Uitspraak 2018-038 (Bindend)

Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2018-038
(mr. E.L.A. van Emden, voorzitter, mr. M.C.M. van Dijk en mr. S. Riemens, leden en mr. A. de Vette, secretaris)

Klacht ontvangen op : 13 januari 2017
Ingediend door : Consument
Tegen : Coöperatieve Rabobank U.A. gevestigd te Amsterdam, verder te noemen:
‘de Bank’
Datum uitspraak : 15 januari 2018
Aard uitspraak : Bindend advies

Samenvatting

Consument vordert dat zijn persoonsgegevens worden verwijderd uit het Interne Verwijzingsregister (IVR) alsmede het Incidentenregister. De persoonsgegevens van Consument zijn door de Bank opgenomen in het IVR en het Incidentenregister voor een periode van acht jaar, aangezien Consument de Bank opzettelijk heeft misleid door informatie te verzwijgen gedurende een aanvraag van een hypothecaire geldlening bij de Bank. De Commissie is van oordeel dat de Bank over mocht gaan tot interne registratie van de persoonsgegevens in het IVR alsmede opname in het Incidentenregister. De Commissie ziet echter aanleiding om de registratieduur van het Incidentenregister te verkorten tot een periode van vier jaar.

1. Procesverloop

De Commissie beslist met inachtneming van haar Reglement en op basis van de volgende stukken:

• het door Consument ingediende klachtformulier met bijlage;
• de klachtbrief van Consument met bijlagen;
• het verweerschrift van de Bank met bijlagen;
• de repliek van Consument; en
• de dupliek van de Bank.

De Commissie stelt vast dat partijen hebben gekozen voor bindend advies.

Partijen zijn opgeroepen voor een hoorzitting op 27 oktober 2017 en zijn aldaar verschenen.

2. Feiten

De Commissie gaat uit van de volgende feiten.

2.1 In april 2016 heeft Consument zich tot de Bank gewend voor een aanvraag van een hypothecaire geldlening ten behoeve van de financiering van een woonhuis aan de
[staatnaam 1] te [plaatsnaam].

2.2 Consument was ten tijde van de aanvraag van de hypothecaire geldlening eigenaar van een pand aan de [straatnaam 2] te [plaatsnaam].
De Bank had een eerste hypotheekrecht op dit pand. Voorts was Consument ten tijde van de aanvraag van de hypothecaire geldlening bij de Bank eveneens eigenaar van een woonhuis aan de [straatnaam 3] te [plaatsnaam].

2.3 In het voorjaar van 2016 heeft Consument ook een financieringsaanvraag ingediend voor een pand aan de [straatnaam 4] te [plaatsnaam], deze keer bij de ABN AMRO Bank N.V.. Consument heeft de Bank niet geïnformeerd omtrent de aanvraag van een hypothecaire geldlening bij deze bank.

2.4 Op 28 april 2016 heeft de Bank een offerte voor een hypothecaire geldlening uitgebracht ten behoeve van de woning aan de [straatnaam 1] te [plaatsnaam].

2.5 Als zekerheid voor de financiering ten behoeve van het pand aan de [straatnaam1] te [plaatsnaam] zou de Bank een eerste recht van hypotheek verkrijgen op dit pand alsmede een tweede hypotheekrecht op de woning aan de [straatnaam 2] te [plaatsnaam].

2.6 Op 18 mei 2016 bericht de Bank de notaris per e-mail voor zover relevant als volgt:

“Bijgevoegde verklaring heeft betrekking op vestigen van tweede hypotheek voor klant(en) [Naam Consument]. Hierbij bevestigen wij u dat Coöperatieve Rabobank U.A. en de
Rabohypotheekbank NV. akkoord gaan met het verzoek.”

2.7 Na een verzoek van de Bank ten behoeve van haar een tweede hypotheekrecht in te schrijven voor het pand aan de [straatnaam 2], heeft de notaris op 8 juni contact opgenomen met de Bank en aangegeven dat er reeds een tweede hypotheekrecht was gevestigd ten behoeve van ABN AMRO Bank N.V. ter hoogte van € 10.000,-. Het transport van het woonhuis aan de [straatnaam 1] te [plaatsnaam] heeft geen doorgang gevonden, nu de Bank geen recht van tweede hypotheek kon vestigen op het pand aan de [straatnaam 2] te [plaatsnaam].

