KIFID, 20-04-2023, nr. 2023-0313

De consument hield een betaalrekening bij de bank aan met bijbehorende bankpas voorzien van een pincode. Daarbij maakte hij gebruik van internetbankieren en van de Mobiel Bankieren App.

Op 18 maart 2020 is de opnamelimiet van de bankpas van de consument verhoogd naar € 10.000,-. Door in te loggen op de Mobiel Bankieren App met de gebruikersnaam en het wachtwoord van de consument is deze limietverhoging gerealiseerd. Ook is op 18 maart 2020 een extra mobiele telefoon aan de betaalrekening van de consument gekoppeld door middel van het scannen van de QR-code die op de telefoon van de consument stond.

Op 20 maart 2020 is door middel van een aantal transacties € 7.961,21 bijgeschreven op de rekening van de consument. Nog voor de laatste bijschrijving is bij een geldautomaat met de bankpas van de consument en de daarbij behorende pincode € 7.910,- opgenomen. De bijschrijvingen zijn afkomstig uit zogenoemde WhatsApp-fraude. De benadeelden hebben aangifte van oplichting gedaan.

De bank heeft de consument op 21 maart 2020 geïnformeerd dat zijn persoonsgegevens zijn opgenomen in het Incidentenregister en het Externe Verwijzingsregister (hierna: EVR) van de bank voor de duur van 8 jaar en dat zijn betaalrekening is geblokkeerd. Zijn rekening is, aldus de bank, naar voren gekomen in een onderzoek naar oplichting; er is geld op zijn rekening bijgeschreven dat afkomstig is uit WhatsApp-oplichting. De consument heeft daar toen geen bezwaar aangetekend.

Op 27 maart 2020 heeft de consument bij de politie aangifte gedaan van fraude met betaalproducten. In die aangifte staat, zakelijk weergegeven, het volgende. De consument ontdekte op 17 maart 2020 dat hij zijn bankpas kwijt was; de dag daarvoor had hij die bankpas nog gebruikt. Hij heeft op 23 maart 2020 aan de bank het verlies van zijn bankpas doorgegeven. De consument deed dat niet eerder omdat hij eerst in zijn kamer naar zijn bankpas wilde zoeken en zijn bankpas niet eerder nodig had. Aan het eerder blokkeren van zijn rekening heeft hij niet gedacht. Hij huurt een kamer in een huis waar meer mensen een kamer huren. Hij sluit zijn kamer af als hij vertrekt en niemand anders dan hij en de verhuurder hebben een sleutel van die kamer.

Verder staat er in het proces-verbaal dat de consument zijn bankpas aan niemand heeft uitgeleend of overhandigd, zijn pincode van zijn bankpas en de code van het internetbankieren aan niemand heeft gegeven, de consument aan niemand toestemming heeft gegeven voor frauduleuze handelingen met zijn betaalrekening, hem geen geld is beloofd voor het gebruiken van zijn rekening, hij de bijgeschreven gelden niet bij een geldautomaat heeft opgenomen en dat hij weet dat het doen van een valse aangifte strafbaar is.

De consument heeft op 20 april 2020 een basisbankrekening bij de bank geopend.

De consument is op 2 juni 2021 door de politie verhoord omdat hij als verdachte was aangemerkt voor het plegen van witwassen. De officier van justitie heeft bij brief van 7 juli 2021 de consument geïnformeerd hem daarvoor niet verder te vervolgen vanwege onvoldoende bewijs.

De consument heeft op 28 juli 2021 bij de bank bezwaar aangetekend tegen de externe registraties. Nadat de bank dit bezwaar heeft afgewezen, heeft de consument zijn klacht bij het Kifid ingediend.

De consument is van mening dat de bank op onterechte gronden zijn persoonsgegevens heeft geregistreerd. Hij voert daartoe het volgende aan.

Van opzet of schuld aan de WhatsApp-fraude is geen sprake. Hij ontkent in welke zin dan ook betrokken te zijn bij de oplichting. Hij is geen geldezel en heeft zijn betaalrekening, bankpas, pincode of de Mobiel Bankieren App niet aan derde(n) ter beschikking gesteld. Hij heeft de opnamelimiet van zijn bankpas niet verhoogd en geen ander telefoontoestel aan zijn Mobiel Bankieren App toegevoegd.

