Nieuw protocol frauderegistratie

09 sep 2021

In 2002 hebben enkele financiële instellingen een zogenoemde “zwarte lijst” opgesteld waarin (rechts)personen vermeld zijn die betrokken zijn (geweest) bij criminele financiële activiteiten, zoals fraude of oplichting. Voorwaarde is wel dat het om een ernstig incident of sterk vermoeden gaat. Bijvoorbeeld identiteitsfraude, skimming, phishing, witwassen of hypotheekfraude.

De Externe Verwijzingsapplicatie (EVA) is toen geïntroduceerd, waarmee financiële instellingen informatie delen over betrokkenen. Pas in 2011 heeft het toenmalige College bescherming persoonsgegevens (de voorloper van de huidige Autoriteit Persoonsgegevens, AP) daar uitspraken over gedaan. Door een wijziging in het protocol over gegevensuitwisseling, is gebruik van deze zwarte lijst toegestaan. Sindsdien zijn steeds meer financiële instellingen aangesloten bij dit Incidentenwaarschuwingssysteem Financiële Instellingen (IFI).

Privacywetgeving dwong financiële instellingen ook toen al tot een strikt protocol voor het uitwisselen van persoonsgegevens. Dit Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) is in de loop der tijd enkele keren aangepast. De voorlaatste aanpassing vond plaats in 2013. In april 2021 is een nieuwe versie verschenen. De AP heeft in augustus ruim 160 financiële instellingen een vergunning gegeven om dit nieuwe protocol te gebruiken.

Het nieuwe PIFI is tekstueel sterk uitgebreid. Dat heeft vooral te maken met betere uitleg en verwijzing naar de nieuwe Algemene Verordening Gegevensbescherming (AVG) op grond waarvan de afweging gemaakt moet worden of het delen van gegevens in verhouding staat tot het hogere doel van het bestrijden van financiële criminaliteit. Maar inhoudelijk verandert er niet zo veel.

Elke financiële instelling heeft een verplicht Incidentenregister, dat slechts voor een kleine groep speciale werknemers (van een Veiligheidsafdeling) is in te zien. De ‘gewone’ werknemer krijgt alleen te zien of een klant al dan niet vermeld is in het Incidentenregister.

Deze informatie kan vastgelegd zijn in een Intern Verwijzingsregister (IVR), dat niet gedeeld wordt met andere partijen. Als de overtreding ernstig genoeg is, worden basale klantgegevens (zoals naam + geboortedatum) ook in een Extern Verwijzingsregister geplaatst (EVR).

Met het EVR (dat via EVA toegankelijk is) zien alle aangesloten partijen alleen of iemand geregistreerd is. Er is geen toegang tot de inhoud van het incident dat geregistreerd staat. Daarvoor moeten de onderlinge medewerkers van de afdeling veiligheidszaken informatie opvragen bij de partij die het incident heeft geregistreerd.

Deze werkwijze is feitelijk niet heel veel anders dan die sinds 2013. Ook de maximale registratieduur van 8 jaar verandert niet. Financiële instellingen pakken fraude of andere financiële criminaliteit hard aan. Dat moet ook wel onder politieke druk (zoals witwaswetgeving). De gevolgen ervan voor iemand die geregistreerd wordt, zijn zeer groot: als je in het EVR terechtkomt, is de kans groot dat het nauwelijks meer mogelijk is financiële diensten of producten af te nemen. Alleen een basisbetaalrekening is nog mogelijk, maar het afsluiten van een consumptief of hypothecair krediet, een verzekering of een vermogensopbouwproduct wordt sterk bemoeilijkt.

Uit Kifid-uitspraken is op te maken dat men steeds vaker klaagt over registratie in het EVR. Die klachten slagen zelden. Recent heeft het Kifid in twee zaken aangetoond dat opzettelijke misleiding niet loont. In diverse andere zaken, toont Kifid begrip voor registratie, ook als er geen definitieve veroordeling voor fraude is. Een ‘meer dan redelijk vermoeden’ van fraude is voldoende voor registratie. Slechts in enkele gevallen, waarbij slechts een ‘redelijk vermoeden van fraude’ is en opzet daartoe niet kan worden aangetoond, dwingt Kifid tot het doorhalen van een registratie.

Met enige regelmaat komt het voor dat het Kifid wel de duur van de registratie verkort. Dat gebeurt dan op basis van het proportionaliteitsbeginsel. Denk hierbij aan situaties waarbij een jonge, naïeve persoon zijn bankrekening beschikbaar stelt voor oplichting (zoals Whatsappfraude). Zo iemand wordt door de registratie al zwaar gestraft en de bankrelatie wordt opgezegd. Een registratie van acht jaar zou dan erg streng zijn. Kifid oordeelt in dergelijke gevallen regelmatig dat de registratieduur ingekort moet worden tot zes jaar.