Financiële instellingen mogen in hun incidentenregisters de gegevens van personen opnemen die bij fraude betrokken zijn geweest, bijvoorbeeld doordat hun rekening is gebruikt voor phishing. Een veroordeling door de strafrechter is niet nodig. Zie hierover de uitspraak van Rechtbank Den Haag van 31 mei 2012, waarvan de inhoudsindicatie als volgt luidt:
Wet bescherming persoonsgegevens. Betaalrekening van verzoekster gebruikt voor frauduleuze transacties als gevolg van phishing-fraude. Hetgeen verzoekster ter zake van de vermissing van haar betaalpas en de momenten waarop is ingelogd op haar betaalrekening, heeft aangevoerd is onvoldoende om haar betrokkenheid bij de fraude te ontkrachten. Een en ander valt met name af te leiden uit de door de bank overgelegde lijst met IP-Loggings.
Onderstaand citaten uit de overwegingen van de Rechtbank, waarbij ik zelf enige passages heb onderstreept. De Rechtbank begint met een toelichting op het verschijnsel incidentenregister:
4.2. ING heeft zich verplicht bij de verwerking van persoonsgegevens in het kader van het door haar aangehouden incidentenregister te handelen conform het ‘Protocol Incidentenwaarschuwingssysteem Financiële Instellingen’ van de Nederlandse Vereniging van Banken, het Verbond van Verzekeraars, de Vereniging van Financieringsondernemingen in Nederland, de Stichting Fraudebestrijding Hypotheken en Zorgverzekeraars Nederland van 3 maart 2011 (hierna: het Protocol). Het Protocol is geen door het College bescherming persoonsgegevens (Cbp) getoetste gedragscode als bedoeld in artikel 25 Wbp. Wel heeft het Cbp op 18 mei 2011 naar aanleiding van de melding van het voornemen tot verwerking van strafrechtelijke gegevens voor zes jaar een verklaring omtrent de rechtmatigheid gegeven als bedoeld in artikel 32 lid 5 Wbp. Het Protocol is in zoverre dan ook te beschouwen als een regeling die voldoende waarborgen biedt voor een verwerking van persoonsgegevens zoals de Wbp die voorschrijft (zie ook de beschikking van het gerechtshof Amsterdam van 18 januari 2007, LJN: BA5933).
4.3. Onder Incidentenregister wordt volgens het Protocol verstaan de gegevensverzameling(en) van de deelnemer (in dit geval ING), waarin – voor het doel van ondersteuning van, kort gezegd, activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector – gegevens zijn vastgelegd naar aanleiding van of betrekking hebbend op een (mogelijk) incident. Onder incident wordt verstaan een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een financiële instelling, de financiële instelling zelf of de sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.
4.4. Aan het Incidentenregister is een Extern Verwijzingsregister (EVR) gekoppeld, waarin uitsluitend verwijzingsgegevens met betrekking tot (rechts)personen zijn opgenomen. Het EVR is raadpleegbaar door de (organisaties van de) deelnemers via een verwijzingsapplicatie. Betrokkene wordt opgenomen in het EVR indien is voldaan aan de hierna onder a en b vermelde criteria en voorts het onder c genoemde beginsel is toegepast (artikel 5.2.1 van het Protocol).
(a)De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (i) de (financiële) belangen van cliënten en/of medewerkers van een financiële instelling, alsmede de (organisatie van de) financiële instelling(en) zelf of (ii) de continuïteit en/of de integriteit van de financiële sector.
(b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat in principe aangifte wordt gedaan of een klacht ingediend bij een opsporingsambtenaar indien de gedragingen als een strafbaar feit kunnen worden aangemerkt.
