Uitspraak 2018-504 (Bindend)

Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2018-504

(prof. mr. M.L. Hendrikse, voorzitter, mr. A.P. Luitingh en mr. S. Riemens, leden en mr. J. Hadziosmanovic, secretaris)

Klacht ontvangen op        : 26 september 2017

Ingediend door               : Consument

Tegen                           : Cooperatieve Rabobank U.A., gevestigd te Amsterdam, verder te noemen de Bank

Datum uitspraak             : 14 augustus 2018

Aard uitspraak                : Bindend advies

Samenvatting

De Bank heeft gesteld dat Consument zich schuldig heeft gemaakt aan fraude bij de aanvraag voor een hypothecaire geldlening en heeft de persoonsgegevens van Consument voor de duur van acht jaar geregistreerd in het EVR, het Incidentenregister en het IVR en tevens de bancaire relatie opgezegd. Consument vordert doorhaling van zijn persoonsgegevens in de registers; een schadevergoeding en herstel van de bancaire relatie. De Commissie oordeelt dat niet is komen vast te staan dat sprake is van fraude. De Bank dient de persoonsgegevens van Consument uit het EVR en het Incidentenregister te verwijderen. Opname van de persoonsgegevens in het IVR wordt gehandhaafd. Ten aanzien van de schade oordeelt de Commissie dat Consument zijn schade onvoldoende heeft onderbouwd en tot slot kan de Bank er niet toe worden gehouden de bancaire relatie te herstellen. De Commissie wijst de vordering van Consument gedeeltelijk toe.

• Procesverloop

1. De Commissie beslist met inachtneming van haar Reglement en op basis van de volgende stukken:

• het door Consument digitaal ingediende klachtformulier;
• het verweerschrift van de Bank;
• de repliek van Consument en
• de dupliek van de Bank. De Commissie stelt vast dat partijen hebben gekozen voor bindend advies.Partijen zijn opgeroepen voor een hoorzitting op 18 mei 2018 en zijn aldaar verschenen.

• Feiten
  1. 1. Consument was werkzaam in [naam land] en is met ingang van 1 juni 2016 een arbeids-overeenkomst aangegaan met een werkgever in Nederland. In de arbeidsovereenkomst
        is opgenomen dat het gaat om een dienstverband voor bepaalde tijd voor de duur van
        12 maanden, tot 1 juni 2017.
     2. Consument is teruggekeerd naar Nederland en op zoek gegaan naar een koopwoning. Hij heeft als eerste BLG Wonen (onderdeel van de SNS Bank, hierna: SNS Bank) benaderd voor een financiering voor de woning.
     3. Op de loonstrook van Consument met verwerkingsdatum 17 augustus 2016 staat vermeld dat de datum van uitdiensttreding 31 augustus 2016 is.
     4. In de werkgeversverklaring van 7 oktober 2016 staat dat Consument in loondienst is
        voor bepaalde tijd met de intentie dat bij gelijkblijvend functioneren en ongewijzigde bedrijfsomstandigheden de arbeidsovereenkomst voor bepaalde tijd bij beëindiging daarvan wordt opgevolgd door een arbeidsovereenkomst voor onbepaalde tijd. In de werkgevers-verklaring is het volgende opgenomen.
     6. Op 25 oktober 2016 tekenen Consument en de werkgever een overeenkomst
        waarin is opgenomen dat de arbeidsovereenkomst met werknemer (Consument) per
        1 oktober 2016 is beëindigd en er gewerkt wordt aan een overgangsconstructie. Daarbij is afgesproken dat de werkgever zonder werkprestatie 1 maand extra het loon doorbetaalt tot november 2016.
     7. Op 26 oktober 2016 wordt de koopovereenkomst voor de koopwoning getekend.
     8. Het dossier geeft blijk van een e-mailbericht van de werkgever van 20 november 2016 aan SNS Bank waarin hij aangeeft dat Consument nog steeds werkzaam is voor het bedrijf maar dat dit vanaf 1 oktober 2016 wel op basis van freelance is en dat het aantal werkuren daarbij gelijk blijft.
     9. Op 22 november 2016 heeft Consument, nadat het aanvraagtraject bij SNS Bank volgens hem te lang duurde, bij de Bank (zijn huisbank Rabobank) een hypotheekaanvraag ingediend. Dit heeft hij digitaal gedaan. In de digitale omgeving van de aanvraag dient Consument bepaalde voor de Bank belangrijke stukken te uploaden zoals een werkgeversverklaring. Consument heeft de op 7 oktober 2016 ondertekende werkgeversverklaring geüpload en zijn aanvraag ingediend.

• Op 29 november 2016 vindt een oriënterend hypotheekgesprek plaats op het bankkantoor met een hypotheekadviseur van de Bank. De hypotheekadviseur heeft vervolgens een nieuwe werkgeversverklaring opgevraagd. Bij e-mailbericht van
  29 november 2016 heeft Consument de Bank als volgt bericht:

  “Mijn huidige werkgever stuurt aan om voor de duur van mijn overige werkzaamheden mijn contract om te zetten naar een freelance contract (..).
  Daarbij kunnen ze een garantie afgeven dat het komende jaar er minstens 32 uur per week aan werkzaamheden gefactureerd kunnen worden (..).”

