ECLI:NL:RBAMS:2020:5422

• Datum uitspraak: 9 november 2020
• Publicatiedatum: 10 november 2020
• Zaaknummer: C/13/690140 / KG ZA 20-851
• Instantie: Rechtbank Amsterdam
• Type: Uitspraak
• Rechtsgebied: Civiel recht
• Procedures: Kort geding
• Rechters: C.M.E. de Koning
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Beëindiging bankrelatie en opname in het Incidentenregister door ING

In deze zaak heeft de voorzieningenrechter van de Rechtbank Amsterdam op 9 november 2020 uitspraak gedaan in een kort geding tussen een eiseres en ING Bank N.V. De eiseres, die een betaalrekening bij ING had, vorderde de verwijdering van haar gegevens uit het Incidentenregister en de opheffing van de blokkering van haar bankrekening. ING had de bankrelatie met eiseres beëindigd en haar gegevens opgenomen in het Incidentenregister vanwege vermoedens van fraude. Tijdens de mondelinge behandeling op 26 oktober 2020 heeft eiseres haar vorderingen toegelicht, terwijl ING verweer voerde aan de hand van een vooraf ingediende conclusie van antwoord. De voorzieningenrechter oordeelde dat eiseres onvoldoende had aangetoond dat zij niet betrokken was bij de frauduleuze activiteiten die hadden plaatsgevonden. De rechter concludeerde dat ING voldoende zorgvuldig had gehandeld en dat de registratie van eiseres in het Incidentenregister rechtmatig was. De vorderingen van eiseres werden afgewezen, en zij werd veroordeeld in de proceskosten van ING.

Uitspraak

vonnis

RECHTBANK AMSTERDAM

Afdeling privaatrecht, voorzieningenrechter civiel

zaaknummer / rolnummer: C/13/690140 / KG ZA 20-851 CdK/LO

Vonnis in kort geding van 9 november 2020

in de zaak van

[eiseres] ,

wonende te [woonplaats] ,

eiseres bij dagvaarding van 24 september 2020,

advocaat mr. U. Arslan te 's-Gravenhage,

tegen

de naamloze vennootschap

ING BANK N.V. ,

gevestigd te Amsterdam,

gedaagde,

advocaat mr. I.M.C.A. Reinders Folmer te Amsterdam.

Partijen zullen hierna [eiseres] en ING worden genoemd.

1. De procedure

Op de mondelinge behandeling van 26 oktober 2020 heeft [eiseres] de vorderingen zoals omschreven in de dagvaarding toegelicht. ING heeft verweer gevoerd aan de hand van een vooraf ingediende conclusie van antwoord. Beide partijen hebben schriftelijke stukken en een pleitnota ingediend. Vonnis is bepaald op heden.

Ter zitting waren aanwezig: [eiseres] met mr. Arslan en aan de kant van ING: [medewerker] , medewerker op de afdeling fraudeonderzoek, met mr. A.L. de Vogel.

2. De feiten

2.1.

[eiseres] heeft een betaalrekening bij ING met de daaraan gekoppelde betaaldienst van internetbankieren via Mijn ING en de ING App. Op deze rekening courantovereenkomst zijn de Algemene Bankvoorwaarden 2017 van toepassing. Daarin staat onder meer het volgende.

(…)
Artikel 2 Zorgplicht

Wij hebben een zorgplicht. U bent ook zorgvuldig tegenover ons en u mag van onze dienstverlening geen misbruik maken. (…)

2. U bent zorgvuldig tegenover ons en houdt zo goed mogelijk rekening met onze belangen. U werkt eraan mee dat wij onze dienstverlening correct kunnen uitvoeren en aan onze verplichtingen kunnen voldoen. Hiermee bedoelen wij niet alleen onze verplichtingen tegenover u, maar bijvoorbeeld ook verplichtingen die wij in verband met onze dienstverlening aan u hebben tegenover toezichthouders of fiscale of andere (…) autoriteiten. U geeft ons, als wij daarom vragen, de informatie en documentatie die wij daarvoor nodig hebben. Als het u duidelijk moet zijn dat wij die informatie of documentatie nodig hebben, geeft u die uit uzelf.

