De zaak
Kredietverstrekker Defam ontving via een tussenpersoon een digitale aanvraag voor een persoonlijke lening van 45.500 euro voor een man en zijn echtgenoot. De kredietverstrekker vertrouwde de meegezonden loonstroken niet; zo hadden beiden hetzelfde personeelsnummer. Via het bijgevoegde bankafschrift met salarissen kwam Defam bij ING terecht – en die bank wist te vertellen dat de enige échte inkomsten op die rekening een Wajong-uitkering betrof, uitgekeerd door het UWV.
Direct registreerde Defam het stel voor vijf jaar in het Extern Verwijzingsregister (EVR), de zwarte lijst waarin banken en andere financiële instellingen malafide klanten opnemen. Aangesloten instellingen raadplegen dit EVR weer om fraudeurs te kunnen uitsluiten.
De man en zijn echtgenoot stelden niets van een leningaanvraag te weten. Toch deed Defam aangifte van poging tot oplichting en valsheid in geschrifte. De politierechter veroordeelde de man, maar in hoger beroep sprak het gerechtshof hem vrij. De zaak tegen de echtgenoot werd geseponeerd vanwege onvoldoende bewijs. Op verzoek van het stel verwijderde Defam hun gegevens uit het EVR, een kleine vier jaar na de registratie.
De twee lieten het er niet bij zitten. Ze stelden de kredietverstrekker aansprakelijk voor hun (nader te bepalen) schade. Na opname in het EVR had ING hun bankrekeningen geblokkeerd, en kwamen de twee niet meer in aanmerking voor een creditcard of andere ING-producten.
Omdat de rechtbank hun eis Defam aansprakelijk te stellen voor hun schade afwees, ging het stel in hoger beroep.
De uitspraak:
Defam zat fou
Het gerechtshof Arnhem-Leeuwarden oordeelt dat Defam ten onrechte de persoonsgegevens van het stel heeft geregistreerd en die registratie heeft gehandhaafd. Daarmee heeft de kredietverstrekker de privacyregels geschonden.
Vóór registratie had Defam al moeten onderzoeken of het stel echt betrokken was bij de vervalste loonstroken en bankafschriften. Dat had het bedrijf nagelaten; zo was met het stel geen contact opgenomen. Ook nadat beiden bezwaar maakten, had Defam verder onderzoek moeten doen. Vooral omdat ze aangaven Defam niet te kennen, geen krediet te hebben aangevraagd en slachtoffer te zijn geweest van identiteitsfraude. Daarvan hadden ze ook aangifte gedaan.
Het gerechtshof vindt schade aannemelijk, omdat het stel geen leningen meer kon krijgen. Voor bepaling van die schade is een nieuwe procedure nodig.
Het commentaar
„Het gerechtshof maakt hier nogmaals duidelijk dat de drempel voor een registratie hoog is”, licht Anna Berlee toe, hoogleraar gegevensbescherming en privacyrecht aan de Open Universiteit. „De gevolgen zijn immers verstrekkend. Eénmaal geregistreerd, zijn alle aangesloten financiële instellingen op de hoogte. Dat kan ertoe leiden dat mensen bijvoorbeeld geen bankrekening of lening meer kunnen krijgen.”
Het Extern Verwijzingsregister is bedoeld om andere financiële instellingen te waarschuwen voor iemand die bijvoorbeeld strafbare feiten heeft gepleegd. Berlee: „Financiële instellingen moeten zichzelf, consumenten en het financiële stelsel beschermen. Ook bankmedewerkers kunnen geregistreerd worden. Je wil niet dat een werknemer die ernstige feiten bij de ene bank heeft gepleegd, de volgende dag aan het werk gaat bij een andere.”
Uitspraken als deze ziet Berlee niet zo vaak. „Meestal gaat de discussie over de belangenafweging die de financiële instelling moet maken bij registratie of een verzoek om verwijdering.” Daar staat dan het belang om andere instellingen te waarschuwen tegenover mogelijk nadelige gevolgen voor de betrokkene.
Maar deze zaak betreft een vraag die daaraan voorafgaat: is degene die de financiële instelling in het vizier heeft, wel betrokken bij het voorval dat tot registratie leidt. „Dat moet voldoende vaststaan.”
Ook winkeliers, horeca en autoverhuurders delen persoonsgegevens van klanten die ze willen weren. Bijvoorbeeld van winkeldieven, overlastgevers en malafide huurders. Om strafrechtelijke gegevens te kunnen delen met derden, is een vergunning nodig van de Autoriteit Persoonsgegevens. Die stelt voorwaarden voor opname op een zwarte lijst.
Of het vaker voorkomt dat iemand geregistreerd wordt na identiteitsfraude, weet Berlee niet. „Uit deze zaak blijkt ook niet of identiteitsfraude de oorzaak was. Datalekken komen voor, en op het dark web kun je paspoortkopieën en mailadressen kopen. Hoe minder informatie je moet aanleveren om online een lening aan te vragen, hoe makkelijker het wordt om identiteitsfraude te plegen. Des te belangrijker is het dan dat de kredietverstrekker controleert wie de aanvrager is.”
Of ING de bankrekeningen van het stel eigenlijk wel mocht sluiten? Berlee: „ING heeft zijn eigen afdeling Veiligheidszaken. Die moet zelf onderzoek doen. Ik ga ervan uit dat ING op basis daarvan tot de conclusie kwam dat de bankrekeningen geblokkeerd moesten worden. Maar een instelling mag niet automatisch tot zo’n blokkering overgaan vanwege de enkele registratie door een andere instelling. Daarvoor is het systeem niet bedoeld. Het dient echt als waarschuwing.”
Uitspraak: gerechtshof Arnhem-Leeuwarden, 5 maart 2024, ECLI:NL:GHARL:2024:1639
Olivia den Hollander is verbonden aan The Investigative Desk, een groep gespecialiseerde onderzoeksjournalisten
