn op het vaststellen van de feiten.
Dit brengt ook een belangrijke verplichting met zich mee: de instelling moet actief onderzoeken of het vermoeden terecht is. Het Incidentenregister mag geen “parkeerplaats” worden voor onbewezen verdenkingen.
Wanneer moet een registratie worden verwijderd?
Een cruciaal juridisch punt is dat een registratie niet onbeperkt mag blijven bestaan. Zodra blijkt dat het vermoeden van fraude of een incident niet kan worden bewezen, moet de registratie worden verwijderd.
Uit rechtspraak en literatuur volgt dat het doel van het register dan vervalt. Het register dient immers ter bescherming tegen daadwerkelijke risico’s. Als dat risico niet (meer) kan worden aangetoond, ontbreekt de grondslag voor verwerking van persoonsgegevens.
Het gerechtshof Den Haag heeft dit bevestigd in ECLI:NL:GHDHA:2018:655: registratie is niet toegestaan als slechts een vermoeden overblijft dat niet kan worden onderbouwd.
Daarnaast geldt een maximale bewaartermijn van acht jaar, maar in de praktijk moet vaak eerder worden verwijderd als de omstandigheden daartoe aanleiding geven .
Wanneer wordt een Incidentenregistratie ‘zwaarder’ (richting EVR)?
In sommige gevallen leidt een interne registratie tot opname in het Extern Verwijzingsregister (EVR). Dit gebeurt alleen als aan strengere voorwaarden wordt voldaan.
De stap van Incidentenregister naar EVR is juridisch gezien zeer relevant. Waar het Incidentenregister vooral intern werkt, heeft het EVR externe gevolgen voor uw toegang tot financiële diensten.
Meer hierover leest u op onze pagina over de EVR-registratie en IVR registratie.
Wat betekent een registratie in het Incidentenregister concreet voor u?
Hoewel het Incidentenregister formeel intern is, kan het grote gevolgen hebben. Banken kunnen op basis van deze registratie:
extra vragen stellen (bijvoorbeeld in het kader van WWFT cliëntenonderzoek);
transacties monitoren of blokkeren;
de bankrelatie beëindigen.
Voor ondernemers kan dit directe impact hebben op de bedrijfsvoering. Voor particulieren kan het betekenen dat u plotseling geen toegang meer heeft tot uw betaalrekening.
Tegelijkertijd heeft u rechten. U kunt:
inzage vragen in uw gegevens;
correctie of verwijdering verzoeken;
bezwaar maken tegen de registratie.
Indien nodig kunt u een klacht indienen bij Kifid (Klachteninstituut financiële dienstverlening) of naar de rechter stappen. Zie ook onze pagina over rekening opzeggen door bank voor situaties waarin een registratie leidt tot beëindiging van de relatie.
Het is belangrijk om tijdig te reageren. In veel gevallen is het mogelijk om een registratie aan te vechten, zeker wanneer het bewijs onvoldoende is of de belangenafweging ontbreekt.
Praktische FAQ’s
Kan ik zonder bewijs in het Incidentenregister komen?
Ja, een redelijk vermoeden is voldoende. Maar dit moet wel worden onderzocht en onderbouwd.
Wordt het Incidentenregister gedeeld met andere banken?
In principe niet direct, maar onder voorwaarden kan informatie worden gedeeld of indirect zichtbaar worden via het EVR.
Hoe lang blijf ik geregistreerd?
Maximaal 8 jaar, maar eerder verwijderen is verplicht als de registratie niet meer gerechtvaardigd is.
Moet de bank mij informeren?
Ja, tenzij er uitzonderingen gelden (bijvoorbeeld bij lopend onderzoek).
Wat kan ik doen tegen een registratie?
U kunt inzage vragen, bezwaar maken en zo nodig een procedure starten.
Afsluiting
Heeft u te maken met een registratie in het Incidentenregister en ondervindt u daarvan gevolgen, zoals een geblokkeerde rekening of beëindiging van uw bankrelatie? Financieel Recht Advocaten ondersteunt cliënten bij dit soort geschillen met banken en verzekeraars. Neem contact op om uw situatie te bespreken.
Disclaimer: Deze informatie is algemeen van aard en geen individueel juridisch advies. Iedere situatie is anders en vereist een specifieke beoordeling.
