In de financiële sector zijn vele stichtingen actief, die door de sector worden gefinancierd en voor de financiële instellingen taken uitvoeren. Deze stichtingen moeten zich aan de Europese privacyregels in de Algemene Verordening Gegevensbescherming (AVG) houden. Onlangs was Stichting Bureau Krediet Registratie (BKR), het kredietregistratiebureau [1] van de financiële instellingen in het nieuws vanwege niet-naleving van de AVG. BKR is niet de enige financiële sector-stichting waar de AVG aandacht verdient.

Zwarte lijsten
Voor burgers, ondernemingen en organisaties zijn de stichtingen belangrijk die in opdracht van de financiële sector registreren wie er op de zwarte lijst staan. De instellingen kennen een interne zwarte lijst, vaak als ‘Intern Verwijzingsregister’ (IVR) aangeduid. Daarnaast wisselen instellingen onderling gegevens uit van mensen die op de externe zwarte lijst staan, bij de banken heet dit het ‘Extern Verwijzingsregister’ (EVR). Mensen kunnen op de zwarte lijst worden gezet bij een vermoeden van fraude, dan wel als zij daarvoor veroordeeld zijn.

Een van die stichtingen is Stichting Centraal Informatie Systeem van in Nederland Werkzame Verzekeringsmaatschappijen, een stichting die ik in 2019 niet kon vinden in het handelsregister,  omdat hun handelsnaam ‘Stichting CIS’ daar niet was ingeschreven. Bij Stichting CIS worden mensen geregistreerd die door verzekeraars op de zwarte lijst zijn gezet.

Als mensen door Stichting CIS zijn geregistreerd, krijgen zij geen bericht van de stichting. Vorige jaar stuurde ik een brief aan de stichting en kreeg in december 2019 dit antwoord:

Indien uw klacht over de inhoud van de registratie gaat kan CIS u klacht niet in behandeling nemen omdat zij slechts beheerder van de CIS databank is. Hiervoor verwijst CIS u naar de klachtencommissie van de betreffende verzekeraar of volmacht. Indien de reactie hierbij niet het gewenste resultaat heeft kan CIS u doorverwijzen naar het Kifid of eventueel de rechter.

Daaruit blijkt dat Stichting CIS veronderstelt dat zij slechts ‘verwerker’ is in opdracht van de verzekeringsmaatschappijen, wat naar mijn idee een onjuiste veronderstelling is. Ik ga er van uit dat deze stichting op grond van de AVG verwerkingsverantwoordelijk is. Dat betekent dat Stichting CIS zelf de geregistreerden moet informeren en hun correctieverzoeken in behandeling moet nemen.

Overigens is het systeem van plaatsing op de zwarte lijst ondoorzichtig en gaan financiële instellingen er soms niet correct mee om, zodat er alle aanleiding is een en ander te reguleren en te zorgen voor goede rechtsbescherming.

Autoriteit Persoonsgegevens
In een artikel van de NOS [2] las ik dat de voorzitter van de Autoriteit Persoonsgegevens al heeft gesignaleerd dat het BKR inzage hoort te verlenen en voor correctie ten onrechte verwijst naar de financiële instellingen. De doorverwijzing voor correctie is  in strijd is met de AVG, zo constateert de voorzitter van de Autoriteit Persoonsgegevens in het artikel, die zegt dat nog niet is onderzocht of BKR de AVG op dit punt overtreedt.

Werk aan de winkel
Uit het bovenstaande kan worden afgeleid dat er in de financiële sector nog het nodige te doen is aan de naleving van de verplichtingen op grond van de AVG. Om te beginnen zou het goed zijn als inzage- en correctierecht voor alle stichtingen in de financiële sector conform de AVG worden geregeld.

Overigens dringen financiële instellingen aan op afwijkende regels op het gebied van privacy, aangezien zij de AVG als belemmerend ervaren, met name in verband met hun opsporingstaak op grond van de Wwft [3]. Die afwijkende regels zijn sowieso nodig als de banken gezamenlijk alle transacties van rekeninghouders gaan monitoren via Transactiemonitoring Nederland.

—

[1] BKR is de datahandelaar van de financiële sector en doet bijvoorbeeld ook onderzoeken naar wie politiek prominente personen (‘PEP’s’) zijn in de zin van de Wwft.

[2] NOS: Geld vragen voor inzien dossier mag niet, boete voor Bureau Krediet Registratie, 6 juli 2020.

[3] In het artikel Fraude in het betalingsverkeer in een uitgave van de Nederlandse Vereniging van Banken (NVB), wordt een vraag aan de geïnterviewde bankmedewerkster gesteld: “Wat ziet u als belangrijkste uitdaging voor de fraudebestrijders van de banken?
“Dat is zonder meer het opereren binnen de regels van de privacywetgeving. Banken in Nederland moeten meer doen om de privacy van klanten te beschermen dan ze mogen doen om fraude te bestrijden. Een vermoeden van fraude mag je op basis van privacywetgeving niet neerleggen bij andere banken en je mag dan geen persoonsgegevens over de vermeende fraudeur uitwisselen. Daardoor kun je niet altijd goed verifiëren of je vermoedens juist zijn. Dat is voor ons erg lastig, vooral omdat je juist snel wilt acteren. Als je geen verificatie kunt doen, blijft het soms bij een vermoeden.””