2.8 Op 21 september 2016 heeft de Bank de gegevens van Consument vanwege het vermoeden van fraude geregistreerd in het Incidentenregister en het Interne Verwijzingsregister (IVR) voor een periode van acht jaar.

2.9 Op 27 september 2017 heeft de Bank Consument per brief geïnformeerd over de registratie van zijn persoonsgegevens in het Incidentenregister en het IVR.

2.10 Op 5 oktober 2016 heeft Consument de Bank per brief verzocht om de registraties in het IVR en het Incidentenregister ongedaan te maken.

2.11 In het toepasselijke Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van
23 oktober 2013 (hierna: het PIFI) is – voor zover van belang – het volgende opgenomen:

“2. Begripsbepalingen
In dit Protocol wordt verstaan onder:
[…]
Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.
[…]
3.1 Incidentenregister en Extern Verwijzingsregister
3.1.1 Iedere Deelnemer heeft een Incidentenregister, waarin door de betreffende Deelnemer gegevens van (rechts)personen worden vastgelegd ten behoeve van het in artikel 4.1.1 Protocol genoemde doel, naar aanleiding van of betrekking hebbend op een (mogelijk) Incident.
[…]
3.1.2 Aan het Incidentenregister is een Extern Verwijzingsregister gekoppeld.
[…]
4 Incidentenregister
4.1 Doel Incidentenregister
4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het Incidentenregister te hanteren:

“Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:
– op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;
– op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;
– op het gebruik van en de deelname aan waarschuwingssystemen.
[…]
5 Extern Verwijzingsregister
[…]
5.2 Vastlegging van gegevens in het Extern Verwijzingsregister
5.2.1 De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister.
a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, alsmede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector.
b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachten wordt gedaan bij een opsporingsambtenaar.
c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister.”

2.12 In de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van 1 mei 2010 (hierna: de GVPFI) is – voor zover van belang – het volgende opgenomen:

“4. Beginselen van Verwerking van Persoonsgegevens
4.1 Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
[…]
4.3 Persoonsgegevens worden slechts verwerkt indien en voor zover is voldaan aan minimaal één van de volgende rechtmatige grondslagen:
a. de Betrokkene heeft voor de Verwerking van Persoonsgegevens zijn ondubbelzinnige toestemming verleend;
b. de Verwerking van Persoonsgegevens is noodzakelijk voor de uitvoering van een
overeenkomst waarbij de Cliënt partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de Cliënt en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de Verwerking van Persoonsgegevens is noodzakelijk om een wettelijke verplichting na te komen waaraan de Financiële instelling onderworpen is;
d. de Verwerking van Persoonsgegevens is noodzakelijk ter vrijwaring van een vitaal belang van de Betrokkene;
e. de Verwerking van Persoonsgegevens is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt; of
f. de Verwerking van Persoonsgegevens is noodzakelijk voor de behartiging van het
gerechtvaardigde belang van de Financiële instelling of van een Derde aan wie de
Persoonsgegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
[…]
5. Doeleinden voor de Verwerking van Persoonsgegevens
5.1 Algemeen
5.1.1 Verwerking van Persoonsgegevens door Financiële instellingen vindt plaats, met inachtneming van de beginselen voor Verwerking van Persoonsgegevens ten behoeve van een
efficiënte en effectieve bedrijfsvoering, in het bijzonder in het kader van het uitvoeren van de
volgende activiteiten:
a. het beoordelen en accepteren van een Cliënt, het aangaan en uitvoeren van
overeenkomsten met een Cliënt en het afwikkelen van het betalingsverkeer;
b. het verrichten van analyses van Persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden;
c. het uitvoeren van (gerichte) marketingactiviteiten teneinde een relatie met een Betrokkene tot stand te brengen en/of met een Cliënt in stand te houden dan wel uit te breiden;
d. het waarborgen van de veiligheid en integriteit van de financiële sector, daaronder mede begrepen het onderkennen, voorkomen, onderzoeken en bestrijden van (pogingen tot) (strafbare of laakbare) gedragingen gericht tegen de branche waar een Financiële instelling deel van uitmaakt, de Groep waartoe een Financiële instelling behoort, de Financiële instelling zelf, haar Cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen;
e. het voldoen aan wettelijke verplichtingen;
f. het beheren van de relatie met de Cliënt.
[…]
5.5 Verwerking van Persoonsgegevens in het kader van de veiligheid en integriteit
van de Financiële sector alsmede het gebruik van waarschuwingssystemen
5.5.1 Ten behoeve van de veiligheid en integriteit van de Financiële sector kunnen gegevens, waaronder Persoonsgegevens, die betrekking hebben op: (i) gebeurtenissen die gelet op het bijzondere karakter van de Financiële sector de zorg en aandacht behoeven van de Financiële instelling; (ii) (potentiële) vorderingen onder meer ten aanzien van een met de Financiële instelling gesloten overeenkomst; (iii) het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen; of (iv) handelingen van Financiële instellingen, waaronder onderzoek als bedoeld in artikel 5.6.1 Gedragscode, worden opgenomen in een
Gebeurtenissenadministratie gehouden door Veiligheidszaken of een daartoe aangewezen afdeling van de betreffende Financiële instelling. Op deze Gebeurtenissenadministratie is de Gedragscode van toepassing.
5.5.2 Indien een in het eerste lid bedoelde gebeurtenis voldoet aan de criteria als opgenomen in het Protocol worden de met deze gebeurtenis verband houdende gegevens opgenomen in het incidentenregister en is opname in het EVR mogelijk (Bijlage I: Document B).(…)”

