Mijn Kifid

Uitspraak 2018-634 (Bindend)

Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2018-634
(
mr. J.S.W. Holtrop, voorzitter en mr. R.P.W. van de Meerakker, secretaris)

 

Klacht ontvangen op        : 27 februari 2018

Ingediend door               : Consument

Tegen                            : ABN AMRO Bank N.V., gevestigd te Amsterdam, verder te noemen de Bank

Datum uitspraak             : 10 oktober 2018

Aard uitspraak                : Bindend advies

 

Samenvatting

 

De Bank heeft de bankrelatie met Consument opgezegd en hem geregistreerd in het IVR en Incidentenregister voor een termijn van 8 jaar. Naar het oordeel van de Commissie leveren de door de Bank aangedragen omstandigheden een voldoende grond voor opzegging van de relatie en registratie in de registers op. Zonder motivering mocht de Bank er echter niet toe overgaan Consument voor een termijn van 8 jaar te registreren. De Commissie oordeelt dat de registraties beperkt moeten worden tot een duur van 5 jaar.

 

  1. Procesverloop

De Commissie beslist met inachtneming van haar Reglement en op basis van de volgende stukken met bijlagen:

  • het door Consument (digitaal) ingediende klachtformulier;
  • het verweerschrift van de Bank;
  • de repliek van Consument;
  • de laatste reactie van de Bank.

 

De Commissie stelt vast dat partijen hebben gekozen voor bindend advies.

 

Partijen zijn opgeroepen voor een hoorzitting op 21 augustus 2018 en zijn aldaar verschenen.

 

  1. Feiten

De Commissie gaat uit van de volgende feiten.

 

  • Consument had bij de Bank een bankrekening, waarop op 20 september 2017 een bedrag van € 130.976,- werd gestort door de Italiaanse vennootschap [Italiaanse Bank].
  • Op 21 september 2017 heeft Consument via internet bankieren de opdracht aan de Bank gegeven een bedrag € 40.000,- over te maken naar een persoon met een adres in Nigeria.
  • Op 22 september 2017 ontving Consument een bedrag van €650,- op zijn rekening onder vermelding van “gift for [naam Consument]”. Eveneens op 22 september 2017 werd door een Italiaanse bank navraag gedaan naar de betaling van € 130.976,- vanwege mogelijke betrokkenheid bij fraude. In afwachting van verdere berichten heeft de Bank op dat moment internet bankieren en de bankpas van Consument geblokkeerd. Tot slot heeft de Bank op 22 september 2017 de in overweging 2.2 genoemde opdracht tot overboeking afgekeurd.
  • Op 29 september 2017 heeft de Italiaanse bank bevestigd dat het om een frauduleuze overboeking ging en dat de benadeelde daarvan aangifte had gedaan.
  • De Bank heeft de relatie met Consument opgezegd en hem geregistreerd in het Incidentenregister en het Interne Verwijzingsregister.
  • Consument heeft op 15 oktober 2017 schriftelijk gereageerd en aangegeven dat het een reguliere zakelijke transactie betrof die per ongeluk op zijn privérekening was geboekt. Hij heeft daarbij ontkend te hebben kunnen vermoeden dat het bedrag een frauduleuze herkomst had.
  • In het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 (hierna: het PIFI) is voor zover relevant het volgende bepaald:

 

“2 Begripsbepalingen

In dit protocol wordt verstaan onder:

(…)

Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.

(…)

Organisatie van de Deelnemer: de Deelnemer zelf, de dochtermaatschappijen van de Deelnemer (als bedoeld in artikel 2:24a BW) dan wel de groepsmaatschappijen waarmee de Deelnemer in een economische eenheid is verbonden (artikel 2:24a BW). Als ook de bij Rabobank Nederland aangesloten banken.

(…)

4 Incidentenregister

4.1 Doel Incidentenregister

4.1.1 Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:

– op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;

– op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;

– op het gebruik van en de deelname aan waarschuwingssystemen.”