• 1. 1. De Bank heeft vervolgens aanvullende stukken opgevraagd bij Consument. Consument heeft op 6 december gevraagd om een tweede gesprek bij de Bank. Op 8 december 2016 is de koopovereenkomst voor de woning ontbonden. Het gesprek bij de Bank vond plaats op 14 december 2016. Daarbij is een medewerker van de afdeling veiligheidszaken aanwezig geweest. Tijdens het gesprek geeft de medewerker te kennen dat de Bank Consument ervan beschuldigt fraude te hebben gepleegd bij zijn hypotheekaanvraag.
        De Bank geeft aan dat de verdenking berust op inconsistenties die aangetroffen zijn in zijn dossier en door het opkomen van een zogenoemde hit naar aanleiding van de registratie in het Externe Verwijzingsregister (hierna: EVR) door SNS Bank.
        De Bank is vervolgens een onderzoek gestart.
     2. Het dossier geeft blijk van correspondentie tussen partijen in de periode hierna tot en met mei 2017 waarin Consument meermaals vraagt naar de status van het onderzoek. De Bank antwoordt telkens in reactie daarop, kort gezegd, dat het onderzoek langer duurt dan gebruikelijk.
     3. Op 9 mei 2017 heeft de Bank Consument onder vermelding van de gronden te kennen gegeven dat zij de bancaire relatie eenzijdig opzegt. Op 14 mei 2017 heeft de medewerker van de afdeling veiligheidszaken aangifte gedaan bij de politie van valsheid in geschrifte (artikel 225 van het Wetboek van Strafrecht) en poging tot oplichting (artikel 326 van het Wetboek van Strafrecht).
     4. In artikel 35 van de van toepassing zijnde Algemene Voorwaarden staat:

        “1.      U kunt de relatie tussen u en ons opzeggen. Wij kunnen dit ook. Het is daarvoor niet nodig dat u in verzuim bent met de nakoming van een verplichting. Wij houden ons bij opzegging aan onze zorgplicht als genoemd in artikel 2 lid 1 ABV Als u ons vraagt waarom wij de relatie opzeggen, dan laten wij u dat weten.
        2.        Opzegging betekent dat de relatie en alle lopende overeenkomsten worden beëindigd. Gedeeltelijke opzegging kan ook. In dat geval kunnen er bijvoorbeeld bepaalde overeenkomsten blijven bestaan.”

     5. De Bank heeft de gegevens van Consument per 16 mei 2017 opgenomen in het EVR en daarnaast in het externe verwijzingsregister van de Stichting Fraudebestrijding Hypotheken (hierna: de SFH). De gegevens van Consument zijn verder opgenomen in het Incidentenregister en in het Intern Verwijzingsregister (hierna: IVR). De registraties zijn opgenomen voor de duur van 8 jaar en Consument is hiervan bij brief van 7 juni 2017 op de hoogte gebracht. Consument heeft, bij monde van zijn gemachtigde, bezwaar ingediend tegen de registraties. Het bezwaar is door de Bank afgewezen.
     6. In het toepasselijke Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (hierna: het Protocol) van 23 oktober 2013 is – voor zover van belang – het volgende opgenomen:

        “2. Begripsbepalingen […]

        […] 3.1.1 Iedere Deelnemer heeft een Incidentenregister, waarin door de betreffende Deelnemer gegevens van (rechts)personen worden vastgelegd ten behoeve van het in artikel 4.1.1 Protocol genoemde doel, naar aanleiding van of betrekking hebbend op een (mogelijk) Incident. 3.1.2 Aan het Incidentenregister is een Extern Verwijzingsregister gekoppeld. 4 Incidentenregister 4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het Incidentenregister te hanteren: – op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers; – op het gebruik van en de deelname aan waarschuwingssystemen. 5 Extern Verwijzingsregister 5.2 Vastlegging van gegevens in het Extern Verwijzingsregister a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, alsmede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector. c) Het proportionaliteitsbeginsel wordt in acht genomen.
        Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister.”

     7. b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachten wordt gedaan bij een opsporingsambtenaar.
     8. 5.2.1 De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister.
     9. […]
     10. […]
     11. – op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen tot) strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;
     12. “Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:
     13. 4.1 Doel Incidentenregister
     14. […]
     15. […]
     16. 3.1 Incidentenregister en Extern Verwijzingsregister
     17. Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.
     18. In dit Protocol wordt verstaan onder:

• In de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van
  1 mei 2010 (hierna: de Gedragscode) is – voor zover van belang – het volgende opgenomen:

