Kifid KennisHelp, de bank of verzekeraar neemt mij op in een waarschuwingsregister
Geplaatst op
16 juni 2022De situatie
U bent door de bank of verzekeraar beschuldigd van fraude. Een van de maatregelen die de bank of verzekeraar vervolgens tegen u neemt, is de opname van uw persoonsgegevens in het interne of externe waarschuwingssysteem, of in beide. Dat kan verstrekkende gevolgen voor u hebben. U wilt weten wat u daartegen kunt ondernemen.
De algemene regel
Om uw persoonsgegevens op te mogen nemen in het externe waarschuwingssysteem moet er sprake zijn van fraude. Daarvoor geldt dat een zwaardere verdenking nodig is dan een redelijk vermoeden van schuld. Dit betekent dat voldoende vast moet staan dat u bij de fraude bent betrokken. Voor opname in het interne waarschuwingssysteem is voldoende dat een gebeurtenis heeft plaatsgevonden die volgens de bank of verzekeraar aandacht behoeft of een risico vormt.
Soorten registers
Intern
Er zijn twee interne registers: de Gebeurtenissenadministratie en het daaraan gekoppelde Intern Verwijzingsregister (IVR). Deze registers vormen het interne waarschuwingssysteem van een financiële instelling én de groep financiële ondernemingen waarvan zij deel uitmaakt. Dat betekent bijvoorbeeld dat een registratie in de Gebeurtenissenadministratie van Centraal Beheer ook zichtbaar is bij Interpolis, aangezien beide onderdeel uitmaken van het Achmea-concern. Andere financiële instellingen kunnen de registratie echter niet bekijken. Het gaat er bij dit type registratie om dat een gebeurtenis heeft plaatsgevonden die aandacht behoeft of een risico vormt zoals (een vermoeden van) fraude of onwenselijk gedrag jegens een medewerker.
Extern
Er zijn ook twee externe registers die samen het extern waarschuwingssysteem vormen. Dit zijn het Incidentenregister en het Extern Verwijzingsregister (EVR). Als de persoonsgegevens hierin zijn opgenomen dan kunnen ook andere financiële instellingen deze inzien voor de periode van maximaal acht jaar. Een registratie kan verstrekkende gevolgen hebben en daarom moet de financiële instelling een zwaardere verdenking hebben dan een redelijk vermoeden van schuld. Het moet gaan om gedragingen die een bedreiging kunnen vormen voor de financiële instellingen, haar medewerkers of de financiële sector. De gevolgen kunnen groot zijn. Een consument kan bijvoorbeeld geen verzekeringen meer afsluiten, of alleen onder bepaalde voorwaarden of tegen een hogere premie. Of de consument kan geen hypotheek krijgen of een bankrekening openen. Een externe registratie moet getoetst worden aan het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).
Twee voorbeelden
Een vrouw is beschuldigd van fraude bij het aangaan van een autoverzekering omdat zij heeft verzwegen dat in het verleden sprake is geweest van wanbetaling. De verzekeraar heeft daarop, naast andere maatregelen, de persoonsgegevens van de consument voor de duur van drie jaar geregistreerd in het Incidentenregister en het Extern Verwijzingsregister (EVR). Ook zijn de persoonsgegevens geregistreerd in de Gebeurtenissenadministratie en het Intern Verwijzingsregister (IVR) voor de duur van acht jaar.
De Geschillencommissie toetst de zware maatregel van externe registratie aan de hand van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Daar staat in dat de gedraging een bedreiging moet vormen voor de belangen van de financiële instelling. Ook moet voldoende vaststaan dat de betreffende persoon betrokken is bij de gedraging. Dit betekent dat sprake moet zijn van een zwaardere verdenking dan een redelijk vermoeden van schuld aan fraude. Daarnaast moet het proportionaliteitsbeginsel in acht worden genomen.
Omdat in deze zaak sprake is van opzettelijke misleiding, is meteen aan een aantal vereisten voldaan. Wel moet er een belangenafweging plaatsvinden. Daarvoor is nodig dat de consument onderbouwt waarom haar belang zou moeten prevaleren boven dat van de verzekeraar dan wel de financiële sector.
De consument voert onder meer aan dat zij een auto nodig heeft om haar zoontje te vervoeren. Bovendien is zij zwanger van haar tweede kind en lijdt zij aan PTSS: het posttraumatisch stress syndroom.
De Geschillencommissie vindt dat in dit geval het belang van de financiële sector bij registratie van de persoonsgegevens van de consument zwaarder weegt dan het belang van de consument bij het niet registreren van haar persoonsgegevens. Zo maakt de omstandigheid dat de consument zich nu alleen bij verzekeraar De Vereende kan verzekeren en te maken krijgt met een hoge(re) premie, de registratie zelf niet disproportioneel. Wel zijn de persoonlijke omstandigheden van consument, te weten het feit dat zij lijdt aan PTSS en het feit dat zij moeder is van een jong kind en zwanger is van een tweede, aanleiding om te bepalen dat de EVR-registratie, die nu twee jaar van kracht is, doorgehaald moet worden. (GC 2021-0256)
Een consument heeft een betaalrekening met betaalpas en internetbankieren. Op enig moment reageert hij via Snapchat op een advertentie waarin staat dat hij snel geld kan verdienen. De consument stelt later dat hij de adverteerders heeft ontmoet en onder bedreiging van een mes zijn betaalpas heeft afgegeven en zijn telefoon heeft ontgrendeld. Hierop volgen een aantal pogingen tot het verhogen van de limiet van de betaalpas, een reeks transacties, en geldopnames bij een geldautomaat. De bedragen die werden bijgeschreven op de betaalrekening van de consument en vervolgens met zijn betaalpas werden opgenomen, waren afkomstig van slachtoffers van marktplaatsfraude. Volgens de consument zijn deze handelingen niet door hem verricht.
