Uitspraak
RECHTBANK Noord-Nederland
Civiel recht
Zittingsplaats Groningen
Zaaknummer: C/18/245966 / KG ZA 25-121
Vonnis in kort geding van 5 september 2025
in de zaak van
[eiser],
te [woonplaats] ,
eisende partij,
hierna te noemen: [eiser] ,
advocaat: mr. C.E. van der Wijk,
tegen
de rechtspersoon naar Duits recht
LLOYDS BANK GMBH,
statutair gevestigd te Duitsland,
gedaagde partij,
hierna te noemen: Lloyds Bank,
advocaat: mr. V. van den Berg.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding met producties 1 tot en met 12;
- de producties 1 t/m 11 van Lloyds Bank;
- de mondelinge behandeling van 22 augustus 2025, waarvan door de griffier aantekeningen zijn gemaakt;
- de pleitnota van [eiser] ;
- de pleitnota van Lloyds Bank.
- de producties 1 t/m 11 van Lloyds Bank;
- de mondelinge behandeling van 22 augustus 2025, waarvan door de griffier aantekeningen zijn gemaakt;
- de pleitnota van [eiser] ;
- de pleitnota van Lloyds Bank.
1.2.
Ten slotte is vonnis bepaald.
2.De feiten
2.1.
[eiser] is enig bestuurder en aandeelhouder van [bedrijf 1] B.V. [bedrijf 1] B.V. is enig bestuurder van [bedrijf 2] . B.V. (hierna: [bedrijf 2] ). [bedrijf 2] heeft verschillende handelsnamen waaronder [handelsnaam 1] , [handelsnaam 2] , [handelsnaam 3] en [handelsnaam 4] .
2.2.
In 2023 en 2024 is Lloyds Bank (steeds in de persoon van de heer [naam 1] ) vier keer benaderd door vertegenwoordigers van [bedrijf 2] , telkens onder een verschillende handelsnaam. In alle vier de gevallen werd door de vertegenwoordiger een vergelijkbare dienst aangeboden, namelijk de vermelding van Lloyds Bank in een online bedrijvengids voor een min of meer vergelijkbare prijs.
2.3.
Na de vierde keer heeft de heer [naam 1] hiervan intern een melding gedaan bij de afdeling Financial Crime in Duitsland. In zijn e-mail van 26 september 2024 schreef hij onder meer:
‘When we received similar requests later on, I started to get suspicious. Because I knew we already paid the ‘ [bedrijf 3] ’. And the way these other parties operate was very similar. I did some websearches and found many negative comments about these companies. It seems like they approach businesses for mentions in useless guides and try to scam as much money out of there as possible.’
2.4.
Na intern onderzoek heeft Lloyds Bank bij brief van 23 mei 2025 aan [eiser] laten weten dat zijn gegevens in het Incidentenregister zijn gezet. Lloyds Bank schrijft in deze brief onder meer:
‘Op 28 september 2023 en 28 september 2024 ontvingen wij een factuur voor een vermelding in [bedrijf 3] van [handelsnaam 1] . Op 23 maart 2024 en 23 maart 2025 ontvingen wij een factuur van [handelsnaam 2] voor een vermelding op [bedrijf 3] . Op 15 juni 2024 ontvingen wij een factuur van [handelsnaam 3] voor een vermelding in [bedrijf 3] . Ook is er in september 2024 contact geweest met [handelsnaam 4] . Alle bovengenoemde bedrijven blijken handelsnamen te zijn van [bedrijf 2] B.V., een bedrijf waar u de uiteindelijke eigenaar van bent.
Aangezien wij verschillende facturen van verschillende handelsnamen voor vergelijkbare diensten hebben ontvangen, zijn wij een onderzoek gestart. In deze brief leest u wat onze bevindingen zijn. Ook lichten wij toe waarom wij uw gegevens in ons Incidentenregister hebben opgenomen.
Wij ontvangen graag voor 2 juni 2025 uw reactie op onze bevindingen.
Welke stukken heeft u ons gestuurd?
Ter onderbouwing van de dienstverlening hebben wij vanuit de bovengenoemde handelsnamen verschillende facturen ontvangen. Daarnaast hebben wij van [handelsnaam 1] , [handelsnaam 2] en [handelsnaam 3] een opdrachtbevestiging, leveringsvoorwaarden en een voicelog ontvangen. De toegestuurde voicelogs dienen als opname/bewijs voor de telefoongesprekken waarin wij (Lloyds Bank) akkoord gaan met de door uw bedrijf aangeboden dienstverlening.