(c)Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat moet zijn vastgesteld dat het belang van opname in het EVR prevaleert boven de mogelijk nadelige gevolgen voor de betrokkene als gevolg van opname van zijn persoonsgegeven in het EVR.4.5. Indien er geen reden meer is voor het vastleggen van persoonsgegevens, draagt de financiële instelling zorg voor verwijdering en is deze verplicht zodanige maatregelen te treffen dat deze gegevens niet langer toegankelijk zijn. Verwijdering moet voorts plaatsvinden binnen een periode van maximaal acht jaar, indien zich ten aanzien van betrokkene geen nieuwe aanleiding voor vastlegging heeft voorgedaan.
4.6. Ingevolge artikel 22 Wbp is de verwerking van strafrechtelijke persoonsgegevens slechts bij uitzondering toegestaan. De Hoge Raad heeft in zijn beschikking van 29 mei 2009 (LJN: BH4720) geoordeeld dat voor verwerking in overeenstemming met het Protocol van strafrechtelijke persoonsgegevens in registers die onder het regime van de Wbp vallen, een veroordeling door de strafrechter niet is vereist. Onder strafrechtelijke persoonsgegevens moeten worden verstaan “zodanige concrete feiten en omstandigheden dat zij een als strafbaar feit te kwalificeren bewezenverklaring (in de zin van artikel 350 van het Wetboek van Strafvordering) kunnen dragen”. In dat verband dient volgens de Hoge Raad als maatstaf te worden genomen of de vastgestelde gedragingen een zwaardere verdenking dan een redelijk vermoeden van schuld opleveren, in die zin dat de te verwerken strafrechtelijke persoonsgegevens in voldoende mate moeten vaststaan.
4.7. Opname in het Incidentenregister, vooral in het EVR, kan verstrekkende gevolgen hebben. Alle deelnemende banken en andere financiële instellingen kunnen immers door raadpleging van het EVR vaststellen dat betrokkene is opgenomen in het Incidentenregister van andere financiële instellingen. Dit kan ertoe leiden dat zij zullen weigeren aan de daarin opgenomen persoon hun (financiële) diensten te verlenen. Betrokkene kan dan nog slechts als meerderjarige een basisbetaalrekening (convenantenrekening) aanvragen waarmee hij aan primaire financiële verplichtingen kan voldoen. Er mag daarom niet snel worden aangenomen dat de gronden voor opname in het EVR aanwezig zijn.
4.8. ING voert het verweer dat de frauduleuze betaling aan [verzoekster] deel uitmaakt van een zogenaamde ‘phishing-fraude’, waarbij [verzoekster] heeft gediend als ‘money-mule’. Kort gezegd is de werkwijze bij deze fraudes de volgende. Criminelen ontfutselen bankgegevens aan klanten, waardoor zij de beschikking krijgen over gelden van die klanten. Deze geldbedragen worden overgeboekt naar de betaalrekening van de money-mule. De money-mule zorgt ervoor dat zijn of haar rekening nagenoeg leeg is en geeft vervolgens de betaalpas en pincode af aan degene door wie hij of zij is geronseld. Daarna kan het fraudebedrag op de rekening worden bijgeschreven en wordt dit zo snel mogelijk bij een of meer geld- en/of betaalautomaten opgenomen. Na de opnames doet de money-mule aangifte bij de politie van vermissing of diefstal van de betaalpas en/of vraagt deze een nieuwe betaalpas aan bij de bank.
Vervolgens gaat de Rechtbank in op de feiten in deze zaak en komt tot de conclusie dat er voldoende aanwijzingen zijn dat de rekeninghoudster betrokkenheid heeft bij de fraude:
4.9. Tussen partijen staat niet ter discussie dat de betaalrekening van [verzoekster] is gebruikt voor frauduleuze transacties als gevolg van phishing-fraude. Partijen verschillen echter van mening over de betrokkenheid van [verzoekster] bij de geconstateerde fraude. Hetgeen [verzoekster] ter zake van de vermissing van haar betaalpas heeft aangevoerd is naar het oordeel van de rechtbank onvoldoende om de door ING gestelde betrokkenheid van [verzoekster] bij de fraude te ontkrachten. De rechtbank neemt daarbij het volgende in aanmerking.
