Uitspraak 2019-065

Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2019-065
(prof. mr. M.L. Hendrikse, voorzitter, en mr. E.L.A. van Emden en mr. dr. S.O.H Bakkerus, leden en mr. A.C. Bek, secretaris)

Klacht ontvangen op : 16 oktober 2017
Ingediend door : Consument
Tegen : Coöperatieve Rabobank U.A., gevestigd te Amsterdam, verder te noemen de Bank
Datum uitspraak : 30 januari 2019
Aard uitspraak : Niet-bindend advies

Samenvatting

De Bank heeft in 2012 de persoonsgegevens van Consument geregistreerd in het EVR en het Incidentenregister voor een periode van acht jaar. In 2017 heeft de Bank de registraties van deze gegevens omgezet in een registratie in het IVR. Consument heeft verwijdering van zijn gegevens uit het IVR en een nader te bepalen schadevergoeding gevorderd. De Commissie oordeelt dat de vermoedens van de Bank, op grond waarvan zij de registraties heeft gedaan, onvoldoende waren om de persoonsgegevens van Consument te registreren. De Commissie oordeelt daarom dat de Bank de persoonsgegevens van Consument uit het IVR dient te verwijderen. De vordering tot schadevergoeding wijst de Commissie af, nu de vermeende schade niet nader is gespecificeerd dan wel onderbouwd en dus niet is komen vast te staan dat daadwerkelijk sprake is geweest van schade ten gevolge van de registraties.

1. Procesverloop

De Commissie beslist met inachtneming van haar Reglement en op basis van de volgende stukken inclusief bijlagen:

· de door Consument ingediende klacht;
· het verweerschrift van de Bank;
· de repliek van Consument;
· de dupliek van de Bank;
· de aanvullende informatie van de Bank van 21 en 28 november 2018, op verzoek van de Commissie;
· de aanvullende informatie van Consument van 5 december 2018, op verzoek van de Commissie.

De Commissie stelt vast dat Consument heeft gekozen voor een niet-bindend advies. De uitspraak is daardoor niet-bindend.

Partijen zijn uitgenodigd voor een hoorzitting eerst op 19 september 2018 en later op
21 november 2018. Wegens privéomstandigheden van Consument was doorgang van de hoor-zitting evenwel niet mogelijk. In overleg met partijen heeft de Commissie op 19 december 2018 besloten de klacht op basis van de stukken te behandelen. Partijen zijn verzocht de vragen van de Commissie schriftelijk te beantwoorden en hebben hieraan voldaan.

2. Feiten en juridisch kader

Feiten
De Commissie gaat bij de beoordeling van dit geschil uit van de volgende feiten:
2.1 Consument hield een privérekening en twee zakelijke betaalrekeningen aan bij de Bank. Consument was gezamenlijk met Zakenpartner I en Zakenpartner II werkzaam als psychotherapeut bij een onderneming.

2.2 Op de overeenkomst zijn onder meer de Algemene Bankvoorwaarden van toepassing. In de Algemene Bankvoorwaarden is, voor zover relevant, bepaald:

“35 Opzegging van de relatie
Zowel de cliënt als de bank kan de relatie tussen hen schriftelijk geheel of gedeeltelijk opzeggen. Als de bank opzegt, deelt zij desgevraagd de reden van de opzegging aan de cliënt mee. Na opzegging van de relatie worden de tussen de cliënt en de bank bestaande individuele overeenkomsten zo spoedig mogelijk afgewikkeld met inachtneming van de daarvoor geldende termijnen. Tijdens de afwikkeling blijven deze Algemene Bankvoorwaarden en de op de individuele overeenkomsten toepasselijke specifieke voorwaarden van toepassing.”

2.3 Op 17 april 2012 heeft de Bank schriftelijk de bancaire relatie met Consument per
1 juni 2012 opgezegd, zowel ten aanzien van de privérekening als ten aanzien van de zakelijke rekeningen. In de brief is, voor zover relevant, vermeld:

“Het is de bank bekend geworden dat u en met de aan u gelieerde ondernemingen in verband wordt gebracht met negatieve publicaties over uw onderneming. Wij hebben ook begrepen dat u om die reden uit uw ambt bent gezet. Onze bank wenst niet geassocieerd te worden met illegale activiteiten waarmee u terecht of onterecht in verband wordt gebracht. Wij wensen op geen enkele wijze betrokken te raken bij kwesties die het aanzien van onze bank zouden kunne schaden, dan wel een gevaar opleveren voor de reputatie en integriteit van onze bank. (…)
Voor het aangaan en onderhouden van een bankrelatie is wederzijds vertrouwen noodzakelijk. Dat vertrouwen is door u geschaad. (…)”

2.4 Op 8 mei 2012 heeft de Bank de persoonsgegevens van Consument geregistreerd in het Extern Verwijzingsregister (EVR) en het Incidentenregister voor een periode van acht jaar.