Wat zijn onze bevindingen?
We hebben drie voicelogs ontvangen. De voicelogs komen in sterke mate overeen en er zijn vreemde pauzes in de gesprekken te horen. Hierdoor ontstaat het vermoeden dat de voicelogs gemanipuleerd zijn.
De producten die in de ontvangen voicelogs worden aangeboden wijken af van de producten die door uw bedrijf worden gefactureerd. Daarnaast kan uit de voicelogs niet worden opgemaakt op welke datum de telefoongesprekken hebben plaatsgevonden. Op generlei wijze komt naar voren wat de overeenkomst precies inhoudt, de wijze waarop zal worden geadverteerd en type advertentie. De voicelogs vormen daarmee geen rechtsgeldige overeenkomst voor de gefactureerde producten.
(…)
Wat betekent opname in ons Incidentenregister voor u?
Wat hebben uw gegevens in ons Incidentenregister gezet. Het Incidentenregister is de naam van de onderzoeksadministratie van de afdeling Veiligheidszaken. In het Incidentenregister staat wat er gebeurd is en wie daarbij betrokken is. Uw gegevens worden voor een periode van 8 jaar in ons Incidentenregister vastgelegd. Op 20 mei 2033 worden uw gegevens uit het Incidentenregister verwijderd. Dit kan een later tijdstip worden als u in de tussentijd opnieuw betrokken bent bij een ander incident.
Wat zijn de gevolgen van opname in het Incidentenregister voor u?
Alleen medewerkers van onze afdeling Veiligheidszaken kunnen de gegevens in het Incidentenregister zien. Ook kunnen wij deze gegevens met de afdeling veilgheidszaken van andere Financiële Instellingen delen. Wij hebben in het kader van ons onderzoek contact opgenomen met Rabobank en ING, waar de zakelijke rekeningen lopen. (…)’
2.5.
Bij brief van 27 mei 2025 heeft (de advocaat van) [eiser] gereageerd op de brief. In deze brief heeft [eiser] Lloyds Bank gesommeerd om zijn persoonsgegevens te verwijderen uit het Incidentenregister en om een volledig overzicht te verstrekken van de geregistreerde en met andere banken gedeelde gegevens. Ook heeft [eiser] gevorderd dat er een rectificatie plaatsvindt richting de derden die over [eiser] zijn geïnformeerd door Lloyds Bank.
2.6.
Op 12 juni 2025 heeft Lloyds Bank gereageerd op de brief van [eiser] en een schikkingsvoorstel gedaan. Daarnaast heeft Lloyds Bank in deze brief - voor zover van belang - het volgende geschreven:
‘Wij hebben genoeg aanwijzingen om vast te stellen dat uw cliënt een risico is voor Lloyds Bank. Daarom hebben wij de gegevens van meneer [eiser] in het Intern Verwijzingsregister (IVR) gezet. Deze gegevens blijven tot 20 maart 2033 in het Intern Verwijzingsregister staan. Dit kan een later tijdstip worden als meneer [eiser] gedurende de bewaartermijn opnieuw betrokken is bij een ander incident.
Een registratie in het IVR betekent dat, als uw cliënt een product aanvraagt of solliciteert bij Lloyds Bank, medewerkers advies moeten vragen aan de afdeling Veiligheidszaken van Lloyds Bank. Veiligheidszaken beoordeelt het risico dat wij lopen. Wij kunnen uw cliënt u het product of de baan weigeren. Andere financiële instellingen dan Lloyds Bank kunnen niet zien dat de gegevens van meneer [eiser] in het Intern Verwijzingsregister staan.’
2.7.
Nadien heeft [eiser] meermaals verzocht om informatie over de door Lloyds Bank met derden gedeelde op hem betrekking hebbende persoonsgegevens. Partijen hebben elkaar over en weer meerdere brieven gestuurd, onder meer over de volmacht van de advocaat van [eiser] .
2.8.