4.10. [verzoekster] heeft aangevoerd dat zij op 28 juni 2011 via internetbankieren een bedrag van € 200,– van haar profijtrekening op haar betaalrekening heeft gestort. De eerstvolgende keer dat zij daarna via internetbankieren op haar rekening heeft ingelogd was op 5 juli 2011 bij haar vriend thuis in Uden omstreeks 21:24 uur. Haar vriend heeft toen een uitdraai gemaakt van haar ING transacties. [verzoekster] heeft ter zitting uitdrukkelijk verklaard haar gebruikersnaam en wachtwoord, benodigd voor het inloggen, aan niemand kenbaar te hebben gemaakt.
4.11. ING heeft een lijst overgelegd met een overzicht van de momenten waarop in de periode januari 2011 tot en met 5 juli 2011 is ingelogd op de betaalrekening van [verzoekster] met nummer [nummer]. Uit de zogenaamde IP-Loggings valt af te leiden vanaf welke computer en/of Blackberry is ingelogd. Anders dan [verzoekster] heeft verklaard is op haar bankrekening ook ingelogd op 29 juni 2011 om 20:35 uur en op 4 juli 2011 om 02:47 uur, 16:24 uur, 18:05 uur en 18:24 uur. [verzoekster] had derhalve bij raadpleging van haar rekening op 29 juni 2011 om 20:35 uur moeten bemerken dat op diezelfde dag om 00:20 uur een bedrag van € 280,– van haar rekening was afgeschreven. Op 4 juli 2011 om 02:47 uur is ingelogd met de Blackberry van [verzoekster]. Op dat moment moet zij hebben kunnen constateren dat een bedrag van € 2.295,- op haar rekening was gestort en in gedeelten op verschillende tijdstippen op 1 juli 2011 weer is opgenomen. Voorts blijkt uit de lijst met IP-adressen dat op 4 juli 2011 een aantal malen is ingelogd op dezelfde computer waarmee ook op 5 juli 2011 om 21:24 uur is ingelogd bij de vriend van [verzoekster] in Uden om een uitdraai van de transacties te maken. Deze gegevens maken de verklaring van [verzoekster] (zoals ook opgenomen in haar aangifte bij de politie), waaruit valt af te leiden dat zij ná 28 juni 2011 toen zij een bedrag van € 200,– van haar spaarrekening overboekte naar haar betaalrekening, niet eerder dan op 5 juli 2011 om 21:24 uur heeft ingelogd op haar rekening, en daarom niet op de hoogte was van de voor haar onbekende bijschrijving en afschrijvingen, niet aannemelijk. Voorts zou, uitgaande van de verklaring van [verzoekster], naast de diefstal van haar betaalpas met bijbehorende pincode, ook iemand, zonder dat [verzoekster] daar zelf van op de hoogte was, de beschikking moeten hebben gekregen over haar inloggegevens voor internetbankieren. Deze laatste persoon zou dan, zoals uit de IP-Loggings valt af te leiden, voor het inloggen op de bankrekening van [verzoekster] ook gebruik hebben kunnen maken van een bij [verzoekster] bekende computer en/of Blackberry. De rechtbank acht één en ander hoogst onwaarschijnlijk. In de gegeven omstandigheden is daarom naar het oordeel van de rechtbank voldaan aan de hiervoor onder 4.6. weergegeven toets en heeft ING een gerechtvaardigd belang om de persoonsgegevens van [verzoekster] in het incidentenregister en in het daaraan gekoppelde EVR op te nemen.
4.12. Tegenover dit belang van ING staan de mogelijke nadelige gevolgen voor [verzoekster] als gevolg van opname van haar persoonsgegevens in de registers. De afweging van deze belangen valt in het nadeel van [verzoekster] uit. De rechtbank heeft bij die afweging mede in aanmerking genomen de miljoenen euro’s die met phishing-fraude zijn gemoeid alsmede de omstandigheid dat [verzoekster] nog wel kan bankieren. Zij heeft immers de mogelijkheid om een zogenaamde convenantenrekening te openen.