2.5 Op 26 juli 2017 heeft de Bank, ten gevolge van de uitkomst van de gevoerde interne klacht-procedure, de registratie van de gegevens van Consument in het EVR omgezet in een registratie in het Intern Verwijzingsregister (IVR) voor de resterende looptijd van de registratie. Deze registratie komt in mei 2020 te vervallen, mits zich in de tussentijd geen nieuwe incidenten voordoen.

2.6 De persoonsgegevens van Consument zijn ook bij het Bureau Kredietregistratie (BKR) geregistreerd.

Juridisch kader
2.7 In het Protocol Incidentenwaarschuwingssysteem financiële instellingen 3 maart 2011 (hierna: het Protocol) is, voor zover relevant, bepaald:

“2. Begripsbepalingen
In dit Protocol wordt verstaan onder:
Incident: een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.
Extern verwijzingsregister (EVR): de deelverzameling van het Incidentenregister van de betreffende Deelnemers, welke uitsluitend Verwijzingsgegevens bevat met betrekking tot (rechts)personen en welke bestemd is voor gebruik door (de Organisaties van) alle Deelnemers;
(…)
3.1 Incidentenregister en Extern Verwijzingsregister
3.1.1 Iedere Deelnemer heeft een Incidentenregister, waarin door de betreffende Deelnemer gegevens van (rechts)personen worden vastgelegd ten behoeve van het in artikel 4.1.1 Protocol genoemde doel, naar aanleiding van of betrekking hebbend op een (mogelijk) Incident. (…)
3.1.2 Aan het Incidentenregister is het Extern Verwijzingsregister gekoppeld. (…)

4 Incidentenregister
4.1 Doel Incidentenregister
4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het Incidentenregister te hanteren:
“Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:
• op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;
• op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;
• op het gebruik van en de deelname aan waarschuwingssystemen.”
(…)
5 Extern Verwijzingsregister
5.1 Functie van het Extern Verwijzingsregister
5.1.1 Volledige en ongecontroleerde toegang tot het Incidentenregister van een Deelnemer door de overige Deelnemers is niet wenselijk. Daarom is er voor gekozen aan het Incidentenregister een Extern Verwijzingsregister te koppelen. In het Extern Verwijzingsregister zijn uitsluitend Verwijzingsgegevens opgenomen. Het Extern Verwijzingsregister is raadpleegbaar door de (Organisaties van de) Deelnemers. Nadat door een Deelnemer wordt vastgesteld dat een (rechts)persoon is opgenomen in het Externe Verwijzingsregister, zijn volgens het bepaalde in artikel 4.2 Protocol gegevens uit het Incidentenregister voor de Deelnemer beschikbaar. Op deze wijze worden gegevens uit het Incidentenregister op een zorgvuldige en gecontroleerde wijze beschikbaar voor de (Organisaties van de) Deelnemers.

5.2 Vastlegging van gegevens in het Extern Verwijzingsregister
5.2.1 De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister.
a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, alsmede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector.
b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachten wordt gedaan bij een opsporingsambtenaar.
c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister.
(…)”

2.8 In de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen van 1 mei 2010 (hierna: de Gedragscode) is – voor zover van belang – het volgende opgenomen:

“2. Begripsbepaling
In deze Gedragscode wordt verstaan onder:
(…)
k. Gebeurtenissenadministratie: Verwerking van Persoonsgegevens die van belang kunnen zijn voor de veiligheid en integriteit van de Financiele instelling en om die reden speciale aandacht behoeven.
(…)