U mag onze diensten of producten alleen gebruiken waarvoor ze zijn bedoeld en hiervan geen misbruik (laten) maken. Denkt u bij misbruik bijvoorbeeld aan strafbare feiten of activiteiten die schadelijk zijn voor ons of onze reputatie of die de werking en betrouwbaarheid van het financiële stelsel kunnen schaden. (…)

Artikel 18 Bewijskracht (…)

Onze administratie geldt in relatie met u als volledig bewijs, maar uiteraard mag u aantonen dat dit bewijs niet klopt. (…)

Artikel 21 Bewaar- en geheimhoudingsplicht

U gaat zorgvuldig om met codes, formulieren en passen. Als misbruik aannemelijk is meldt u dit meteen. (…)

2. Het kan gebeuren dat een code, formulier, (bank)pas, of ander hulpmiddel in verkeerde handen komt of dat iemand daarvan misbruik maakt of kan maken. Als u dit weet of redelijkerwijs kan vermoeden, meldt u dit meteen aan ons. (…)

Artikel 35 Opzegging van de relatie

U kunt de relatie opzeggen. Wij kunnen dit ook. Opzegging betekent dat de relatie eindigt en alle lopende overeenkomsten zo snel mogelijk worden afgewikkeld.

1. U kunt de relatie tussen u en ons opzeggen. Wij kunnen dit ook. Het is daarvoor niet nodig dat u in verzuim bent met de nakoming van een verplichting. Wij houden ons bij de opzegging aan onze zorgplicht als genoemd in artikel 2 lid 1 ABV. Als u ons vraagt waarom wij de relatie opzeggen, dan laten wij u dat weten. (…)

2.2.

ING is gebonden aan het Protocol Incidentenwaarschuwings-systeem Financiële Instellingen (PIFI), op basis waarvan zij personen kan opnemen in het Incidentenregister van de bank en in het Extern Verwijzingsregister. De volgende bepalingen zijn daarin opgenomen, waarbij met “de Deelnemer” de financiële instelling wordt bedoeld.

(…) 4.1.1 Met het oog op het kunnen deelnemen aan het Waarschuwingssysteem is iedere Deelnemer gehouden de volgende doelstelling voor het vastleggen van gegevens in het Incidentenregister te hanteren:

“Het geheel aan verwerkingen ten aanzien van het Incidentenregister heeft tot doel het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn:

 op het onderkennen, voorkomen, onderzoeken en bestrijden van gedragingen die kunnen leiden tot benadeling van de branche waar de financiële instelling deel van uitmaakt, van de economische eenheid (groep) waartoe de financiële instelling behoort, van de financiële instelling zelf, alsmede van haar cliënten en medewerkers;

 op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers;

 op het gebruik van en de deelname aan waarschuwingssystemen.”

(...)

4.3.2

Verwijdering van gegevens uit het Incidentenregister moet plaatsvinden uiterlijk 8 jaar na opname van het betreffende gegeven in het Incidentenregister, tenzij zich ten aanzien van de betreffende (rechts)persoon een nieuwe aanleiding heeft voorgedaan die opname in het Incidentenregister rechtvaardigt.

(...)

5.2.1

De Deelnemer dient de Verwijzingsgegevens van (rechts)personen die aan de hierna onder a en b vermelde criteria voldoen en na toepassing van het onder c genoemde proportionaliteitsbeginsel op te nemen in het Extern Verwijzingsregister.

a) De gedraging(en) van de (rechts)persoon vormden, vormen of kunnen een bedreiging vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële instelling, alsmede de (Organisatie van de) Financiële instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector.

b) In voldoende mate staat vast dat de betreffende (rechts)persoon betrokken is bij de onder a bedoelde gedraging(en). Deze vaststelling betekent dat van strafbare feiten in principe aangifte of klachten wordt gedaan bij een opsporingsambtenaar.

c) Het proportionaliteitsbeginsel wordt in acht genomen. Dit houdt in dat Veiligheidszaken vaststelt, dat het belang van opname in het Externe Verwijzingsregister prevaleert boven de mogelijk nadelige gevolgen voor de Betrokkene als gevolg van opname van zijn Persoonsgegevens in het Extern Verwijzingsregister. (…)

2.3.

Uit de inloggegevens van Mijn ING blijkt dat [eiseres] doorgaans vanaf hetzelfde IP-adres, eindigend op [nummer] , de ING App raadpleegt.

2.4.

Op 18 juni 2020 heeft [eiseres] een kantoor van ING bezocht en heeft zij met behulp van een ING-medewerker haar password gereset, volgens [eiseres] omdat zij de ING-App niet meer kon gebruiken.

2.5.