4.13.Het voorgaande leidt ertoe dat het verzoek zal worden afgewezen. [verzoekster] zal als de in het ongelijk gestelde partij worden veroordeeld in de kosten van dit geding.
Anke Verhoeven, SOLV, schreef over deze uitspraak een artikel “Veroordeling door strafrechter niet vereist voor opname in incidentenregister”.
Aan de incidentenregisters van financiële instellingen besteedde ik al eerder aandacht in het artikel over de jeugdige geldezel op dit weblog.
Ellen Timmer - juridische artikelen en berichten 
Mijn partner en ik hebben zelf te maken met een EVR melding, geeft u hier ook advies in en zo ja kunnen we dit aan u voorleggen?
Op basis van de gegeven informatie kan ik er weinig over zeggen. Het beste is om even te bellen of rechtstreeks te e-mailen.
De bank zegt altijd dat degene wiens pas bij dit soort praktijken betrokken was mede schuldig is, ook als daar geen bewijs voor aan te voeren is. In bovengenoemde zaak wordt niet duidelijk hoe het pinnummer in handen gekomen is van derden. Hoewel het doorvertellen van een pin-nummer in strijd is met de gebruiksvoorwaarden (zelfs binnen een gezin!) hoeft dit niet altijd op medeplichtigheid te wijzen: Kan ook domheid, onachtzaamheid (binnen het gezin!) of lichtgelovigheid zijn (de grootste groep “fraudeurs” zijn minderjarige meisjes!).
De positie van de banken is hypocriet:
1. Ten eerste doen ze zelf te weinig aan beveiliging: waarom kan je 3000 euro opnemen van een jeugdrekening? Waarom kan men geen plafond instellen? [Dit is inmiddels gewijzigd; en de epidemie is nu ingezakt]
2. De banken doen weinig om de fraude in kaart te brengen en op te lossen. Zij stellen de pinpashouder aansprakelijk, en zijn er zo van af, terwijl zonneklaar is dat dezen slechts zijlings betrokken zijn. Eén en ander blijkt ook uit het feit dat de bank de zaak zelden/nooit voor een rechtbank brengt. Het is puur zakelijk belang om de fout bij een slachtoffer te leggen — er komt helemaal geen inhoudelijke beoordeling van de feiten aan te pas.
3. Meestal zijn er meerdere pashouders bij betrokken. De banken weigeren informatie te verstrekken over overige betrokkenen. Dat geldt ook de politie — die stelt dat de banken geen overzicht willen geven over betrokken partijen of verder onderzoek mogelijke maken.
4. De politie heeft geen gespecialiseerde onderzoeksteam en er is nergens gespecialiseerde hulpverlening aan pinpashouder slachtoffers. De politie doet weinig meer dan “publiciteitsoffensieven”, maar vrijwel niks aan opsporing. In mijn geval (mijn dochter: sprake van diefstal door vriendin) heb ik de naam van de jongen die de pas heeft doorverkocht achterhaald (en via hem dus een contactpersoon bij de criminele organisatie). De politie neemt geeneens de moeite om deze (meerderjarige) jongen te bellen of bezoeken . De met twee vingers getypt en in slecht nederlands opgestelde aangifte wordt netjes in een ordner gestopt. Zie zo. Kennelijk moet ik zelf politie en strafrechter gaan spelen.
Ik vind het belachelijk dat ze zoveel moeite doen terwijl het ook in 1000 stappen minder kan…Zelf ben ik ook de dupe van geworden, ik was nog verbonden aan een rekening bij de ABN-AMRO waar ik nog een betalingsregeling had, ik stond rood en loste maandelijks 25 euro af om zodoende weer uit de rode cijfers te komen, dit deed ik via een maandelijkse overboeking vanuit een andere betaalrekening waar ik niet rood kon staan, ik had dus nooit echt meer actief gebruik gemaakt van het pasje van de ABN-AMRO want ik zat aan ABN-AMRO vast omdat ik nog maandelijkse aflossing verplicht was.
