Datum uitspraak:
Datum publicatie:
Rechtsgebied:
Zaaknummer:
Soort procedure:
Zittingsplaats:
Vindplaats:

Inhoudsindicatie:

Wet bescherming persoonsgegevens. Betaalrekening van verzoekster gebruikt voor frauduleuze transacties als gevolg van phishing-fraude. Hetgeen verzoekster ter zake van de vermissing van haar betaalpas en de momenten waarop is ingelogd op haar betaalrekening, heeft aangevoerd is onvoldoende om haar betrokkenheid bij de fraude te ontkrachten. Een en ander valt met name af te leiden uit de door de bank overgelegde lijst met IP-Loggings.

Uitspraak



beschikking

RECHTBANK 'S-GRAVENHAGE

Sector civiel recht

zaaknummer / rekestnummer: 407012 / HA RK 11-691

Beschikking van 31 mei 2012

in de zaak van

[verzoekster],

wonende te [woonplaats],

verzoekster,

gemachtigde: mr. K.R. Sewnarain Sukul van DAS Rechtsbijstand, Kantoor Rijswijk,

tegen

de naamloze vennootschap ING BANK N.V.,

gevestigd te Amsterdam,

verweerster,

advocaat mr. P. Smits te Amsterdam.

Verzoekster wordt hierna aangeduid met '[verzoekster]' en verweerster met ' ING '.

1.De procedure

1.1.Het verloop van de procedure blijkt uit:

- het op 11 november 2011 ingekomen verzoekschrift;

- de op 26 januari 2012 ingekomen herziene versie van het verzoekschrift;

- het op 25 januari 2012 ingekomen verweerschrift.

1.2.De mondelinge behandeling heeft plaatsgevonden op 26 april 2012. [verzoekster] is verschenen, vergezeld van mr. Sewnarain Sukul. Namens ING is de heer [A] verschenen, vergezeld van mr. Smits.

2.De feiten

2.1.[verzoekster] had bij ING een studentenrekening met nummer [nummer] met daaraan gekoppeld een betaalpas met pincode.

2.2.Op 1 juli 2011 is ten laste van de betaalrekening van de heer [B] te Rotterdam, handelend onder de naam SQ Trading (verder te noemen '[B]'), door middel van internetbankieren een aantal bedragen afgeboekt en overgemaakt naar diverse begunstigden, waaronder een bedrag van € 2.295,-- aan [verzoekster], zonder dat [B] daartoe opdracht had gegeven. [B] heeft op 6 juli 2011 bij de politie Rotterdam Schiedam Noord aangifte gedaan van internetfraude. ING heeft [B] voor de door hem geleden schade schadeloos gesteld.

2.3.Het saldo op de rekening van [verzoekster] bedroeg op 16 juni 2011 een bedrag van € 24,50. Na een afschrijving op 20 juni 2011 van € 14,97 en een bijschrijving op 24 juni 2011 van € 75,39 heeft [verzoekster] op 28 juni 2011 een bedrag van € 200,-- van haar spaarrekening (profijtrekening) op haar betaalrekening gestort. Vervolgens is op 29 juni 2011 om 00:20 uur een bedrag van € 280,-- afgeschreven wegens contante opname bij het GWK te Den Haag. Nadat op dezelfde datum nog een bedrag van € 3,-- is afgeschreven is op 1 juli 2011 het hiervoor genoemde bedrag van € 2.295,-- bijgeschreven. Op dezelfde datum is van dit bedrag tussen 16:28 uur en 16:34 uur, in zeven opnames, € 2.290,-- contant opgenomen. De eerste opname van € 1.000,-- bij het GWK in Den Haag en de overige zes opnames bij een betaalautomaat aan het Spui 10 in Den Haag. ING heeft geconstateerd dat vlak vóór en vlak ná de hiervoor bedoelde opnames bij dezelfde betaalautomaten opnames hebben plaatsgevonden van gelden die door derden (money-mules) waren ontvangen. Daaronder bevonden zich ook gelden van [B].

2.4.Op 7 juli 2011 heeft [verzoekster] op het politiebureau te Uden aangifte gedaan van diefstal van haar bankpas.