2.13 In de toelichting op artikel 5.5 van de GVPFI staat – onder meer – het volgende vermeld:

“Binnen een Financiële instelling vormt Veiligheidszaken, die zich bezig houdt met de bestrijding van fraude en criminaliteit, vaak een afgezonderde eenheid. Deze afdeling legt onder meer gebeurtenissen vast die van belang zijn voor de veiligheid en integriteit van de Financiële sector en om die reden speciale aandacht behoeven. Het kan daarbij gaan om uiteenlopende gebeurtenissen als de melding van een gestolen laptop tot het vermoeden dat een bepaald persoon betrokken is bij een vorm van fraude of criminaliteit. Deze Persoonsgegevens worden vastgelegd in een zogeheten Gebeurtenissenadministratie. De Persoonsgegevens opgenomen in de Gebeurtenissenadministratie mogen in beginsel alleen gebruikt worden binnen de Financiële instelling of de Groep waartoe de Financiële instelling behoort. Om een oncontroleerbaar gebruik van deze Persoonsgegevens te voorkomen wordt een beperkte set aan gegevens (naam, adres, woonplaats en geboortedatum) opgenomen in een Intern Verwijzingsregister (IVR) dat in het kader van onder meer acceptatie en schadeafhandeling door de betreffende afdelingen geraadpleegd mag worden. Indien blijkt dat een Betrokkene in dit IVR voorkomt moet contact worden opgenomen met Veiligheidszaken, die vervolgens adviseert over de beslissing die moet worden genomen. Op deze Verwerking van Persoonsgegevens is de Gedragscode van toepassing en is een separate melding gedaan bij het CBP.
[…]
Indien, na nader onderzoek, blijkt dat de gebeurtenis van zodanige aard is dat deze voldoet aan de voorwaarden genoemd in het Protocol worden de gegevens opgenomen in het Incidentenregister en, wanneer aan aanvullende voorwaarden is voldaan, in het EVR. Op deze Verwerkingen is niet de Gedragscode, maar het Protocol van toepassing.”
2.14 De uitwisseling van standpunten in de interne klachtenprocedure heeft niet tot een oplossing van het geschil geleid.

2.15 Op 26 januari 2017 heeft de Bank per brief de bancaire relatie met Consument opgezegd, waarbij een opzegtermijn van twee maanden in acht werd genomen.

3. Vordering, klacht en verweer

Vordering Consument
3.1 Consument vordert verwijdering van zijn gegevens uit het IVR alsmede het Incidentenregister. Daarnaast heeft Consument na de hoorzitting kenbaar gemaakt kosten voor juridische bijstand alsmede reiskosten te vorderen.

