Nieuwe voorwaarden frauderegistratie

De Autoriteit Persoonsgegevens (AP) heeft een nieuwe versie van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) goedgekeurd. Daarin is geregeld dat financieel dienstverleners onder strikte voorwaarden gegevens mogen registreren en/of delen bij (een sterk vermoeden van) crimineel gedrag. De belangrijkste wijziging ten opzichte van eerdere protocollen is dat de tekst van dit nieuwe Protocol in lijn is gebracht met de Algemene Verordening Gegevensbescherming (AVG). 

Er is financiële instellingen veel aan gelegen om fraude te voorkomen en misbruik van het financiële stelsel tegen te gaan. Een waarschuwingssysteem is daarbij essentieel. Dat moet ervoor zorgen dat misbruikpogingen worden onderkend en niet leiden tot verdere schade bij andere financiële instellingen. Dat is ook een maatschappelijk belang, omdat fraude en misbruik rechtstreeks kunnen leiden tot benadeling van klanten en ten koste kunnen gaan van het vertrouwen in het financiële stelsel.

Haaks op privacywetgeving

Een klant die in de fout is gegaan, wordt door een bank of andere financiële instelling geregistreerd. Om te voorkomen dat die klant bij een andere partij alsnog financiële diensten kan afnemen, zijn sommige gegevens ook voor andere financieel dienstverleners toegankelijk. Maar dat staat haaks op de privacywetgeving. Die verbiedt in beginsel het registreren van persoonsgegevens en het delen ervan. De Autoriteit Persoonsgegevens (AP) heeft nu een nieuw protocol goedgekeurd, waarin is vastgelegd in welke gevallen klantgegevens toch geregistreerd en/of gedeeld mogen worden. 

Gegevensuitwisseling is niet nieuw

Er is al sinds 2002 sprake van gegevensuitwisseling omtrent frauduleus gedrag. Dat verandert niet in 2021. Het belang van gegevensuitwisseling voor de financiële instellingen en de samenleving als geheel is groter dan het individuele recht op privacy. Maar die gegevensuitwisseling moet wel heel zorgvuldig gebeuren. Daarom zijn er strenge regels. Die zijn vastgelegd in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).

Het PIFI biedt ook waarborgen voor de betrokkenen. In de nieuwe versie van het protocol zijn de regels in lijn gebracht met de AVG. Die is op 25 mei 2018 ingegaan. Nu geldt in de hele EU dezelfde privacywetgeving.

Start en ontwikkeling van het waarschuwingssysteem

In 2002 startten de Nederlandse Vereniging van Banken (NVB), het Verbond van Verzekeraars (Verbond) en de Vereniging van Financieringsondernemingen in Nederland (VFN) het Incidentenwaarschuwingssysteem Financiële Instellingen (IFI). Het IFI biedt aangesloten financiële instellingen de mogelijkheid om gegevens over frauderende personen of ondernemingen te registeren en uit te wisselen. De voorwaarden werden vastgelegd in het PIFI. In 2004 is de Stichting Fraudebestrijding Hypotheken (SFH) gaan deelnemen, in 2011 Zorgverzekeraars Nederland en in 2013 de Federatie van Onderlinge Verzekeringsmaatschappijen.

In 2011 heeft de voorganger van de AP (het College bescherming persoonsgegevens) een wijziging van het protocol uit 2002 goedgekeurd. De goedkeuring gold voor 6 jaar en moest daarom in 2017 worden verlengd. Die termijn is telkens opnieuw verlengd. 

Klanten zijn tot nu toe dus nog volgens het laatste protocol uit 2011 getoetst. De partijen (AP en de financiële instellingen) zijn lang bezig geweest om een nieuw protocol op te zetten. Sinds 1 april 2021 is dat er. En in augustus 2021 gaf AP ruim 160 financiële instellingen een vergunning om gebruik te maken van dit nieuwe PIFI 2021. Het nieuwe protocol en de AP-vergunningen zijn 5 jaar geldig.