Toen de consument als verdachte door de politie werd verhoord heeft hij meegewerkt aan dat onderzoek. De consument heeft toen verteld over zijn vermoeden dat huisgenoten misbruik hebben gemaakt van zijn bezittingen. Wellicht hebben die huisgenoten zijn codes of wachtwoorden afgekeken. De consument heeft van die codes een notitie gemaakt en opgeslagen in zijn telefoon. De consument laat zijn telefoon wel eens in de keuken achter als hij naar boven gaat. Ook staat zijn kamerdeur weleens open. De consument weet het simpelweg niet, het blijft gissen voor hem. De consument wijst erop dat de politie niet heeft kunnen vaststellen dat hij bij de oplichting betrokken is geweest. Tot het sepot is dus op terechte gronden besloten en de kosten die de consument vanwege de strafzaak heeft moeten maken zijn vergoed door de overheid. De consument is geen dader maar slachtoffer.

Uit het politieonderzoek is gebleken dat ook een andere persoon bij de WhatsApp-oplichting is betrokken, aldus de consument.

Die persoon is als getuige gehoord en niet (zoals de consument) als verdachte. Die persoon heeft de politie verteld dat zijn telefoon moet zijn gehackt. Het steekt de consument dat hij, ondanks het sepot, nog steeds wordt weggezet als fraudeur. De politie en de bank nemen kennelijk wel genoegen met de verklaring over een gehackte telefoon maar niet met de verklaring van de consument over de fraude met zijn bankgegevens.

Tijdens de mondelinge behandeling heeft de consument weersproken in 2020 een sms-bericht van de bank te hebben ontvangen over het toevoegen van een extra mobiele telefoon aan zijn Mobiel Bankieren App, althans daarvan geen kennis te hebben genomen. De consument is het niet met de bank eens dat dit verweer te laat in de procedure is ingebracht en daarom niet bij de procedure zou mogen worden betrokken. De consument heeft al vanaf 2021 met de bank gecorrespondeerd over de verwijdering van de registraties terwijl de bank het verzenden van een sms-bericht pas bij haar verweer in deze procedure heeft opgeworpen.

De consument is van mening dat niet voldaan is aan de voorwaarde voor de externe registraties inhoudende dat de feiten en omstandigheden in zijn geval een zwaardere verdenking van schuldwitwassen en/of oplichting dan een redelijk vermoeden van schuld opleveren. Zijn persoonsgegevens moeten daarom uit de registers worden verwijderd.

De bank heeft verweer gevoerd tegen de stellingen van de consument. Voor zover relevant zal de commissie bij de beoordeling daarop ingaan.

De bank heeft de persoonsgegevens van de consument voor acht jaar geregistreerd in het Incidentenregister en het EVR. Dit houdt het volgende in.

Elke bank houdt een Incidentenregister bij. Als zich een incident voordoet, dan wordt dit incident omschreven in het Incidentenregister en worden daarbij ook de persoonsgegevens van de betrokkene(n) vermeld. De toegang tot dit register is beperkt tot de medewerkers van de afdeling veiligheidszaken van de bank. Omdat deze informatie (onder voorwaarden) met andere banken kan worden uitgewisseld, heeft de registratie in dit Incidentenregister beperkt externe werking.

Met de opname van de persoonsgegevens in het EVR waarschuwt de bank andere banken. Alle banken hebben namelijk toegang tot dit register.

Dit betekent dat medewerkers van andere banken kunnen achterhalen of er over iemand een melding is opgenomen in het Incidentenregister. Die medewerkers kunnen vervolgens informatie over dat incident opvragen bij de bank die de melding in het Incidentenregister heeft opgenomen. Dit kan ertoe leiden dat niet alleen de bank die de persoonsgegevens in het EVR heeft opgenomen, maar ook andere banken hun (financiële) diensten zullen weigeren aan de betrokkene, in dit geval, de consument.

Beide registers hebben dus (een zekere) externe werking, waarbij geldt dat de enkele opname in het Incidentenregister minder verstrekkend is dan wanneer ook een melding in het EVR is gedaan.