Grondslagen en argumenten daarvoor
3.2 Deze vordering steunt, kort en zakelijk weergegeven, op de volgende grondslag. De Bank heeft zonder harde dan wel feitelijke bewijzen de persoonsgegevens van Consument in het IVR en het Incidentenregister geregistreerd. Consument voert hiertoe de volgende argumenten aan.
• De registraties in het IVR en het Incidentenregister hebben onjuist en ten onrechte plaatsgevonden. De Bank heeft de gegevens van Consument slechts op basis van een aanname dat Consument informatie zou hebben verzwegen geregistreerd in beide registers. Dit terwijl de Bank zelf toestemming heeft gegeven voor het vestigen van een tweede recht van hypotheek.
• Aangezien Consument zijn woning aan de [straatnaam 2] had verkocht met een overwaarde van € 130.000,- was het vermogen van Consument ruimschoots voldoende om meerdere hypothecaire geldleningen aan te gaan. De Bank was op de hoogte van de financiële draagkracht van Consument.
• Consument is de mening toegedaan dat de Bank heeft nagelaten om het beginsel van hoor en wederhoor toe te passen. Consument is in zijn belangen geschaad omdat hij niet in de gelegenheid is gesteld om zijn standpunt kenbaar te maken. Consument geeft aan dat de Bank zijn belangen hierdoor niet heeft meegewogen in de beslissingen om al dan niet tot registratie over te gaan.
• Voorafgaand aan de registratie moet de financiële instelling op grond van het PIFI beoordelen of het registreren van de persoonsgegevens van de (mogelijke) fraudeur wel in verhouding staat tot het doel van de registratie. De Bank heeft dit nagelaten. De registratie van de gegevens van Consument in het IVR en het Incidentenregister is derhalve onrechtmatig.
• De Bank heeft geen schade geleden door het vermeende handelen van Consument. Bovendien heeft de Bank geen aangifte gedaan van hetgeen zij Consument verwijt. De registratie van de persoonsgegevens van Consument, met name in het incidentenregister, voor de duur van acht jaar is derhalve disproportioneel.
• Onjuist en ten onrechte heeft de Bank aangevoerd dat Consument de mogelijkheid heeft om zich tot andere financiële instellingen te wenden en dat de gevolgen van de registratie daarom niet onevenredig zijn.

De Bank miskent dat Consument geen nieuwe overeenkomst van hypothecaire geldlening zal kunnen sluiten bij een andere financieel dienstverlener, aangezien het Incidentenregister externe werking heeft. Bovendien ontkomt Consument er bij het aangaan van een nieuwe bancaire relatie niet aan om te melden dat zijn persoonsgegevens door de Bank zijn geregistreerd in het IVR alsmede het Incidentenregister. Hij zou anders immers niet integer zijn. Derhalve wordt het hem onmogelijk gemaakt om de komende acht jaar leningen af te sluiten.

Verweer van de Bank
3.3 De Bank heeft de stellingen van Consument gemotiveerd weersproken. Voor zover nodig zal de Commissie bij de beoordeling daarop ingaan.

4. Beoordeling

4.1 Ter beoordeling ligt de vraag voor of de Bank de persoonsgegevens van Consument dient te verwijderen uit het IVR en het Incidentenregister. De Commissie overweegt hiertoe als volgt.

Opname Incidentenregister
4.2 Op grond van artikel 4.1.1 van het PIFI kan de Bank naar aanleiding van een Incident in de zin van artikel 2 PIFI de gegevens van een persoon in haar register opnemen indien daarmee de veiligheid en integriteit van de financiële instelling en de financiële sector in zijn geheel worden gewaarborgd. Het kan voorkomen dat gegevens alleen worden opgenomen in het Incidentenregister en niet in het daaraan gekoppelde Externe Verwijzingsregister. De Bank heeft de persoonsgegevens van Consument in het onderhavige geval louter in het Incidentenregister geregistreerd.

4.3 Het Incidentenregister wordt beheerd door en is inzichtelijk voor de afdeling
Veiligheidszaken van de betrokken financiële instelling. De gegevens in het Incidentenregister dienen strikt vertrouwelijk te worden behandeld. Onder bepaalde omstandigheden mag de afdeling veiligheidszaken informatie uit het Incidentenregister echter wel delen met de afdeling veiligheidszaken van andere deelnemers aan het PIFI. Informatie kan worden gedeeld op basis van wederkerigheid en relevantie. Het Incidentenregister heeft daarmee een beperkte externe werking. Vgl. uitspraak GC 2016-196 onder 4.5, uitspraak GC 2016-329 onder 5.5. e.v. en Rb. Midden-Nederland 11 januari 2017, ECLI:NL:RBMNE:2017:49, r.o. 4.10.