Op 18 juli 2025 heeft [eiser] een volmacht gestuurd en nogmaals verzocht - voor zover hier van belang - om aan te geven voor welk doel de persoonsgegevens zijn gebruikt, aan welke organisaties de gegevens zijn verstrekt door Lloyds Bank, welke informatie over
hem is opgenomen in het Incidentenregister en welke informatie gedeeld is met andere instellingen of derden.
2.9.
Bij brief van 23 juli 2025 heeft Lloyds Bank de door (de advocaat van) [eiser] gestelde vragen beantwoord. Lloyds Bank schrijft in deze brief onder meer het volgende:
‘
Onderwerp: Verzoek tot inzage verwerking van persoonlijke gegevens
Onderwerp: Verzoek tot inzage verwerking van persoonlijke gegevens
Geachte meneer [eiser] , mevrouw Van der Wijk,
In reactie op uw brief gedateerd 18 juli 2025 en de ontvangen volmacht en identificatie, beantwoorden wij uw vragen betreffende art. 15 (1) AVG als volgt:
Uw vraag
Antwoord
(…)
Aan welke organisaties of soorten organisaties Lloyds Bank GmbH de gegevens van cliënt eventueel heeft doorgegeven, en welke gegevens zijn doorgegeven.
Tot op heden is persoonlijke data verzonden naar de volgende ontvangers:
Functionaris voor gegevensbescherming
E-mailprovider van ontvanger
IT-dienstverleners
Lloyds Banking Group
(…)
Aanvullend verklaren wij dat er tot op heden geen persoonlijke informatie van meneer [eiser] is gedeeld met andere banken of financiële instellingen. (…)
Op 12 juni 2025 hebben wij u ook reeds geïnformeerd dat de gegevens van meneer [eiser] zijn opgenomen in het Interne Verwijzingsregister (IVR) van Lloyds Bank. Het Interne
Verwijzingsregister is gekoppeld aan de gebeurtenissenadministratie, waar de gegevens over het onderzoek zijn vastgelegd. Om die reden zullen wij de gegevens van meneer [eiser] verwijderen uit het incidentenregister. (…)’
2.10.
Partijen hebben nadien over en weer gecommuniceerd, maar zijn er onderling niet uitgekomen.
2.11.
Op 13 augustus 2025 heeft Lloyds Bank nog een brief aan [eiser] gestuurd, waarin - voor zover van belang - staat te lezen:
‘(…) U merkt op dat uit cliënte’s brief van 23 juli jl. blijkt dat er toch
geengegevens van uw cliënt met andere banken of financiële instellingen zijn gedeeld, hetgeen afwijkt van een eerdere suggestie.
Wij kunnen bevestigen dat de juiste situatie is dat er geen persoonsgegevens van uw cliënt zijn gedeeld met andere banken of financiële instellingen.
geengegevens van uw cliënt met andere banken of financiële instellingen zijn gedeeld, hetgeen afwijkt van een eerdere suggestie.
Wij kunnen bevestigen dat de juiste situatie is dat er geen persoonsgegevens van uw cliënt zijn gedeeld met andere banken of financiële instellingen.
Voorts, wat betreft de status van de gegevens van uw cliënt in de interne registers van Lloyds Bank: zoals vermeld in de brief van 23 juli jl. zijn de gegevens van de heer [eiser] verwijderd uit het Interne Incidentenregister van cliënte. De informatie blijft echter intern geregistreerd in het Interne Verwijzingsregister (“IVR”) maar is dus verwijderd uit het afzonderlijke Incidentenregister, na afronding van het onderzoek.
Een en ander betekent, dat de gegevens omtrent uw cliënt die intern in het IVR geregistreerd staan ook in de toekomst niet door andere financiële instellingen kunnen worden geraadpleegd. Medewerkers van cliënte kunnen wel het IVR raadplegen, maar daarin staan geen gegevens over het onderzochte incident opgenomen, maar uitsluitend dat uw cliënt voorwerp is geweest van een intern onderzoek.(…)’
3.Het geschil
3.1.