 

  • In de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van 1 mei 2010 (hierna: GVPFI) is – voor zover van belang – het volgende opgenomen:

 

4. Beginselen van Verwerking van Persoonsgegevens

4.1 Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. […]

4.3 Persoonsgegevens worden slechts verwerkt indien en voor zover is voldaan aan minimaal één van de volgende rechtmatige grondslagen:

[…]

  1. de Verwerking van Persoonsgegevens is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de Financiële instelling of van een Derde aan wie de Persoonsgegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de Betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

[…]

 

5.1 Algemeen

5.1.1 Verwerking van Persoonsgegevens door Financiële instellingen vindt plaats, met inachtneming van de beginselen voor Verwerking van Persoonsgegevens ten behoeve van een efficiënte en effectieve bedrijfsvoering, in het bijzonder in het kader van het uitvoeren van de volgende activiteiten: […]

  1. het waarborgen van de veiligheid en integriteit van de financiële sector, daaronder mede begrepen het onderkennen, voorkomen, onderzoeken en bestrijden van (pogingen tot) (strafbare of laakbare) gedragingen gericht tegen de branche waar een Financiële instelling deel van uitmaakt, de Groep waartoe een Financiële instelling behoort, de Financiële instelling zelf, haar Cliënten en medewerkers, alsmede het gebruik van en de deelname aan waarschuwingssystemen; […]

 

5.5 Verwerking van Persoonsgegevens in het kader van de veiligheid en integriteit van de Financiële sector alsmede het gebruik van waarschuwingssystemen

5.5.1 Ten behoeve van de veiligheid en integriteit van de Financiële sector kunnen gegevens, waaronder Persoonsgegevens, die betrekking hebben op: (i) gebeurtenissen die gelet op het bijzondere karakter van de Financiële sector de zorg en aandacht behoeven van de Financiële instelling; (ii) (potentiële) vorderingen onder meer ten aanzien van een met de Financiële instelling gesloten overeenkomst; (iii) het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen; of (iv) handelingen van Financiële instellingen, waaronder onderzoek als bedoeld in artikel 5.6.1 Gedragscode, worden opgenomen in een Gebeurtenissenadministratie gehouden door Veiligheidszaken of een daartoe aangewezen afdeling van de betreffende Financiële instelling. Op deze Gebeurtenissenadministratie is de Gedragscode van toepassing.

5.5.2 Indien een in het eerste lid bedoelde gebeurtenis voldoet aan de criteria als opgenomen in het Protocol worden de met deze gebeurtenis verband houdende gegevens opgenomen in het incidentenregister en is opname in het EVR mogelijk (Bijlage I: Document B).(…)”

 

  • In de toelichting bij artikel 5.5 van de GVPFI staat onder meer het volgende vermeld:

Binnen een Financiële instelling vormt Veiligheidszaken, die zich bezig houdt met de bestrijding van fraude en criminaliteit, vaak een afgezonderde eenheid. Deze afdeling legt onder meer gebeurtenissen vast die van belang zijn voor de veiligheid en integriteit van de Financiële sector en om die reden speciale aandacht behoeven. Het kan daarbij gaan om uiteenlopende gebeurtenissen als de melding van een gestolen laptop tot het vermoeden dat een bepaald persoon betrokken is bij een vorm van fraude of criminaliteit. Deze Persoonsgegevens worden vastgelegd in een zogeheten Gebeurtenissenadministratie. De Persoonsgegevens opgenomen in de Gebeurtenissenadministratie mogen in beginsel alleen gebruikt worden binnen de Financiële instelling of de Groep waartoe de Financiële instelling behoort. Om een oncontroleerbaar gebruik van deze Persoonsgegevens te voorkomen wordt een beperkte set aan gegevens (naam, adres, woonplaats en geboortedatum) opgenomen in een Intern Verwijzingsregister (IVR) dat in het kader van onder meer acceptatie en schadeafhandeling door de betreffende afdelingen geraadpleegd mag worden. Indien blijkt dat een Betrokkene in dit IVR voorkomt moet contact worden opgenomen met Veiligheidszaken, die vervolgens adviseert over de beslissing die moet worden genomen. Op deze Verwerking van Persoonsgegevens is de Gedragscode van toepassing en is een separate melding gedaan bij het CBP.”

 

  • De Bank heeft Consument voor de maximale duur van 8 jaar geregistreerd in het IVR en het Incidentenregister.
  1. Vordering, klacht en verweer

Vordering Consument

  • Consument vordert herstel van de bankrelatie en verwijdering van zijn gegevens uit het IVR en Incidentenregister.

 

Grondslagen en argumenten daarvoor

  • Deze vordering steunt, kort en zakelijk weergegeven, op de volgende grondslag. Consument heeft in een telefoongesprek met de Bank kort na ontvangst van het bedrag van € 130.976,- aangegeven dat het geld voor hem bestemd was, maar een vergoeding betrof voor een zakelijke transactie. Consument heeft op dat moment stukken aan de Bank gezonden waaruit het zakelijke karakter van de transactie blijkt.