4.4 Gelet op de verstrekkende consequenties voor de betrokkenen van registratie van hun persoonsgegevens in een register met (al dan niet beperkte) externe werking (zoals het Incidentenregister), is de Commissie van oordeel dat een incidentenregistratie na afronding van het onderzoek naar dit Incident alleen dan gehandhaafd kan blijven wanneer uit dit onderzoek is gebleken dat voldoende bewijs bestaat om fraude aan te tonen. Dit brengt mee dat voor handhaving van de registratie in het Incidentenregister na afloop van het incidentenonderzoek voldoende bewijs moet bestaan dat voldaan is aan de vereisten van artikel 5.2.1 sub a en b van het PIFI.

Kort gezegd houden de vereisten van artikel 5.2.1 sub a en b van het PIFI in dat in voldoende mate vaststaat dat de door de Bank gestelde feiten die de registratie dragen een gegronde verdenking van fraude (opzet tot misleiden) vormen.
Vgl. Hof Amsterdam 30 november 2010, ECLI:NL:GHAMS:2010:BO7581, r.o. 3.3, uitspraak GC 2016-069 en uitspraak GC 2016-302, onder 4.6 en de daar genoemde uitspraken. Zonder nadere toelichting en onderbouwing kan dan ook niet worden aangenomen dat het doel van het Incidentenregister met handhaving van registratie nog is gediend indien niet is gebleken dat een gegronde verdenking van fraude bestaat. Vgl. Geschillencommissie Kifid 2016-329.

4.5 De Bank geeft aan dat er sprake is van een gebeurtenis conform het PIFI nu er volgens haar sprake is van fraude. De Bank heeft de gegevens van Consument op basis van een vermoeden van fraude opgenomen in de gebeurtenissenadministratie en het Incidentenregister ten behoeve van het onderzoek naar het door haar geconstateerde Incident. Na afloop van het onderzoek is voor de Bank voldoende komen vast te staan dat Consument heeft getracht haar opzettelijk te misleiden, nu Consument tegenover de Bank toekomstige financiële verplichtingen heeft verzwegen en een onjuiste voorstelling van zaken heeft gegeven. Consument heeft zich jegens de Bank immers verbonden om een tweede recht van hypotheek ten behoeve van de Bank te vestigen. Gelijktijdig heeft hij dezelfde toezegging gedaan aan de ABN AMRO Bank N.V.. Bovendien liep er tegelijkertijd nog een andere financieringsaanvraag voor een pand aan de [straatnaam 4] te [plaatsnaam] bij deze bank.

4.6 De Commissie oordeelt dat tussen partijen niet ter discussie staat dat Consument gelijktijdig eigenaar was van meerdere panden en bij meerdere hypotheekverstrekkers financieringsaanvragen voor hypothecaire geldleningen heeft ingediend. Hoewel beide partijen erkennen dat niet specifiek is gevraagd of en in hoeverre Consument gelijktijdig meerdere aanvragen voor hypothecaire geldleningen heeft gedaan, oordeelt de Commissie dat deze informatie essentieel is voor een dergelijke aanvraag. De Commissie stelt vast dat Consument wist, althans had behoren te weten, dat gegevens met betrekking tot eigendom van onroerend goed van Consument invloed zouden hebben op de keuze van de Bank om al dan niet te offreren en om al dan niet bepaalde voorwaarden te stellen. Het had op de weg van Consument gelegen om hieromtrent proactief informatie te verstrekken. Dit klemt temeer nu Consument jurist van beroep is en het daaraan gerelateerde opleidingsniveau heeft. Voorts is in dit kader van belang dat Consument blijkens zijn vastgoedportefeuille niet onbekend was met de markt van hypothecaire geldleningen. Consument heeft ter zitting ook beaamd dat hij de financieringsaanvraag voor het aan te kopen pand aan de [straatnaam 4] bij de ABN AMRO Bank N.V. heeft gedaan omdat hij mogelijk geen twee financieringen bij de Bank zou kunnen verkrijgen.

