Nieuw Protocol Incidentenwaarschuwingssysteem Financiële Instellingen goedgekeurd
Op 20 augustus 2021 is het nieuwe Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI), ingaande per 1 april 2021 voor vijf jaren, goedgekeurd door de Autoriteit Persoonsgegevens (AP). Ook zijn er vergunningen verstrekt aan financiële instellingen om het PIFI te gebruiken.
Wat is PIFI?
In het PIFI worden door financiële instellingen gegevens over fraude vastgelegd. Deze gegevens kunnen worden uitgewisseld met andere financiële instellingen die over een vergunning van de AP beschikken.
Hoe werkt PIFI?
Het PIFI lijkt op het eerste oog zorgvuldig te werken. Dit komt door een getrapt systeem van informatieverschaffing. Financiële instellingen stellen namen van fraudeurs beschikbaar aan een Extern verwijzingsregister (EVR). Dit kan op een hit/no-hit werkwijze worden geraadpleegd. Is er een hit, dan kan navraag worden gedaan bij de afdeling Veiligheidszaken van de financiële instelling die de naam in het EVR heeft geplaatst.
De onderzoekende afdeling Veiligheidszaken bepaalt welke persoonsgegevens uit het Incidentenregister kunnen worden verstrekt aan de bevraagde afdeling Veiligheidszaken. Deze verstrekking dient te voldoen aan het proportionaliteits- en subsidiariteitsbeginsel. De interne afwegingen om te komen tot de verstrekking, de wijze van bevragen, de wijze waarop de Betrokkene wordt geïnformeerd en als dat niet gebeurt de redenen hiervan, de proportionaliteits- en subsidiariteitsafweging, worden vastgelegd door Veiligheidszaken in haar administratie.
De bevraagde afdeling Veiligheidszaken kan pas na eigen toetsing aan het proportionaliteits- en subsidiariteitsbeginsel overgaan tot verstrekking van persoonsgegevens. Deze gegevens zijn door de bevraagde Financiële Instelling verwerkt aan de vragende afdeling Veiligheidszaken.
De uitwisseling van persoonsgegevens
De uitwisseling dient toereikend, ter zake dienend en beperkt te zijn tot wat noodzakelijk is voor de doeleinden waarvoor de Persoonsgegevens worden verwerkt. De interne afwegingen om te komen tot de verstrekking, de wijze van verstrekken, en de proportionaliteits- en subsidiariteitsafweging worden vastgelegd door Veiligheidszaken in haar administratie.
Nadelen voor de betrokkene
De vraag is echter hoe in de praktijk het PIFI zal functioneren. De grondslag voor de verwerking is het gerechtvaardigde belang van de financiële instellingen. Die bestaan uit het bewaken van de integriteit van het financiële stelsel en de daaraan gekoppelde wettelijke poortwachtersfunctie. Koppel daaraan de grote druk op financiële instellingen om te voldoen aan wetgeving tegen witwassen en terreurbestrijding, dan valt te betwijfelen of de proportionaliteits- en subsidiariteitsafweging ooit in het voordeel van een geregistreerde betrokkene kan uitpakken.
Dat begint al bij de beslissing van de financiële instelling om bepaalde persoonsgegevens op te nemen in het EVR. In de Annex bij het PIFI 2021 is opgenomen dat het uitgangspunt bij plaatsing in het EVR een gerechtelijke procedure moet kunnen worden aangetoond, dat afdoende bewijs aanwezig is om de kwalificatie fraude of een andere onoorbare of strafbare gedraging te dragen ten opzichte van een aantoonbaar betrokken (rechts)persoon. Met andere woorden, de financiële instelling maakt zelf deze afweging, het gaat niet om daadwerkelijke veroordelingen. Verder is in het PIFI bepaald dat bij opname in het EVR het proportionaliteitsbeginsel in acht wordt genomen.
Conform de Annex bij het PIFI 2021 dient voor eventuele plaatsing in het EVR het belang van de Deelnemer, bij opname, te worden afgewogen tegen de gevolgen van de opname voor de betrokkene. De gevolgen van opname moeten in verhouding staan tot de gewraakte gedraging en de overige omstandigheden van het geval. Deze waarborgen moeten de behoorlijkheid van de verwerking borgen.
Zelfs als alle geregistreerde gegevens reden geven om het voordeel van de twijfel te geven aan de betrokkene, is het afbreukrisico voor de financiële instelling veel groter dan het belang van de betrokkene.
Eens geregistreerd als fraudeur, altijd geregistreerd als fraudeur?
De -overigens goed verklaarbare- risico-averse cultuur bij compliance-afdelingen geeft reden om te vrezen. Het uitgangspunt ‘eens een fraudeur, altijd een fraudeur’ geeft weinig aanleiding om welwillend te onderzoeken of de vermelding in het Extern verwijzingsregister op een vergissing berust, of eigenlijk weinig relevantie heeft voor die specifieke situatie. Maar hoe kan ervoor gezorgd worden dat er geen met de toeslagenaffaire vergelijkbare situatie ontstaat? Het is niet de bedoeling dat de druk die is opgelegd op de bankensector uitdraait op een snoeiharde afwijzingspraktijk. Welke remedies heeft de betrokkene bij afwijzing?
Voor betreffende de afwijzingspraktijk, valt te vrezen dat die inderdaad keihard wordt. Met een beroep op het grote belang van het schoonhouden van de financiële sector, dat door de rechtbank niet wordt gemitigeerd.
Is er nog iets tegen te doen?
De betrokkene staat met vrijwel lege handen. In ieder geval heeft het PIFI als veiligheidsklep dat financiële instellingen geen basisbetaalrekening of basiszorgverzekering mogen weigeren. Daarmee is echter ook al de grens bereikt van wat volgens de AP de uitgevoerde proportionaliteits- en subsidiariteitstoets nog kan doen voor de betrokkene.
Voor de private uitwisseling van fraude-informatie is geen specifiek wettelijk kader van toepassing. Derhalve dient te worden aangesloten bij het algemene stelsel van gegevensbeschermingsbeginselen zoals neergelegd in de AVG en de UAVG. Echter is het wel zo dat de verwerking van strafrechtelijke gegevens alleen met vergunning van de AP mag geschieden.
Meer weten over bescherming privacy?
Bij Fruytier Lawyers in Business zijn wij gespecialiseerd in de AVG en andere wetgeving rondom privacyrecht. Wilt u hierover meer weten dan kunt u contact met ons opnemen.