    Nadat de Bank heeft aangegeven dat het ontvangen geld een frauduleuze herkomst kende, heeft Consument op 15 oktober 2017 opnieuw laten weten dat het een zakelijke transactie betrof, die per ongeluk op zijn privérekening terecht gekomen was. Hij heeft daarbij aangetekend dat hij niet kon weten dat het bedrag een frauduleuze herkomst had, omdat hij ervan uitging dat het een vergoeding betrof voor de geleverde diensten.

    Deze stelling heeft hij herhaald per brief van 28 november 2017. Daarin heeft hij de facturen van de transacties opnieuw bijgesloten. Volgens Consument heeft hij daarmee een voldoende duidelijke verklaring gegeven dat hij geen weet had van het frauduleuze karakter van de transactie. Consument heeft gesteld dat de enige fout die hij heeft gemaakt, eruit bestaat dat een zakelijke transactie op zijn privérekening bijgeschreven werd.

 

Verweer van de Bank

  • De Bank heeft de stellingen van Consument gemotiveerd weersproken. Voor zover nodig zal de Commissie bij de beoordeling daarop ingaan.

 

  1. Beoordeling

    • De Commissie merkt op dat zij over een drietal handelingen van de Bank te oordelen heeft. Ten eerste de opzegging van de bankrelatie, daarnaast de registratie in het Incidentenregister en tot slot de registratie in het Interne Verwijzingsregister.

      Opzeggen bankrelatie

    • Indien de Bank gebruik maakt van een overeengekomen bevoegdheid tot beëindiging van de kredietrelatie, moet de rechtsgeldigheid daarvan beoordeeld worden aan de hand van de overeenkomst en aan de hand van de maatstaf van artikel 6:248 lid 2 van het Burgerlijk Wetboek, die meebrengt dat de beëindiging door de kredietverlener op grond van die bevoegdheid niet rechtsgeldig is indien gebruikmaking ervan, gelet op de omstandigheden van het geval, naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is (HR 10 oktober 2014, ECLI:NL:HR:2014:2929). Bij de in dit kader af te wegen belangen speelt ook de (onder meer) in artikel 2 van de Algemene Bankvoorwaarden (ABV) neergelegde zorgplicht van de Bank een rol, alsmede de in artikel 35 ABV neergelegde voorwaarden onder welke de Bank de overeenkomst kan opzeggen.
    • Een belangrijke reden van opzegging is het risico van integriteitsschade of reputatieschade. Op grond van artikel 3:10 van de Wet op het financieel toezicht (Wft) en vanuit de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) zijn banken verplicht hun klanten op, om het zo te formuleren, betrouwbaarheid te onderzoeken tijdens de relatie. Doel daarvan is te voorkomen dat de integriteit van de Bank of de hele financiële sector wordt geschaad. Wanneer een dergelijk integriteitsrisico onaanvaardbare vormen aanneemt, kan dat voor de Bank aanleiding zijn afscheid van een klant te nemen.
    • Concreet betekent het voorgaande dat de Bank niet lichtvaardig tot opzegging van de bankrelatie mag besluiten, mede gelet op haar bijzondere maatschappelijke functie.
    • Naar het oordeel van de Commissie heeft de Bank voldoende bewijs geleverd dat de bankrekening van Consument betrokken is geweest bij fraude. De Bank heeft aangegeven dat zij van een Italiaanse Bank, die de storting van € 130.976,- heeft begeleid, vernomen heeft dat sprake is van fraude en dat het bedrag ten onrechte op het rekeningnummer van Consument gestort is. De Italiaanse partij heeft aangegeven dat zij het slachtoffer is geworden van hackers en heeft verzocht het bedrag terug te boeken. Consument heeft daarentegen gesteld betrokken te zijn geraakt bij een zakelijke transactie tussen een Italiaans en Bulgaars bedrijf ten behoeve van de Nigeriaanse tussenpersoon die deze transactie begeleidde. Met de winst die deze transactie voor deze Nigeriaanse tussenpersoon zou opleveren, zou de medische hulp en het levensonderhoud worden betaald voor een in Amerika woonachtige vriend van Consument, die een levensbedreigende ziekte heeft. Consument heeft een tweetal documenten overgelegd waarin een transactie van een partij honing is vastgelegd tussen een Nigeriaanse verkoper en een Bulgaarse koper. Volgens Consument was de eindbestemming van die beoogde transactie Italië. De Commissie merkt op dat deze bestemming niet uit de overgelegde stukken blijkt en dat Consument ook anderszins niet aannemelijk heeft gemaakt dat de Italiaanse partij de gelden verschuldigd zou zijn. Evenmin heeft hij aannemelijk gemaakt waarom zijn rekening betrokken is geraakt bij een betaling, die kennelijk bestemd was voor een Bulgaarse wederpartij. Naar het oordeel van de Commissie moet het ervoor worden gehouden dat Consument, door toestemming van een zodanig gebruik van zijn rekening, de kans op de koop toe heeft genomen dat zijn rekening betrokken zou raken bij fraude. Conclusie is ook dat van enige zakelijke transactie, waarvan Consument heeft gerept, niet is gebleken en al helemaal niet van enige wél geoorloofde transactie.

