Uitspraak 2018-743

Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2018-743
(mr. R.J. Paris, voorzitter, mr. drs. R. Knopper en mr. C.E. Polak, leden en
mr. R.E. van Lambalgen, secretaris)

Klacht ontvangen op        : 21 november 2017

Ingediend door               : Consument

Tegen                            : ABN AMRO Bank N.V., gevestigd te Amsterdam, verder te noemen de Bank

Datum uitspraak             : 3 december 2018

Aard uitspraak                : Niet-bindend advies

Samenvatting

Consument vordert dat de Bank de registratie van zijn persoonsgegevens in het Incidentenregister en in het IVR verwijdert.

In het onderhavige geval is er sprake van factuurfraude. Consument heeft op zijn rekening gelden ontvangen die afkomstig zijn van factuurfraude. Naar het oordeel van de Commissie mocht de Bank dit als een Incident beschouwen. Aan het eerste vereiste voor de incidentenregistratie is dus voldaan. Voorts is er sprake van een zwaardere verdenking dan een redelijk vermoeden van schuld. De registratie kan daarom bijdragen aan het in artikel 4.1.1 van het Protocol genoemde doel. Aan het tweede vereiste voor de incidentenregistratie is dus ook voldaan. Tot slot is de Commissie van oordeel dat Consument niet disproportioneel in zijn belangen wordt geraakt door de incidentenregistratie van zijn persoonsgegevens voor de duur van acht jaar. Nu er voldaan is aan de vereisten die het Protocol stelt, mag de registratie van de persoonsgegevens van Consument in het Incidentenregister gehandhaafd blijven voor een periode van acht jaar. De vordering tot verwijdering van de registratie in het Incidentenregister wordt daarom afgewezen.

Aan de vereisten van de GVPFI is eveneens voldaan. Dit betekent dat ook de vordering tot verwijdering van de registratie in het IVR wordt afgewezen.

• Procesverloop

De Commissie beslist met inachtneming van haar Reglement en op basis van de volgende stukken:

• de klachtbrief van Consument met bijlagen,
• het verweerschrift van de Bank,
• de repliek van Consument,
• de dupliek van de Bank en
• de verklaring van Consument met diens keuze voor niet-bindend advies.

De Commissie stelt vast dat Consument heeft gekozen voor een niet-bindend advies. De uitspraak is daardoor niet-bindend.

Partijen zijn opgeroepen voor een hoorzitting op 11 september 2018 en zijn aldaar verschenen.

• Feiten en juridisch kader

Feiten

De Commissie gaat uit van de volgende feiten.

1. 1. Consument hield een betaalrekening (hierna: “de rekening”) aan bij de Bank met rekeningnummer [Releningnr.].

1. 1. Op 1 augustus 2017 is een bedrag van € 23.000 bijgeschreven op de rekening van Consument. Dit bedrag was afkomstig van [Naam 1]]

1. 1. Op 2 augustus 2017 om 20:06 uur heeft Consument een bedrag van € 1.000 opgenomen van zijn rekening.

1. 1. Op 2 augustus 2017 rond 21:00 uur heeft de Bank een melding van een luchtvaartbedrijf uit [Land] gekregen dat er sprake was van factuurfraude. De Bank heeft daarbij vernomen dat er facturen van het Servische luchtvaartbedrijf waren onderschept en dat het rekeningnummer was veranderd in [Rekeningnr.] (te weten de rekening van Consument).

1. 1. Op 2 augustus 2017 om 21:22 uur heeft de Bank de rekening van Consument geblokkeerd.

1. 1. Op 2 augustus 2017 om 23:29 uur heeft Consument tevergeefs geprobeerd om geld van zijn rekening op te nemen.

1. 1. Op 3 augustus 2017 heeft de Bank de persoonsgegevens van Consument opgenomen in het Incidentenregister en in het Intern Verwijzingsregister (IVR). Consument is hierover per brief geïnformeerd.

1. 1. Op 4 augustus 2017 heeft het Servische luchtvaartbedrijf bij de politie te [Plaats] aangifte gedaan van factuurfraude. Het Servische luchtvaartbedrijf heeft hierbij aangegeven dat [Naam 2], één van haar klanten, vanwege de factuur waarin het rekeningnummer was aangepast, op 1 augustus 2017 een bedrag van € 23.000 had overgemaakt naar [Rekeningnr.] (te weten de rekening van Consument).