In de daaropvolgende week neemt de consument meerdere keren contact op met de bank om het misbruik van zijn rekening door te geven. De bank onderzoekt de gebeurtenissen en laat weten dat de bancaire relatie met de consument wordt beëindigd en dat hij voor een termijn van acht jaar wordt opgenomen in het Interne Verwijzingsregister (IVR), het Incidentenregister en het Externe Verwijzingsregister (EVR). Over deze registraties beklaagt de consument zich bij Kifid.
De Geschillencommissie is het met de bank eens dat de omschreven gebeurtenissen passen bij het gedragspatroon van iemand die als geldezel fungeert. De Geschillencommissie stelt vast dat de consument als geldezel zelf betrokken is geweest bij fraude. Het verhaal over de bedreiging met een mes is ongeloofwaardig omdat het dan voor de hand had gelegen dat de consument direct aangifte had gedaan en zijn pas had geblokkeerd.
De Geschillencommissie concludeert dat de consument willens en wetens zijn betaalpas en pincode aan een derde heeft gegeven om zo snel geld te verdienen. Daarom mag de bank de persoonsgegevens van deze consument registreren in het EVR. Wel heeft de bank zich te houden aan het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) en aan de in Nederland geldende privacywetgeving. Die schrijven afweging van proportionaliteit voor en daarbij wegen de belangen van de betrokken consument mee. De Geschillencommissie ziet aanleiding om de duur van de externe registratie te verkorten tot zes jaar. Dienstdoen als geldezel is zeer verwijtbaar, maar er zijn nog zwaardere feiten denkbaar.
De registraties in de Gebeurtenissenadministratie en het IVR zijn wél proportioneel: die dienen alleen voor intern gebruik bij de bank. De registraties zorgen ervoor dat de consument niet langer gebruik kan maken van de diensten van de groep van financiële ondernemingen waarvan de bank deel uitmaakt. Dat hoeft het aanvragen van een rekening bij een andere bank niet in de weg te staan. (GC 2022-0335)
Uitleg
Het opnemen van uw persoonsgegevens in (een van) de waarschuwingsregisters is een zware maatregel. Het opnemen van uw gegevens in het externe waarschuwingssysteem (Incidentenregister en Extern Verwijzingsregister) dat ook door andere financiële instellingen kan worden ingezien, mag dan ook alleen wanneer er sprake is van fraude: u heeft de bank of verzekeraar opzettelijk misleid.
Zie voor vormen van fraude en de mogelijke andere gevolgen daarvan Kifid Kennisdocument Mijn verzekeraar beschuldigt mij van fraude, wat nu? en Kifid Kennisdocument Mijn bank of kredietverstrekker beschuldigt mij van fraude, wat nu?
Voor opname in het interne waarschuwingssysteem (Gebeurtenissenadministratie en Intern Verwijzingsregister) is de norm minder streng. Het gaat hier om een gebeurtenis die vraagt om zorg en aandacht van de bank of verzekeraar of die een risico vormt voor de veiligheid en integriteit van de bank of verzekeraar. Bijvoorbeeld een vermoeden van fraude of het uitschelden van medewerkers. De gevolgen van opname in dit register zijn kleiner en andere financiële instellingen kunnen het register niet inzien.
Voor de zwaardere registratie in het externe waarschuwingssysteem zijn een aantal voorwaarden geformuleerd. De Geschillencommissie van Kifid zal langs deze lijn toetsen of de opname in het Incidentenregister en het Extern Verwijzingsregister op de juiste manier door de bank of verzekeraar is beargumenteerd.
-
Meer dan redelijk vermoeden
In de Kifid-uitspraken zult u steeds lezen dat er voor opname van persoonsgegevens in het extern waarschuwingssysteem sprake moet zijn van ‘meer dan een redelijk vermoeden van schuld’. Daarmee wordt bedoeld dat voldoende moet vaststaan dat u betrokken bent bij de fraude.
-
Gedraging moet bedreiging van de belangen financiële instelling zijn
Aan deze voorwaarde is in de regel voldaan wanneer er sprake is van fraude. Maar de bedreiging kan ook worden gezien in agressief gedrag jegens een medewerker van de verzekeraar.