Maar toen ik (en ik herinner me deze dag alsof het gisteren was) voor koninginnenacht 2012 nog wilde inloggen om te kijken hoeveel ik nog rood stond bij de ABN(heb voor ABN altijd pasje en reader nodig gehad om mijn gegevens te kunnen inzien) kwam ik erachter dat mijn pasje niet meer in mijn portemonnee zat en ik heb zo snel als ik kon naar de ABN gebeld om mijn pasje te blokkeren en wat blijkt? ja je raad het al, toen op dat moment mocht de medewerker van de ABN mij niks vertellen, hij zei dat mijn pasje al geblokkeerd is en ik wilde weten hoe dat kon? hij vertelde mij alleen dat ik zo gauw mogelijk naar een ABN-vestiging moest langsgaan, ik dit dus gedaan en ik kreeg allerlei dingen op mij afgevuurd waarvan ik nooit zelf eerder hebt meegemaakt in real-life maar alleen af en toe wel wat gelezen hebt in de nieuwskoppen, het ging dus uiteindelijk om phishing/skimming, maar mijn vraag is hoe dat kan? aangezien ik *aantoonbaar* niet meer actief was op dat betaalrekening van ABN, er kwam geen loon meer op, er werd geen gebruik meer gemaakt van de pasje(dus wie zou mee hebben kunnen spieken om mijn pincode te achterhalen?), je kon aan mijn gebruikersgedrag zien dat ik het echt alleen nog had vanwege het feit dat ik er nog rood stond en dit per maand 25 aan het aflossen was, volgens de algemene voorwaarden dien ik inderdaad met zorg om te gaan met mijn pasje, en indien ik het kwijtraak een melding te maken van verloren of diefstal, dit heb ik direct gedaan toen ik het opmerkte. Na meerdere mailtjes gestuurd en naar de ABN gegaan heb ik van een medewerker te weten gekregen dat er in totaal voor ongeveer 4500 overgemaakt is vanaf een andere rekening van iemand die ook gedupeerd is(of medeverantwoordelijk is naar het betreffende rekening en dit alles is binnen een tijdsbestek van nog geen 20 minuten eraf gehaald!!!(dit terwijl ik altijd maar maximaal 1000euro kon pinnen binnen 1 dag!!! hij vertelde mij dat er een transactie is geweest in een Phone House??? en meerdere malen gepind in Hilversum???
Nu heeft ABN-AMRO degene waar die 4500euro vandaan kwam onschadelijk gesteld, dus die 4500 hebben ze aan diegene terugbetaald en stellen ze mij verantwoordelijk voor de opgelopen schade, ik moet hierdoor nu met rente en alles meer dan 4600euro gaan betalen?! Ze beweren dat ik medeplichtig ben aan dit voorval, makkelijk om het op mij af te schuiven maar ik heb er alles aan gedaan om dit aan te vechten, ik heb de tijdstippen nagevraagd aan de medewerker van ABN en die vertelde dat al het geld rond 13:00 is afgehaald van mijn rekening, ik ben naar mijn schoolcoordinator gegaan en heb een bewijsstuk(ondertekend en al) dat ik op dat tijdstip nog op school aanwezig was in de les, dit wordt elektronisch bijgehouden door alle docenten en tijdens elke lesuur wordt er gecontroleerd op absentie van alle leerlingen in de klas!! dit heb ik opgestuurd naar de ABN als een van de stukken waarbij ik mij onschuldig probeer te bewijzen, ook ben ik de afgelopen 10 jaren niet meer in Hilversum geweest, dit kunnen ze ook aflezen vanuit mijn ov-chipkaart, alle reizen worden bijgehouden, en je kon aflezen dat ik dagelijks netjes dezelfde reispatroon had en op welke stations ik uitstapte… maar al mijn pogingen om ze te laten beseffen dat ik onschuldig ben, ik heb ze gesmeekt camerabeelden te gebruiken bij het opsporen van de echte DIEVEN! ik heb ze GESMEEKT gebruik te maken van ip-adressering mocht die vastgelegd zijn voor de overboeking destijds…maar nee nee nee, het enige wat ze willen is geld van mij zien en de ECHTE DIEVEN laten ze maar rondlopen!!!