Juridisch kader

1. 1. In het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 (hierna: het Protocol) is – voor zover relevant – het volgende bepaald:

“2 Begripsbepalingen

In dit Protocol wordt verstaan onder:

(…)

Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.

(…)

Organisatie van de Deelnemer: de Deelnemer zelf, de dochtermaatschappijen van de Deelnemer (als bedoeld in artikel 2:24a BW) dan wel de groepsmaatschappijen waarmee een Deelnemer in een economische eenheid is verbonden (artikel 2:24b BW), als ook de bij de Rabobank Nederland aangesloten banken.

(…)

4 Incidentenregister

4.1 Doel Incidentenregister

4.1.1(…) Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:

– op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;

– op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling

behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;

– op het gebruik van en de deelname aan waarschuwingssystemen.”

1. 1. In de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van 1 mei 2010 (hierna: de GVPFI) is – voor zover van belang – het volgende opgenomen:

“5.5 Verwerking van Persoonsgegevens in het kader van de veiligheid en integriteit van de Financiële sector alsmede het gebruik van waarschuwingssystemen

5.5.1 Ten behoeve van de veiligheid en integriteit van de Financiële sector kunnen gegevens, waaronder Persoonsgegevens, die betrekking hebben op: (i) gebeurtenissen die gelet op het bijzondere karakter van de Financiële sector de zorg en aandacht behoeven van de Financiële instelling; (ii) (potentiële) vorderingen onder meer ten aanzien van een met de Financiële instelling gesloten overeenkomst; (iii) het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen; of (iv) handelingen van Financiële instellingen, waaronder onderzoek als bedoeld in artikel 5.6.1 Gedragscode, worden opgenomen in een Gebeurtenissenadministratie gehouden door Veiligheidszaken of een daartoe aangewezen afdeling van de betreffende Financiële instelling. Op deze Gebeurtenissenadministratie is de Gedragscode van toepassing.”

Vordering, klacht en verweer

Vordering Consument

1. 1. Consument vordert dat de Bank de registratie van zijn persoonsgegevens in het Incidentenregister en in het IVR verwijdert.

Grondslagen en argumenten daarvoor

1. 1. Deze vordering steunt, kort samengevat, op de grondslag dat de registratie van zijn persoonsgegevens onterecht is. Consument voert daartoe de volgende argumenten aan.
      • Consument stelt dat er sprake was van een vriendendienst: om een kennis te helpen zou Consument een bedrag van € 23.000 op zijn rekening ontvangen, vervolgens opnemen en aan die kennis geven. De kennis van Consument zou dit geldbedrag gebruiken om auto’s in Nederland te kopen om die vervolgens te exporteren naar [Land 2].
      • Dat zijn rekeningnummer op de facturen van het luchtvaartbedrijf staat, zou ook veroorzaakt kunnen zijn door een verschrijving.
      • De onschuldpresumptie is geschonden. Consument wijst erop dat voor registratie er een zwaardere verdenking dan een redelijk vermoeden van schuld aanwezig moet zijn. De door de Bank aangevoerde omstandigheden leveren niet een zodanig zware verdenking op.

Verweer van de Bank

1. 1. De Bank heeft de stellingen van Consument gemotiveerd weersproken. Voor zover nodig zal de Commissie bij de beoordeling daarop ingaan.

• Beoordeling

1. 1. Ter beoordeling ligt de vraag voor of de Bank ten onrechte is overgegaan tot het opnemen van de persoonsgegevens van Consument in het Incidentenregister en het IVR en of zij dientengevolge gehouden is de registraties te verwijderen. De Commissie zal de opname in beide registers hierna afzonderlijk beoordelen.

Opname persoonsgegevens in het Incidentenregister

1. 1. Opname in het Incidentenregister is toegestaan indien voldaan is aan de vereisten die het Protocol daarvoor stelt. In essentie zijn er drie vereisten. In de eerste plaats moet er sprake zijn van een Incident als omschreven in artikel 2 van het Protocol. In de tweede plaats moet het doel van het Incidentenregister zoals omschreven in artikel 4.1.1 van het Protocol zijn gediend bij registratie. In de derde plaats mag de opname in het Incidentenregister niet disproportioneel zijn.

Is er sprake van een Incident?

1. 1. Een Incident wordt in artikel 2 van het Protocol als volgt omschreven: “een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.”