Op 18 juni 2020 om 16:28 uur is via het IP-adres van [eiseres] op een ander device dan de gebruikelijke iPhone van [eiseres] ingelogd op ING Internetbankieren. Het betreft een andere iPhone. Vervolgens is op diezelfde dag om 16.30 uur succesvol een nieuw device aangemeld voor de ING App, met de omschrijving ‘iPhone van [eiseres] ’. De dag daarna, 19 juni 2020, is door [eiseres] 25 keer ingelogd op de ING-App.

2.6.

Op 24 juni 2020 is van de rekening van [naam 1] een bedrag van € 8.255,00 overgemaakt naar de rekening van [eiseres] , zij dacht aan haar zoon. [naam 1] heeft daarna aangifte gedaan van WhatsApp-fraude. Het bedrag van € 8.255,00 werd om 20:45:20 uur bijgeschreven op de rekening van [eiseres] . Op diezelfde dag om 20:45:36 uur heeft [eiseres] ingelogd op de ING App. Zij heeft die dag 24 keer ingelogd op de ING-App.

2.7.

Om 20:47:00 uur is de paslimiet verhoogd naar € 8.500,00. Deze gebruiker logde vervolgens om 20:58:17 uur opnieuw in op Mijn ING en zette om 20:59:41 uur een opdracht klaar voor betaling van € 1,00 aan [naam 2] . Vanuit de betaalopdracht via Mijn ING wordt vervolgens gevraagd om bevestiging van de betaling via de TAN-code dan wel door bevestiging via de ING App. Deze bevestiging is er niet gekomen, waardoor de betaling niet is uitgevoerd.

2.8.

Om 21:07:37 uur, om 21:28:32 uur en om 23:55:37 uur is driemaal een overboeking gedaan van € 1,00 naar de Oranje Spaarrekening van [eiseres] .

2.9.

Om 23:58:53 uur is een betaalopdracht van € 8.200,00 ten gunste van [naam 3] ingevoerd. Deze opdracht is uiteindelijk niet uitgevoerd omdat ING toen de rekening van [eiseres] al had geblokkeerd in verband met vermoedens van fraude. Daarna is nog geprobeerd € 5.000,00 over te boeken naar [naam 3] maar ook dat is niet gelukt.

2.10.

[eiseres] heeft vanaf het gebruikelijke IP-adres en met het gebruikelijke device die avond om 20:46, 20:49, 20:54, 20:55, 20:55, 20:56, 21:03, 21:04, 21:07, 21:26, 23:54:32, 23:57:17 en 23:58 uur ingelogd op de ING App. Na middernacht, dus op 25 juni 2020, heeft zij om 0:04, 0:26, 1:35, 3:17, 10:23, 10:24, 10:26 en 10:34 uur haar rekening gecontroleerd via de ING-App op haar device. Ook heeft zij die ochtend (zonder succes) getracht betalingen van € 23,38 en € 11,22 uit te laten voeren.

2.11.

Op 25 juni 2020 om 10:36 uur heeft [eiseres] contact opgenomen met ING met het verzoek om haar rekening te blokkeren vanwege de bijschrijving op haar rekening.

3. Het geschil

3.1.

[eiseres] vordert – samengevat – bij vonnis uitvoerbaar bij voorraad:

ING te veroordelen de personalia van [eiseres] binnen 24 uur aantoonbaar en onvoorwaardelijk te (laten) verwijderen uit het EVR en het Incidentenregister en de blokkering van haar bankrekening ongedaan te maken, op straffe van een dwangsom;

ING te veroordelen in de proceskosten en de nakosten, te vermeerderen met de wettelijke rente.

3.2.

ING voert verweer.

3.3.

Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.

4. De beoordeling

4.1.

[eiseres] heeft een spoedeisend belang bij haar vordering, nu zij op dit moment niet over haar bankrekening kan beschikken.

4.2.

Een vordering tot voortzetting van een overeenkomst kan in kort geding worden toegewezen indien voorshands voldoende aannemelijk is dat de bodemrechter het standpunt van de eisende partij zal volgen en indien van de eisende partij niet kan worden gevergd dat hij de uitslag van de bodemprocedure afwacht.

4.3.

Het gaat hier om duurovereenkomsten die voor onbepaalde tijd zijn aangegaan. In beginsel is een dergelijke overeenkomst opzegbaar indien de wet of de overeenkomst niet voorziet in een regeling van de opzegging. De tussen partijen gesloten overeenkomst(en) voorzien daarin wel. Artikel 35 van de ABV bepaalt dat ING bevoegd is een bankrelatie op te zeggen, met dien verstande dat zij zich daarbij houdt aan haar in artikel 2 lid 1 ABV neergelegde zorgplicht. ING was op grond van deze bepaling dan ook in beginsel bevoegd de bankrelatie met [eiseres] op te zeggen.