5.5 Verwerking van Persoonsgegevens in het kader van de veiligheid en integriteit van de Financiële sector alsmede het gebruik van waarschuwingssystemen
5.5.1 Ten behoeve van de veiligheid en integriteit van de Financiële sector kunnen gegevens, waaronder Persoonsgegevens, die betrekking hebben op: (i) gebeurtenissen die gelet op het bijzondere karakter van de Financiële sector de zorg en aandacht behoeven van de Financiële instelling; (ii) (potentiële) vorderingen onder meer ten aanzien van een met de Financiële instelling gesloten overeenkomst; (iii) het niet nakomen van contractuele verplichtingen of andere (toerekenbare) tekortkomingen; of (iv) handelingen van Financiële instellingen, waaronder onderzoek als bedoeld in artikel 5.6.1 Gedragscode, worden opgenomen in een Gebeurtenissenadministratie gehouden door Veiligheidszaken of een daartoe aangewezen afdeling van de betreffende Financiële instelling. Op deze Gebeurtenissenadministratie is de Gedragscode van toepassing.”

3. Vordering, klacht en verweer

Vordering van Consument
3.1 Consument vordert verwijdering van zijn gegevens in het IVR en BKR. Daarnaast vordert Consument dat de Bank hem compenseert voor de schade die hij heeft geleden ten gevolge van de (inmiddels verwijderde) EVR-registratie.

Grondslagen en argumenten daarvoor
3.2 Deze vordering steunt, kort weergegeven, op de volgende grondslag. Consument heeft gesteld dat de Bank ten onrechte de bancaire relatie met hem heeft opgezegd en zijn persoonsgegevens heeft geregistreerd in het EVR en BKR. Consument heeft hiertoe de volgende argumenten aangevoerd:
· Consument betwist dat hij zich schuldig heeft gemaakt aan illegale activiteiten. De Bank kan deze stelling niet bewijzen en heeft haar oordeel gebaseerd op berichten in de media. Slechts Zakenpartner II was bij de vermeende fraude betrokken. De Bank is volledig uit de bocht gevlogen door eenzijdige aannames, persoonlijke interpretaties en suggestieve negatieve insinuaties. Aangezien de Bank de persoonsgegevens van Consument ten onrechte in het EVR heeft geregistreerd, is ook de omzetting van de registratie in het IVR ten onrechte gedaan;
· Consument betwist dat op 14 februari 2012 een gesprek heeft plaatsgevonden tussen de Bank, Zakenpartner I en hemzelf. De Bank heeft geen enkel schriftelijk bewijs overgelegd, waaruit blijkt dat dit gesprek wel heeft plaatsgevonden;
· de Bank heeft Consument alleen geïnformeerd over het opzeggen van de bancaire relatie. De Bank heeft Consument niet geïnformeerd over de EVR-registratie. De Bank heeft hiermee in strijd met het Protocol gehandeld;
· de registraties in het Incidentenregister en het EVR hebben geleid tot een BKR-registratie. Uit documenten en andere publicaties blijkt dat BKR als beheerder van de registers één op één zorgt voor een registratie in registers van BKR. De Bank dient de registratie in het BKR dus (ook) te laten verwijderen. Consument heeft navraag gedaan bij BKR, die heeft gesteld dat alleen de financieel dienstverlener de registratie kan verwijderen. De Bank heeft Consument dus ten onrechte verwezen naar de Geschillencommissie BKR;
· Consument heeft schade geleden door de handelwijze van de Bank en zal die op de Bank verhalen. Een voorbeeld van deze schade is dat SNS Bank N.V. in september 2012 zijn aanvraag voor een nieuw banknummer heeft afgewezen vanwege de EVR-registratie. De hoogte van de schade zal later aan de orde worden gesteld.