[eiser] vordert - na mondelinge vermindering van eis - bij uitvoerbaar bij voorraad te verklaren vonnis:
I. Lloyds Bank te veroordelen om binnen 48 uur na betekening van het in deze te wijzen vonnis zorg te dragen voor de volledige verwijdering van de persoonsgegevens van [eiser] uit het Intern Verwijzingsregister, een en ander op verbeurte van een dwangsom van € 1.000,00 per dag of dagdeel dat de registratie voortduurt na de voornoemde termijn met een maximum van € 50.000,00, dan wel een in goede justitie te bepalen bedrag;
II. te bevelen dat Lloyds Bank binnen 48 uur dagen na betekening van het in deze te wijzen vonnis een volledig overzicht verstrekt van alle persoonsgegevens die van [eiser] zijn verwerkt en gedeeld met derden en een overzicht van de derden met wie de informatie gedeeld is, waaronder de Rabobank en de ING-bank en de e-mailprovider van ontvanger en de Lloyds Banking Group, een en ander op verbeurte van een dwangsom van € 1.000,00 per dag of dagdeel dat de registratie voortduurt na de voornoemde termijn met een maximum van € 50.000,00;
III. te bevelen dat Lloyds Bank binnen 48 uur na betekening van het in deze te wijzen vonnis een rectificatie stuurt naar alle derden zoals onder andere genoemd onder II. aan wie gegevens van [eiser] zijn verstrekt, met de mededeling dat de eerdere melding onjuist was en dat de registratie is verwijderd, een en ander op straffe van een dwangsom van € 2.500,00 voor elke dag dat Lloyds Bank in gebreke blijft met de rectificatie, tot een maximum van € 50.000,00, dan wel een in goede justitie te bepalen bedrag;
IV. althans een andere passende voorziening te treffen die recht doet aan de belangen van [eiser] ;
V. met veroordeling van [eiser] in de kosten en de nakosten van deze procedure.
3.2.
Lloyds Bank voert verweer en concludeert tot afwijzing van de vorderingen van [eiser] , met veroordeling van [eiser] in de kosten van het geding en de nakosten. Op de stellingen van partijen zal hierna (voor zover rechtens relevant) worden beslist.
4.De beoordeling
Bevoegdheid
4.1.
Dit geschil heeft een internationaal karakter, omdat Lloyds Bank statutair gevestigd is in Duitsland. Daarom moet de voorzieningenrechter ambtshalve onderzoeken of de Nederlandse rechter rechtsmacht toekomt.
4.2.
De onderhavige bevoegdheidsvraag dient te worden beantwoord aan de hand van de Brussel-I bis-Verordening (verder: de Verordening). Op grond van artikel 4 van deze verordening is hoofdregel dat de rechter van de woonplaats van verweerder bevoegd is. Aangezien Lloyds Bank haar statutaire zetel in Duitsland heeft, is de Nederlandse rechter op grond van de hoofdregel in beginsel niet internationaal bevoegd om van de vorderingen op Lloyds Bank kennis te nemen.
4.3.
De onderhavige vordering is echter gebaseerd op een door Lloyds Bank gepleegde onrechtmatige daad, die volgens [eiser] eruit bestaat dat Lloyds Bank zonder voldoende grondslag persoonsgegevens van [eiser] in haar Interne Verwijzingsregister (hierna: IVR) heeft opgenomen.
4.4.
Artikel 7 lid 2 van de Verordening bevat een alternatieve bevoegdheidsregel voor geschillen over verbintenissen uit onrechtmatige daad. Volgens deze regel is bevoegd de rechter van de plaats waar het schadebrengende feit zich heeft voorgedaan of zich kan voordoen. Hieronder kan zowel de plaats waar de schade is ingetreden (‘Erfolgsort), als de plaats van de gebeurtenis die met de schade in een oorzakelijk verband staat (‘Handlungsort’) vallen. [1]
4.5.
In dit geval bevindt zowel het Handlungsort als het Erfolgsort zich in Nederland. Immers de gebeurtenissen die met de schade in oorzakelijk verband staan hebben plaatsgevonden in de vestiging van Lloyds Bank in Amsterdam en voor zover er schade is wordt deze voornamelijk geleden in [woonplaats] , de woonplaats van [eiser] . Dat betekent dat de Nederlandse rechter bevoegd is om kennis te nemen van de vorderingen.
Welk recht is van toepassing?
4.6.
Voor wat betreft de vraag welk recht van toepassing is, stelt de voorzieningenrechter vast dat op grond artikel 4 lid 1 van de in deze zaak toepasselijke Rome II-Verordening het Nederlands recht van toepassing is. De door [eiser] gestelde schade doet zich immers voor in Nederland.
