Een van de schadelijke kanten van privatisering van de criminaliteitsbestrijding naar (onder meer) banken is dat je als klant ernstige hinder en schade kunt ondervinden, maar dat de bank geen verantwoording hoeft af te leggen van de redenen om de klant als criminaliteitsrisico aan te merken.

Dat volgt uit een uitspraak van de rechtbank Den Haag tegen bunq.

Vragen van de bank
In die zaak werd de rekeninghouder lastig gevallen met akelige vragen van de bank. Mooi is dat de bank het doet voorkomen of zij in het belang van de klant handelt, want er staat:

In the interest of your accounts safety, we regularly monitor the activity and transactions on bunq accounts.

waarna vervolgens de klant zelf verantwoording moet gaan afleggen en binnen veertien dagen deze gegevens moet opsturen:

Thats why we kindly ask you to provide documents about your source(s) of income before 2023-1127.

Accepted documents are
recent salary payslip
employment contract
tax declaration
bank statement of another account of yours no older than 3 months
another document clarifying the source of the money received on your bunq account, not older than 3 months
Once you provide the requested documents, our team will review your response and get back to you in 2-4 business days.

De bank stuurt dat bericht op 13 november 2023, vervolgens worden op 17 en 21 november reminders gestuurd. Als de klant niet reageert blokkeert bunq op 24 november (dus 11 dagen na het eerste verzoek, als de termijn nog niet is verlopen) de rekeningen. Dan moet die klant wel een serieuze crimineel zijn, anders doet een bank dat toch niet zou je denken.
Diezelfde dag levert de klant gegevens aan de bank en worden zijn rekeningen gedeblokkeerd.

Inzageverzoek op grond van de AVG
De klant is niet blij met het optreden van de bank en verzoekt de bank op 29 november 2023 om inzage in gegevens over hem in het algemeen en gegevens die over hem zijn verwerkt in kader van de blokkering van zijn rekeningen.
Nu is bunq minder snel want het antwoord komt pas op 2 januari 2024. Er worden enige gegevens verstrekt, maar dat vindt de klant niet voldoende:

2.7. Op 5 januari 2024 heeft [verzoeker] de functionaris gegevensbescherming van Bunq per e-mail benaderd. In dit bericht staat:

[] Uit uw reactie blijkt dat Bunq stelt dat er momenteel geen persoonsgegevens door Bunq worden verwerkt met betrekking tot de blokkade van mijn rekening en dat eventuele logica achter de besluitvorming niet uitgelegd kan worden. Omdat ik het niet geloofwaardig vind dat Bunq geen enkele boekhouding of logs bijhoud over dergelijke ingrijpende handelingen, ben ik van plan om naar de rechter te stappen om de gebrekkige inzage op te laten lossen. Ik verzoek Bunq daarom onder artikel 18 van de AVG om al mijn persoonsgegevens die relevant zijn voor mijn inzageverzoek veilig te stellen en te voorkomen dat deze worden gewist.
Mocht u per abuis vergeten zijn een bijlage met de gevraagde informatie bij te voegen verzoek ik u die voor 10 januari 2024 aan mij te verstrekken.[]

Bunq verklaart aan het verzoek te voldoen.

Verzoek aan de rechtbank
De klant dient op 5 februari 2024 een AVG-verzoek bij de rechtbank in. Twee maanden later, in april, komt de bank aanvullende gegevens:

2.10 Op 10 april 2024 heeft Bunq aan [verzoeker] aanvullende gegevens verstrekt die Bunq in relatie tot [verzoeker] heeft verwerkt. Het gaat daarbij om naam, contactgegevens, nationaliteit, aantal betalingen en risicoscore van [verzoeker] en de documentatie die [verzoeker] zelf heeft aangeleverd om (de herkomst van) zijn inkomsten vast te stellen. Ook heeft Bunq meegedeeld welke online publieke bronnen over [verzoeker] door Bunq zijn geraadpleegd.

2.11 Op 23 april 2024 heeft Bunq een nadere toelichting aan [verzoeker] verstrekt omtrent de blokkering van zijn rekeningen. Daarbij heeft Bunq toegelicht dat de reden dat een cliëntenonderzoek naar hem is ingesteld een hit van het Transactie Monitoringsysteem op een bepaalde betalingstransactie van [verzoeker] is geweest.

Dat vindt de klant niet voldoende, want zijn verzoek omvatte meer:

3.1 [verzoeker] verzoekt dat Bunq wordt opgedragen om hem volledige inzage in zijn persoonsgegevens te verschaffen, inclusief alle informatie die staat gespecificeerd in artikel 15 AVG. Zonder het verzoek te beperken tot deze specifieke elementen gaat het [verzoeker] in bijzonder om de volgende informatie:

1. een kopie van alle persoonsgegevens die betrekking hebben op de volgende aspecten:

a. informatie over [verzoeker] die aanleiding is geweest voor de controle en de daarop volgende blokkade en opheffing van de blokkade;
b. informatie die over [verzoeker] is verwerkt als onderdeel van het besluitvormingsproces rondom de blokkade en de opheffing daarvan, inclusief de opmerkingen van medewerkers over [verzoeker] , risicoprofielen die zijn opgesteld en informatie die met derde partijen is uitgewisseld;

2. indien de persoonsgegevens van [verzoeker] zijn ontvangen door derde partijen, inzage in deze gegevens, evenals inzage in de ontvangers binnen Bunq waarbij de functieomschrijving of naam van de afdeling van de ontvanger voldoende informatie is;
3. indien er persoonsgegevens van [verzoeker] van externe bronnen zijn ontvangen, inzage in wat die bronnen zijn, ook als het gaat om openbare bronnen;
4. indien er gebruik is gemaakt van geautomatiseerde besluitvorming of gerelateerde verwerkingen zoals het toekennen van risicoprofielen wil [verzoeker] betekenisvolle inzage in de logica van de verwerking en de voorziene gevolgen van deze verwerking.