2.5.Bij brief van 8 juli 2011 heeft ING [verzoekster] bericht dat in een onderzoek naar fraude haar persoonsgegevens naar voren zijn gekomen. Gelet op frauduleuze bijschrijvingen op de betaalrekening van [verzoekster] en de omstandigheden waaronder die bijschrijvingen hebben plaatsgevonden, meent ING dat de betrokkenheid van [verzoekster] bij fraude in voldoende mate vaststaat. ING achtte het daarom noodzakelijk om de persoonsgegevens van [verzoekster] voor de duur van 8 jaar op te nemen in het incidentenregister. De betaalpas van [verzoekster] is geblokkeerd en haar betaalrekening is geblokkeerd voor afschrijvingen. ING geeft in die brief tevens aan een vordering op [verzoekster] te hebben van € 2.295,-- en deze vordering over te zullen dragen aan incassobureau Interpartes Incasso B.V.

2.6.Bij brief van 11 augustus 2011 heeft [verzoekster] bezwaar gemaakt tegen voormelde opname in het incidentenregister. ING heeft hierop geantwoord bij brief van 25 augustus 2011. Zij blijft bij haar standpunt en deelt tevens mede dat de vordering op [verzoekster] inmiddels in handen is gegeven van Interpartes Incasso B.V.

2.7.Bij brief van 7 september 2011 heeft mr. Sewnarain Sukul aan de directie van ING verzocht de gegevens van [verzoekster] binnen veertien dagen uit het incidentenregister te verwijderen. Bij brief van 3 oktober 2011 heeft de directie van ING laten weten dat zij niet aan het verzoek zal voldoen.

3.Het verzoek en het verweer

3.1.[verzoekster] verzoekt op de voet van artikel 46 van de Wet bescherming persoonsgegevens (Wbp) ING op straffe van een dwangsom, uitvoerbaar bij voorraad, te veroordelen om binnen twee dagen na de beschikking over te gaan tot verwijdering van de persoonsgegevens van [verzoekster] uit de registers waarin zij naar aanleiding van de onder 2.3. vermelde transacties is ingeschreven en hiervoor afdoende bewijs te leveren aan [verzoekster], met veroordeling van ING in de kosten van deze procedure.

3.2.[verzoekster] baseert haar verzoek op de stelling dat de registratie van haar persoonsgegevens onrechtmatig is. Ter onderbouwing van deze stelling voert zij aan dat ING heeft aangegeven dat er sprake is van een kwestie waarvoor aangifte is gedaan bij justitie. Hieruit dient volgens [verzoekster] te worden geconcludeerd dat een strafbaar feit als onderbouwing van de registratie wordt gebruikt. [verzoekster] stelt echter dat zij nimmer heeft meegewerkt aan enige vorm van fraude en dat ING daarom in alle redelijkheid niet tot registratie van haar gegevens in het Intern Verwijzingsregister (IVR), het Extern Verwijzingsregister (EVR) en/of de Externe Verwijzingsapplicatie (EVA) mocht overgaan.

[verzoekster] voert aan dat haar pinpas is gestolen. Op vrijdag 1 juli 2011 omstreeks 13:00 uur wilde zij in Keulen (Duitsland) geld gaan pinnen. Zij kon haar bankpas echter niet vinden. Zij heeft haar ouders in Nederland gebeld, maar ook zij konden haar bankpas thuis niet vinden. Op maandag 4 juli 2011 heeft zij, na thuiskomst, omstreeks 16:30 uur gebeld naar ING om haar bankpas te blokkeren. Haar is toen verteld dat er veel geld op haar rekening was gezet en dezelfde dag er weer was afgehaald en dat haar bankpas per direct werd geblokkeerd. Op 5 juli 2011 heeft haar vriend omstreeks 21:24 uur een uitdraai gemaakt van de transacties op haar rekening. Op donderdag 7 juli 2011 heeft zij op het politiebureau te Uden aangifte gedaan van diefstal van haar bankpas en daarbij de hiervoor genoemde uitdraai overgelegd. Ter verklaring van het onbevoegd gebruik van haar pinpas met pincode voert zij aan dat rekening gehouden moet worden met de mogelijkheid dat haar betaalpas is gestolen nadat haar pincode was afgekeken.