Spoedeisend belang en toetsingskader in kort geding
4.7.
Waar het gaat om een in kort geding gevorderde voorlopige voorziening dient de voorzieningenrechter te beoordelen of [eiser] een spoedeisend belang heeft bij het gevorderde. Naar het oordeel van de voorzieningenrechter heeft [eiser] voldoende aannemelijk gemaakt dat hij een spoedeisend belang heeft bij zijn vorderingen. De registratie in het IVR vormt mogelijk een inbreuk op zijn goede naam. Indien hiervoor - zoals [eiser] betoogt - geen rechtvaardigingsgrond aanwezig is, hoeft hij deze inbreuk niet langer te dulden.
4.8.
In dit kort geding moet worden beoordeeld of de vorderingen van [eiser] in een bodemprocedure zodanige kans van slagen hebben dat het gerechtvaardigd is om op de toewijzing daarvan vooruit te lopen door het treffen van de gevorderde voorziening.
Vordering tot verwijdering IVR-registratie
4.9.
In deze procedure gaat het om de vraag of de registratie die Lloyds Bank heeft laten opnemen in het IVR rechtmatig is. Aanvankelijk ging het om meerdere registraties, maar op de mondelinge behandeling is gebleken dat de registratie in het Incidentenregister reeds door Lloyds Bank is verwijderd en [eiser] zijn vorderingen dienaangaande niet handhaaft.
4.10.
[eiser] stelt dat Lloyds Bank niet gerechtigd was om zijn gegevens op te nemen in het IVR, omdat niet is voldaan aan de vereisten van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen 2021 (hierna: PIFI) en artikel 6 lid 1 sub f van de Algemene Verordening Gegevensbescherming (hierna: AVG). Door de gegevens van [eiser] in het IVR op te nemen heeft Lloyds Bank daarom onrechtmatig jegens hem gehandeld. Ook heeft Lloyds Bank daardoor in strijd gehandeld met de artikelen 6 en 8 van het Europees Verdrag tot bescherming van de Rechten van de Mens (hierna: EVRM) en artikel 5 van de AVG. [eiser] stelt dat hij hierdoor schade heeft geleden.
4.11.
Lloyds Bank heeft uitgebreid verweer gevoerd, welk verweer er in het kort op neerkomt dat er volgens Lloyds Bank sprake is van een rechtmatige IVR-registratie. De voorzieningenrechter oordeelt hierover als volgt.
4.12.
Hoewel het PIFI in beginsel niet ziet op registraties in het IVR - het PIFI bepaalt in welke gevallen (persoons)gegevens kunnen worden opgenomen in het Incidentenregister en het Extern verwijzingsregister (EVR) - zal de voorzieningenrechter bij haar verdere beoordeling of de registratie in het IVR rechtsgeldig is toch aansluiting zoeken bij het PIFI. Daartoe is van belang dat zowel [eiser] als Lloyds Bank het PIFI (naar analogie) van toepassing achten op registraties in het IVR.
Ook moet de registratie in overeenstemming zijn met de AVG. De verwerking van persoonsgegevens is in beginsel rechtmatig op grond van artikel 6 lid 1 aanhef en onder f AVG (noodzakelijk ter behartiging van de gerechtvaardigde belangen van de bank en van de tot haar branche behorende financiële instellingen), wanneer de in deze bepaling voorgeschreven belangenafweging uitvalt in het voordeel van Lloyds Bank en aan de eisen van het PIFI wordt voldaan. Het PIFI is te beschouwen als een regeling die voldoende waarborgen biedt voor een verwerking van persoonsgegevens zoals de AVG die voorschrijft. De Autoriteit Persoonsgegevens heeft het PIFI voor vijf jaar (t/m maart 2026) goedgekeurd.
4.13.
Volgens het PIFI mogen persoonsgegevens alleen door een financiële instelling worden vastgelegd wanneer - samengevat - aan de volgende eisen is voldaan:
I. de gedraging van de persoon vormt een bedreiging voor de financiële instelling of de integriteit van de financiële sector;
II. er moet voldoende bewijs zijn van betrokkenheid bij die gedraging;
III. de beginselen van proportionaliteit en subsidiariteit moeten in acht worden genomen.
4.14.
In de begripsbepalingen (artikel 2 van het PIFI) is een ‘Incident’ als volgt omschreven
‘een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding.’
