Uitspraak Commissie van Beroep Kifid nr. 2024-0001
prof. dr. mr. R.H. de Bock, voorzitter, mr. dr. S.B. van Baalen, mr. H.P. de Kanter, prof. mr. drs. C.M.D.S. Pavillon, W.J. Steenhoven, leden en mr. H.C. Dobbelaar-ten Cate, secretaris
Datum uitspraak 22 januari 2024
Beroep ingediend door ABN AMRO Bank N.V., gevestigd te Amsterdam, hierna te noemen de bank
Tegen De consument, vertegenwoordigd door mr. D.J.M. Dammers, advocaat te Amsterdam
Aard uitspraak Bindend advies
Uitkomst Beroep ongegrond
Samenvatting
Klacht over registratie van persoonsgegevens. Vraag welk uitgangspunt behoort te worden gehanteerd bij het vaststellen van de duur van (EVR-) registraties. Naar het oordeel van de Commissie van Beroep moet bij de vaststelling van de duur van de registratie een op de zaak toegesneden belangenafweging worden gemaakt. De uitkomst van deze belangenafweging kan zijn dat een registratie voor de (in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen 2021 opgenomen) maximale duur van acht jaar proportioneel is, maar kan ook leiden tot een registratie van een kortere duur. Niet kan worden aangenomen dat als algemeen uitgangspunt kan worden gehanteerd een registratie voor de duur van acht jaar, waarna dan op grond van bijzondere omstandigheden een aftrek kan plaatsvinden. De beslissing van de Geschillencommissie wordt gehandhaafd.
1. De procedure in beroep
1.1 De Geschillencommissie Financiële Dienstverlening (hierna: de Geschillencommissie) heeft in deze zaak op 13 januari 2023 uitspraak gedaan (dossier [nummer], gepubliceerd onder nummer 2023-0032).
1.2 Bij brief van 24 februari 2023 heeft de bank de Commissie van Beroep Financiële Dienstverlening (hierna: de Commissie van Beroep) verzocht om toestemming voor het instellen van beroep. Bij beslissing van 27 maart 2023 (gepubliceerd onder nummer 2023-0016) heeft de voorzitter van de Commissie van Beroep de bank toestemming verleend voor het instellen van beroep.
1.3 Het verdere verloop van de procedure blijkt uit:
– het beroepschrift van 22 mei 2023 van de bank,
– het verweerschrift van 18 juli 2023 van de consument,
– de pleitnota van 18 september 2023 van de bank.
1.4 De mondelinge behandeling van dit beroep heeft plaatsgehad op 18 september 2023. Namens de bank is ter zitting verschenen mr. [naam 1], Senior Legal Counsel, bijgestaan door mr. R.L. Ubels en mr. L.M.C. Zijp, beiden advocaat te Amsterdam. De bank heeft haar standpunt toegelicht, vragen van de Commissie van Beroep beantwoord en een pleitnota overgelegd. De consument en zijn gemachtigde zijn ter zitting niet verschenen.
2. De procedure bij de Geschillencommissie
Voor het verloop van de procedure bij de Geschillencommissie verwijst de Commissie van Beroep naar de uitspraak van de Geschillencommissie van 13 januari 2023.
3. De feiten
3.1 De Commissie van Beroep gaat uit van de feiten die de Geschillencommissie heeft vermeld in de uitspraak onder 2.1 tot met 2.6. De feiten zijn niet betwist. Kort gezegd gaat het om het volgende.
3.2 In 2021 heeft de consument samen met een vriend (hierna: de vriend) een huis gekocht (hierna: de woning). De koopovereenkomst is op 17 februari 2021 gesloten. In dit verband hebben de consument en de vriend op 16 maart 2021 een hypothecaire geldlening aangevraagd bij de bank. Voor deze aanvraag heeft een tussenpersoon als bemiddelaar opgetreden en verder is de aanvraag via execution only verlopen.