Verweer van de Bank
3.3 De Bank heeft, kort en zakelijk weergegeven, de volgende verweren gevoerd:
• in 2011, 2012 en 2017 zijn meerdere artikelen gepubliceerd over de praktijken van Consument en de reden dat hij uit zijn ambt is gezet. De Bank heeft tevens onregelmatigheden op bankafschriften geconstateerd. Naar aanleiding hiervan heeft op
14 februari 2012 een gesprek tussen de Bank, Consument en Zakelijke Partner I plaatsgevonden, waarbij de Bank Consument en Zakelijke Partner I heeft geconfronteerd met gemanipuleerde bankafschriften. Geen van beiden hebben ontkend dat zij betrokken waren bij of wisten van deze manipulatie. Zakenpartner II, naar wie Consument nu verwijst, was niet bij het gesprek aanwezig. Na het gesprek heeft Consument vanaf zijn privérekening een bedrag overgemaakt naar Zakenpartner I, onder de vermelding ‘salaris’. De Bank vermoedt dat dit verband houdt met de gemanipuleerde rekeningafschriften;
· de Bank heeft de gegevens van Consument geregistreerd in het EVR om de veiligheid en integriteit van de Bank en de financiële sector als geheel te waarborgen. Consument is betrokken geweest bij niet-integer handelen en is in verband gebracht met illegale activiteiten, als gevolg waarvan hij ook uit zijn ambt is gezet. De Bank wenst hiermee niet geassocieerd te worden. Het staat de Bank bovendien vrij om de bancaire relatie op grond van artikel 35 Algemene Bankvoorwaarden op te zeggen;
· de Bank heeft uit coulance de registratie in het EVR omgezet naar een registratie in het IVR, waardoor de registratie van de gegevens van Consument alleen nog zichtbaar is voor instellingen die deel uitmaken van het concern van de Bank. Andere financiële instellingen kunnen deze gegevens niet inzien en dus wel diensten verlenen aan Consument;
· de Bank heeft geen krediet van Consument geregistreerd bij het BKR. Een registratie in het Incidentenregister en het EVR heeft overigens ook geen registratie bij BKR tot gevolg. Bovendien is er een aparte geschillencommissie voor BKR-gerelateerde klachten. Dit klachtonderdeel dient daarom niet-behandelbaar te worden verklaard;
· de Bank betwist dat Consument schade heeft geleden ten gevolge van de registratie van zijn persoonsgegevens in het Incidentenregister en het EVR.

4. Beoordeling

Registratie in het Incidentenregistratie en het EVR
4.1 De eerste vraag die aan de Commissie voorligt, is of de Bank de persoonsgegevens van Consument ten onrechte heeft geregistreerd in het Incidentenregister en het EVR. De Commissie beantwoordt deze vraag in het navolgende.

4.2 De Commissie stelt voorop dat registratie van persoonsgegevens in het EVR en het Incidentenregister voor een betrokkene verstrekkende consequenties kan hebben. Alle deel-nemende financiële instellingen kunnen immers door toetsing in het EVR vaststellen dat sprake is van opname in het Incidentenregister van (een) andere deelnemer(s). Het gevolg hiervan kan zijn dat niet alleen de deelnemer die tot opname in het EVR is overgegaan, maar ook andere deelnemers hun (financiële) diensten aan de betrokkene kunnen weigeren. Tegen deze achtergrond is de Commissie van oordeel dat hoge eisen moeten worden gesteld aan de grond(en) van de Bank voor registratie van de persoonsgegevens. De Commissie verwijst hiervoor naar onder meer het Hof Arnhem-Leeuwarden
26 januari 2016, ECLI:NL:GHARL:2016:494, r.o. 4.3, GC Kifid 2017-717 onder 4.2 en GC Kifid 2018-377 onder 4.2.

4.3 Ten tijde van de registratie van de persoonsgegevens van Consument in 2012 waren het Protocol en de Wet Bescherming persoonsgegevens (hierna: de Wbp, thans de Algemene Verordening Gegevensbescherming (AVG), waarvan de Commissie opmerkt dat deze ten aanzien van de toepasselijke bepalingen niet afwijkt van de Wbp) van kracht. De opname van persoonsgegevens in het Incidentenregister en het EVR was slechts gerechtvaardigd, indien de registratie in overeenstemming was met de Wbp en het Protocol. Blijkens de Memorie van Toelichting bij het wetsvoorstel van de Wbp, is daarbij gedacht aan gegevens in verband met strafbaar of hinderlijk gedrag, die tot gevoelige gegevens behoren, omdat de betrokkene in verband wordt gebracht met strafrechtelijk verwijtbaar gedrag.