1. 1. In het onderhavige geval is er sprake van factuurfraude. Consument heeft op zijn rekening gelden ontvangen die afkomstig zijn van factuurfraude. Naar het oordeel van de Commissie mocht de Bank dit als een Incident beschouwen. Aan het eerste vereiste voor de incidentenregistratie is dus voldaan.

Is het doel gediend bij registratie?

1. 1. Uit artikel 4.1.1 van het Protocol volgt dat het doel van het Incidentenregister het ondersteunen beoogt van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, waaronder mede het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot (pogingen tot) strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche, de groep waartoe de financiële instelling behoort, de financiële instelling zelf alsmede haar cliënten en medewerkers.

1. 1. Uit vaste rechtspraak volgt dat de geregistreerde persoonsgegevens niet langer ter zake dienend zijn zodra duidelijk is geworden – door onderzoek of anderszins – dat de voorhanden gegevens niet van dien aard zijn dat zij redelijkerwijs een zwaardere verdenking dan een redelijk vermoeden van schuld rechtvaardigen (zie HR 29 mei 2009, ECLI:NL:HR:2009:BH4720). In een dergelijk geval kan immers niet langer worden gezegd dat registratie kan bijdragen aan het onderkennen, voorkomen, onderzoeken en bestrijden van strafbare gedragingen, of dat registratie anderszins nog kan bijdragen aan de in artikel 4.1.1 van het Protocol omschreven doelen. Zie Hof Den Haag 10 april 2018, ECLI:NL:GHDHA:2018:654, r.o. 24. Zie ook Geschillencommissie Kifid 2018-377 onder 4.6 en 2018-504 onder 4.11.

1. 1. Het komt dus aan op de vraag of er een zwaardere verdenking is dan een redelijk vermoeden van schuld aan betrokkenheid bij factuurfraude. Naar het oordeel van de Commissie is daar in het onderhavige geval sprake van.

1. 1. Om te beginnen heeft de Bank omstandigheden aangevoerd die wijzen op betrokkenheid van Consument bij fraude. Het rekeningnummer van Consument is namelijk vermeld op de facturen van het luchtvaartbedrijf, terwijl Consument als enige bevoegd was om over de betaalrekening te beschikken.
      Voorts heeft Consument het (van factuurfraude afkomstige) geld ook ontvangen op zijn rekening. Vervolgens heeft Consument een deel van het geld opgenomen en heeft hij later die dag gepoogd om nog meer geld op te nemen. Bovendien heeft Consument zijn bankpas nooit als gestolen of vermist opgegeven. Naar het oordeel van de Commissie leveren deze omstandigheden een gegronde verdenking van fraude op. Zie in vergelijkbare zin: Geschillencommissie Kifid 2017-677.

1. 1. Voorts heeft Consument voor dit alles geen goede verklaring kunnen geven. Zo heeft Consument niet kunnen verklaren waarom zijn rekeningnummer vermeld was op de facturen van het luchtvaartbedrijf. De stelling van Consument dat er mogelijk sprake is van een verschrijving, heeft hij op geen enkele wijze aannemelijk gemaakt. Bovendien strookt deze stelling ook niet met de andere stelling van Consument dat er sprake was van een vriendendienst en dat Consument daarom een bedrag van € 23.000 op zijn rekening zou ontvangen. Deze laatste stelling acht de Commissie evenmin aannemelijk. Het geldbedrag dat Consument op zijn rekening had ontvangen, was namelijk bedoeld voor het Servische luchtvaartbedrijf en dus niet bestemd voor de kennis van Consument.

1. 1. Voor zover Consument met deze laatste stelling betoogt dat hij niet wist dat het geld afkomstig was van factuurfraude, overweegt de Commissie als volgt. Consument heeft weinig duidelijkheid kunnen geven omtrent de identiteit van deze ‘kennis’. Consument heeft ook geen verklaring van deze kennis overgelegd of andere stukken waaruit meer duidelijkheid over deze kennis zou kunnen blijken. Ter zitting heeft Consument verklaard dat het zou gaan om iemand die vaak langskwam in de winkel van zijn broer. Het gaat dus eerder om een vage kennis dan een goede vriend. De Commissie komt dan ook tot het oordeel dat Consument, door op zijn rekening gelden te ontvangen met de bedoeling om deze gelden op te nemen en aan een vage kennis te geven, zeer onverantwoord heeft gehandeld en daardoor heeft bijgedragen aan de factuurfraude. Zie in vergelijkbare zin: Geschillencommissie Kifid 2018-092.