Registers in het waarschuwingssysteem

Het Incidentenwaarschuwingssysteem Financiële Instellingen (IFI), waarop het PIFI betrekking heeft, maakt gebruik van een intern en een extern register. Het interne register wordt IVR (Intern Verwijzingsregister) genoemd en het externe register EVR (Extern Verwijzingsregister).

  • IVR: elke financiële instelling heeft een verplicht Incidentenregister. Daarin kunnen allerlei incidenten vastgelegd worden betreffende gedragingen van (rechts)personen die nadelig (kunnen) zijn voor de financiële instelling, haar klanten of medewerkers. Het hoeft niet per se te gaan om een bewezen strafbaar feit. Voor opname in het register moet wel altijd een goede afweging gemaakt worden.
  • EVR: Als het incident ernstig genoeg is, worden de gegevens opgenomen in de ‘zwarte lijst’: het EVR. De financiële instelling mag pas overgaan tot opname in het EVR, als voldaan wordt aan een aantal criteria. Een klant kan ook in het EVR vermeld staan als hij nog niet veroordeeld is voor een strafbaar feit. Er moet wel een meer dan redelijk vermoeden zijn dat iemand betrokken is bij fraude of ander crimineel gedrag. 
 

Waarborgen klant

Een medewerker van een financiële instelling mag niet zomaar namen opzoeken in het register. En al helemaal niet wat voor incident er heeft plaatsgevonden. Alleen als er klantcontact is of als er sprake is van een nieuwe klant, kan een IVR/EVR geraadpleegd worden om te zien of een klant geregistreerd staat. 

Een klant heeft het recht te weten dat hij geregistreerd staat. De financiële instelling die de klant registreert, moet de klant op de hoogte stellen van registratie. Er is wel een uitzondering op die regel: als er strafrechtelijk onderzoek wordt gedaan naar de klant of handlangers, is het vaak verstandig om nog niets te melden over registratie. Dat zou immers een waarschuwing kunnen zijn, wat het onderzoek kan dwarsbomen. 

Wanneer een klant weet dat hij geregistreerd staat, kan hij bezwaar aantekenen. Mocht dat bezwaar nergens toe leiden, dan kan hij een klacht bij het Kifid indienen. 

De duur van de registratie in IVR/EVR is maximaal 8 jaar vanaf het moment van het laatste incident. Op grond van proportionaliteit kan de termijn korter zijn.

Kifid

Er zijn veel voorbeelden van IVR/EVR-geregistreerden die bij het Kifid klaagden over de registratie. Dat heeft vrijwel nooit geleid tot verwijdering uit het register, behalve bij foute registraties. Wat wel met enige regelmaat gebeurt, is dat het Kifid oordeelt dat de duur van de registratie te lang is en daarmee disproportioneel. Soms wordt geoordeeld dat een nooit eerder veroordeeld jong persoon, die zijn bankpasje beschikbaar stelt aan oplichters (geldezel), bij een registratie van 8 jaar bijvoorbeeld onnodig hard getroffen wordt. De duur van registratie moet dan op last van het Kifid worden ingekort van 8 jaar naar 6 jaar, of soms 4 jaar. Dit is telkens afhankelijk van het specifieke geval.

Meer weten?

Bekijk hier het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).

NIBE-SVV heeft een hele reeks opleidingen waarin fraudepreventie en -bestrijding aan de orde komen. Bekijk hier de opleidingspagina met de diverse opleidingen.

Deel dit artikel

Wellicht ook interessant

Heb je vragen?

Onze opleidingsadviseurs zijn nu telefonisch bereikbaar. Op werkdagen van 08.30 tot 17.00 uur. WhatsApp van 10.00 tot 16.00 uur.

Vraag onze opleidingsgids aan

Het complete aanbod voor ambitieuze financieel dienstverleners ligt weer voor je klaar. Benieuwd naar ons volledige aanbod?

De Wft-PE periode loopt tot 1 april 2022!

Als financieel adviseur moet je je beroepskwalificatie(s) onderhouden. Zorg dat je aan deze eis voldoet met de Wft-PE examens en opleidingen van NIBE-SVV.