Omdat deze registraties grote gevolgen hebben voor degene wiens persoonsgegevens het betreft, mogen banken niet zonder goede reden persoonsgegevens opnemen in de genoemde registers. Er worden dan ook hoge eisen gesteld aan die reden(en).1. Ten tijde van de registraties van de persoonsgegevens van de consument waren het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen 2013 (hierna: PIFI), de Algemene verordening gegevensbescherming (hierna: AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (hierna: UAVG) van kracht.

Artikel 5.2.1 onder a en b van het PIFI bepaalt onder welke voorwaarden persoonsgegevens mogen worden opgenomen in het EVR. Omdat het gaat om de verwerking van strafrechtelijke persoonsgegevens dient aansluiting te worden gezocht bij de eisen die de Hoge Raad voor die verwerking heeft gesteld. Namelijk dat de strafrechtelijke aard van de te verwerken gegevens brengt mee dat deze gegevens in voldoende mate moeten vaststaan. Het moet gaan om zodanig concrete feiten en omstandigheden dat zij een als strafbaar feit te kwalificeren bewezenverklaring in de zin van artikel 350 van het Wetboek van Strafvordering (hierna: ‘Sv’) kunnen dragen. Een strafrechtelijke veroordeling is niet vereist, maar anderzijds is de enkele verdenking van betrokkenheid bij een strafbaar feit in de zin van een redelijk vermoeden van schuld, zoals dat kan blijken uit een aangifte, niet voldoende. De maatstaf is of de vastgestelde gedragingen een zwaardere verdenking dan een redelijk vermoeden van schuld opleveren, in die zin dat de te verwerken strafrechtelijke persoonsgegevens in voldoende mate moeten vaststaan.2.

Dit alles betekent dat een enkele verdenking onvoldoende is, voor die verdenking moet er ook bewijs zijn. Een bank dient dus goede redenen te hebben om de persoonsgegevens vanwege oplichting te registreren en zij moet die redenen ook voldoende onderbouwen.

De commissie toetst of de opname in het EVR terecht en proportioneel is. Aangezien de gegevens in het EVR gekoppeld zijn aan het incident dat in het Incidentenregister staat, is de registratie in het Incidentenregister toegestaan zolang de melding in het EVR is toegestaan.3. Als de melding in het EVR niet is toegestaan moet worden beoordeeld of de registratie in het Incidentenregister wel mag worden gehandhaafd.

De bank heeft zich op het standpunt gesteld dat er in de onderhavige kwestie sprake is van zodanige feiten en omstandigheden dat deze een als strafbaar feit te kwalificeren bewezenverklaring in de zin van artikel 350 Sv kunnen dragen, zijnde oplichting als bedoeld in artikel 326 Sv. De consument is het niet eens met dit standpunt.

De commissie is van oordeel dat de bank de persoonsgegevens van de consument op terechte gronden heeft geregistreerd. Zij licht dit oordeel hieronder toe.

De bank verwijt de consument dat hij oplichting in de vorm van WhatsApp-fraude mogelijk heeft gemaakt. De consument heeft dit gedaan door zijn bankpas, de daarbij behorende pincode en de code voor de Mobiel Bankieren App aan derde(n) ter beschikking te stellen. Hij is daarbij onzorgvuldig omgegaan met de door de bank ter beschikking gestelde betaalmiddelen. Dit laat zich kwalificeren als betrokkenheid bij of medeplichtigheid aan oplichting. Dit alles volgens de bank.

De commissie stelt vast dat tussen partijen niet ter discussie staat dat op 18 maart 2020 de opnamelimiet van de bankpas van de consument is verhoogd naar € 10.000,-. Verder staat vast dat een dergelijke verhoging alleen kan worden doorgevoerd door, met behulp van de telefoon van de consument, zijn gebruikersnaam èn wachtwoord in te loggen op de Mobiel Bankieren App. Ook staat vast dat de bijschrijvingen op 20 maart 2020 op de betaalrekening van de consument uit WhatsApp-fraude afkomstig zijn. En voorts staat vast dat die gelden kort na de bijschrijvingen zijn opgenomen met de bankpas van de consument bij een betaalautomaat waarbij de pincode in vrijwel alle gevallen in één keer juist is ingevoerd. Tot slot staat vast dat de consument nadat de fraude was voltooid bij de bank het verlies van zijn bankpas heeft gemeld.