4.4 Artikel 5.2.1 onder a en b van het Protocol bepaalt onder welke voorwaarden gegevens mogen worden geregistreerd in het Incidentenregister en het EVR. Het moet gaan om gedragingen van de betrokkene die een bedreiging vormden, vormen of kunnen vormen voor de (financiële) belangen van een financiële instelling, alsmede voor de continuïteit en integriteit van de financiële sector. De strafrechtelijke aard van de te verwerken gegevens brengt mee dat deze gegevens in voldoende mate moeten vaststaan. Het moet gaan om zodanig concrete feiten en omstandigheden dat zij een als strafbaar feit te kwalificeren bewezenverklaring in de zin van artikel 350 van het Wetboek van Strafvordering kunnen dragen. Een strafrechtelijke veroordeling is niet vereist, maar anderzijds is de enkele verdenking van betrokkenheid bij een strafbaar feit in de zin van een vermoeden van schuld, zoals dat kan blijken uit een aangifte, niet voldoende.
Als maatstaf heeft te gelden of de vastgestelde gedragingen een zwaardere verdenking dan een redelijk vermoeden van schuld opleveren, in die zin dat de te verwerken strafrechtelijke persoonsgegevens in voldoende mate moeten vaststaan. Zie HR 29 mei 2009, ECLI:NL:HR:2009:BH4720, r.o. 4.4. Bij bevestigende beantwoording van deze vraag dient voorts, overeenkomstig artikel 8 onder f van de Wbp, thans artikel 6 onder f van de AVG, en artikel 5.2.1 sub c van het Protocol, te worden beoordeeld of op grond van een en ander opneming in het EVR gerechtvaardigd was en voor welke duur (het proportionaliteits-beginsel).

4.5 De Bank heeft de bancaire relatie met Consument opgezegd omdat in publicaties wordt gesteld dat Consument betrokken zou zijn bij illegale activiteiten en de Bank niet met dergelijke activiteiten geassocieerd wenst te worden. De Bank heeft zelfstandig een onderzoek verricht en gesprekken gevoerd met Consument en zijn (ex)zakenpartners.
De Bank heeft naar aanleiding hiervan de persoonsgegevens van Consument in het Incidentenregister en het EVR geregistreerd om de veiligheid en integriteit van de Bank en de gehele financiële sector te waarborgen.

4.6 De Commissie is van oordeel dat deze reden voor registratie niet als een zwaardere verdenking dan een redelijk vermoeden van betrokkenheid bij een strafbaar feit kan worden aangemerkt. Dit betekent dat niet is voldaan aan de in artikel 5.2.1 onder a en b van het protocol genoemde vereisten. De publicaties waarnaar de Bank heeft verwezen, zijn immers onvoldoende grond om aan te nemen dat Consument zich schuldig heeft gemaakt aan illegale activiteiten. Ook de gemanipuleerde afschriften waarnaar de Bank heeft verwezen, zijn on-voldoende om aan te nemen dat sprake is van de vereiste zwaardere verdenking dan een redelijk vermoeden van schuld. De registratie van de persoonsgegevens in het Incidenten-register en het EVR voor een duur van acht jaar was naar het oordeel van de Commissie dan ook niet gerechtvaardigd.

Schadevergoeding ten gevolge van de registratie in het Incidentenregister en het EVR
4.7 Consument heeft gesteld dat hij schade heeft geleden door de (onterechte) registratie van zijn persoonsgegevens in het Incidentenregister en het EVR. De Bank heeft betwist dat sprake is van enige schade aan de zijde van Consument en heeft gesteld dat haar handelwijze dus ook niet tot de vermeende schade kan hebben geleid.

4.8 Ondanks dat Consument hiertoe meermaals in de gelegenheid is gesteld, heeft hij de door hem gevorderde schade niet nader gespecificeerd dan wel onderbouwd, anders dan de vermelding dat SNS Bank N.V. in 2012 zijn aanvraag voor een nieuw banknummer heeft afgewezen en dat ‘de schade in een later stadium aan de orde wordt gesteld’. Dit brengt mee dat de vordering van Consument tot schadevergoeding wegens gebrek aan feitelijke onder-bouwing niet kan slagen en zal worden afgewezen.
Registratie in de Gebeurtenissenadministratie en het IVR
4.9 De tweede vraag die aan de Commissie voorligt, is of de gegevens van Consument ten onrechte zijn geregistreerd in de Gebeurtenissenadministratie en het IVR. De Commissie beantwoordt deze vraag in het navolgende.