Naar het oordeel van de Commissie mocht de Bank er om deze reden toe overgaan de relatie met Consument op te zeggen.

Registratie in het IVR

  • Vervolgens dient de Commissie de vraag te beantwoorden of de registratie van de persoonsgegevens van Consument in het IVR gehandhaafd kan blijven.

 

  • Het IVR is gekoppeld aan de Gebeurtenissenadministratie. Deze registers vormen het interne waarschuwingssysteem van de Bank of de groep financiële ondernemingen waarvan de Bank deel uitmaakt. De Gebeurtenissenadministratie is een register van (persoons)gegevens, die daarin zijn verwerkt omdat zij van belang zijn voor de veiligheid en integriteit van de financiële instelling en om die reden aandacht behoeven. De Gebeurtenissenadministratie wordt beheerd en is in te zien door de Afdeling Veiligheidszaken van de Bank. In het IVR kunnen de verwijzingsgegevens van de betrokkene worden opgenomen zodat de eigen organisatie opmerkzaam wordt gemaakt op de persoon die betrokken was bij de ‘gebeurtenis’.

 

  • Op deze registers is de GVPFI van toepassing. Opname in deze registers is toegestaan als aan de vereisten die de GVPFI daarvoor stelt, is voldaan. Ingevolge artikel 4.1 GVPFI worden persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Van een zorgvuldige gegevensverwerking is sprake als de desbetreffende gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verwerkt. Dit is nader uitgewerkt in artikel 4.3 en 5 GVPFI. In de eerste plaats moet sprake zijn van een gebeurtenis in de zin van artikel 5.5.1 GVPFI. In de tweede plaats moet de registratie proportioneel zijn in de zin van artikel 4.3 sub f GVPFI.

 

  • Op grond van artikel 5.5.1 GVPFI kunnen persoonsgegevens die betrekking hebben op (onder meer) gebeurtenissen die de zorg en aandacht behoeven van de financiële instelling, worden opgenomen in de Gebeurtenissenadministratie. Het gaat daarbij om zaken die de veiligheid en integriteit van de instelling, haar werknemers, klanten en overige relaties maar ook de financiële sector als geheel (kunnen) raken. Zoals hiervoor gezegd is In de toelichting van het GVPFI is opgemerkt dat het daarbij kan gaan om uiteenlopende zaken: van een melding van een gestolen laptop tot het vermoeden dat iemand betrokken is bij een vorm van fraude of criminaliteit. Indien opname in de Gebeurtenissenadministratie gerechtvaardigd is, kunnen de verwijzingsgegevens ook in het daaraan gekoppelde IVR worden opgenomen.
  • De Commissie is van oordeel dat de in overweging 4.5 vastgestelde feiten een gebeurtenis in de zin van artikel 5.5.1 GVPFI opleveren. Uit overweging 4.5 volgt immers dat Consument de mogelijkheid betrokken te raken bij fraude op de koop toe heeft genomen. Daarmee is een grond gegeven voor diens registratie in het IVR.
  • Op grond van artikel 4.3 sub f GVPFI dient de registratie in het IVR proportioneel te zijn. Dit houdt in dat het belang van de financiële sector bij registratie moet worden afgewogen tegen de nadelige gevolgen voor de betrokken Consument. Ook mag de duur van de registratie niet disproportioneel zijn.