  4.1 Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. 4.3 Persoonsgegevens worden slechts verwerkt indien en voor zover is voldaan aan minimaal één van de volgende rechtmatige grondslagen: b. de Verwerking van Persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst waarbij de Cliënt partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de Cliënt en die noodzakelijk zijn voor het sluiten van een overeenkomst; d. de Verwerking van Persoonsgegevens is noodzakelijk ter vrijwaring van een vitaal belang van de Betrokkene; f. de Verwerking van Persoonsgegevens is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de Financiële instelling of van een Derde aan wie de[…] 5.1 Algemeen a. het beoordelen en accepteren van een Cliënt, het aangaan en uitvoeren van b. het verrichten van analyses van Persoonsgegevens ten behoeve van statistische en wetenschappelijke doeleinden; e. het voldoen aan wettelijke verplichtingen; […]

  van de Financiële sector alsmede het gebruik van waarschuwingssystemen

• 1. 5.5.1 Ten behoeve van de veiligheid en integriteit van de Financiële sector kunnen gegevens, waaronder Persoonsgegevens, die betrekking hebben op: (i) gebeurtenissen die gelet op het bijzondere karakter van de Financiële sector de zorg en aandacht behoeven van de Financiële instelling; (ii) (potentiële) vorderingen onder meer ten aanzien van een met de Financiële instelling gesloten overeenkomst; (iii) het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen; of (iv) handelingen van Financiële instellingen, waaronder onderzoek als bedoeld in artikel 5.6.1 Gedragscode, worden opgenomen in een Gebeurtenissenadministratie gehouden door Veiligheidszaken of een daartoe aangewezen afdeling van de betreffende Financiële instelling. Op deze Gebeurtenissenadministratie is de Gedragscode van toepassing. 5.5.2 Indien een in het eerste lid bedoelde gebeurtenis voldoet aan de criteria als opgenomen in het Protocol worden de met deze gebeurtenis verband houdende gegevens opgenomen in het incidentenregister en is opname in het EVR mogelijk (Bijlage I: Document B).”

  2. 5.5 Verwerking van Persoonsgegevens in het kader van de veiligheid en integriteit
  3. f. het beheren van de relatie met de Cliënt.
  4. c. het uitvoeren van (gerichte) marketingactiviteiten teneinde een relatie met een Betrokkene tot stand te brengen en/of met een Cliënt in stand te houden dan wel uit te breiden;
     d. het waarborgen van de veiligheid en integriteit van de financiële sector, daaronder mede begrepen het onderkennen, voorkomen, onderzoeken en bestrijden van (pogingen tot) (strafbare of laakbare) gedragingen gericht tegen de branche waar een Financiële instelling deel van uitmaakt, de Groep waartoe een Financiële instelling behoort, de Financiële instelling zelf, haar Cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen;
  5. overeenkomsten met een Cliënt en het afwikkelen van het betalingsverkeer;
  6. 5.1.1 Verwerking van Persoonsgegevens door Financiële instellingen vindt plaats, met inachtneming van de beginselen voor Verwerking van Persoonsgegevens ten behoeve van een efficiënte en effectieve bedrijfsvoering, in het bijzonder in het kader van het uitvoeren van devolgende activiteiten:
  7. 5. Doeleinden voor de Verwerking van Persoonsgegevens
  8. Persoonsgegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
  9. e. de Verwerking van Persoonsgegevens is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt; of
  10. c. de Verwerking van Persoonsgegevens is noodzakelijk om een wettelijke verplichting na te komen waaraan de Financiële instelling onderworpen is;
  11. a. de Betrokkene heeft voor de Verwerking van Persoonsgegevens zijn ondubbelzinnige toestemming verleend;
  12. […]
  13. “4. Beginselen van Verwerking van Persoonsgegevens
  14. In de toelichting op artikel 5.5 van de Gedragscode staat het volgende:

      “Binnen een Financiële instelling vormt Veiligheidszaken, die zich bezig houdt met de bestrijding van fraude en criminaliteit, vaak een afgezonderde eenheid. Deze afdeling legt onder meer gebeurtenissen vast die van belang zijn voor de veiligheid en integriteit van de Financiële sector en om die reden speciale aandacht behoeven. Het kan daarbij gaan om uiteenlopende gebeurtenissen als de melding van een gestolen laptop tot het vermoeden dat een bepaald persoon betrokken is bij een vorm van fraude of criminaliteit. Deze Persoonsgegevens worden vastgelegd in een zogeheten Gebeurtenissenadministratie. De Persoonsgegevens opgenomen in de Gebeurtenissenadministratie mogen in beginsel alleen gebruikt worden binnen de Financiële instelling of de Groep waartoe de Financiële instelling behoort.

      Om een oncontroleerbaar gebruik van deze Persoonsgegevens te voorkomen wordt een beperkte set aan gegevens (naam, adres, woonplaats en geboortedatum) opgenomen in een Intern Verwijzingsregister (IVR) dat in het kader van onder meer acceptatie en schadeafhandeling door de betreffende afdelingen geraadpleegd mag worden. Indien blijkt dat een Betrokkene in dit IVR voorkomt moet contact worden opgenomen met Veiligheidszaken, die vervolgens adviseert over de beslissing die moet worden genomen.
      Op deze Verwerking van Persoonsgegevens is de Gedragscode van toepassing en is een separate melding gedaan bij het CBP. Indien, na nader onderzoek, blijkt dat de gebeurtenis van zodanige aard is dat deze voldoet aan de voorwaarden genoemd in het Protocol worden de gegevens opgenomen in het Incidentenregister en, wanneer aan aanvullende voorwaarden is voldaan, in het EVR.
      Op deze Verwerkingen is niet de Gedragscode, maar het Protocol van toepassing.”

  15. […]

1. 1. De Commissie gaat uit van de volgende feiten.