1. 1. Kortom: er is sprake van een zwaardere verdenking dan een redelijk vermoeden van schuld aan betrokkenheid bij factuurfraude. De registratie kan daarom bijdragen aan het in artikel 4.1.1 van het Protocol genoemde doel. Aan het tweede vereiste voor de incidentenregistratie is dus ook voldaan.

Is de registratie proportioneel?

1. 1. De Bank dient bij de registratie van persoonsgegevens in het Incidentenregister het proportionaliteitsbeginsel in acht te nemen. Dit volgt uit artikel 8 onder f van de Wet bescherming persoonsgegevens (Wbp). Het proportionaliteitsbeginsel houdt in dat het belang van de financiële sector bij registratie moet worden afgewogen tegen de nadelige gevolgen voor Consument. Ook mag de duur niet disproportioneel zijn.

1. 1. Wat betreft de belangenafweging oordeelt de Commissie dat het belang van de Bank bij registratie van de gegevens van Consument in het Incidentenregister zwaarder weegt dan het mogelijk nadelige effect dat de registratie voor Consument heeft. De Commissie merkt daarbij op dat het Incidentenregister slechts beperkt externe werking heeft: alleen onder beperkte voorwaarden kan informatie uit het Incidentenregister worden uitgewisseld met de veiligheidsafdeling van een andere financiële instelling.

1. 1. Wat betreft de duur van de registratie overweegt de Commissie als volgt. Consument stelt weliswaar dat de duur van de registratie disproportioneel is, maar hij heeft deze stelling onvoldoende onderbouwd. De Commissie is ook niet gebleken van omstandigheden die tot de conclusie leiden dat de duur van acht jaar disproportioneel is.

1. 1. Kortom: aan het derde vereiste voor de incidentenregistratie is dus ook voldaan.

Conclusie ten aanzien van de registratie in het Incidentenregister

1. 1. Nu er voldaan is aan de vereisten die het Protocol stelt, mag de registratie van de persoonsgegevens van Consument in het Incidentenregister gehandhaafd blijven voor een periode van acht jaar. Gelet hierop dient de vordering van Consument te worden afgewezen.

Opname persoonsgegevens in het IVR

1. 1. Opname in het IVR is toegestaan indien voldaan is aan de vereisten die de GVPFI daarvoor stelt. In essentie zijn er twee vereisten. Zie ook Geschillencommissie Kifid 2018-307.

1. 1. In de eerste plaats moet er sprake zijn van een gebeurtenis in de zin van artikel 5.5.1 GVPFI. In het onderhavige geval is daar sprake van. Met de in de omschrijving van het begrip Incident genoemde ‘gebeurtenis’ in artikel 2 van het Protocol wordt namelijk de ‘gebeurtenis’ in de zin van artikel 5.5.1 GVPFI bedoeld. Zie Geschillencommissie Kifid 2017-475 onder 4.8. Aangezien hierboven al is vastgesteld dat er sprake is van een Incident, is er derhalve ook sprake van een ‘gebeurtenis’.

1. 1. In de tweede plaats moet de registratie proportioneel zijn. Aangezien hierboven al is vastgesteld dat de registratie in het Incidentenregister niet disproportioneel is, is ook de registratie in het IVR niet disproportioneel.

1. 1. Kortom: aan de vereisten van de GVPFI is voldaan. Dit betekent dat de vordering tot doorhaling van de registratie in het IVR eveneens dient te worden afgewezen.

• Beslissing

De Commissie wijst de vordering af.

De uitspraak heeft de vorm van een niet-bindend advies. Tegen deze uitspraak staat geen hoger beroep open bij de Commissie van Beroep Financiële Dienstverlening. U kunt de zaak nog wel aan de rechter voorleggen.

U kunt, binnen twee weken na de verzenddatum van deze uitspraak, bij de Voorzitter van de Geschillencommissie Financiële Dienstverlening schriftelijk een verzoek indienen tot herstel van kennelijke vergissingen in de uitspraak. U moet daarbij met name denken aan correctie van reken- of schrijffouten en verbetering van namen en data. De volledige procedure met de termijnen die daarbij in acht moeten worden genomen staat beschreven in artikel 40 van het Reglement.