AVG spelregels bij de toepassing van sectorale wetgeving

23 mei 2024 / in Nieuws / door Leandra Beerendonk

In april 2024 deed de Geschillencommissie van het Klachteninstituut Financiële Dienstverlening (Kifid) uitspraak over de toepassing van de Algemene Verordening Gegevensbescherming (AVG) en de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) door NIBC Bank.

Deze zaak dient hopelijk als een wake-up call voor talloze organisaties: duidelijke communicatie en strikte naleving van wettelijke verplichtingen zijn niet alleen juridische vereisten, maar ook fundamenteel voor een goede klantrelatie, het behoud van integriteit binnen het (financiële) systeem en de bescherming van persoonsgegevens. Dit artikel belicht de belangrijkste aspecten (voor gegevensbescherming) van dit bindend advies.

 

Achtergrond

Een consument had sinds 2017 een spaarrekening bij NIBC Bank. In september 2023 werd de toegang tot zijn online bankomgeving tijdelijk geblokkeerd zodat hij verplicht werd tot het invullen van een vragenlijst. Deze vragenlijst was bedoeld om te voldoen aan de Wwft die banken verplicht om cliëntenonderzoek te doen. De bank had de consument gevraagd om informatie over de herkomst van zijn vermogen en zijn verwachte transactiepatroon.

De consument weigerde de vragenlijst in te vullen, wat leidde tot de beëindiging van zijn spaarrekening.

Klachtonderdelen

De consument betoogde dat de bank met haar onderzoek de AVG overtrad en dat de beëindiging onrechtmatig was. Zijn klacht omvat samengevat vier klachtonderdelen:

  • Schending van de AVG: de bank zou meer informatie hebben opgevraagd dan noodzakelijk, dit zou in strijd zijn met het beginsel van minimale gegevensverwerking.

  • Onvoldoende informatie: de consument vond dat de bank onvoldoende informatie had verstrekt over de verplichting om de vragenlijst in te vullen en de mogelijke gevolgen als hij dit niet zou doen. Hij voert aan dat de verstrekte nieuwsbrief niet volstaat en dat hij nooit een herinnering heeft gehad de vragenlijst alsnog in te vullen.
  • Onrechtmatige blokkade: de bank heeft zonder voorafgaande aankondiging en wettelijke grondslag de toegang tot de rekening geblokkeerd. Hiermee overtreedt de bank het Handvest van de grondrechten van de Europese Unie waarin vastgelegd is dat inwoners vrij over hun vermogen moeten kunnen beschikken.
  • Onterechte beëindiging: de bank had de rekening beëindigd zonder de procedure bij Kifid af te wachten.

 

Toepasselijkheid van de AVG

Volgens artikel 6 lid 1 AVG mag de verwerking van persoonsgegevens alleen plaatsvinden als hier een verwerkingsgrondslag voor is. In deze zaak is de grondslag te vinden in artikel 6 lid 1 sub c AVG, namelijk de noodzaak om te voldoen aan een wettelijke verplichting. De Wwft verplicht banken om cliëntenonderzoek te doen, wat inhoudt dat zij informatie moeten verzamelen over de herkomst van het vermogen van hun klanten en hun transactiepatroon (artikel 3 Wwft).

Noodzakelijkheid en Proportionaliteit

Een belangrijk beginsel van de AVG is dat de verwerking van persoonsgegevens beperkt moet blijven tot wat noodzakelijk is voor het beoogde doel (artikel 5 lid 1 sub c AVG). De Wwft schrijft niet voor op welke wijze het cliëntenonderzoek moet worden uitgevoerd. In deze zaak stelt de bank dat zij de informatie uit de vragenlijst nodig had om een adequaat risicoprofiel van de consument op te stellen.

De bank moet kunnen controleren of de transacties van haar klanten in lijn zijn met hun risicoprofiel en de kennis die de bank van hen heeft (artikel 3 lid 2 sub d Wwft). Dit doen zij voor al hun klanten. Op die manier stellen zij een risicoprofiel op om het verwachte transactiegedrag en risicoprofiel te monitoren. Omdat de bank geen betaalrekeningen aanbiedt en beperkte informatie heeft over de herkomst van stortingen, vraagt zij aanvullende informatie zoals inkomensgegevens via een vragenlijst.

De commissie concludeert dat de bank hiermee niet in strijd met de AVG of Wwft handelt, aangezien de bank verplicht is een transactieprofiel op te stellen en hiervoor noodzakelijke informatie nodig heeft. Er is geen bewijs dat de bank meer informatie vraagt dan nodig is voor dit doel. De bank heeft beleidsvrijheid in de uitvoering van het cliëntenonderzoek, en het gebruik van een vragenlijst valt binnen deze vrijheid. Hiermee handelde de bank niet in strijd met de AVG of de Wwft.