4.7 De Commissie stelt derhalve vast dat niet is gebleken dat Consument de Bank heeft geïnformeerd over zijn toekomstige financiële verplichtingen, de aanvraag voor een hypothecaire geldlening bij ABN AMRO Bank N.V. alsmede het gegeven dat het tweede hypotheekrecht op het pand aan de [straatnaam 2] reeds was verleend aan deze bank. Het is dan ook niet onbegrijpelijk of onredelijk dat bij de Bank een gegronde verdenking van fraude, in de vorm van opzettelijke misleiding, is gerezen.
Consument heeft voorts op geen enkele (andere) wijze aannemelijk gemaakt dat hij de Bank op de hoogte heeft gesteld van zijn vastgoedeigendommen. Bovendien heeft Consument ter zitting aangegeven dat hij mogelijkerwijs meerdere financieringsaanvragen heeft gedaan vanuit het oogpunt dat de kans dan groter zou zijn dat zijn aanvragen zouden worden gehonoreerd. De Commissie stelt vast dat Consument informatie heeft verzwegen waarmee hij heeft getracht de Bank opzettelijk te misleiden. Gezien het voorgaande oordeelt de Commissie dat de Bank een gegronde reden had om de persoonsgegevens van Consument na afloop van het incidentenonderzoek in het Incidentenregister te laten staan.

4.8 Ten aanzien van de door Consument gestelde schending van het beginsel van hoor en wederhoor oordeelt de Commissie als volgt. Tussen partijen staat niet ter discussie dat er meermaals telefonisch overleg is gevoerd tussen medewerkers van de Bank en Consument. Consument heeft echter aangevoerd dat hij niet wist dat hij werd gehoord in het kader van de registratie van zijn persoonsgegevens. Consument stelt dat hij zich had willen voorbereiden op deze telefoongesprekken en zich had willen laten bijstaan door een advocaat. Wat hiervan zij, Consument is gedurende de interne klachtenprocedure bij de Bank alsmede de klachtenprocedure bij het Kifid voldoende in de gelegenheid gesteld is om zijn standpunt kenbaar te maken. Het stond hem ook vrij hierbij alsnog een advocaat in te schakelen. Voor zover Consument zich op het standpunt stelt dat niet alle relevante gegevens zijn meegewogen, merkt de Commissie op dat Consument ter zitting meermaals heeft geweigerd om antwoord te geven op de door haar gestelde vragen. Dat de gegevens die Consument op deze wijze heeft achtergehouden geen rol kunnen spelen bij de afweging die de Commissie in deze zaak moet maken, dient voor risico van de Consument te blijven. De Commissie wijst op artikel 41.11 van het Reglement Ombudsman en Geschillencommissie financiële dienstverlening (Kifid) waarin is neergelegd dat de Commissie aan het niet verstrekken van inlichtingen door Consument gevolgtrekkingen kan verbinden die zij passend acht. De Commissie is van mening dat Consument wel degelijk in de gelegenheid is gesteld om zijn zienswijze kenbaar te maken en zelf bewust de keuze heeft gemaakt om dit op specifieke onderdelen na te laten. De Commissie stelt dan ook vast dat het beginsel van hoor en wederhoor niet is geschonden. Het is de Commissie voorts niet gebleken dat het onderzoek van de Bank onzorgvuldig is geweest.

4.9 De Bank dient bij de registratie van persoonsgegevens in het Incidentenregister het proportionaliteitsbeginsel in acht te nemen. Dit houdt in dat het belang van de financiële sector bij registratie moet worden afgewogen tegen de nadelige gevolgen voor Consument. Doel van het PIFI is onder meer de continuïteit en de integriteit van de financiële sector te waarborgen. De Bank heeft aangevoerd dat en waarom het belang van de financiële sector bij registratie zwaarder weegt dan het belang van Consument bij het niet registreren van zijn persoonsgegevens. De Bank heeft immers aangegeven dat zij in dit geval wil voorkomen dat er gedurende een periode van acht jaar nieuwe zaken door de Bank of met aan haar verbonden ondernemingen met Consument worden gedaan. De Bank neemt hierbij in aanmerking dat de bancaire relatie tussen de Bank en Consument nog pril was en dat Consument direct bij de totstandkoming van de relatie heeft verzuimd om essentiële informatie te delen. Volgens de Bank heeft het er bovendien alle schijn van dat Consument bij andere financiële instellingen leningen heeft verkregen, waardoor hij geen hinder hoeft te ondervinden bij het aanvragen dan wel uitbreiden van leningen bij deze instellingen.
Ter zitting heeft de Bank voorts aangegeven dat het haar beleid is om standaard de maximale registratietermijn van acht jaar te hanteren. Slechts in bijzondere situaties zal er voor een verkorte registratietermijn worden gekozen. In dit kader kan – onder meer – gedacht worden aan minderjarigheid van de betrokken klant.

