#619: Een blinde vlek in de rechtsbescherming bij incidentenregistraties door financiële instellingen

Met het nieuws over de vervolging van Rabobank wegens Wwft-schendingen, heeft het OM opnieuw een dubbele streep getrokken onder de poortwachtersfunctie van financiële instellingen. En dat heeft gevolgen voor de wijze waarop zij omgaan met mogelijke integriteitsrisico’s. Wij hebben ons hierover eerder kritisch uitgelaten (bijvoorbeeld #563, #549, #528). Deze week richt onze kritiek zich op het gebrek aan rechtsbescherming ten aanzien van zogenaamde incidentenregistraties.

Incidentenregistraties door financiële instellingen

Wij doelen daarmee op het interne verwijzingsregister (IVR) en het externe verwijzingsregister (EVR) waarvan financiële instellingen gebruik kunnen maken. Het eerste register is alleen toegankelijk is voor eigen organisatieonderdelen van de financiële instelling. Het externe verwijzingsregister is daarentegen ook toegankelijk voor andere financiële instellingen. Het doel daarvan is om de financiële sector te beschermen tegen misbruik en reputatieschade. Met dat oog kunnen banken en andere financiële instellingen uiteenlopende gegevens registreren over personen en rechtspersonen die (ongeacht de vraag of zij klant zijn bij die financiële instelling) potentieel betrokken zijn bij incidenten, zoals fraude, witwassen, terrorismefinanciering of andere integriteitsrisico’s. Het gaat om persoonsgegevens en zelfs zogenaamde strafrechtelijke persoonsgegevens. Dat zijn gegevens die te maken hebben met veroordelingen en strafbare feiten. De AVG en nationale uitvoeringswetten bieden hiervoor een grondslag.

Incidentenregistraties kunnen verstrekken gevolgen hebben

Incidentenregistratie kunnen verstrekkende gevolgen hebben voor daarin geregistreerde betrokkenen. Want een registratie kan voor financiële instellingen aanleiding zijn om een financiële dienst aan een betrokkene te beëindigen, daaronder begrepen – in geval de registratie ziet op een rechtspersoon – de dienstverlening aan de aandeelhouders en/of bestuurders. Dat levert vervolgens weer problemen op bij de zoektocht naar een nieuwe financiële dienstverlener. Want vaak vragen financiële instellingen bij aanvraag of een vorige dienstverlener de klantrelatie eenzijdig heeft beëindigd. Dat kan dan weer een reden kan zijn om een betrokkene als nieuwe klant te weigeren.

Daarnaast kan een incidentenregistratie leiden tot een hogere premie of rente, de weigering van een financiële dienst of zelfs een aangifte bij de opsporingsautoriteiten. Als laatste is van belang dat een registratie langdurig kan blijven bestaan, tot maximaal acht jaar na het incident.

Incidentenregistraties kunnen dus vergaande gevolgen hebben en om die reden mogen financiële instellingen niet ‘zomaar’ gegevens noteren. In de eerste plaats moet de financiële instelling afwegen of de registratie voldoet aan het proportionaliteits- en subsidiariteitsbeginsel. Daarnaast geldt specifiek voor het EVR dat sprake moet zijn van een zwaardere verdenking dan een redelijk vermoeden van schuld aan een strafbaar feit. Zodoende leggen financiële instellingen uitgebreide dossiers aan.

Rechtsbescherming door financiële instellingen blijft achter!

Met het oog op de rechtsbescherming regelt het Protocol Incidentenwaarschuwingssysteem Financiële instellingen (Pifi), in lijn met de AVG, dat betrokkenen diverse rechten toekomen zoals het recht op inzage, rectificatie, wissing of beperking van de gegevensverwerking. Dat klinkt mooi, maar helaas leert onze ervaring dat de rechtsbescherming ontoereikend is. Met name wanneer het verzoeken van rechtspersonen betreft. In die gevallen weten financiële instellingen niet hoe snel ze een beroep moeten doen op artikel 4, eerste lid AVG. Daaruit leiden financiële instellingen af dat de AVG slechts van toepassing is op natuurlijke personen. Hetzelfde geldt overigens voor nabestaanden die namens een overleden natuurlijke persoon verzoeken om rechtsbescherming. Dat laatste is overigens in lijn met een eerdere uitspraak van rechtbank Den Haag. Die oordeelde in 2023 en onder verwijzing naar overweging 27 van de Preambule van de AVG dat de verordening niet van toepassing is op gegevens van overleden personen, tenzij het lidstatelijk recht anders bepaalt. In Nederland is echter geen specifieke regeling getroffen voor de gegevensbescherming van overledenen. En dus hebben nabestaanden bijvoorbeeld geen recht op inzage.

Wat ons betreft illustreert voorgaande dat de rechtsbescherming ten aanzien van incidentenregistraties zeer te wensen overlaat. Dat is gelet op de vergaande gevolgen van incidentenregistraties zeer onwenselijk te noemen. Daarnaast roept deze houding van financiële instellingen de vraag op of de verwerking van gegevens van rechtspersonen en overleden natuurlijke personen wel rechtmatig is. Immers, als de AVG niet op hen van toepassing is, wat is dan de juridische basis voor financiële instellingen om al die informatie voor lange tijd op te registreren?

Heb je hier vragen over of wil je hierover van gedachten wisselen met ons? Neem dan contact op met ons op via vaklunch@hertoghsadvocaten.nl.