• Vordering, klacht en verweerVordering Consument
  1. 1. Consument vordert verwijdering van zijn gegevens uit de registers. Consument vordert daarnaast herleving van de overeenkomsten die hij had met de Bank.
        Tot slot vordert Consument dat de Bank wordt veroordeeld de schade die Consument door de registratie van de Bank heeft geleden en nog zal lijden te vergoeden. Grondslagen en argumenten daarvoor
     3. Deze vordering steunt, kort en zakelijk weergegeven, op de volgende grondslag.
     4. De Bank heeft de gegevens van Consument onrechtmatig opgenomen in de registers. Consument heeft digitaal een hypotheekaanvraag ingediend bij de Bank daarbij is beperkt ruimte om aanvullende toelichtingen te geven maar er dienen wel stukken te worden geüpload. Dit was voor Consument een handeling om uitgenodigd te worden voor een gesprek met een adviseur zodat Consument zijn complexe werksituatie kon uitleggen.
     5. Consument heeft, door de werksituatie, een roerige periode achter de rug. Consument heeft te allen tijde beoogd openheid van zaken te geven en in alle eerlijkheid uit te leggen wat er speelde om te vernemen wat de mogelijkheden waren voor een financiering. Omdat de aanvraag bij de SNS Bank lang duurde, heeft hij een aanvraag ingediend bij de Bank. Consument heeft bij ieder gesprek met de Bank zelf aangegeven dat de werkgevers-verklaring niet langer voldeed maar dat de verklaring is ingediend om nadien een toelichting te kunnen geven over zijn situatie en samen te kijken naar de mogelijkheden. De Bank heeft te voorbarig gehandeld door, zonder dat daartoe een overeenkomst van opdracht was, zijn aanvraag inhoudelijk te behandelen.
     6. Op 29 november 2016 was er nog geen sprake van een geschil met de werkgever. Consument vertrouwde erop dat de problemen tussen hen opgelost zouden worden en de dienstbetrekking zou herleven, dan wel zou worden voortgezet.
     8. Consument en de werkgever hebben eind januari 2017 een vaststellingsovereenkomst getekend waarbij Consument een aanvullende beëindigingsvergoeding heeft ontvangen en waarbij partijen zijn overeengekomen dat de werkgever niet gehouden is om Consument in te schakelen voor projecten (op basis van freelance of op andere wijze). Consument geeft aan dat hij met de kennis van nu tot de conclusie komt dat hij de aanvraag heel onhandig heeft aangepakt en hiervan heeft geleerd. Hij heeft echter nimmer de intentie gehad om de Bank te misleiden.   Verweer van de Bank
     9.  
     10. De Bank heeft, kort en zakelijk weergegeven, de volgende verweren gevoerd.

• De Bank heeft gesteld dat de opname in de registers gegrond is. De Bank heeft navraag gedaan bij de werkgever van Consument en hieruit kwam naar voren dat Consument en de werkgever in juni 2016 een arbeidsovereenkomst zijn aangegaan voor de duur van één jaar; vervolgens is mondeling overeengekomen dat dit jaarcontract per 28 juni 2016 wordt omgezet naar een contract voor 3 maanden en met ingang van 26 augustus 2016 heeft de werkgever de arbeidsovereenkomst beëindigd met een opzegtermijn van 1 maand, derhalve tot 1 oktober 2016.
• Consument heeft vervolgens op 22 november 2016 een werkgeversverklaring aangeleverd welke op 7 oktober 2016 is ondertekend. Consument heeft aangegeven de werkgevers-verklaring zelf te hebben ingevuld en vervolgens de verklaring aan de werkgever te hebben gegeven ter ondertekening waarbij ook een bedrijfsstempel moest worden gezet. De handtekening bij de intentieverklaring ontbrak en het formulier moest voor een tweede keer door de werkgever worden ondertekend. Het valt de Bank op dat beide hand-tekeningen identiek zijn en ze gezet zijn op een moment dat Consument niet meer in dienst was bij de werkgever. De Bank stelt dat Consument hiermee valsheid in geschrifte heeft gepleegd en een poging heeft gedaan tot oplichting door dit document aan de Bank te geven ten behoeve van het verkrijgen van een financiering die hij anders niet zou krijgen. Voorts heeft Consument tijdens het gesprek op 29 november 2016 verklaard dat hij een arbeidsrelatie had voor 32 uur per week en hij de overige uren op freelance basis werkte. Deze informatie is onjuist, aldus de Bank.
• Tijdens het tweede gesprek op 14 december 2016 heeft Consument verklaard dat hij eind oktober 2016 te horen kreeg dat hij alleen op freelance basis zou kunnen werken voor de werkgever. Deze laatste verklaring strookt niet met de verklaring van 29 november 2016 en met voormeld e-mailbericht van Consument van 29 november 2016.
• Consument wist eind augustus 2016 dat zijn dienstbetrekking per 1 oktober 2016 zou worden beëindigd. Dit blijkt niet alleen uit het e-mailbericht van zijn werkgever aan de Bank van 8 december 2016 maar eveneens uit voormelde tussen de werkgever en Consument gesloten beëindigingsovereenkomst van 25 oktober 2016.
• 1. Volgens de Bank is sprake van gedragingen die een bedreiging vormen of kunnen vormen voor de belangen van financiële instellingen of de continuïteit en de integriteit van de financiële sector op grond van artikel 5.2.1. van het Protocol. Volgens de Bank is sprake van een gegronde verdenking van fraude omdat Consument de Bank opzettelijk heeft willen misleiden door essentiële informatie niet te geven met als doel het verkrijgen van de financiering die anders niet zou zijn verstrekt, omdat Consument wist dat een dergelijke financiering op basis van een freelance overeenkomst niet mogelijk was.
  2. De Bank heeft een proportionaliteitsafweging gemaakt. Deze afweging ligt zowel ten grondslag aan de beslissing om de persoonsgegevens op te nemen als aan de beslissing om de registratie voor de duur van acht jaar te handhaven. De Bank heeft geen gronden aanwezig geacht om een kortere duur dan de maximale 8 jaar te hanteren omdat ze de gedragingen van Consument dermate ernstig vindt en de belangen van Consument niet prevaleren boven de belangen van de sector. Daarbij heeft de Bank in ogenschouw genomen dat Consument geen concrete belangen heeft gesteld waardoor de Bank tot een andere conclusie zou moeten komen.