En het allerergste is dat de medewerker van de ABN-AMRO direct gestopt was met het communiceren naar mij nadat ik bewijsstukken ingeleverd had waarbij ervan af te lezen was dat ik niet betrokken ben geweest met dit voorval, toen ik naar de politie stapte werd er mij verteld dat mijn informatie niet voldoende was om aangifte te doen!
Ik kreeg het gevoel alsof alles en iedereen die het al goed hebben en zogenaamd in een grotere organisatie zitten met elkaar samenwerken om alle burgers te duperen en de mond te snoeien, er worden bonnetjes uitgedeeld op straat alsof de agenten speciaal worden aangenomen om bonnetjes uit te schrijven, maar ondertussen lopen de criminelen die de meeste impact kunnen bezorgen in de gehele samenleving en het volledige financiele stelsel aan het kapotmaken zijn vrij rond, wat is er toch zo moeilijk aan om camerabeelden te gebruiken en deze tijdens bijvoorbeeld ‘opsporing verzocht’ vrij te stellen om deze daders te pakken en hierdoor de keiharde criminelen bij de kraag te pakken? Nee, dat willen ze niet, ze voelen zich waarschijnlijk te hoog om deze moeite te doen, en willen door middel van een incassobureau de schade op mij verhalen.
Nu is het 2 jaar verder, ik heb niks meer gehoord van de ABN, en ook niks meer van het incassobureau *LINDORFF. Ik ben momenteel bezig met een hypotheek aanvragen samen met mijn vriendin bij AEGON, het offerte is getekend en teruggestuurd, de stukken worden beoordeeld, maar toen ik iets las over de stichting fraudebestrijding hypotheken onder algemene voorwaarden van AEGON kwam ik het woordje incidenten-externe verwijzingsregister tegen en toen schoot dat voorval in me op want volgens mij heeft ABN mij toen gemeld bij dit register, ik hoop niet dat dit voorval de hypotheekaanvraag zal afketsen, mocht dit het geval zijn, dan zal ik er alles aan doen om ervoor te zorgen dat heel Nederland inziet hoe LAKS een dergelijke bank dat hulp heeft gekregen van de staat om overeind te blijven omgaat met haar cliënten en ze de messen in de rug steekt. Ik heb alle mailtjes bewaard wat er ontvangen en verstuurd is naar de medewerker van ABN toen destijds, en nog iets waar ABN iets aan kan doen is ervoor zorgen dat brieven van september ook daadwerkelijk in september laten aankomen in plaats van oktober. Toen ik de brief ontvangen had waarin vermeld stond dat ze een legitimatiebewijs van me nodig hadden binnen 2 weken om mijn bezwaar te laten gelden waren er al bijna 3 weken voorbij gestreken, dus ja… win-win situatie, voor de bank uiteraard……..
je moet een melding maken bij klachtenkompas.nl
je verhaal hierin zetten, deze site werkt echt !
Het Klachtenkompas is een intiatief van de Consumentenbond, waarbij de klachten eerst naar de bank of de verzekeringsmaatschappij worden gestuurd. Het zou kunnen helpen als er iets mis is gegaan op het gebied van het incidentenregister, maar let er dan wel op dat de klacht goed geformuleerd wordt ingediend en dat de juiste gegevens worden toegevoegd. Het kan toch zijn dat de financiële instelling niet wil bewegen en dan zal er rechtshulp nodig zijn.