3.3.Subsidiair stelt [verzoekster] dat de door ING genomen maatregelen disproportioneel en daarom onrechtmatig zijn.

3.4 . ING voert gemotiveerd verweer, dat hierna, voor zover nodig, zal worden besproken.

4.De beoordeling

4.1.Het verzoek is tijdig binnen de termijn van artikel 46, lid 2, Wbp ingediend.

4.2 . ING heeft zich verplicht bij de verwerking van persoonsgegevens in het kader van het door haar aangehouden incidentenregister te handelen conform het 'Protocol Incidentenwaarschuwingssysteem Financiële Instellingen' van de Nederlandse Vereniging van Banken, het Verbond van Verzekeraars, de Vereniging van Financieringsondernemingen in Nederland, de Stichting Fraudebestrijding Hypotheken en Zorgverzekeraars Nederland van 3 maart 2011 (hierna: het Protocol). Het Protocol is geen door het College bescherming persoonsgegevens (Cbp) getoetste gedragscode als bedoeld in artikel 25 Wbp . Wel heeft het Cbp op 18 mei 2011 naar aanleiding van de melding van het voornemen tot verwerking van strafrechtelijke gegevens voor zes jaar een verklaring omtrent de rechtmatigheid gegeven als bedoeld in artikel 32 lid 5 Wbp . Het Protocol is in zoverre dan ook te beschouwen als een regeling die voldoende waarborgen biedt voor een verwerking van persoonsgegevens zoals de Wbp die voorschrijft (zie ook de beschikking van het gerechtshof Amsterdam van 18 januari 2007, LJN: BA5933).

4.3.Onder Incidentenregister wordt volgens het Protocol verstaan de gegevensverzameling(en) van de deelnemer (in dit geval ING), waarin - voor het doel van ondersteuning van, kort gezegd, activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector - gegevens zijn vastgelegd naar aanleiding van of betrekking hebbend op een ( mogelijk ) incident. Onder incident wordt verstaan een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een financiële instelling, de financiële instelling zelf of de sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota's, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.

4.4.Aan het Incidentenregister is een Extern Verwijzingsregister (EVR) gekoppeld, waarin uitsluitend verwijzingsgegevens met betrekking tot (rechts)personen zijn opgenomen. Het EVR is raadpleegbaar door de (organisaties van de) deelnemers via een verwijzingsapplicatie. Betrokkene wordt opgenomen in het EVR indien is voldaan aan de hierna onder a en b vermelde criteria en voorts het onder c genoemde beginsel is toegepast (artikel 5.2.1 van het Protocol ).

(a)De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (i) de (financiële) belangen van cliënten en/of medewerkers van een financiële instelling, alsmede de (organisatie van de) financiële instelling(en) zelf of (ii) de continuïteit en/of de integriteit van de financiële sector.

(b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat in principe aangifte wordt gedaan of een klacht ingediend bij een opsporingsambtenaar indien de gedragingen als een strafbaar feit kunnen worden aangemerkt.

(c)Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat moet zijn vastgesteld dat het belang van opname in het EVR prevaleert boven de mogelijk nadelige gevolgen voor de betrokkene als gevolg van opname van zijn persoonsgegeven in het EVR.

4.5.Indien er geen reden meer is voor het vastleggen van persoonsgegevens, draagt de financiële instelling zorg voor verwijdering en is deze verplicht zodanige maatregelen te treffen dat deze gegevens niet langer toegankelijk zijn. Verwijdering moet voorts plaatsvinden binnen een periode van maximaal acht jaar, indien zich ten aanzien van betrokkene geen nieuwe aanleiding voor vastlegging heeft voorgedaan.