• Beoordeling
• De Commissie ziet zich gesteld voor de vraag of de Bank gehouden moet worden de persoonsgegevens van Consument te verwijderen uit het EVR, het externe verwijzings-register van de SFH, het Incidentenregister en het IVR.
• 1. 1. Registratie EVR, het externe verwijzingsregister van de SFH en het Incidentenregister

• De Bank is overgegaan tot registratie van de persoonsgegevens van Consument in bovengenoemde registers naar aanleiding van de feiten en omstandigheden die zich hebben voorgedaan rond de hypotheekaanvraag.

  Ten eerste stelt de Commissie het volgende vast. De SFH heeft een eigen waarschuwings-systeem met daaraan gekoppeld een externe verwijzingsregister dat ziet op incidenten die specifiek betrekking hebben op hypothecaire geldleningen. Het SFH is aangesloten bij het Protocol en alle hypotheekverstrekkers die zijn aangesloten bij de SFH hebben toegang tot dit externe verwijzingsregister. Waar in het vervolg wordt geoordeeld over de registratie in het EVR wordt daarmee ook bedoeld het externe verwijzingsregister van de SFH.

• Het incident in verband waarmee de persoonsgegevens van Consument zijn geregistreerd, bestaat uit het plegen van valsheid in geschrifte en poging tot oplichting. Opname van persoonsgegevens in deze registers kan voor de betrokkene verstrekkende consequenties hebben. Alle deelnemende financiële instellingen kunnen immers door toetsing in het EVR vaststellen dat sprake is van opname in het Incidentenregister van een andere deelnemer.
  Het gevolg hiervan kan zijn dat niet alleen de deelnemer die tot opname in het EVR is overgegaan, maar ook andere deelnemers hun diensten aan de betrokkene zullen weigeren. Tegen deze achtergrond is de Commissie van oordeel dat hoge eisen moeten worden gesteld aan de gronden waarop de Bank de opname van de persoonsgegevens van Consument in genoemde registers baseert. Zie o.a. Hof Arnhem-Leeuwarden
  26 januari 2016, ECLI:NL:GHARL:2016:494 en GC Kifid 2017-717.

• Ten tijde van de registratie van de persoonsgegevens van Consument waren het Protocol en de Wet Bescherming persoonsgegevens (hierna: Wbp thans de Algemene Verordening Gegevensbescherming (AVG) die ten aanzien van de toepasselijke bepalingen niet afwijkt van de Wbp) van kracht. Opname van persoonsgegevens in het Incidentenregister en het EVR kan alleen als dat in overeenstemming is met de Wbp en het Protocol. Blijkens de Memorie van Toelichting bij het wetsvoorstel van de Wbp is daarbij gedacht aan gegevens in verband met strafbaar of hinderlijk gedrag, die tot gevoelige gegevens behoren omdat de betrokkene in verband wordt gebracht met strafrechtelijk verwijtbaar gedrag.
• Artikel 5.2.1 onder a en b van het Protocol bepaalt onder welke voorwaarden persoons-gegevens mogen worden opgenomen in het EVR. Het moet gaan om gedragingen van de betrokkene die een bedreiging vormden, vormen of kunnen vormen voor de (financiële) belangen van een financiële instelling, alsmede voor de continuïteit en integriteit van de financiële sector.

  De strafrechtelijke aard van de te verwerken gegevens brengt mee dat deze gegevens in voldoende mate moeten vaststaan. Het moet gaan om zodanig concrete feiten en omstandigheden dat zij een als strafbaar feit te kwalificeren bewezenverklaring in de zin van artikel 350 van het Wetboek van Strafvordering (hierna: Sv) kunnen dragen. Een strafrechtelijke veroordeling is niet vereist, maar anderzijds is de enkele verdenking van betrokkenheid bij een strafbaar feit in de zin van een vermoeden van schuld, zoals dat kan blijken uit een aangifte, niet voldoende. Als maatstaf heeft te gelden of de vastgestelde gedragingen een zwaardere verdenking dan een redelijk vermoeden van schuld opleveren, in die zin dat de te verwerken strafrechtelijke persoonsgegevens in voldoende mate moeten vaststaan. Zie HR 29 mei 2009, ECLI:NL:HR:2009:BH4720. Bij bevestigende beantwoording van deze vraag dient voorts te worden beoordeeld of opneming van de gegevens in het Incidentenregister en het EVR gerechtvaardigd was en voor welke duur (de proportionaliteitsafweging).

