Vermelding in het Incidentenregister is rechtmatig

Vzr. Rechtbank Amsterdam 9 november 2020, IT 3322; ECLI:NL:RBAMS:2020:5422 (Eiseres tegen ING) Privacyrecht. Kort geding. ING heeft de bankrelatie met eiseres beëindigd, nadat ING vermoedde dat de bankrekening van eiseres werd gebruikt voor WhatsAppfraude. Vervolgens heeft ING de naam van eiseres opgenomen in het Incidentenregister en het EVR. Eiseres vordert ING te veroordelen haar personalia te verwijderen uit het Incidentenregister en het EVR en de blokkering van haar bankrekening ongedaan te maken. Eiseres heeft de stellingen van ING dat zij heeft meegewerkt aan de fraude onvoldoende gemotiveerd betwist. Voorshands wordt geoordeeld dat ING voldoende zorgvuldig heeft gehandeld. De verwerking van de gegevens ven eiseres in het Incidentenregister is in beginsel rechtmatig op grond van artikel 6 lid 1 aanhef en onder f AVG, omdat eiseres nauw betrokken moet zijn geweest bij de oplichting. Nu bovendien de informatie in het Incidentenregister uitsluitend toegankelijk is voor een beperkt aantal medewerkers van ING, voldoet de registratie ook aan de beginselen van subsidiariteit en proportionaliteit. Eveneens is voldaan aan de toets van artikel 5.2.1. van het PIFI voor registratie in het EVR. De vorderingen van eiseres worden afgewezen.

4.8. De verwerking van de gegevens van [eiseres] in dit Incidentenregister moet voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Dat betekent in de eerste plaats dat er een grond voor rechtmatige verwerking als bedoeld in artikel 6 AVG moet zijn. Uit vaste rechtspraak ( [partij] -arrest, Hoge Raad 9 september 2011, ECLI:NL:HR:2011:BQ8097) en de AVG volgt dat iedere verwerking van persoonsgegevens moet voldoen aan de eisen van subsidiariteit en proportionaliteit.

4.9. Aan deze toets wordt voldaan ten aanzien van [eiseres] . De conclusie dat [eiseres] minst genomen gelegenheid heeft gegeven voor oplichting en daarbij ook nauw betrokken moet zijn geweest, is daarvoor voldoende aanleiding. De verwerking van haar persoonsgegevens is ook noodzakelijk ter behartiging van de gerechtvaardigde belangen van ING. Het belang van [eiseres] , van wie voldoende aannemelijk is dat zij de registraties aan zichzelf te wijten heeft, weegt daar niet tegenop. Daarmee is de verwerking in beginsel rechtmatig op grond van artikel 6 lid 1 aanhef en onder f AVG. Nu bovendien de informatie in het Incidentenregister uitsluitend toegankelijk is voor een beperkt aantal medewerkers van ING, voldoet de registratie ook aan de beginselen van subsidiariteit en proportionaliteit.

4.10. Eveneens is voldaan aan de toets van artikel 5.2.1 van het PIFI voor registratie in het EVR. Gelet op het voorgaande is voldoende aannemelijk dat [eiseres] bewust (minst genomen) haar rekening ter beschikking heeft gesteld, als zij al niet actief aan de fraude heeft meegewerkt door het goedkeuren van transacties. Ook de registratie in het EVR voldoet aan de beginselen van subsidiariteit en proportionaliteit.