3.3 Bij de aanvraag van de hypothecaire geldlening heeft de consument onder meer een werkgeversverklaring overgelegd. Deze werkgeversverklaring is op 12 februari 2021 ondertekend en vermeldt dat het bruto jaarinkomen van de consument € 48.724,40 is. Bij de aanvraag is onder ‘Financiële verplichtingen’ ingevuld dat de consument en de vriend geen leningen hebben. Op 30 maart 2021 heeft de bank aan de consument en de vriend een offerte uitgebracht voor een hypothecaire geldlening van € 311.500,-. In de offerte is opgenomen:
“Klant verklaart het volgende:
(…)
De gegevens en informatie die ik heb aangeleverd en ingevuld zijn juist en volledig. Als er wijzigingen zijn in deze gegevens of informatie breng ik ABN AMRO Bank N.V. hier onmiddellijk van op de hoogte. Dit doe ik uiterlijk voor of op de datum van passeren van de lening of de datum dat mijn lening verandert”
3.4 De consument heeft de offerte op 30 maart 2021 voor akkoord ondertekend. Op 16 april 2021 werd de woning aan de consument en de vriend geleverd en werd de hypotheekakte gepasseerd.
3.5 In dezelfde periode hebben de consument en de vriend nog een andere woning gekocht (hierna: de andere woning). De koopovereenkomst voor de andere woning is op 23 februari 2021 gesloten. De consument en de vriend hebben ter financiering hiervan op datum 4 maart 2021 een hypothecaire geldlening bij Argenta aangevraagd. Ook toen heeft de consument een werkgeversverklaring van 12 februari 2021 van dezelfde werkgever aangeleverd, maar daarop is vermeld dat zijn bruto jaarinkomen € 29.203,20 is. Op 15 maart 2021 heeft Argenta een kredietaanbod gedaan en de consument en de vriend hebben dit op 16 maart 2021 geaccepteerd (de dag waarop ook de hypothecaire geldlening bij de bank aangevraagd is). Op 16 april 2021, de dag waarop ook de woning geleverd werd, is de andere woning aan de consument en de vriend geleverd en werd de hypotheekakte gepasseerd.
3.6 Op 26 maart 2021 heeft de consument bij Freo een consumptief krediet van € 25.000,- aangevraagd. Deze kredietovereenkomst is op 29 maart 2021 tot stand gekomen en het krediet werd op 14 april 2021 aan de consument uitbetaald.
3.7 Nadat de bank erachter kwam dat de consument ook bij Argenta een hypothecaire geldlening had afgesloten, heeft de bank op 10 augustus 2021 vragen gesteld aan de consument over de verschillende leningen en de verschillende huizen. Per brief van 21 oktober 2021 heeft de bank aan de consument medegedeeld dat de bankrelatie met hem beëindigd wordt en dat zijn persoonsgegevens worden opgenomen in het Incidentenregister en het daaraan gekoppelde Extern Verwijzingsregister (EVR) van de Stichting Fraudebestrijding Hypotheken (SFH), voor een periode van acht jaar. Volgens de bank heeft de consument valse werkgeversverklaringen aangeleverd en de aankoop van de andere woning, de bijbehorende financiering en het consumptieve krediet verzwegen.
4. De klacht en de uitspraak van de Geschillencommissie
4.1 De consument heeft een klacht ingediend over het registreren van zijn persoonsgegevens in het Incidentenregister, het EVR, de Gebeurtenissenadministratie en het IVR. De consument vordert het verwijderen van de registraties, dan wel het verkorten van de duur daarvan.
4.2 De bank heeft verweer gevoerd.
4.3 De Geschillencommissie heeft de vordering van de consument gedeeltelijk toegewezen. De duur van de registraties in het Incidentenregister en het EVR dient te worden verkort tot vijf jaar. De registraties in de Gebeurtenissenadministratie en het IVR voor de duur van acht jaar behoeven volgens de Geschillencommissie niet te worden aangepast.