De klant handhaaft zijn verzoek aangezien de klant nog steeds niet weet waarom zijn rekeningen geblokkeerd zijn geweest en er geautomatiseerde besluitvorming als bedoeld in artikel 22 AVG heeft plaats gevonden.

Bunq weigert meer informatie te verstrekken en stelt dat het haar niet vrij staat om meer informatie over het cliëntenonderzoek, met name de opzet daarvan, te verstrekken dan zij tot nu toe heeft gedaan. Verder beroept de bank zich op de uitzonderingsgronden van artikel 41 UAVG (3.3):

Tot slot stelt Bunq dat zij, met een beroep op de uitzonderingsgronden van artikel 41 Uitvoeringswet Algemene Verordening Gegevensbescherming (hierna: UAVG), geen verdere inzage hoeft te verlenen met het oog op het voorkomen van strafbare feiten en het beschermen van bedrijfsgeheimen. Bunq moet voldoen aan de plichten die voor haar voortvloeien uit de Wet ter voorkoming van witwassen en financieren van terrorisme (hierna: Wwft) en maakt daarbij onder andere gebruik van haar Transactie Monitoringsysteem. Het prijsgeven van de werking van dat systeem en de besluitvorming daaromtrent levert een risico op dat kwaadwillende personen het systeem zullen omzeilen.

Oordeel rechtbank
De rechtbank wijst een deel van het verzoek af met als argument dat Bunq heeft voldaan aan dat deel van de verzoeken van de klant en de klant daarom geen belang meer heeft.

Voor het overige worden de verzoeken afgewezen op andere gronden.
De rechter oordeelt dat geen sprake zou zijn geweest van geautomatiseerde besluitvorming, omdat het Transactie Monitoringssysteem van de bank een hit heeft opgeleverd die vervolgens door medewerkers is beoordeeld (4.9, 4.10) [*]
Vervolgens honoreert de rechtbank het beroep van de bank op artikel 41 UAVG:

4.12 Bunq heeft op grond van de Wwft verschillende verplichtingen om witwassen en financiering van terrorisme te voorkomen. Bunq heeft toegelicht dat een betalingstransactie van [verzoeker] een hit gaf in het Transactie Monitoringssysteem en Bunq op basis daarvan meende op grond van de Wwft een cliëntenonderzoek in te moeten stellen. Inzage in het proces van informatieverzameling en -selectie alsmede de besluitvorming van Bunq op basis hiervan, kan tot gevolg hebben dat inzicht wordt gegeven in de werking en de triggers van het Transactie Monitoringssysteem. Het bekend worden van deze informatie kan tot gevolg hebben dat kwaadwillende personen kennis vergaren waarmee de werking van het systeem kan worden ondermijnd. De rechtbank is van oordeel dat in deze zaak het belang van Bunq om aan de wettelijke plichten uit de Wwft te voldoen en daarmee bij te dragen aan het voorkomen van strafbare feiten zwaarder weegt dan het individuele belang van [verzoeker] bij concretisering waarom hij is onderworpen aan een cliëntenonderzoek. De rechtbank weegt daarbij mee dat [verzoeker] ervan op de hoogte is gesteld dat een betalingstransactie aanleiding is geweest voor het cliëntenonderzoek en dat hij inzage heeft in alle door hemzelf verrichte betalingstransacties. Daarmee is [verzoeker] dus niet volledig verstoken gebleven van enige vorm van toelichting.

Dat is een gevaarlijk oordeel, want het heeft tot gevolg dat de bank ongebreideld fouten kan maken bij de risicoprofilering, zonder dat een klant die fouten kan onderkennen en corrigeren.

[*] De vraag is of hier wel sprake is geweest van betekenisvolle menselijke tussenkomst, dat stelt de rechtbank niet aan de orde.
Lees ook het advies van de landsadvocaat over de toepasselijkheid van artikel 22 AVG. Daarin wordt besproken dat een besluit om handmatig te controleren (mede) afhankelijk is geweest van de uitkomsten van een profilerend selectiesysteem (pagina 18 eerste alinea). Door een dergelijk besluit kan een betrokkene in aanmerkelijke mate worden getroffen (ook al is de uitkomst gunstig). Een dergelijke ‘handmatige controle’ naar aanleiding van een automatische ‘hit’ was in de bunq zaak ook aan de orde.

Aanvulling 6 november 2024
Lees over de uitspraak ook het artikel Banken hoeven je niet te vertellen waarom je een frauderisico bent, oordeelt de rechtbank van Jan-Hein Strop op Follow the Money (betaalmuur).