Phishing en incidentenregister
Rechtbank Amsterdam 15 december 2011, LJN BV2295 (Phishing ING) / LJN BV2297
Twee beschikkingen. Wbp. Incidentenregister. Phishing. Bank heeft gerechtvaardigd belang om de persoonsgegevens te verwerken. Proportionaliteitstoets valt uit in het voordeel van de bank.
De benadeelde heeft aangifte gedaan van oplichting althans frauduleuze overboekingen bij de politie Utrecht en heeft de schade eveneens gemeld bij ING. ING heeft de betaalrekening van [B] geblokkeerd.
ING heeft [B] bericht dat in een onderzoek naar fraude naar voren is gekomen dat [B] hiermee te maken had en is deze kwestie voor ING Bank N.V. aanleiding om uw persoonsgegevens op te nemen in het incidentenregister. Verzoek strekt ertoe om gegevens van haar [A] en haar zoon [B] te verwijderen. Er is sprake van opzettelijke benadeling van ING en oneigenlijk gebruik van de producten en diensten van ING. Verwerking van persoonsgegevens in het incidentenregister conform het protocol dat voldoende waarborgen biedt en doorstaat de proportionaliteitstoets.
4.7. De rechtbank stelt voorop dat het opnemen van de persoonsgegevens van [B] in het incidentenregister en het daaraan gekoppelde EVR is aan te merken als een verwerking van persoonsgegevens, waarop de Wbp van toepassing is. Deze verwerking vindt zijn grondslag in het gerechtvaardigde belang als bedoeld in artikel 8 sub f Wbp van ING en de overige bij het EVR aangesloten financiële instellingen. Dit artikel schrijft voor dat bij het verwerken van persoonsgegevens een afweging wordt gemaakt tussen het gerechtvaardigd belang van – in casu – ING om de gegevens te verwerken in het incidentenregister en het EVR en het belang van [B] op bescherming van zijn persoonlijke levenssfeer. ING voert aan dat zij bij haar besluit de voorwaarden van het protocol in acht heeft genomen. Blijkens de preambule van het protocol is het protocol een toelichting op de aanmelding van het incidentenregister bij het College Bescherming Persoonsgegevens. De doelstelling van het incidentenregister is het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector. De rechtbank is van oordeel dat het protocol kan worden beschouwd als een regeling die voldoende waarborgen biedt voor een rechtmatige verwerking van persoonsgegevens zoals de Wbp die voorschrijft, zodat het protocol als uitgangspunt zal gelden bij de beoordeling van het onderhavige geschil.
4.10. Gelet op het voorgaande is de rechtbank van oordeel dat sprake is van opzettelijke benadeling van ING en oneigenlijk gebruik van de producten en diensten van ING door [B]. Dat ING geen aangifte heeft gedaan tegen [B] staat hier niet aan in de weg, nu het feit gelet op de verklaring van [B] jegens de politie reeds voldoende vast is komen te staan, er momenteel een strafrechtelijk onderzoek loopt naar het voorval en de benadeelde zelf aangifte heeft gedaan van de fraude bij de politie. De uiteengezette omstandigheden vormen een bedreiging van de continuïteit en de integriteit van financiële instellingen in het algemeen en voor de onderneming van ING in het bijzonder. ING had derhalve een gerechtvaardigd belang om de persoonsgegevens van [B] te verwerken in het incidentenregister en het daaraan gekoppelde EVR.
4.12. De rechtbank is van oordeel dat bij de afweging van de belangen van partijen, het onder 4.10 weergegeven belang van ING thans dient te prevaleren boven de door verzoekster gestelde belangen van haar zoon [B]. Vast staat immers dat ING is benadeeld door handelingen die zijn verricht met gebruikmaking van de betaalrekening, betaalpas en pincode van [B] en dat [B] hieraan bewust en vrijwillig heeft meegewerkt. Blijkens het tijdens de mondelinge behandeling overgelegde rapport van de Raad voor de Kinderbescherming (zie hiervoor onder 2.9) is de thans nog minderjarige [B] kwetsbaar en beïnvloedbaar, hetgeen het risico op herhaling vergroot. Naar het oordeel van de rechtbank is derhalve onvoldoende gebleken dat [B] disproportioneel wordt geraakt in zijn belangen door opname van zijn persoonsgegevens in het incidentenregister en het EVR.
4.14. Ten aanzien van de stelling van verzoekster dat op ING de plicht rust om het fundamentele beginsel van hoor en wederhoor toe te passen, hetgeen concreet inhoudt dat zij een individuele betrokkene confronteert met haar bezwaren en deze in staat stelt daarop te reageren voordat tot registratie wordt overgegaan, overweegt de rechtbank als volgt.
ING voert terecht aan dat er op grond van de hiervoor reeds geschetste omstandigheden in het onderhavige geval geen twijfel mogelijk was omtrent de betrokkenheid van [B] bij de fraude. De rechtbank is derhalve met ING van oordeel dat het niet noodzakelijk was om [B] (dan wel zijn moeder) vooraf te horen. Dit geldt te meer nu er, zoals aangevoerd door ING, op grond van het protocol voldoende mogelijkheden bestaan om achteraf bezwaar te maken tegen opname in het incidentenregister en het EVR. Derhalve is de rechtbank van oordeel dat ING aan de zorgvuldigheidseisen die gelden bij de totstandkoming van een registratie in het incidentenregister en/of het EVR heeft voldaan en dat zij dus niet onzorgvuldig heeft gehandeld jegens [B].