Banken mogen katvangers die hun pinpas en bankrekening door cybercriminelen laten gebruiken niet standaard voor acht jaar op een zwarte lijst zetten. De Algemene verordening persoonsgegevens (AVG) verlangt dat de registratieperiode van de persoonsgegevens tot een minimum wordt beperkt, zo stelt het financiële klachteninstituut Kifid.
Katvangers, ook wel geldezels genoemd, stellen hun rekening ter beschikking van criminelen of maken geld dat via misdrijven is verkregen over naar criminelen. In veel gevallen gaat het hierbij om cybercrime. Volgens opsporingsdiensten spelen katvangers een zeer belangrijke rol bij allerlei vormen van fraude en oplichting. Katvangers kunnen voor een periode van acht jaar in het Incidentenregister (IVR) en Extern Verwijzingsregister (EVR) worden geregistreerd.
Het IVR is een zwarte lijst binnen de betreffende bank en is alleen voor het eigen bankpersoneel toegankelijk. Een registratie in het IVR heeft in beginsel dan ook alleen gevolgen voor de relatie met de betreffende bank. Eén van de gevolgen kan zijn dat de bank de overeenkomsten met de klant beëindigt en die als fraudeur wordt aangemerkt.
Een registratie in het EVR is voor alle banken zichtbaar. Wie op deze zwarte lijst staat kan geen creditcard aanvragen of (betaal)rekening, lening of hypotheek afsluiten. Verder kan de lopende bankrelatie worden beëindigd, wat inhoudt dat de bankrekening, het verleende krediet, de creditcard of de lopende verzekering wordt opgezegd.
Een klant van ABN Amro die via Snapchat op een advertentie reageerde waarin stond dat hij snel geld kon verdienen en vervolgens als katvanger fungeerde, werd door de bank voor een periode van acht jaar in het IVR en EVR opgenomen. De klant stelde dat hij onder bedreiging zijn betaalpas afgaf en telefoon ontgrendelde. In de daaropvolgende week nam de klant meerdere keren contact op met de bank om het misbruik van zijn rekening door te geven.
Volgens het Kifid heeft de klant willens en wetens zijn betaalpas en pincode aan een derde gegeven om zo snel geld te verdienen en mag hij in het EVR worden geregistreerd. Bij het registreren moeten banken wel de belangen van de klant meewegen. De registratie kan voor de klant namelijk ernstige gevolgen hebben, zoals het niet kunnen krijgen van een hypotheek of het niet kunnen gebruikmaken van een gewone betaalrekening.
Het Kifid ziet dat veel banken standaard uitgaan van een registratieperiode van acht jaar. Volgens de AVG moet de registratieperiode van persoonsgegevens echter worden beperkt tot een strikt minimum. De Geschillencommissie oordeelt in deze uitspraak dat een registratie in het EVR en het Incidentenregister niet zomaar voor acht jaar mag worden gedaan. Volgens het klachteninstituut schrijft de AVG voor dat persoonsgegevens niet langer mogen worden verwerkt dan nodig is voor het doel. Het Kifid oordeelt dat voor de duur van de registratie gekeken moet worden naar de omstandigheden van een specifieke zaak.
In deze klachtzaak heeft de klant willens en wetens zijn pinpas en betaalrekening ter beschikking gesteld aan criminelen en zich als katvanger laten gebruiken. Het Kifid ziet echter aanleiding om de duur van de registratie te verkorten tot zes jaar. “Dienst doen als geldezel is zeer verwijtbaar, maar er zijn nog zwaardere feiten denkbaar”, aldus het klachteninstituut. De registratie van acht jaar in het IVR is volgens het Kifid wel proportioneel, aangezien die alleen voor intern gebruik bij de bank is (pdf).
Bron: Security.nl