De Autoriteit Persoonsgegevens (AP) heeft een nieuwe versie van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI) goedgekeurd. Daarin is geregeld dat financieel dienstverleners onder strikte voorwaarden gegevens mogen registreren en/of delen bij (een sterk vermoeden van) crimineel gedrag. De belangrijkste wijziging ten opzichte van eerdere protocollen is dat de tekst van dit nieuwe Protocol in lijn is gebracht met de Algemene Verordening Gegevensbescherming (AVG).
Er is financiële instellingen veel aan gelegen om fraude te voorkomen en misbruik van het financiële stelsel tegen te gaan. Een waarschuwingssysteem is daarbij essentieel. Dat moet ervoor zorgen dat misbruikpogingen worden onderkend en niet leiden tot verdere schade bij andere financiële instellingen. Dat is ook een maatschappelijk belang, omdat fraude en misbruik rechtstreeks kunnen leiden tot benadeling van klanten en ten koste kunnen gaan van het vertrouwen in het financiële stelsel.
Een klant die in de fout is gegaan, wordt door een bank of andere financiële instelling geregistreerd. Om te voorkomen dat die klant bij een andere partij alsnog financiële diensten kan afnemen, zijn sommige gegevens ook voor andere financieel dienstverleners toegankelijk. Maar dat staat haaks op de privacywetgeving. Die verbiedt in beginsel het registreren van persoonsgegevens en het delen ervan. De Autoriteit Persoonsgegevens (AP) heeft nu een nieuw protocol goedgekeurd, waarin is vastgelegd in welke gevallen klantgegevens toch geregistreerd en/of gedeeld mogen worden.
Er is al sinds 2002 sprake van gegevensuitwisseling omtrent frauduleus gedrag. Dat verandert niet in 2021. Het belang van gegevensuitwisseling voor de financiële instellingen en de samenleving als geheel is groter dan het individuele recht op privacy. Maar die gegevensuitwisseling moet wel heel zorgvuldig gebeuren. Daarom zijn er strenge regels. Die zijn vastgelegd in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).
Het PIFI biedt ook waarborgen voor de betrokkenen. In de nieuwe versie van het protocol zijn de regels in lijn gebracht met de AVG. Die is op 25 mei 2018 ingegaan. Nu geldt in de hele EU dezelfde privacywetgeving.
In 2002 startten de Nederlandse Vereniging van Banken (NVB), het Verbond van Verzekeraars (Verbond) en de Vereniging van Financieringsondernemingen in Nederland (VFN) het Incidentenwaarschuwingssysteem Financiële Instellingen (IFI). Het IFI biedt aangesloten financiële instellingen de mogelijkheid om gegevens over frauderende personen of ondernemingen te registeren en uit te wisselen. De voorwaarden werden vastgelegd in het PIFI. In 2004 is de Stichting Fraudebestrijding Hypotheken (SFH) gaan deelnemen, in 2011 Zorgverzekeraars Nederland en in 2013 de Federatie van Onderlinge Verzekeringsmaatschappijen.
In 2011 heeft de voorganger van de AP (het College bescherming persoonsgegevens) een wijziging van het protocol uit 2002 goedgekeurd. De goedkeuring gold voor 6 jaar en moest daarom in 2017 worden verlengd. Die termijn is telkens opnieuw verlengd.
Klanten zijn tot nu toe dus nog volgens het laatste protocol uit 2011 getoetst. De partijen (AP en de financiële instellingen) zijn lang bezig geweest om een nieuw protocol op te zetten. Sinds 1 april 2021 is dat er. En in augustus 2021 gaf AP ruim 160 financiële instellingen een vergunning om gebruik te maken van dit nieuwe PIFI 2021. Het nieuwe protocol en de AP-vergunningen zijn 5 jaar geldig.
Het Incidentenwaarschuwingssysteem Financiële Instellingen (IFI), waarop het PIFI betrekking heeft, maakt gebruik van een intern en een extern register. Het interne register wordt IVR (Intern Verwijzingsregister) genoemd en het externe register EVR (Extern Verwijzingsregister).
Een medewerker van een financiële instelling mag niet zomaar namen opzoeken in het register. En al helemaal niet wat voor incident er heeft plaatsgevonden. Alleen als er klantcontact is of als er sprake is van een nieuwe klant, kan een IVR/EVR geraadpleegd worden om te zien of een klant geregistreerd staat.
Een klant heeft het recht te weten dat hij geregistreerd staat. De financiële instelling die de klant registreert, moet de klant op de hoogte stellen van registratie. Er is wel een uitzondering op die regel: als er strafrechtelijk onderzoek wordt gedaan naar de klant of handlangers, is het vaak verstandig om nog niets te melden over registratie. Dat zou immers een waarschuwing kunnen zijn, wat het onderzoek kan dwarsbomen.
Wanneer een klant weet dat hij geregistreerd staat, kan hij bezwaar aantekenen. Mocht dat bezwaar nergens toe leiden, dan kan hij een klacht bij het Kifid indienen.
De duur van de registratie in IVR/EVR is maximaal 8 jaar vanaf het moment van het laatste incident. Op grond van proportionaliteit kan de termijn korter zijn.
Er zijn veel voorbeelden van IVR/EVR-geregistreerden die bij het Kifid klaagden over de registratie. Dat heeft vrijwel nooit geleid tot verwijdering uit het register, behalve bij foute registraties. Wat wel met enige regelmaat gebeurt, is dat het Kifid oordeelt dat de duur van de registratie te lang is en daarmee disproportioneel. Soms wordt geoordeeld dat een nooit eerder veroordeeld jong persoon, die zijn bankpasje beschikbaar stelt aan oplichters (geldezel), bij een registratie van 8 jaar bijvoorbeeld onnodig hard getroffen wordt. De duur van registratie moet dan op last van het Kifid worden ingekort van 8 jaar naar 6 jaar, of soms 4 jaar. Dit is telkens afhankelijk van het specifieke geval.
Bekijk hier het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).
NIBE-SVV heeft een hele reeks opleidingen waarin fraudepreventie en -bestrijding aan de orde komen. Bekijk hier de opleidingspagina met de diverse opleidingen.