4.6.Ingevolge artikel 22 Wbp is de verwerking van strafrechtelijke persoonsgegevens slechts bij uitzondering toegestaan. De Hoge Raad heeft in zijn beschikking van 29 mei 2009 (LJN: BH4720) geoordeeld dat voor verwerking in overeenstemming met het Protocol van strafrechtelijke persoonsgegevens in registers die onder het regime van de Wbp vallen, een veroordeling door de strafrechter niet is vereist. Onder strafrechtelijke persoonsgegevens moeten worden verstaan "zodanige concrete feiten en omstandigheden dat zij een als strafbaar feit te kwalificeren bewezenverklaring (in de zin van artikel 350 van het Wetboek van Strafvordering ) kunnen dragen". In dat verband dient volgens de Hoge Raad als maatstaf te worden genomen of de vastgestelde gedragingen een zwaardere verdenking dan een redelijk vermoeden van schuld opleveren, in die zin dat de te verwerken strafrechtelijke persoonsgegevens in voldoende mate moeten vaststaan.

4.7.Opname in het Incidentenregister, vooral in het EVR, kan verstrekkende gevolgen hebben. Alle deelnemende banken en andere financiële instellingen kunnen immers door raadpleging van het EVR vaststellen dat betrokkene is opgenomen in het Incidentenregister van andere financiële instellingen. Dit kan ertoe leiden dat zij zullen weigeren aan de daarin opgenomen persoon hun (financiële) diensten te verlenen. Betrokkene kan dan nog slechts als meerderjarige een basisbetaalrekening (convenantenrekening) aanvragen waarmee hij aan primaire financiële verplichtingen kan voldoen. Er mag daarom niet snel worden aangenomen dat de gronden voor opname in het EVR aanwezig zijn.

4.8 . ING voert het verweer dat de frauduleuze betaling aan [verzoekster] deel uitmaakt van een zogenaamde 'phishing-fraude', waarbij [verzoekster] heeft gediend als 'money-mule'. Kort gezegd is de werkwijze bij deze fraudes de volgende. Criminelen ontfutselen bankgegevens aan klanten, waardoor zij de beschikking krijgen over gelden van die klanten. Deze geldbedragen worden overgeboekt naar de betaalrekening van de money-mule. De money-mule zorgt ervoor dat zijn of haar rekening nagenoeg leeg is en geeft vervolgens de betaalpas en pincode af aan degene door wie hij of zij is geronseld. Daarna kan het fraudebedrag op de rekening worden bijgeschreven en wordt dit zo snel mogelijk bij een of meer geld- en/of betaalautomaten opgenomen. Na de opnames doet de money-mule aangifte bij de politie van vermissing of diefstal van de betaalpas en/of vraagt deze een nieuwe betaalpas aan bij de bank

4.9.Tussen partijen staat niet ter discussie dat de betaalrekening van [verzoekster] is gebruikt voor frauduleuze transacties als gevolg van phishing-fraude. Partijen verschillen echter van mening over de betrokkenheid van [verzoekster] bij de geconstateerde fraude. Hetgeen [verzoekster] ter zake van de vermissing van haar betaalpas heeft aangevoerd is naar het oordeel van de rechtbank onvoldoende om de door ING gestelde betrokkenheid van [verzoekster] bij de fraude te ontkrachten. De rechtbank neemt daarbij het volgende in aanmerking.

4.10.[verzoekster] heeft aangevoerd dat zij op 28 juni 2011 via internetbankieren een bedrag van € 200,-- van haar profijtrekening op haar betaalrekening heeft gestort. De eerstvolgende keer dat zij daarna via internetbankieren op haar rekening heeft ingelogd was op 5 juli 2011 bij haar vriend thuis in Uden omstreeks 21:24 uur. Haar vriend heeft toen een uitdraai gemaakt van haar ING transacties. [verzoekster] heeft ter zitting uitdrukkelijk verklaard haar gebruikersnaam en wachtwoord, benodigd voor het inloggen, aan niemand kenbaar te hebben gemaakt.