-
Belangenafweging
Wanneer een bank of verzekeraar deze zware maatregel inzet, moet deze rekening houden met uw belangen en persoonlijke omstandigheden. De gegevens mogen alleen worden geregistreerd als de belangen van de bank of verzekeraar om haar eigen organisatie of andere financiële instellingen te waarschuwen zwaarder wegen dan uw belangen om zonder belemmeringen financiële producten te kunnen afnemen. Ook speelt uw persoonlijke situatie mee, zoals uw leeftijd en maatschappelijke positie, en het risico op herhaling van het gedrag.
-
Subsidiariteit
Ook zal de bank of verzekeraar moeten afwegen of een minder vergaande waarschuwing niet ook volstaat. Is bijvoorbeeld een registratie in alleen het interne waarschuwingssysteem al voldoende?
-
Proportionaliteit
De duur van de registratie mag niet buitenproportioneel zijn. De bank of verzekeraar moet motiveren waarom de vastgestelde termijn echt noodzakelijk is. Als het om een ernstige fraude gaat zullen de gegevens ook langer in het register mogen blijven staan. De Geschillencommissie ziet veel banken en verzekeraars standaard uitgaan van acht jaar. De Geschillencommissie is van oordeel dat bij het bepalen van de registratieduur aan de lage kant moet worden begonnen. Verder zijn uw persoonlijke omstandigheden van invloed op de vraag hoe lang de persoonsgegevens geregistreerd mogen worden.
Volgens de Algemene Verordening Gegevensbescherming (AVG) moet de registratieperiode van persoonsgegevens worden beperkt tot een strikt minimum. Een registratie in het externe waarschuwingssysteem mag dus niet zondermeer voor acht jaar worden gedaan. Persoonsgegevens mogen niet langer worden verwerkt dan nodig is voor het doel, zo schrijft de AVG voor.
De duur van de registratie hangt mede af van uw persoonlijke omstandigheden. De bank of verzekeraar kan alleen rekening houden met uw persoonlijke omstandigheden als deze daarmee bekend is. Het is daarom van belang dat u uitlegt welke nadeel u concreet van de registratie ondervindt. Over het algemeen is het feit dat u zich bijvoorbeeld alleen nog tegen een hoge premie kunt verzekeren niet een nadeel dat opweegt tegen het belang van de dienstverlener om u (langdurig) te registreren.
De financiële instelling die uw gegevens heeft geregistreerd moet u daarover informeren. U kunt tegen de registratie schriftelijk bezwaar maken bij de bank of verzekeraar. Ook kunt u gedurende de registratieperiode opnieuw een verzoek tot herbeoordeling indienen wanneer de omstandigheden veranderd zijn.
Tip
- U kunt de financiële dienstverlener te allen tijde verzoeken opnieuw een belangenafweging te maken ten aanzien van de duur van de registratie(s).
Meer over dit onderwerp
In de Kifid Kennisdocumenten ‘Mijn verzekeraar beschuldigt mij van fraude, wat nu?’ en ‘Mijn bank of kredietverstrekker beschuldigt mij van fraude, wat nu?’ vindt u meer informatie over de andere maatregelen die banken en verzekeraars kunnen treffen in geval van fraude.
Het Centrum Bestrijding Verzekeringscriminaliteit (CBV) is onderdeel van het Verbond van Verzekeraars en ondersteunt verzekeraars bij de aanpak van fraude en andere vormen van verzekeringscriminaliteit.
Banken en andere hypotheekverstrekkers werk samen in de Stichting Fraudebestrijding Hypotheken om hypotheekfraude aan te pakken en te voorkomen. Meer informatie hierover vind je op de website van de Nederlandse Vereniging van Banken.
Algemene Verordening Gegevensbescherming (AVG)
Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)
Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI)
Gedragscode Verwerking Persoonsgegevens Verzekeraars
Artikel 928 Burgerlijk Wetboek Boek 7
Uitspraak van de Hoge Raad van 29 mei 2009, ECLI:NL:HR:2009:BH4720
Uitspraak van de Hoge Raad van 15 mei 1998, ECLI:NL:HR:1998:ZC2653
Uitspraak van de Hoge Raad van 13 september 1996, ECLI:NL:HR:1996:ZC2135
Uitspraak van de Hoge Raad van 20 december 1996, ECLI:NL:HR:1996:ZC2235
Uitspraak van het Hof Arnhem-Leeuwarden, 9 november 2017, ECLI:NL:GHARL:2017:10752
Uitspraak van het Hof Den Bosch 1 november 2016, ECLI:NL:GHSHE:2016:4848
Uitspraak van het Hof Den Bosch 4 februari 2016, ECLI:NL:GHSHE:2016:442
Uitspraak van het Hof Arnhem-Leeuwarden van 26 januari 2016, ECLI:NL:GHARL:2016:494
Uitspraak van het Hof Arnhem-Leeuwarden 7 november 2014, ECLI:NL:GHARL:2014:8710
De informatie in dit Kennisdocument is bedoeld om u inzicht en achtergrond te geven in de manier waarop Kifid met klachten over een bepaald onderwerp omgaat. Dit kan u helpen bij de voorbereiding van uw eigen zaak. Uiteraard is elke situatie anders. In uw klachtzaak kan een omstandigheid spelen die wij hier niet hebben genoemd.