4.10 De Commissie is van oordeel dat tegenover de door Consument aangevoerde omstandigheden een registratietermijn van acht jaar de grenzen van proportionaliteit overschrijdt. Het ligt op de weg van de Bank om in geval van registratie een individuele proportionaliteitstoets uit te voeren waarbij alle omstandigheden van het geval worden betrokken. Hoewel de Bank heeft aangevoerd dat het Incidentenregister slechts beperkte externe werking heeft en gegevens tussen de afdeling veiligheidszaken van financiële instellingen gedeeld worden op basis van wederkerigheid en relevantie, dient zij niet lichtvaardig tot het besluit te komen om een registratietermijn van acht jaar te hanteren. Gelet op het feit dat er wel degelijk sprake is van een gegronde verdenking van fraude maar dat de Bank geen overtuigende onderbouwing heeft gegeven die de maximale registratieduur van acht jaar rechtvaardigt, acht de Commissie een registratie in het Incidentenregister voor de duur van vier jaar redelijk en proportioneel. Zij zal aan de Bank opleggen de registratie in het Incidentenregister tot die termijn te beperken.

Opname Intern Verwijzingsregister (IVR)
4.11 Consument heeft voorts doorhaling van registratie van zijn gegevens in het IVR gevorderd. De Commissie stelt vast dat registratie in het IVR is toegestaan wanneer aan de vereisten die daaraan zijn gesteld in de GVPFI is voldaan. Op grond van artikel 5.5.1 van de GVPFI kunnen persoonsgegevens die betrekking hebben op (onder meer) gebeurtenissen, die de zorg en aandacht behoeven van de financiële instelling, worden opgenomen in de Gebeurtenissenadministratie. Het gaat daarbij om zaken die de veiligheid en integriteit van de instelling, haar werknemers, klanten en overige relaties maar ook de financiële sector als geheel (kunnen) raken.

4.12 De Commissie heeft onder 4.7 overwogen dat de feiten in onderlinge samenhang een gegronde verdenking van fraude door Consument opleveren en dat de gegevens derhalve ook na afronding van het Incidentenonderzoek in het Incidentenregister mogen blijven staan. Het samenstel van feiten is aangemerkt als een Incident in de zin van art. 2 PIFI. Met de in de omschrijving van het begrip Incident genoemde ‘gebeurtenis’ wordt bedoeld de ‘gebeurtenis’ in de zin van art. 5.5.1 GVPFI. Het voorstaande brengt mee dat sprake is van een gebeurtenis in de genoemde zin. Dit betekent dat de Bank, gelet op het in 4.7 overwogene, de gegevens ook heeft mogen opnemen in het IVR. De Commissie stelt derhalve vast dat de Bank een gegronde reden had om over te gaan tot registratie van de persoonsgegevens van Consument in het IVR.

4.13 De Commissie neemt daarbij eveneens in aanmerking dat de gevolgen van vermelding in het IVR beperkt zijn, omdat zij uitsluitend werkt binnen de organisatie van de desbetreffende financiële instelling en deze Consument niet belet een relatie aan te gaan met andere financiële instellingen. De Commissie stelt vast dat de Bank een gegronde reden had om over te gaan tot registratie van de persoonsgegevens van Consument in het IVR.