Registratie in het incidentenregister

  • Opname in het Incidentenregister is, op grond van artikel 3.1.1 Protocol, toegestaan wanneer sprake is van een Incident als omschreven in artikel 2 van het Protocol en het doel van het Incidentenregister zoals omschreven in artikel 4.1.1 van het Protocol is gediend bij registratie. Indien niet langer aan de voorwaarden van artikel 3.1.1 van het Protocol is voldaan, dient de Bank, op grond van artikel 4.1.2 van het Protocol zorg te dragen voor verwijdering van de gegevens. Dit volgt ook uit artikel 36 Wet bescherming persoonsgegevens (verder te noemen ‘Wbp’) waarin het recht op verwijdering van persoonsgegevens is opgenomen indien de gegevens niet, of niet langer, ter zake dienend zijn.
  • Volgens de toelichting op het PIFI mogen de incidenteninformatie en de daarbij behorende persoonsgegevens bij het eerste signaal dat sprake is van een incident worden opgenomen in het Incidentenregister. Het (redelijk vermoeden van het) incident moet vervolgens worden onderzocht door de afdeling Veiligheidszaken. Van een gerechtvaardigde Incidentenregistratie is ingevolge artikel 4.1.1 PIFI in ieder geval sprake zolang het onderzoek door de afdeling Veiligheidszaken naar het incident loopt.
  • De afdeling Veiligheidszaken van de registrerende Bank mag informatie uit het Incidentenregister delen met andere deelnemers aan het PIFI. Het Incidentenregister heeft daarmee een beperkte externe werking (Zie Geschillencommissie Kifid 2016-196 onder 4.5 en Rb. Midden-Nederland 11 januari 2017, ECLI:NL:RBMNE:2017:49, r.o. 4.10.)
  • In onderhavig geval zijn de persoonsgegevens van Consument geregistreerd naar aanleiding van en betrekking hebbend op een Incident, waarbij het ging om een overboeking op de bankrekening van Consument van gelden die van fraude afkomstig zijn.
  • Uit hetgeen hiervoor werd overwogen in 4.5 volgt afdoende dat van een zwaardere verdenking dan een redelijk vermoeden van fraude in de gegeven omstandigheden sprake is. Consument had in de gegeven omstandigheden moeten weten dat er een aanmerkelijke kans bestond dat zijn rekening bij fraude betrokken zou raken. Door deze kans te aanvaarden en zijn rekening ter beschikking te stellen voor de ontvangst van het bedrag is sprake van frauduleus handelen door Consument. Registratie kan in dit geval bijdragen aan het onderkennen, voorkomen, onderzoeken en bestrijden van strafbare gedragingen, of anderszins bijdragen aan de in artikel 4.4.1 van het Protocol omschreven doelen.
    (Zie verder ook Hof Den Haag 10 april 2018, ELCI:NL:GHDHA:2018:655, r.o. 29 e.v. en GC Kifid 2018-377).

    De termijn van de registraties in IVR en Incidentenregister

  • De Bank heeft aangegeven dat zij is uitgegaan van een automatische registratie voor de maximale termijn van acht jaar als ‘standaardtermijn.’ Zonder een op de feiten van deze zaak toegesneden motivering kan deze benadering niet gevolgd worden (zie Hof Den Bosch 4 februari 2016, ECLI:NL:GHSHE:2016:442, r.ov. 3.18 en Hof Den Bosch
    1 november 2016, ECLI:NL:GHSHE:2016:4848, r.ov. 8.6.4). Registratie voor de maximale duur van acht jaar is daarom in dit geval disproportioneel. De Commissie neemt daarbij in aanmerking de gevolgen die een registratie voor Consument heeft en de omstandigheid dat niet is gebleken dat Consument eerder op enige wijze bij fraude betrokken is geweest. Gelet op de aan de zaak ten grondslag liggende feiten acht de Commissie de registratie voor een duur van vijf jaar proportioneel.

 

  1. Beslissing

De Commissie beslist dat de registraties in het IVR en Incidentenregister in tijd beperkt moeten worden tot vijf jaar na aanvang van de registraties en wijst het meer gevorderde af.

 

In artikel 5 van het Reglement van de Commissie van Beroep Financiële Dienstverlening is bepaald in welke gevallen beroep openstaat van bindende beslissingen van de Geschillencommissie Financiële Dienstverlening bij de Commissie van Beroep Financiële Dienstverlening. Daarbij geldt een termijn van zes weken na verzending van deze uitspraak. Op de website van Kifid vindt u praktische informatie over het instellen van beroep. Zie hiervoor www.kifid.nl/consumenten/hoe-wordt-uw-klacht-behandeld.

 

 

U kunt, binnen twee weken na de verzenddatum van deze uitspraak, bij de Voorzitter van de Geschillencommissie Financiële Dienstverlening schriftelijk een verzoek indienen tot herstel van kennelijke vergissingen in de uitspraak. U moet daarbij met name denken aan correctie van reken- of schrijffouten en verbetering van namen en data. De volledige procedure met de termijnen die daarbij in acht moeten worden genomen staat beschreven in artikel 40 van het Reglement.

 

 

 

 

Bekijk de volledige uitspraak