Wel wordt van de bank verwacht dat zij zorgvuldig handelt ten opzichte van de consument. Het cliëntenonderzoek moet redelijk en proportioneel zijn, waarbij de bank niet meer informatie mag opvragen dan nodig is. De opgevraagde informatie moet daadwerkelijk nodig zijn voor de uitvoering van het cliëntenonderzoek.

Communicatie en transparantie

Een belangrijk aspect van de AVG is het transparantiebeginsel (artikel 5, lid 1 sub a) en het recht op informatie aan betrokkenen (artikel 13). De consument betoogde dat de bank onvoldoende duidelijk had gecommuniceerd over de verplichting om de vragenlijst in te vullen.

Volgens overweging 60 van de AVG moeten betrokkenen op de hoogte worden gesteld van de verwerking van hun gegevens en de doeleinden daarvan. De verwerkingsverantwoordelijke moet voldoende informatie verstrekken om een behoorlijke en transparante verwerking te waarborgen, rekening houdend met de specifieke omstandigheden en context. Dit omvat ook informatie over profilering en de gevolgen daarvan, evenals de verplichting om persoonsgegevens te verstrekken en de mogelijke gevolgen van niet-verstrekking.

Verder stelt artikel 13 van de AVG dat de verwerkingsverantwoordelijke bij de verkrijging van persoonsgegevens informatie moet verstrekken over onder andere de identiteit en contactgegevens van de verwerkingsverantwoordelijke, de verwerkingsdoeleinden, de rechtsgrond voor de verwerking en de rechten van de betrokkene. Deze informatie moet ervoor zorgen dat de betrokkene voldoende geïnformeerd is over de verwerking van zijn gegevens en de rechten die hij kan uitoefenen.

De bank koos ervoor om via een algemene nieuwsbrief aan te kondigen dat zij een vragenlijst zou klaarzetten voor haar klanten. Hoewel de commissie erkende dat een separate e-mail mogelijk voor meer duidelijkheid en bewustzijn bij klanten had gezorgd, achtte zij de nieuwsbrief voldoende adequaat. De nieuwsbrief maakte duidelijk wat het doel van de vragenlijst was en waarom de aanvullende informatie van de klanten nodig was. Het feit dat de consument deze nieuwsbrief niet opende, lag niet aan de bank. De bank erkende wel dat een herinnering gepast zou zijn geweest en gaf aan dit in toekomstige gevallen te zullen toepassen.


Onrechtmatige blokkade

De bank handelde volgens de commissie terecht door de rekening te blokkeren totdat de vragenlijst was ingevuld. Dit was in lijn met de verplichtingen onder de Wwft, die vereist dat banken geen transacties mogen uitvoeren zonder voltooid cliëntenonderzoek. De bank had echter de consument moeten informeren over de mogelijkheid van een blokkade.


Rechtmatigheid van de Blokkade en Beëindiging

De consument diende tevens een klacht in over de blokkade van zijn spaarrekening. Volgens artikel 5 Wwft mag een bank geen transacties uitvoeren voor een cliënt als het cliëntenonderzoek niet is afgerond. De commissie vond het gerechtvaardigd dat de bank de toegang tot de spaarrekening blokkeerde totdat de vragenlijst was ingevuld. Dit was in lijn met eerdere uitspraken van Kifid.

De beëindiging van de spaarrekening bleek een ander verhaal. Hoewel de bank een wettelijke verplichting heeft om de relatie te beëindigen als het cliëntenonderzoek niet kan worden voltooid, moet dit wel gepaard gaan met een formele opzegging. De e-mails die de bank stuurde, voldeden niet aan de eisen voor een opzegverklaring.

Conclusie

De commissie besloot dat de bank de beëindiging van de spaarrekening moest terugdraaien en de misgelopen bonuskwartaalrente aan de consument moest vergoeden. De overige vorderingen van de consument werden afgewezen.

De uitspraak van Kifid biedt een waardevolle leidraad voor zowel banken (en andere organisaties) als betrokkenen. Terwijl de naleving van de Wwft essentieel is, moeten organisaties ook de rechten van betrokkenen onder de AVG respecteren. Belangrijk om in het oog te houden:

  • Noodzakelijkheid en proportionaliteit: zorg dat de verwerking van persoonsgegevens strikt beperkt is tot wat noodzakelijk is (Artikel 5, lid 1 sub c AVG);
  • Transparantie en communicatie: informeer tijdig en duidelijk over verplichtingen en mogelijke gevolgen bij niet-naleving;
  • Formele procedures: zorg voor correcte en formele communicatie bij ingrijpende maatregelen.