4.4 De Geschillencommissie heeft – samengevat – overwogen dat de benadering van de bank, om bij het bepalen van de duur van de registratietermijn uit te gaan van een standaard van acht jaar, niet juist is. Als uitgangspunt geldt dat de verwerking van persoonsgegevens (hier: de opname van de persoonsgegevens van de consument in het EVR) beperkt dient te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (hier: het waarschuwen van andere geldverstrekkers naar aanleiding van wat de consument gedaan heeft). Dit brengt volgens de Geschillencommissie mee dat in gevallen als de onderhavige, niet moet worden ‘afgeteld’ – aldus dat als beginpunt wordt genomen de termijn van acht jaar, waarna op grond van een weging van de feiten en omstandigheden van het individuele geval een aftrek kan plaatsvinden – maar moet worden ‘opgeteld’. Met dat laatste wordt bedoeld dat op grond van een weging van de feiten en omstandigheden in het individuele geval wordt bepaald hoe lang de registratietermijn dient te zijn. Hierbij geldt dan dat de registratietermijn langer zal zijn naarmate de frauderende consument, een groter risico vormt voor andere banken en geldverstrekkers. Uiteindelijk gaat het om het wegen van de gevolgen die de registratie voor de consument heeft ten opzichte van het belang van de financiële sector om gewaarschuwd te worden over, en beschermd te worden tegen, dergelijk strafbaar handelen.
4.5 De Geschillencommissie overweegt voorts dat duidelijk is dat de consument onjuiste dan wel onvolledige informatie aan de bank heeft verstrekt, waarvan hij wist dan wel behoorde te weten dat deze informatie voor de bank essentieel was voor de beoordeling van het kredietrisico. Deze gedragingen pleiten voor een lange registratieduur. Hier staat volgens de Geschillencommissie echter tegenover dat de registraties niet op zichzelf staan. De bank heeft immers de hypothecaire geldlening opgezegd en de consument moet zijn woning verkopen. Hij wordt aldus dagelijks geconfronteerd met de gevolgen van zijn handelen c.q. nalaten. Deze ingrijpende gevolgen maken dat de Geschillencommissie tot een andere belangenafweging komt dan de bank en daarmee tot een andere registratieduur. De duur van de registratie in het Incidentenregister en het EVR moet naar oordeel van de Geschillencommissie dan ook worden verkort tot vijf jaar.
4.6 Ten aanzien van de registratie van de persoonsgegevens van de consument in de Gebeurtenissenadministratie en het IVR overweegt de Geschillencommissie dat voor deze registraties de registratieduur van acht jaar proportioneel is. Volgens de Geschillencommissie staat voorop dat deze registraties zuiver intern zijn. De registraties hebben tot gevolg dat de consument niet langer gebruik kan maken van de diensten van de groep van financiële ondernemingen waarvan de bank deel uitmaakt. Omdat de financiële instellingen die geen deel uitmaken van deze groep geen toegang hebben tot de persoonsgegevens van de consument in het IVR en de Gebeurtenissenadministratie, wordt de consument dus, na afloop van de registratie in het EVR, niet belemmerd in zijn mogelijkheden om met een andere financiële instelling een relatie aan te gaan.
5. De beoordeling van het beroep
5.1 Het beroep van de bank is uitsluitend gericht tegen de beslissing van de Geschillencommissie dat de benadering, om bij het bepalen van de duur van de registratietermijn uit te gaan van een standaard van acht jaar, niet juist is. Het gaat dan in de kern om het oordeel van de Geschillencommissie dat in gevallen als het onderhavige, niet moet worden ‘afgeteld’, zoals de bank heeft gedaan, maar moet worden ‘opgeteld’.
5.2 De bank heeft – samengevat – aangevoerd dat uit het relevante toetsingskader volgt dat als persoonsgegevens mogen worden geregistreerd in het EVR, dat in beginsel voor acht jaar dient te gebeuren, tenzij bijzondere omstandigheden een kortere registratieduur vereisen. De duur van acht jaar is dus het uitgangspunt, niet slechts een maximum zoals door de Geschillencommissie wordt overwogen. De bank stelt dat het oordeel van de Geschillencommissie, dat bij het bepalen van de duur van de registratie moet worden opgeteld in plaats van worden afgeteld, berust op misvattingen over het in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen 2021 (hierna: ‘PIFI 2021’) uitgewerkte en door de Autoriteit Persoonsgegevens (hierna ‘AP’) vergunde waarschuwingssysteem. Het PIFI kent strenge criteria om te bepalen welke gedragingen in aanmerking komen voor registratie. Het enkele feit dat een gedraging kan worden aangemerkt als een incident en dus (in beginsel) geregistreerd dient te worden, betekent dat deze gedraging in beginsel al ernstig genoeg is om een registratieduur van acht jaar te rechtvaardigen. Expliciet is in het PIFI en de vergunning van de AP bepaald dat het uitgangspunt is om voor acht jaar te registreren, tenzij er sprake is van bijzondere omstandigheden die maken dat de standaard registratieduur van acht jaar disproportioneel is.