4.4.

De vraag is aan de orde of voorshands voldoende aannemelijk is geworden dat, gelet op alle omstandigheden van het geval, naar maatstaven van redelijkheid en billijkheid onaanvaardbaar moet worden geacht dat ING van haar contractuele opzeggingsbevoegdheid gebruik heeft gemaakt (artikel 6:248 lid 2 Burgerlijk Wetboek (BW). Daarbij komt gewicht toe aan de zorgplicht op grond waarvan ING bij haar dienstverlening de nodige zorgvuldigheid in acht dient te nemen, waarin ook het belang van de rekeninghouder(s) om deel te nemen aan het betalingsverkeer wordt meegewogen. Evenzeer komt gewicht toe aan de verplichting van [eiseres] om ingevolge artikel 2 lid 2 ABV eraan mee te werken dat ING aan haar verplichtingen jegens (onder meer) toezichthouders kan voldoen en om geen misbruik van haar diensten te (laten) maken, bijvoorbeeld door middel van activiteiten die schadelijk zijn voor de reputatie van ING en die de werking van de betrouwbaarheid van het financiële stelsel kunnen schaden. [eiseres] dient mee te werken aan het klantenonderzoek van ING. Dit brengt een zekere inspanningsverplichting mee voor [eiseres] om bij ING bestaande onduidelijkheden weg te nemen.

Frauduleus handelen

4.5.

Onbetwist is dat gebruik is gemaakt van de rekening van [eiseres] door een of meerdere personen die [naam 1] hebben opgelicht door middel van WhatsApp-fraude. Daarbij wordt via WhatsApp of SMS zogenaamd een dringend verzoek gedaan aan een nietsvermoedende persoon om snel geld over te maken aan een vriend(in), familielid of bekende. In werkelijkheid komt het berichtje van een oplichter die zich voordoet als bekende van het slachtoffer. Om deze wijze van fraude succesvol te laten verlopen moet de oplichter gebruik maken van een betaalrekening van een ander, een zogenoemde katvanger of geldezel. Via die rekening wordt het geld overgemaakt dan wel opgenomen.

De conclusie dat [eiseres] aan de fraude heeft meegewerkt dient ING voldoende aannemelijk te maken. De transacties op haar bankrekening, vooral in combinatie met het veelvuldig gebruik van de ING-App op de dag van de fraude en de daaraan voorafgaande dagen vormt daarvoor een sterke aanwijzing. Waar [eiseres] voorheen één of hooguit tweemaal per dag inlogde op de ING-App was dat op 19 juni 2020 vijfentwintig keer en op 24 juni 2020 (de dag van de frauduleuze bijschrijving) vierentwintig keer. Dat het daadwerkelijk [eiseres] was die heeft ingelogd is te zien aan de device-ID in het door ING overgelegde overzicht van inlogtransacties. [eiseres] heeft ter zitting geen verklaring gegeven voor dit veelvuldige inloggen. Wat verder tegen haar pleit is dat op 18 juni 2020 een nieuw device aan haar rekening is gekoppeld vanaf hetzelfde IP-adres als [eiseres] altijd gebruikt. Dit doet vermoeden dat de eigenaar van het nieuwe device “naast haar op de bank zat” toen het werd gekoppeld. Verder is het zo dat de betalingen naar de spaarrekening van [eiseres] door middel van twee-factor-authenticatie geschieden. Uit het inlogoverzicht kan worden opgemaakt dat deze transacties zijn klaargezet door degene met de nieuw gekoppelde device, en dat zij zijn goedgekeurd door [eiseres] . Dat is te zien aan het feit dat zij enkele seconden voordat deze transacties zijn goedgekeurd met haar device-ID en vanaf haar IP-adres is ingelogd in de ING-App.

Deze stellingen van ING heeft [eiseres] onvoldoende gemotiveerd betwist. Daarbij heeft zij geen enkele verklaring gegeven voor haar veelvuldige gebruik van de ING-App de dag van de fraude en de dagen daaraan voorafgaand, of voor de omstandigheid dat een nieuw device aan haar rekening is gekoppeld vanaf haar IP-adres. Gelet op het voorgaande is het onaannemelijk dat [eiseres] geen weet had van de fraude en is het zelfs niet onaannemelijk dat zij daar actief aan heeft meegewerkt.

Registers en bankrelatie

4.6.

