De registratie door ABN Amro van de persoonsgegevens van een frauderende klant was op zichzelf gerechtvaardigd, maar er mag door banken niet standaard worden uitgegaan van een registratietermijn van 8 jaar. De Algemene verordening persoonsgegevens (AVG) verlangt namelijk dat de registratieperiode van persoonsgegevens tot een minimum wordt beperkt. Dat heeft de geschillencommissie van financieel klachteninstituut Kifid geoordeeld in een bindende uitspraak.
Geldezel
De bankklant die het geschil met ABN Amro aan Kifid voorlegde had zich, naar eigen zeggen onder bedreiging van een mes, laten gebruiken als geldezel. Een geldezel stelt zijn bankrekening ter beschikking van criminelen, die geld dat afkomstig is van een misdrijf witwassen via de betreffende bankrekening. De man nam daarna meerdere keren contact op met de bank om het misbruik van zijn rekening door te geven. Eind mei 2020 liet ABN Amro de klant weten dat de overeenkomsten met hem werden beëindigd en hij voor een termijn van 8 jaar werd opgenomen in het interne verwijzingsregister (IVR), het Incidentenregister en het externe verwijzingsregister (EVR).
Klacht Kifid
De man diende daarna een klacht in bij Kifid over de registraties, omdat die onterecht en buitenproportioneel zouden zijn. De geschillencommissie concludeert dat de bankklant willens en wetens zijn betaalpas en pincode aan een derde heeft gegeven om zo snel geld te verdienen. Gezien deze feiten en omstandigheden mag ABN Amro de persoonsgegevens van de man registreren in het EVR.
8 jaar niet de standaard
Bij het registreren van persoonsgegevens in het EVR en het Incidentenregister moet de bank zich houden aan het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) en aan de in Nederland geldende privacywetgeving. Zowel de privacywetgeving als het PIFI schrijven voor dat de bank nagaat wat de duur van de registratie moet zijn, de zogenoemde afweging van proportionaliteit. Daarbij moet zij de belangen van de betrokken consument meewegen. Immers, de registratie kan voor de consument ernstige gevolgen hebben, zoals het niet kunnen krijgen van een hypotheek of het niet kunnen gebruikmaken van een gewone betaalrekening. De geschillencommissie ziet veel banken uitgaan van 8 jaar. Volgens de AVG moet de registratieperiode van persoonsgegevens echter worden beperkt tot een strikt minimum. De geschillencommissie oordeelt in deze uitspraak dat een registratie in het EVR en het Incidentenregister niet zondermeer voor 8 jaar mag worden gedaan.
Duur vereist belangenafweging
Persoonsgegevens mogen niet langer worden verwerkt dan nodig is voor het doel, zo schrijft de AVG voor. De geschillencommissie oordeelt dat voor de duur van de registratie gekeken moet worden naar de omstandigheden van een specifieke zaak. Dit geldt zowel voor registratie in externe als in interne registers. Daarbij zijn in ieder geval de aard van het geregistreerde gedrag en de mate van verwijtbaarheid van belang. Bovendien moet de bank ook naar de persoonlijke situatie van de consument kijken, zoals de leeftijd en maatschappelijke positie, én het risico op herhaling van het gedrag. Een registratie mag niet zomaar voor 8 jaar worden gedaan en bij het bepalen van de registratieduur moet aan de lage kant worden begonnen. De geschillencommissie concludeert dat het aan een financiële dienstverlener is om te motiveren waarom de door hem vastgestelde registratietermijn écht noodzakelijk is.
In deze klachtzaak heeft de consument willens en wetens zijn betaalpas en -rekening ter beschikking gesteld aan criminelen. Daarmee heeft hij zich schuldig gemaakt aan (schuld-) witwassen door zich als geldezel te laten gebruiken. De geschillencommissie ziet echter aanleiding om de duur van de registratie te verkorten tot 6 jaar. Dienst doen als geldezel is zeer verwijtbaar, maar er zijn nog zwaardere feiten denkbaar.
Interne registraties 8 jaar
De registraties in de Gebeurtenissenadministratie en het IVR zijn wel proportioneel: de registraties in het IVR en de Gebeurtenissenadministratie zijn alleen voor intern gebruik bij de bank. De registraties zorgen ervoor dat de consument niet langer gebruik kan maken van de diensten van de groep van financiële ondernemingen waarvan de bank deel uitmaakt. Dat hoeft het aanvragen van een rekening bij een andere bank niet in de weg te staan.
Geef een reactie