De lijn die de Geschillencommissie hanteert, maakt het de bank en andere financiële instellingen onmogelijk om een eenduidig beleid te voeren. Het PIFI, waarin wordt uitgegaan van in beginsel registreren voor de duur van acht jaar, geeft een duidelijk en generiek te hanteren model, dat met voldoende waarborgen is omkleed en tegemoetkomt aan de belangen van de consument.
De bank heeft de consument geregistreerd voor acht jaar, omdat de consument geen enkel feit of bijzondere omstandigheid heeft aangevoerd die tot een verkorting van de registratieduur moet leiden. De Geschillencommissie meent echter dat een registratieduur van vijf jaar in dezen proportioneel is. Zij betrekt daarbij volgens de bank ten onrechte de gevolgen die het frauduleuze handelen voor de consument hebben gehad. Dat de hypothecaire geldlening van de consument is opgezegd en hij daarom zijn woning heeft moeten verkopen, heeft niets met de registratie van zijn persoonsgegevens te maken en dient daarom niet in de eerste of tweede proportionaliteitstoets te worden betrokken. Deze gevolgen zouden ook zonder de registratie zijn ingetreden.
5.3 De bank verzoekt de Commissie van Beroep de uitspraak van de Geschillencommissie te vernietigen en daarvoor in de plaats te oordelen dat de bank de persoonsgegevens van de consument in beginsel voor acht jaar mocht registreren in het EVR. Daarnaast verzoekt de bank de Commissie van Beroep om expliciet te overwegen dat bij het bepalen van de registratieduur van de EVR registratie als uitgangspunt geldt dat de persoonsgegevens voor de duur van acht jaar geregistreerd worden, tenzij er zich aan de zijde van de betrokkene bijzondere omstandigheden voordoen die maken dat een registratie voor de duur van acht jaar disproportioneel moet worden geacht.
EVR registratie: het kader
5.4 Het registreren van persoonsgegevens in het EVR moet worden gezien als het verwerken van persoonsgegevens, waarop de Algemene verordening gegevensbescherming (hierna: AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG) van toepassing zijn. Op grond van artikel 5 lid 1 sub b AVG mogen persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verwerkt. De doeleinden voor registratie in de externe registers zijn nader omschreven in het PIFI 2021. De doeleinden zijn gerechtvaardigd indien sprake is van tenminste één van de in artikel 6 lid 1 AVG limitatief opgesomde gevallen. De verwerking van persoonsgegevens door financiële instellingen vindt, gelet op artikel 1.1.1. van het PIFI, zijn grondslag in artikel 6 lid 1 aanhef en onder f AVG. Daarnaast moet ervoor worden gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Dit volgt uit artikel 5 lid 1 sub e en Overweging (39) in de considerans bij de AVG.
5.5 Aangezien de registratie in het EVR ziet op de verwerking van strafrechtelijke persoonsgegevens, is artikel 10 AVG eveneens relevant. Op grond van dit artikel is de verwerking van strafrechtelijke persoonsgegevens in beginsel verboden. Verwerking is slechts mogelijk indien de wet voorziet in een expliciete vrijstelling of als er sprake is van een in de wet genoemde uitzonderingsrond. Voor externe registraties geldt dat de verwerking van strafrechtelijke persoonsgegevens op grond van artikel 33 lid 4 aanhef en onder c jo. 31 UAVG slechts is toegestaan met een vergunning van de AP. De AP heeft vergunning verleend voor het verwerken van persoonsgegevens op basis van het PIFI 2021, voor zover deze persoonsgegevens van strafrechtelijke aard zijn.