4.10 De Bank heeft de registratie in het Incidentenregister en het EVR op 26 juli 2017 omgezet in een registratie in de Gebeurtenissenadministratie respectievelijk het IVR voor de resterende duur van de registratieperiode, dus tot mei 2020. Consument meent dat ook deze registraties moeten worden verwijderd. De Bank heeft in reactie hierop te kennen gegeven dat zij geen vertrouwen (meer) heeft in Consument en dat deze registraties slechts zichtbaar zijn voor instellingen die behoren tot het concern van de Bank. Overige financiële instellingen hebben geen toegang tot het IVR en de Gebeurtenissenadministratie van de Bank en kunnen derhalve (financiële) producten aan Consument verstrekken.

4.11 De Commissie stelt voorop dat de Gebeurtenissenadministratie en het IVR samen het interne waarschuwingssysteem van de Bank en de groep waarvan de Bank deel uitmaakt vormen. De Gebeurtenissenadministratie is een register van (persoons)gegevens, die van belang zijn voor de veiligheid en integriteit van de financiële instelling en om die reden speciale aandacht behoeven (zie artikel 2 aanhef en sub k Gedragscode). De Gebeurtenissen-administratie wordt beheerd en is slechts in te zien door de Afdeling Veiligheidszaken van de Bank. In het IVR kunnen de verwijzingsgegevens van een betrokkene worden opgenomen, zodat de eigen organisatie opmerkzaam wordt gemaakt op de persoon die was betrokken bij een gebeurtenis. Voor de opname van persoonsgegevens in de Gebeurtenissenadministratie respectievelijk het IVR gelden dan ook geen verschillende criteria. Op deze registers is de Gedragscode van toepassing en opname in deze registers is toegestaan indien aan de vereisten, die de Gedragscode daarvoor stelt, is voldaan. De Commissie verwijst naar de Rechtbank Midden-Nederland 11 januari 2017, ECLI:NL:RBMNE:2017:49, onder 4.1.

4.12 Ingevolge artikel 4.1 Gedragscode worden persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Gegevensverwerking is zorgvuldig, indien de persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerecht-vaardigde doeleinden worden verwerkt. Van een zorgvuldige gegevensverwerking is sprake als de desbetreffende gegevens voor welbepaalde, uitdrukkelijk omschreven en gerecht-vaardigde doeleinden worden verwerkt. Dit is nader uitgewerkt in artikel 4.3 en artikel 5 Gedragscode. In essentie zijn er twee vereisten. In de eerste plaats moet er sprake zijn van een gebeurtenis in de zin van artikel 5.5.1 Gedragscode. In de tweede plaats moet zijn voldaan aan de beginselen van subsidiariteit en proportionaliteit in de zin van artikel 4.3 sub f Gedrags-code. De Commissie is van oordeel dat niet aan deze vereisten is voldaan en dat de Bank dus heeft mogen overgaan tot registratie in de Gebeurtenissenregistratie en het IVR. De Commissie overweegt daartoe als volgt.
4.13 Uit de overwegingen 4.2 tot en met 4.6 blijkt dat de omstandigheden van dit geval niet de conclusie rechtvaardigen dat sprake is van een zwaardere verdenking dan een redelijk vermoeden van schuld (oftewel fraude). De Bank heeft gesteld dat de persoonsgegevens van Consument zijn geregistreerd vanwege de negatieve publiciteit in combinatie met door de Bank met Consument en zijn ex-zakenpartners gevoerde gesprekken en door de Bank verricht onderzoek met betrekking tot de gemanipuleerde afschriften. Naar het oordeel van de Commissie heeft de Bank onvoldoende aangetoond dat daadwerkelijk een zwaardere verdenking dan een redelijk vermoeden van schuld aanwezig was.

4.14 Ondanks dat de Gebeurtenissenadministratie slechts inzichtelijk is voor de specifieke afdeling en vestiging van de Bank die de registratie heeft gedaan en het IVR slechts inzichtelijk is voor de groep financiële ondernemingen die onderdeel uitmaken van het concern van de Bank, waardoor de registratie zuiver intern is en kan slechts tot gevolg hebben dat Consument niet langer gebruik kan maken van de diensten van (het concern van) de Bank, is de Commissie van oordeel dat de gebeurtenis op grond waarvan de registratie heeft plaats-gevonden, in voldoende mate dient vast te staan. Hiervan is in onderhavig geval geen sprake.