De commissie is van oordeel dat deze handelwijze van de consument overeenkomt met het gedragspatroon dat men ziet en verwacht bij oplichtingszaken waarbij gebruik wordt gemaakt van een geldezel. In dit soort zaken is de werkwijze als volgt.4.

De rekening van de geldezel wordt gebruikt als begunstigde rekening om gelden afkomstig van fraude op te laten storten, waarna met de bijbehorende bankpas door het intoetsen van de juiste pincode, de frauduleus verkregen gelden door een derde van de bankrekening worden opgenomen bij een geldautomaat. Soms wordt er een tweede telefoontoestel aan de betaalrekening gekoppeld waarmee handelingen worden uitgevoerd. Enige tijd na de opname van de frauduleuze gelden wordt een nieuwe bankpas aangevraagd omdat door de geldezel — zogenaamd dan — vermoed wordt dat de oude pas verloren of gestolen is. En ook wordt pas aangifte bij de politie gedaan, nadat de gelden van de rekening zijn opgenomen. De handelwijze van de consument past precies in dit patroon.

De commissie is van oordeel dat de consument niets naar voren heeft gebracht om zijn betrokkenheid bij de oplichting te ontzenuwen. Zoals door de bank is aangevoerd zijn de door de consument afgelegde verklaringen ongeloofwaardig. Zo heeft de consument als slachtoffer kort na het incident op de daarover door de politie expliciet gestelde vragen geantwoord van niets te weten. Ruim een jaar later, toen de consument als verdachte over het incident werd gehoord, heeft hij verteld dat hij de codes in zijn telefoon had genoteerd en het mogelijk is dat zijn medebewoners die codes van zijn telefoon hebben afgekeken. Hij vertelde toen de politie ook dat hij zijn telefoon weleens achter liet in de keuken of in zijn kamer. De commissie acht deze verklaringen niet alleen vanwege het tijdsverloop ongeloofwaardig maar ook vanwege de achtergrond waartegen de verklaringen zijn afgelegd. Zo kon de consument als slachtoffer niets over het incident vertellen maar als verdachte wees de consument naar anderen door niet alleen over opgeslagen codes in zijn telefoon te vertellen maar ook over het onbeheerd achterlaten daarvan. Een scenario dat de commissie mede gelet op de eerste verklaring dus ongeloofwaardig acht.

De commissie is van oordeel dat de consument door te handelen zoals hiervoor onder 3.12 tot en met 3.14 is beschreven in combinatie met zijn ongeloofwaardige verklaring deelnemingshandelingen aan de hierboven genoemde oplichting kan worden verweten. Tegelijkertijd volgt daar ook uit dat het opzet van de consument, al dan niet in voorwaardelijke zin, was gericht op de door de oplichters gepleegde oplichtingen.

Hetgeen door de consument is aangevoerd over het door de bank verstuurde sms-bericht over de koppeling van een andere telefoon aan zijn Mobiel Bankieren App, kan hem niet baten omdat het niets verandert aan de ongeloofwaardigheid van zijn verklaringen.

Over de sepotbeslissing en de gevolgen daarvan voor de registratie, overweegt de commissie als volgt. De bank heeft betoogd dat het sepot geen afbreuk doet aan de gronden voor de registratie. De commissie stelt vast dat in de sepotbeslissing staat dat de consument werd verdacht van witwassen en dat die strafzaak is geseponeerd vanwege onvoldoende bewijs.

In dit geval is van belang dat het sepot is gericht op een andere strafbaar feit (witwassen) dan het strafbare feit waarvoor de persoonsgegevens van de consument zijn geregistreerd (oplichting). Dit betekent dat de feiten die door het Openbaar Ministerie zijn gewogen gebaseerd zijn op een andere verdenking. Gelet hierop is de commissie van oordeel dat het sepot geen afbreuk doet aan de gronden voor registratie.5.

Volgens artikel 5.2.1 aanhef en onder c van het PIFI moet ook het ‘proportionaliteitsbeginsel’ in acht worden genomen. Het proportionaliteitsbeginsel houdt in dat het belang van de financiële sector bij registratie moet worden afgewogen tegen de nadelige gevolgen van de registratie voor de consument. Ook mag de duur van de registratie, die in dit geval acht jaar is, niet disproportioneel zijn. Het is de consument die moet aanvoeren op grond waarvan hij van mening is dat hij disproportioneel wordt geraakt in zijn belangen en waarom zijn belang prevaleert boven dat van de bank.