4.14 Op grond van artikel 4.3 sub f van de GVPFI dient de registratie in het IVR proportioneel te zijn. Dit houdt in dat het belang van de financiële sector bij registratie moet worden afgewogen tegen de nadelige gevolgen voor de betrokken consument. De Commissie oordeelt dat het belang van de Bank bij registratie van de gegevens van Consument in het IVR zwaarder weegt dan het mogelijk nadelige effect dat de registratie voor Consument heeft. Daarbij is allereerst van belang (zoals hiervoor reeds opgemerkt) dat de registratie in het IVR zuiver intern is. De registratie heeft tot gevolg dat Consument niet langer gebruik kan maken van de diensten van de groep financiële ondernemingen waarvan de Bank deel uitmaakt. Financiële instellingen die geen deel uitmaken van deze groep, hetzij direct of indirect, hebben geen toegang tot de persoonsgegevens van Consument in het IVR. De Commissie stelt vast dat gesteld noch gebleken is dat Consument disproportioneel in zijn belangen wordt geraakt door de registratie. De Commissie acht het niet onbegrijpelijk dat de Bank zichzelf en de met haar verbonden ondernemingen tracht te beschermen tegen nieuwe bancaire relaties met Consument. De Commissie oordeelt dat de registratie van de persoonsgegevens van Consument in het IVR dan ook gehandhaafd mag blijven voor een periode van acht jaar, nu er wordt voldaan aan de doelstelling van artikel 5.5.1 van de GVPFI en aan het proportionaliteitsbeginsel van artikel 4.3 sub f van de GVPFI.

Kostenvergoeding
4.15 Consument heeft na afloop van de hoorzitting een vergoeding voor de kosten van juridische bijstand gevorderd. De Commissie merkt op dat het op de weg van Consument had gelegen om deze kosten reeds bij aanvang van de klachtenprocedure bij het Kifid te vorderen. Nu deze kosten eerst na afloop van de hoorzitting worden gevorderd resulteert dit in een schending van de ongeschreven beginselen van een goede procesorde. Bovendien merkt de Commissie op dat, om in aanmerking te komen voor een kostenvergoeding voor kosten die gemaakt zijn ten behoeve van rechtsbijstand, Consument aan dient te tonen dat hij deze kosten daadwerkelijk heeft gemaakt. De uitwisselingen van stukken in de klachtenprocedure bij het Kifid is niet door een gemachtigde verricht. Uit de door Consument overgelegde stukken is voorts niet gebleken dat Consument zich van juridische bijstand heeft voorzien. Gedurende de interne klachtenprocedure bij de Bank is slechts eenmaal een brief door een gemachtigde van Consument verzonden. Ter zitting was Consument niet vertegenwoordigd door een gemachtigde. Ook daarom ziet de Commissie geen aanleiding voor toewijzing voor kosten ten behoeve van rechtsbijstand. De overige gevorderde reiskosten, gebaseerd op de reis van en naar de hoorzitting, komen eveneens niet voor vergoeding in aanmerking, nu deze onlosmakelijk verbonden zijn met het voeren van een klachtenprocedure bij het Kifid.

5. Beslissing

De Commissie beslist dat de Bank de duur van de registratie in het Incidentenregister verkort tot een periode van vier jaar vanaf 21 september 2016 en Consument daarvan, binnen vier weken na de dag waarop een afschrift van deze beslissing aan partijen is verstuurd, schriftelijk een bevestiging stuurt. De Commissie wijst het meer of anders gevorderde af.

In artikel 5 van het Reglement van de Commissie van Beroep Financiële Dienstverlening is bepaald in welke gevallen beroep openstaat van bindende beslissingen van de Geschillencommissie Financiële Dienstverlening bij de Commissie van Beroep Financiële Dienstverlening. Daarbij geldt een termijn van zes weken na verzending van deze uitspraak. Op de website van Kifid vindt u praktische informatie over het instellen van beroep. Zie hiervoor www.kifid.nl/consumenten/hoe-wordt-uw-klacht-behandeld.

U kunt, binnen twee weken na de verzenddatum van deze uitspraak, bij de Voorzitter van de Geschillencommissie Financiële Dienstverlening schriftelijk een verzoek indienen tot herstel van kennelijke vergissingen in de uitspraak. U moet daarbij met name denken aan correctie van reken- of schrijffouten en verbetering van namen en data. De volledige procedure met de termijnen die daarbij in acht moeten worden genomen staat beschreven in artikel 46 van het Reglement.