• 1. 1.  

• De Commissie oordeelt als volgt. De Bank heeft gesteld dat Consument zich schuldig heeft gemaakt aan valsheid in geschrifte en poging tot oplichting. Het ligt op de weg van de Bank te stellen en zo nodig ook te bewijzen dat een zwaardere verdenking bestaat van opzet tot misleiding van de Bank door Consument dan een redelijk vermoeden van schuld. Van valsheid in geschrifte is sprake wanneer iemand een geschrift, dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door andere te doen gebruiken (artikel 225 lid 1 van het Wetboek van Strafrecht). Consument heeft ontkend dat hij de werkgeversverklaring zou hebben vervalst. Consument heeft aangegeven het stuk te hebben ingevuld en vervolgens aan de werkgever ter ondertekening te hebben voorgelegd. Dat het stuk digitaal is ingevuld en ondertekend staat niet ter discussie.
  Het is in dat opzicht ook niet bijzonder dat de handtekeningen identiek lijken te zijn,
  zoals door de Bank gesteld. Voorts is uit de stukken gebleken dat Consument en de werkgever op 25 oktober 2016 een overeenkomst hebben getekend waarmee zij zijn overeengekomen dat de werkzaamheden van Consument met terugwerkende kracht per 1 oktober 2016 worden beëindigd. De werkgeversverklaring is ondertekend voordat deze overeenkomst tot stand is gekomen. Dit verklaart de omstandigheid dat de werkgevers-verklaring is ondertekend nadat het dienstverband volgens de informatie op de salarisstrook is beëindigd, zoals door de Bank gesteld. De Commissie oordeelt dat er onvoldoende aanwijzingen zijn om te concluderen dat de werkgeversverklaring door Consument zou zijn vervalst.
• Vaststaat dat de arbeidsovereenkomst per 1 oktober 2016 is beëindigd, met welke beëindiging Consument blijkens de door hem op 25 oktober 2016 getekende overeenkomst heeft ingestemd.
  Vaststaat tevens dat er ten tijde van de hypotheekaanvraag bij de Bank een discussie gaande was tussen Consument en de werkgever over de vraag of en op welke voet zij met elkaar verder zouden gaan. Deze discussie heeft geleid tot een geschil, welk geschil uiteindelijk eind januari 2017 is geëindigd met een tweede overeenkomst gesloten tussen Consument en de werkgever.
• Tijdens de zitting is de Commissie gebleken dat Consument niet goed begrijpt wat het begrip dienstbetrekking inhoudt en kennelijk meent dat werken op basis van freelance eveneens in het kader van een dienstverband plaatsvindt. Tijdens de zitting heeft Consument erkend dat hij zeer onhandig heeft gehandeld en verkeerde bewoordingen heeft gekozen en ook slordig is geweest, maar dat van opzettelijke misleiding geen sprake is. Consument heeft, naar het oordeel van de Commissie, voldoende aangetoond dat hij de digitale hypotheekaanvraag heeft gezien als een manier om in contact te komen met de Bank zodat hij samen met een hypotheekadviseur de mogelijkheden kon bespreken en zijn werksituatie kon uitleggen. Daarom verwijt hij de Bank dat deze te voorbarig heeft gehandeld en hem van fraude heeft beschuldigd. Consument heeft aannemelijk gemaakt dat ten tijde van de gesprekken met de Bank hem niet helder was in welke betrekking hij stond ten aanzien van de werkgever en op welke voet zij met elkaar verder zouden gaan. Consument was ervan overtuigd dat de dienstbetrekking zou worden voortgezet, dan wel een andere oplossing zou worden gevonden. Zijn intentie was om met de Bank te spreken over de mogelijkheden.
• De Commissie oordeelt dat, gelet op het voorgaande, uit hetgeen de Bank heeft aangevoerd ter onderbouwing van haar gemaakte verwijten niet is gebleken van een zwaardere verdenking dan een vermoeden van schuld om de Bank te misleiden.
  Dit brengt mee dat de Bank is gehouden de registratie in het EVR ongedaan te maken.
• 1. 1. Vervolgens is de vraag aan de orde of de incidentenregistratie wel mag worden gehandhaafd. Opname in het Incidentenregister is, op grond van artikel 3.1.1 van het Protocol, toegestaan wanneer sprake is van een Incident als omschreven in
        artikel 2 van het Protocol en het doel van het Incidentenregister zoals omschreven in artikel 4.1.1 van het Protocol is gediend bij registratie. Indien niet langer aan de voorwaarden van art. 3.1.1 is voldaan, dient de Bank, op grond van artikel 4.1.2 van het Protocol zorg te dragen voor verwijdering van de gegevens. Dit volgt ook uit artikel 36 Wbp waarin het recht op verwijdering van persoonsgegevens is opgenomen indien de gegevens niet, of niet langer, ter zake dienend zijn.