Voorshands wordt geoordeeld dat ING met de wijze waarop zij haar onderzoek heeft uitgevoerd voldoende zorgvuldig heeft gehandeld tegenover [eiseres] . Weliswaar heeft ING de conclusie tot het beëindigen van de bankrelatie en opname in de registers van IVR en EVR genomen voordat [eiseres] door haar is gehoord, maar het had ook voor de hand gelegen dat [eiseres] actief mededelingen aan ING had gedaan over de vreemde transactie op 24 juni 2020. [eiseres] heeft daarmee gewacht tot de volgende dag, naar eigen zeggen omdat zij in shock was en omdat zij niet wist dat zij ING ook buiten kantooruren kon bereiken, maar dit komt in het licht van het voorgaande niet geloofwaardig over.

4.7.

Opname in het Incidentenregister (IVR) is mogelijk indien de veiligheid en de integriteit van de financiële sector, daaronder mede begrepen (het geheel van) activiteiten die gericht zijn op het onderkennen, voorkomen, onderzoeken en bestrijden van oneigenlijk gebruik van producten, diensten en voorzieningen en/of (pogingen) tot strafbare of laakbare gedragingen en/of overtreding van (wettelijke) voorschriften, gericht tegen de branche waar de financiële instelling deel van uitmaakt, de economische eenheid (groep) waartoe de financiële instelling behoort, de financiële instelling zelf, alsmede haar cliënten en medewerkers, daartoe aanleiding geeft.

4.8.

De verwerking van de gegevens van [eiseres] in dit Incidentenregister moet voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Dat betekent in de eerste plaats dat er een grond voor rechtmatige verwerking als bedoeld in artikel 6 AVG moet zijn. Uit vaste rechtspraak ( [partij] -arrest, Hoge Raad 9 september 2011, ECLI:NL:HR:2011:BQ8097) en de AVG volgt dat iedere verwerking van persoonsgegevens moet voldoen aan de eisen van subsidiariteit en proportionaliteit.

4.9.

Aan deze toets wordt voldaan ten aanzien van [eiseres] . De conclusie dat [eiseres] minst genomen gelegenheid heeft gegeven voor oplichting en daarbij ook nauw betrokken moet zijn geweest, is daarvoor voldoende aanleiding. De verwerking van haar persoonsgegevens is ook noodzakelijk ter behartiging van de gerechtvaardigde belangen van ING. Het belang van [eiseres] , van wie voldoende aannemelijk is dat zij de registraties aan zichzelf te wijten heeft, weegt daar niet tegenop. Daarmee is de verwerking in beginsel rechtmatig op grond van artikel 6 lid 1 aanhef en onder f AVG. Nu bovendien de informatie in het Incidentenregister uitsluitend toegankelijk is voor een beperkt aantal medewerkers van ING, voldoet de registratie ook aan de beginselen van subsidiariteit en proportionaliteit.

4.10.

Eveneens is voldaan aan de toets van artikel 5.2.1 van het PIFI voor registratie in het EVR. Gelet op het voorgaande is voldoende aannemelijk dat [eiseres] bewust (minst genomen) haar rekening ter beschikking heeft gesteld, als zij al niet actief aan de fraude heeft meegewerkt door het goedkeuren van transacties. Ook de registratie in het EVR voldoet aan de beginselen van subsidiariteit en proportionaliteit.

4.11.

De conclusie is dat de vorderingen van [eiseres] zullen worden afgewezen.

4.12.

[eiseres] zal als de in het ongelijk gestelde partij in de proceskosten worden veroordeeld. De kosten aan de zijde van ING worden begroot op:

- griffierecht € 656,00

- salaris advocaat
980,00

Totaal € 1.636,00

4.13.

De nakosten zullen worden toegewezen op de wijze zoals in de beslissing vermeld.

5. De beslissing

De voorzieningenrechter

5.1.

weigert de gevraagde voorzieningen,

5.2.

veroordeelt [eiseres] in de proceskosten, aan de zijde van ING tot op heden begroot op € 1.636,00,

5.3.

veroordeelt [eiseres] in de na dit vonnis ontstane kosten, begroot op € 157,- voor salaris advocaat, te vermeerderen met € 82,- en de kosten van het betekeningsexploot ingeval betekening van dit vonnis plaatsvindt,

5.4.

verklaart deze kostenveroordeling uitvoerbaar bij voorraad.

Dit vonnis is gewezen door mr. C.M.E. de Koning, voorzieningenrechter, bijgestaan door mr. L. Oostinga, griffier, en in het openbaar uitgesproken op 9 november 2020. ^[1]

Voetnoten

1. type: LO