5.6 Het vastleggen van gegevens in het EVR is onderworpen aan de voorwaarden die zijn opgenomen in artikel 5.2.1 PIFI. Op grond van dit artikel moet sprake zijn van gedraging(en) van de (rechts)persoon die een bedreiging vormen, vormden of kunnen vormen voor de (financiële) belangen van cliënten en/of medewerkers van een financiële instelling alsmede (de organisatie van) de financiële instelling zelf of de continuïteit en/of de integriteit van de financiële sector. Bovendien moet in voldoende mate vaststaan dat de betreffende (rechts)persoon betrokken is bij de gedraging, en dient de financiële instelling bij de registratie het proportionaliteitsbeginsel in acht te nemen. Op grond van artikel 5.3.2 PIFI moeten de gegevens in beginsel uiterlijk 8 jaar na opname in het Incidentenregister, uit het Extern Verwijzingsregister verwijderd worden. Ook ten aanzien van de duur van de registratie in het Extern Verwijzingsregister moet worden getoetst aan het proportionaliteitsbeginsel.
5.7 In de bij het PIFI behorende toelichting is, ten aanzien van de duur van de registratie, het volgende opgenomen:
‘Het beginsel van proportionaliteit noopt tot een zorgvuldige afweging tussen de diverse belangen. Het subsidiariteitsbeginsel betekent dat de Persoonsgegevens in redelijkheid niet op een andere, voor de bij de Verwerking van Persoonsgegevens Betrokkene minder inbreukmakende wijze kunnen worden verwerkt. Relevante belangen voor het proportionaliteits- en subsidiariteitsbeginsel in deze (kunnen) onder andere zijn: de instandhouding en werking van (de doelstellingen) van het Waarschuwingssysteem; de aard van het gewraakte gedrag in het licht van de doelstellingen van het Protocol (Arrest HR Santander ); de (potentiële) impact van het gewraakte gedrag; en de persoon van de Betrokkene. Ook ten aanzien van de duur moet worden getoetst of het belang van opname prevaleert boven de mogelijke nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens. De aard van de Incidenten rechtvaardigt in beginsel een opnameduur van 8 jaar in het EVR. Van deze termijn kan worden afgeweken in bijzondere omstandigheden, die door de Deelnemer worden beoordeeld.’
5.8 Ook de AP heeft zich, in het besluit waarin toestemming is verleend voor het verwerken van persoonsgegevens op basis van het PIFI 2021, uitgelaten over de duur van de registratie. De AP merkt daarin het volgende op:
‘27. De reikwijdte van de voorgenomen verwerking is beperkt tot de financiële sector. Dit is een belangrijke maatregel om proportionaliteit te borgen. Daarbij is sprake van raadpleging van het Extern Verwijzingsregister louter op basis van hit-no hit. De opgenomen bewaartermijn is in beginsel acht jaar, dit is evenwel een lange termijn voor de betrokkene, maar wordt genuanceerd door een dubbele proportionaliteitstoets voor enerzijds opname in het register en anderzijds de vaststelling van de bewaartermijn. De termijn van acht jaar sluit aan bij de termijn die in art. 7:928 lid 5 Burgerlijk Wetboek is vastgelegd voor de mededelingsplicht inzake het strafrechtelijk verleden van een potentiële verzekeringnemer.
(…)
31. De AP merkt op dat in diverse stadia van onderzoek en opname in het incidentenregister en het EVR de benodigde proportionaliteits- en subsidiariteitsafwegingen zijn opgenomen die consequent gedocumenteerd moeten worden en dus verantwoord kunnen worden. De verwerkingsverantwoordelijke kan achteraf ter verantwoording worden geroepen voor de beslissingen die zij neemt in het kader van de uitwisseling van persoonsgegevens van strafrechtelijke aard.’