Schadevergoeding ten gevolge van de registratie in de Gebeurtenissenadministratie en het IVR
4.15 Consument heeft verzocht om verwijdering van zijn persoonsgegevens in het IVR en de Gebeurtenissenadministratie en heeft een schadevergoeding gevorderd voor door hem geleden schade door deze registraties. De Bank heeft betwist dat sprake is van enige schade aan de zijde van Consument en heeft gesteld dat haar handelwijze dus ook niet tot de vermeende schade kan hebben geleid.

4.16 Ondanks dat Consument hiertoe meermaals in de gelegenheid is gesteld, heeft hij de door hem gevorderde schade niet nader gespecificeerd dan wel onderbouwd, anders dan de vermelding dat ‘deze schade in een later stadium aan de orde wordt gesteld’. Dit brengt mee dat de vordering van Consument tot schadevergoeding wegens gebrek aan onderbouwing niet kan slagen en dient te worden afgewezen.

Beëindiging van de bancaire relatie
4.17 De Bank is op grond van artikel 35 van de Algemene Bankvoorwaarden bevoegd de contractuele relatie met Consument op te zeggen. Dit neemt niet weg dat omstandigheden van het geval kunnen meebrengen dat het naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is dat de overeengekomen bevoegdheid tot opzegging wordt uitgeoefend (zie artikel 6:248 lid 2 BW).

4.18 In het onderhavige geval heeft de Bank de bancaire relatie schriftelijk opgezegd en haar beweegredenen hiervoor toegelicht.

De Commissie is duidelijk geworden dat tussen partijen geen vertrouwensband (meer) bestaat en dat Consument tevens kenbaar heeft gemaakt geen relatie meer met de Bank te wensen. De Commissie oordeelt dat de Bank haar bevoegdheid tot opzegging niet heeft misbruikt. De Bank is daarom niet gehouden tot herstel van de bancaire relatie en daarmee herleving van de overeenkomsten, zoals door Consument gevorderd.

BKR-registratie
4.19 Consument heeft gesteld dat zijn EVR-registratie bij de Bank heeft geleid tot een registratie van zijn gegevens bij BKR. De Bank heeft zich verweerd door te stellen dat zij geen krediet van Consument bij BKR heeft geregistreerd en dat de registratie in het IVR niet één op één een registratie bij BKR tot gevolg heeft. Consument heeft gesteld dat de Bank dit dient te bewijzen.

4.20 Ten aanzien van dit klachtonderdeel oordeelt de Commissie dat niet is komen vast te staan dat de Bank de partij is geweest die de gegevens van Consument bij BKR heeft geregistreerd. Iedere instelling waar Consument een krediet heeft afgenomen is hiertoe bevoegd.

4.21 Ingevolge de hoofdregel van artikel 150 Wetboek van Rechtsvordering (Rv) heeft als uitgangspunt te gelden dat de partij die zich beroep op de rechtsgevolgen van door haar gestelde feiten – bij voldoende betwisting door de wederpartij – haar stellingen in beginsel moet bewijzen, tenzij uit enige bijzondere regel of uit de eisen van redelijkheid en billijkheid een andere verdeling van de bewijslast volgt. Nu van enige uitzonderingsregel geen sprake is, oordeelt de Commissie dat de bewijslast bij Consument ligt.

4.22 Consument is er niet in geslaagd aan te tonen dat zijn gegevens door de Bank en niet door een andere partij zijn geregistreerd bij het BKR. De Commissie oordeelt daarom dat dit klachtonderdeel ongegrond is en wijst de vordering af.

5. Beslissing

De Commissie wijst de vordering tot verwijdering van de gegevens van Consument uit het IVR toe en wijst de overige vorderingen af.

De uitspraak heeft de vorm van een niet-bindend advies. Tegen deze uitspraak staat geen hoger beroep open bij de Commissie van Beroep Financiële Dienstverlening. U kunt de zaak nog wel aan de rechter voorleggen.

U kunt, binnen twee weken na de verzenddatum van deze uitspraak, bij de Voorzitter van de Geschillencommissie Financiële Dienstverlening schriftelijk een verzoek indienen tot herstel van kennelijke vergissingen in de uitspraak. U moet daarbij met name denken aan correctie van reken- of schrijffouten en verbetering van namen en data. De volledige procedure met de termijnen die daarbij in acht moeten worden genomen staat beschreven in artikel 40 van het Reglement.