De commissie begrijpt dat de consument vindt dat de registratieduur niet proportioneel is. Allereerst omdat de consument slachtoffer is en geen dader. En ook omdat de consument aan het begin van zijn carrière staat en de externe registraties daarin belemmerend kunnen werken. De bank is het hiermee niet eens. De bank heeft toegelicht dat uit de feiten niet anders kan volgen dan dat de consument zijn medewerking heeft verleend aan het plegen van een zeer ernstig misdrijf. Nu de consument dit blijft ontkennen lijkt het er volgens de bank op dat hij de ernst van zijn gedragingen niet in ziet en is daarom de kans op herhaling groot. Andere financiële instellingen dienen dan ook te worden gewaarschuwd voor het handelen van de consument. De registratieduur van acht jaar is daarom gerechtvaardigd, aldus de bank. De commissie overweegt als volgt.

De bank gaat bij het bepalen van de registratietermijn uit van de standaardtermijn van acht jaar. Dit is naar het oordeel van de commissie niet juist.6. Als uitgangspunt geldt dat de verwerking van persoonsgegevens (hier: de opname van de persoonsgegevens van de consument in het EVR) beperkt dient te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (hier: het waarschuwen van andere banken naar aanleiding van wat de consument gedaan heeft). 7. Er moet dus, in gevallen als de onderhavige, niet worden uitgegaan van de standaardtermijn, zoals de bank heeft gedaan, maar worden ‘opgeteld’, in die zin dat de registratietermijn langer zal zijn naarmate de ernst van de gedraging een groter risico vormt voor andere banken.

De commissie is van oordeel dat de registratie van de persoonsgegevens van de consument op zichzelf, dat wil zeggen los van de door de bank gekozen registratietermijn, voldoet aan het proportionaliteitsvereiste. De commissie begrijpt dat de registraties impact hebben op de consument en dat hij daarvan nadeel kan ondervinden. De commissie ziet echter ook dat de consument zich schuldig heeft gemaakt aan een strafbaar feit waartegen financiële instellingen (andere banken) moeten worden beschermd, zodat registratie van de persoonsgegevens van de consument in het EVR passend is.

De commissie is van oordeel dat de omstandigheden van dit geval een registratieduur van zes jaar rechtvaardigen. Een verzwarende omstandigheid is dat de consument bij herhaling geen openheid van zaken heeft gegeven. Hoewel het zich laten gebruiken als geldezel zeer verwijtbaar is, zijn er evenwel nog zwaardere feiten denkbaar en dient ook rekening te worden gehouden met de jeugdige leeftijd van de consument. De consument heeft een baan en maakt gebruik van een basisbankrekening. Een ander concreet belang heeft de consument niet gesteld. Gezien de omstandigheden in deze zaak vindt de commissie daarom een registratieduur van zes jaar passend. Mocht de consument toch op dit vlak tegen concrete problemen aanlopen, dan kan hij zich met een verzoek om herziening van de registratieduur bij de bank melden en, zo nodig, opnieuw een klacht indienen bij Kifid.

Gelet op het bovenstaande blijft de registratie van de persoonsgegevens van de consument in het Incidentenregister gehandhaafd.

Het EVR is gekoppeld aan het Incidentenregister. Dit brengt mee dat zolang de registratie in het EVR terecht en proportioneel is, de gegevens ook in het Incidentenregister blijven staan.

De commissie ziet geen aanleiding voor een langere duur voor de registratie in het Incidentenregister dan in het EVR. Dat betekent dat ook de registratie in het Incidentenregister op zes jaar moet worden gesteld.

De conclusie is dat de bank niet gehouden is de persoonsgegevens van de consument uit het Incidentenregister en het EVR te verwijderen. De bank moet wel de duur van deze registraties verkorten naar zes jaar.

In het toepasselijke Protocol Incidentenwaarschuwingssysteem Financiële Instellingen van 23 oktober 2013 zijn de volgende relevante bepalingen opgenomen: