De Geschillencommissie van het Financiële Klachteninstituut KiFiD heeft geoordeeld dat de persoonsgegevens niet standaard voor 8 jaar mogen worden geregistreerd in interne of externe verwijzingsregisters. Dit blijkt uit een recente uitspraak bij een frauderende klant tegen de ABN AMRO. De Algemene verordening persoonsgegevens (AVG) verlangt namelijk dat de registratieperiode van persoonsgegevens tot een minimum wordt beperkt.
Aanleiding
Uit het geschil tussen de ABN en een klant was op te maken dat de klant, onder bedreiging van een mes, zich heeft laten gebruiken als geldezel. Hij heeft hiervoor zijn bankrekening ter beschikking gesteld om zo crimineel geld ermee wit te wassen. De man nam daarna meerdere keren contact op met de bank om het misbruik van zijn rekening door te geven.
Eind mei 2020 liet ABN de klant weten dat de bancaire relatie met de klant werd opgezegd en dat zijn persoonsgegevens voor 8 jaar werden geregistreerd in het interne verwijzingsregister (IVR), het Incidentenregister en het externe verwijzingsregister (EVR).
Klacht
De klant was het niet eens met de registratie en diende een klacht in bij het KiFiD. Volgens hem zou deze registratie onterecht en disproportioneel zijn. De Geschillencommissie oordeelt dat de klant willens en wetens zijn betaalpas en pincode aan een derde heeft gegeven om zo snel geld te verdienen. Gezien deze feiten en omstandigheden mocht ABN de persoonsgegevens van de man registreren in de verwijzingsregisters.
Afweging naar proportionaliteit
De Geschillencommissie is het alleen niet eens met de duur van de registratie. Bij het registreren van persoonsgegevens in het IVR, EVR en het Incidentenregister moet de bank zich houden aan het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) en aan de in Nederland geldende privacywetgeving. Zowel de privacywetgeving als het PIFI schrijven voor dat de bank nagaat wat de duur van de registratie moet zijn, de zogenoemde afweging van proportionaliteit. Daarbij moet zij de belangen van de betrokken consument meewegen.
Deze registraties kunnen ernstige gevolgen hebben voor consumenten en moeten daarom zorgvuldig worden onderzocht. Bij een registratie kunnen toekomstige bankzaken, waaronder een bankrekening of hypotheek, worden belemmerd. Daarom moet er een duidelijke afweging komen over de duur van deze registraties. De Commissie ziet dat veel banken standaard uitgaan van een registratie van 8 jaar. Volgens de AVG moet de registratieperiode van persoonsgegevens echter worden beperkt tot een strikt minimum. De geschillencommissie oordeelt in deze uitspraak dat een registratie in het EVR en het Incidentenregister niet zonder meer voor 8 jaar mag worden gedaan.
Meer onderzoek per zaak
De AVG schrijft voor dat persoonsgegevens niet langer mogen worden verwerkt als nodig is. Volgens de commissie moet er per zaak worden gekeken naar de duur van de registratie, voor zowel intern als extern. Daarbij zijn in ieder geval de aard van het geregistreerde gedrag en de mate van verwijtbaarheid van belang. Bovendien moet de bank ook naar de persoonlijke situatie van de consument kijken, zoals de leeftijd en maatschappelijke positie, én het risico op herhaling van het gedrag.
De commissie is van mening dat er bij een registratie niet direct 8 jaar moet worden vastgesteld. Een financiële dienstverlener moet met een duidelijke motivatie komen om de vastgestelde registratietermijn te kunnen verantwoorden.
In deze klachtzaak heeft de consument willens en wetens zijn betaalpas en -rekening ter beschikking gesteld aan criminelen. Daarmee heeft hij zich schuldig gemaakt aan (schuld-) witwassen door zich als geldezel te laten gebruiken. De geschillencommissie ziet echter aanleiding om de duur van de registratie te verkorten tot 6 jaar. Dienst doen als geldezel is zeer verwijtbaar, maar er zijn nog zwaardere feiten denkbaar.
Wilt u advies over of begeleiding bij conflicten over het cliëntenonderzoek van banken en de registratie van persoonsgegevens in de Gebeurtenissenadministratie, het IVR, het Incidentenregister en het EVR? Neem dan vrijblijvend contact met ons op.