4.11 . ING heeft een lijst overgelegd met een overzicht van de momenten waarop in de periode januari 2011 tot en met 5 juli 2011 is ingelogd op de betaalrekening van [verzoekster] met nummer [nummer]. Uit de zogenaamde IP-Loggings valt af te leiden vanaf welke computer en/of Blackberry is ingelogd. Anders dan [verzoekster] heeft verklaard is op haar bankrekening ook ingelogd op 29 juni 2011 om 20:35 uur en op 4 juli 2011 om 02:47 uur, 16:24 uur, 18:05 uur en 18:24 uur. [verzoekster] had derhalve bij raadpleging van haar rekening op 29 juni 2011 om 20:35 uur moeten bemerken dat op diezelfde dag om 00:20 uur een bedrag van € 280,-- van haar rekening was afgeschreven. Op 4 juli 2011 om 02:47 uur is ingelogd met de Blackberry van [verzoekster]. Op dat moment moet zij hebben kunnen constateren dat een bedrag van € 2.295,- op haar rekening was gestort en in gedeelten op verschillende tijdstippen op 1 juli 2011 weer is opgenomen. Voorts blijkt uit de lijst met IP-adressen dat op 4 juli 2011 een aantal malen is ingelogd op dezelfde computer waarmee ook op 5 juli 2011 om 21:24 uur is ingelogd bij de vriend van [verzoekster] in Uden om een uitdraai van de transacties te maken. Deze gegevens maken de verklaring van [verzoekster] (zoals ook opgenomen in haar aangifte bij de politie), waaruit valt af te leiden dat zij ná 28 juni 2011 toen zij een bedrag van € 200,-- van haar spaarrekening overboekte naar haar betaalrekening, niet eerder dan op 5 juli 2011 om 21:24 uur heeft ingelogd op haar rekening, en daarom niet op de hoogte was van de voor haar onbekende bijschrijving en afschrijvingen, niet aannemelijk. Voorts zou, uitgaande van de verklaring van [verzoekster], naast de diefstal van haar betaalpas met bijbehorende pincode, ook iemand, zonder dat [verzoekster] daar zelf van op de hoogte was, de beschikking moeten hebben gekregen over haar inloggegevens voor internetbankieren. Deze laatste persoon zou dan, zoals uit de IP-Loggings valt af te leiden, voor het inloggen op de bankrekening van [verzoekster] ook gebruik hebben kunnen maken van een bij [verzoekster] bekende computer en/of Blackberry. De rechtbank acht één en ander hoogst onwaarschijnlijk. In de gegeven omstandigheden is daarom naar het oordeel van de rechtbank voldaan aan de hiervoor onder 4.6. weergegeven toets en heeft ING een gerechtvaardigd belang om de persoonsgegevens van [verzoekster] in het incidentenregister en in het daaraan gekoppelde EVR op te nemen.

4.12.Tegenover dit belang van ING staan de mogelijke nadelige gevolgen voor [verzoekster] als gevolg van opname van haar persoonsgegevens in de registers. De afweging van deze belangen valt in het nadeel van [verzoekster] uit. De rechtbank heeft bij die afweging mede in aanmerking genomen de miljoenen euro's die met phishing-fraude zijn gemoeid alsmede de omstandigheid dat [verzoekster] nog wel kan bankieren. Zij heeft immers de mogelijkheid om een zogenaamde convenantenrekening te openen.

4.13.Het voorgaande leidt ertoe dat het verzoek zal worden afgewezen. [verzoekster] zal als de in het ongelijk gestelde partij worden veroordeeld in de kosten van dit geding.

5.De beslissing

De rechtbank:

- wijst het verzoek af;

- veroordeelt [verzoekster] in de kosten van dit geding, tot op heden aan de zijde van ING begroot op € 560,-- aan verschotten (griffierecht) en € 904,-- aan salaris voor de advocaat, te vermeerderen met de nakosten die forfaitair worden begroot op € 131,-- aan salaris voor de advocaat, te vermeerderen met € 68,-- aan salaris indien tot betekening wordt overgegaan;

- verklaart de proceskostenveroordeling uitvoerbaar bij voorraad.

Deze beschikking is gegeven door mr. R.J. Paris en in het openbaar uitgesproken op 31 mei 2012.


» Juridisch advies nodig? « advertorial

Heeft u een juridisch probleem of een zaak die u wilt voorleggen aan een gespecialiseerde jurist of advocaat ?

Neemt u dan gerust contact met ons op en laat uw zaak vrijblijvend beoordelen.



naar boven      |      zoeken      |      uitgebreid zoeken

Snel uitspraken zoeken en filteren

> per rechtsgebied > op datum > op instantie

Gerelateerde advocaten

Gerelateerde advocatenkantoren

Recente vacatures

Meer vacatures | Plaats vacature