Duur registraties
5.9 Tegen deze achtergrond oordeelt de Commissie als volgt.
5.10 In zowel het besluit van de AP als de toelichting bij het PIFI wordt uitgegaan van een opnameduur van de persoonsgegevens van de betrokkene in het EVR van in beginsel acht jaar. In zowel het besluit als de toelichting wordt echter ook benadrukt dat de uiteindelijke registratie wordt voorafgegaan door een dubbele proportionaliteitstoets, waarbij zowel ten aanzien van registratie als de duur van de registratie moet worden getoetst of het belang van de opname prevaleert boven de mogelijke nadelige gevolgen voor de betrokkene als gevolg van opname van zijn persoonsgegevens. Naar het oordeel van de Commissie van Beroep gaat het bij de vaststelling van de duur van de registratie, niet om ‘optellen’ of ‘aftellen’, maar om het maken van een op de zaak toegesneden belangenafweging. De uitkomst van deze belangenafweging kan zijn dat een registratie voor de duur van acht jaar proportioneel is, maar kan ook leiden tot een registratie van een kortere duur. Registratie voor de duur van acht jaar is dan ook geen uitgangspunt, zoals de bank stelt, omdat dit zou impliceren dat automatisch een registratie van acht jaar zou kunnen worden aangenomen. Het zou dan vervolgens aan betrokkene zijn om feiten en omstandigheden aan te voeren die kunnen leiden tot een neerwaartse bijstelling van de registratieperiode. Het hanteren van een standaardtermijn is echter in strijd met het bepaalde in artikel 5 lid 1 sub e AVG en Overweging (39) van de considerans bij de AVG, omdat op basis hiervan de opslagperiode van de persoonsgegevens tot een strikt minimum moet worden beperkt. Dit brengt mee dat door middel van een afweging van de betrokken belangen gekomen moet worden tot een zo beperkt mogelijke opslagperiode en voor een standaardtermijn dan ook geen plaats is. Bovendien verdraagt het hanteren van een standaardtermijn zich ook niet met het besluit van de AP en de toelichting bij het PIFI, waarin wordt uitgegaan van een dubbele proportionaliteitstoets voorafgaande aan de EVR registratie. Het standpunt van de bank dat bij het bepalen van de registratieduur een registratie voor de duur van acht jaar als uitgangspunt geldt, houdt dan ook geen stand.
5.11 De stelling van de bank dat de lijn die de Geschillencommissie hanteert het voor de bank en andere financiële instellingen onmogelijk maakt om een eenduidig beleid te voeren, kan de Commissie van Beroep niet volgen. Of er nu wordt ‘opgeteld’ of ‘afgeteld’, een op de zaak toegesneden belangenafweging zal in beide gevallen gemaakt moeten worden. Bij het uitvoeren van deze belangenafweging kan de bank desgewenst gebruik maken van algemene gezichtspunten of bijvoorbeeld een puntenmatrix. Steeds zal echter een op het individuele geval toegesneden belangenafweging moeten worden gemaakt.
5.12 De bank stelt verder dat de Geschillencommissie ten onrechte in de proportionaliteitsafweging heeft betrokken de omstandigheid dat de bank de hypothecaire geldlening van de consument heeft opgezegd en dat de consument zijn woning heeft moeten verkopen. Deze gevolgen zouden volgens de bank ook zonder de registratie zijn ingetreden en dienen volgens de bank dan ook niet in de proportionaliteitstoets te worden meegenomen. De Commissie van Beroep acht het standpunt van de bank niet juist. Noch de tekst van het PIFI, noch de toelichting bij het PIFI geeft aanleiding om te veronderstellen dat alleen bepaalde feiten of omstandigheden in de proportionaliteitsafweging kunnen worden meegenomen. Het stond de Geschillencommissie dan ook vrij om de genoemde omstandigheden te betrekken bij de proportionaliteitstoets. De Commissie van Beroep ziet geen aanleiding om in het voorliggende geval tot een andere weging te komen dat de Geschillencommissie. Dit betekent dat een registratie in het EVR voor de duur van vijf jaar in dit geval proportioneel wordt geacht.
Slotsom
5.13 Uit dit alles volgt dat de Commissie van Beroep de beslissing van de Geschillencommissie zal handhaven.
6. De beslissing
De Commissie van Beroep:
6.1 bevestigt de uitspraak van de Geschillencommissie voor zover aan het oordeel van de Commissie van Beroep onderworpen.
Bekijk de volledige uitspraak