• In deze zaak zijn de persoonsgegevens van Consument geregistreerd naar aanleiding van een incident waarbij het ging om een mogelijke (poging tot een) strafbare gedraging als fraude (opzet tot misleiding). De Commissie is van oordeel dat de geregistreerde gegevens niet langer ter zake dienend zijn zodra duidelijk is geworden, op grond van verricht onderzoek of anderszins, dat de voorhanden gegevens niet van dien aard zijn dat zij redelijkerwijs een zwaardere verdenking dan een redelijk vermoeden van schuld rechtvaardigen (zie HR 29 mei 2009, ECLI:NL:HR:2009:BH4720). In dat geval kan immers niet langer worden gezegd dat registratie kan bijdragen aan het onderkennen, voorkomen, onderzoeken en bestrijden van strafbare gedragingen, of dat registratie anderszins nog kan bijdragen aan de in artikel 4.4.1 Protocol omschreven doelen. Registratie van de gegevens in het Incidentenregister is dan niet langer gerechtvaardigd. Dit strookt ook met genoemde beslissing van de Hoge Raad van 29 mei 2009, dat de voor rechtmatige verwerking van strafrechtelijke gegevens gestelde eis dat die gegevens in voldoende mate vaststaan gold voor verwerking in ‘de registers’, waarbij het ging om het EVR en ook het Incidentenregister. Zie Hof Den Haag 10 april 2018, ECLI:NL:GHDHA:2018:654;
  Kifid GC 2018-377, r.o. 4.6.

• Gelet op het oordeel, zoals hierboven overwogen dat de vastgestelde gedragingen geen zwaardere verdenking dan een redelijk vermoeden van schuld opleveren, is het doel van de incidentenregistratie niet langer gediend.
  Dit brengt mee dat de Bank tevens is gehouden de registratie in het Incidentenregister ongedaan te maken.

1. 1. 1. Registratie IVR

• Consument heeft ook doorhaling van zijn gegevens in het IVR gevorderd. Dit register is gekoppeld aan de Gebeurtenissenadministratie. Deze registers vormen het interne waarschuwingssysteem van de Bank en de groep financiële ondernemingen waar de Bank deel van uitmaakt.
  De Gebeurtenissen-administratie is een register van (persoons)gegevens, die daarin zijn verwerkt omdat zij van belang zijn voor de veiligheid en integriteit van de financiële instelling en om die reden speciale aandacht behoeven (artikel 2 aanhef en sub k Gedragscode). De Gebeurtenissen-administratie wordt beheerd en is in te zien door de Afdeling Veiligheidszaken. In het IVR kunnen de verwijzingsgegevens van de betrokkene worden opgenomen zodat de eigen organisatie opmerkzaam wordt gemaakt op de persoon die was betrokken bij een ‘gebeurtenis’. Een onderscheid in criteria voor opname in de Gebeurtenissen-administratie respectievelijk het IVR is er dan ook niet. Op deze registers is de Gedragscode van toepassing en opname in deze registers is toegestaan indien aan de vereisten die de Gedragscode daarvoor stelt, is voldaan. Zie Rb. Midden-Nederland 11 januari 2017, ECLI:NL:RBMNE:2017:49, onder 4.13.

1. 1.  
   2. Ingevolge artikel 4.1 van de Gedragscode worden persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Van een zorgvuldige gegevensverwerking is sprake als de desbetreffende gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verwerkt. Dit vereiste is nader uitgewerkt in artikel 4.3 en artikel 5 GVPFI. Op grond van artikel 5.5.1 GVPFI kunnen, ten behoeve van de veiligheid en integriteit van de financiële sector, persoons-gegevens die betrekking hebben op (onder meer) gebeurtenissen die de zorg en aandacht behoeven van de financiële instelling, worden opgenomen in de Gebeurtenissen-administratie. Het gaat daarbij om zaken die de veiligheid en integriteit van de instelling, haar werknemers, klanten en overige relaties maar ook de financiële sector als geheel (kunnen) raken. Gebeurtenissen kunnen een kleine impact, maar ook grote gevolgen hebben. Het varieert van een klant die een medewerker heeft uitgescholden tot aan de medewerker en zijn eventuele medeplegers die miljoenen hebben verduisterd.

• Hiervoor is gebleken dat de onderhavige omstandigheden niet de conclusie rechtvaardigen dat sprake is van fraude (opzet tot misleiding). De onderhavige omstandigheden zijn naar het oordeel van de Commissie echter wel voldoende voor opname in de Gebeurtenissen-administratie en het IVR. De volgorde waarin Consument heeft gehandeld om in gesprek te komen met een hypotheekadviseur en zo aandacht te vragen voor zijn specifieke situatie behoeft de aandacht van de Bank. Zie GC Kifid 2018-307. Hiermee doelt de Commissie op de omstandigheid dat Consument eerst een hypotheekaanvraag heeft ingediend bij de Bank en daarbij een intentieverklaring heeft overgelegd, wetende dat deze verklaring niet (meer) aansloot bij de werkelijkheid van dat moment. Weliswaar om zo in gesprek te komen met de Bank maar Consument had ook eerst de situatie kunnen voorleggen aan de Bank alvorens de aanvraag te doen.

1. 1. 1. Op grond van artikel 4.3 sub f Gedragscode dient de registratie in het IVR proportioneel te zijn. Dit houdt in dat het belang van de financiële sector bij registratie moet worden afgewogen tegen de nadelige gevolgen voor de betrokken consument. Ook mag de duur van de registratie niet disproportioneel zijn.
      2. De Commissie is van oordeel dat het belang van de Bank bij registratie van de gegevens van Consument in de Gebeurtenissenadministratie en het IVR zwaarder weegt dan het mogelijk nadelige effect dat de registratie voor Consument heeft. De registratie in het IVR is zuiver intern en kan tot gevolg hebben dat Consument niet langer gebruik kan maken van de diensten van de groep financiële ondernemingen waarvan de Bank deel uitmaakt. Financiële instellingen die geen deel uitmaken van deze groep hebben geen toegang tot de persoonsgegevens van Consument in het IVR. Consument wordt dus niet belemmerd in zijn mogelijkheden om met een andere financiële instelling een bancaire relatie aan te gaan.

• De Commissie acht het niet onbegrijpelijk dat de Bank zichzelf en de met haar verbonden ondernemingen opmerkzaam wil maken op Consument en de genoemde omstandigheden in aanmerking wil nemen bij de beoordeling of zij nieuwe bancaire relaties met Consument wil aangaan. Consument heeft niet gesteld dat de registratieduur zou moeten worden verkort noch heeft hij aangevoerd dat hij specifieke belangen heeft bij verkorting en/of verwijdering van zijn persoonsgegevens uit het IVR die zouden moeten prevaleren boven het belang van de Bank bij het laten voortduren van de registratie. De Commissie concludeert dat registratie in het IVR gezien de omstandigheden van dit geval gerechtvaardigd is en Consument hierdoor niet disproportioneel in zijn belangen wordt geraakt. De registratie in de Gebeurtenissenadministratie en het IVR kan daarom gehandhaafd blijven. Beëindiging bancaire relatie en schade

1. 1. 2. De Bank is op grond van artikel 35 van de Algemene Bankvoorwaarden bevoegd de bancaire relatie met Consument op te zeggen. Dit neemt niet weg dat, zoals is bepaald in art. 6:248 lid 2 van het Burgerlijke Wetboek (verder te noemen ‘BW’), de omstandigheden van het geval kunnen meebrengen dat het naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is dat de overeengekomen bevoegdheid tot opzegging wordt uitgeoefend. In een geval waarin zich dit voordoet zou opzegging van de overeenkomst geen beëindiging ervan tot gevolg hebben.
      3. In het onderhavige geval heeft de Bank de bancaire relatie schriftelijk opgezegd en haar beweegredenen hiertoe toegelicht. Gelet op de gerechtvaardigde registratie van de persoonsgegevens van Consument in het IVR acht de Commissie de opzegging van de bancaire relatie naar maatstaven van redelijkheid en billijkheid niet onaanvaardbaar.

         De Bank is daarom niet gehouden tot herstel van de bancaire relatie en daarmee herleving van de overeenkomsten, zoals door Consument gevorderd. De Commissie merkt ten overvloede op dat dit los staat van de vraag of dit technisch gezien mogelijk is.

      4. De Bank heeft erkend dat het onderzoek van de afdeling veiligheidszaken langer
         heeft geduurd dan gebruikelijk waardoor de Bank op 8 juni 2017 is overgegaan tot registratie. De Bank heeft aangegeven de registratiedatum aan te zullen passen naar
         14 december 2016. De Commissie acht dit herstel door de Bank op zijn plaats.
      5. Consument heeft aangegeven dat hij mogelijk schade lijdt of zal lijden door de registraties en gevorderd dat de Bank dit zal vergoeden. Gesteld nog gebleken is dat Consument daadwerkelijk vermogensschade heeft geleden of zal leiden door de registraties van de Bank. Deze vordering wordt afgewezen.Conclusie
      7. De Commissie concludeert dat geen sprake is van een gegronde verdenking van fraude. De registraties in het EVR, het externe verwijzingsregister van de SFH en het Incidentenregister dienen door de Bank te worden verwijderd. Verder concludeert de Commissie dat er wel sprake is van een gebeurtenis die de zorg en aandacht behoeft van de Bank en acht daarom de registratie in het IVR terecht.

• BeslissingDe Commissie beslist dat de Bank binnen vier weken na de dag waarop een afschrift van
  deze beslissing aan partijen is verstuurd, de registratie in het Incidentenregister, het EVR en het SFH-systeem doorhaalt en daarvan een schriftelijke bevestiging aan Consument stuurt.
  De Commissie wijst het meer of anders gevorderde af.

   

1. U kunt, binnen twee weken na de verzenddatum van deze uitspraak, bij de Voorzitter van de Geschillencommissie Financiële Dienstverlening schriftelijk een verzoek indienen tot herstel van kennelijke vergissingen in de uitspraak. U moet daarbij met name denken aan correctie van reken- of schrijffouten en verbetering van namen en data. De volledige procedure met de termijnen die daarbij in acht moeten worden genomen staat beschreven in artikel 40 van het Reglement.
2. In artikel 5 van het Reglement van de Commissie van Beroep Financiële Dienstverlening is bepaald in welke gevallen beroep openstaat van bindende beslissingen van de Geschillencommissie Financiële Dienstverlening bij de Commissie van Beroep Financiële Dienstverlening. Daarbij geldt een termijn van zes weken na verzending van deze uitspraak. Op de website van Kifid vindt u praktische informatie over het instellen van beroep. Zie hiervoor www.kifid.nl/consumenten/hoe-wordt-uw-klacht-behandeld.