4.15.
De voorzieningenrechter stelt bij haar beoordeling voorop dat het Incidentbegrip in het PIFI niet enkel ziet op gebeurtenissen met klanten van de bank, maar ook op gebeurtenissen waarbij de bank (op andere wijze) contractspartij is. Verder is van belang, zoals ter zitting is gebleken, dat onderscheid moet worden gemaakt tussen een ‘Incident’ (zoals dat wordt opgenomen in het Incidentenregister en een daaraan gekoppeld Extern Verwijzingsregister) enerzijds en een ‘Gebeurtenis’ anderzijds, welke wordt aangetekend in een ‘Gebeurtenissenadministratie’ (die eveneens slechts intern is te raadplegen) en wordt opgenomen in het IVR.
4.16.
Vraag is vervolgens of de door Lloyds Bank gestelde gedraging een bedreiging vormt voor de financiële instelling of de integriteit van de financiële sector (of er sprake is van een Incident). [eiser] betwist dat, omdat er slechts sprake is van een vermoeden, terwijl voor een registratie vereist is dat er sprake is van een Incident (objectieve feiten). Daarmee voldoet volgens [eiser] de registratie in het IVR niet aan de vereisten uit het PIFI. De voorzieningenrechter oordeelt als volgt.
4.17.
Als onweersproken staat vast dat [bedrijf 2] onder vier verschillende handelsnamen ( [handelsnaam 1] , [handelsnaam 2] , [handelsnaam 3] en [handelsnaam 4] ) telefonisch (koude acquisitie) vergelijkbare diensten heeft aangeboden aan Lloyds Bank, namelijk de vermelding van Lloyds Bank in een online Bedrijfsinformatiegids, een online Bedrijvengids, een online Informatiegids en een online Bedrijvenpagina, voor vergelijkbare prijzen. Dit, in combinatie met negatieve berichtgeving over [bedrijf 2] (Sikkom en BOOS) waarin vergelijkbare ervaringen werden gedeeld, heeft geleid tot een intern onderzoek bij Lloyds Bank en aanvankelijk een vermelding in het Incidentregister. Lloyds Bank voert aan dat uit het onderzoek onder meer is gebleken - samengevat weergegeven - dat in een aantal gevallen in de voicelogs werd verwezen naar een andere online gids dan die welke werd vermeld in de opdrachtbevestiging/de factuur, dat advertenties niet vindbaar waren (tenzij een webadres met directe link naar Lloyds Bank wordt gebruikt of wordt gezocht op Lloyds), en dat het lijkt te gaan om vermeldingen in dezelfde gidsen waar - door gebruik te maken van verschillende handelsnamen en prijzen - meerdere keren voor is betaald. Deze door [eiser] als zodanig niet weersproken onregelmatigheden lei(d)den volgens Lloyds Bank tot het vermoeden van acquisitiefraude.
4.18.
De voorzieningenrechter is gelet op het voorgaande van oordeel dat op voorhand en zonder nadere bewijslevering - waarvoor in kort geding geen plaats is - niet kan worden geoordeeld dat er bij Lloyds Bank geen redelijk vermoeden heeft kunnen bestaan van acquisitiefraude. Daar waar voor opname in het Incidentenregister en het EVR, met name gelet op het feit dat deze door derden zijn te raadplegen, de juistheid van de gewraakte gedragingen in voldoende mate moet vaststaan [2] is de voorzieningenrechter van oordeel dat aan een vermelding in het IVR minder vergaande eisen zijn te stellen. Zij weegt daarbij mee dat dat het IVR een register is dat alleen toegankelijk is voor de betreffende bank, in dit geval Lloyds Bank, en dat voor volledige vereenzelviging van een ‘Incident’ en een ‘Gebeurtenis’ - mede gelet ook op de daarmee te dienen doeleinden - geen aanleiding bestaat. De voorzieningenrechter is van oordeel dat voor opname in het IVR en in de gebeurtenissenadministratie het bestaan van een redelijk vermoeden van schuld als zodanig wèl volstaat.
4.19.
Een tweede vereiste voor de registratie is dat in voldoende mate vast moet staan dat [eiser] betrokken is bij de betreffende gedragingen. Voor zover [eiser] aanvoert dat hij niet betrokken is bij deze gedragingen omdat hij geen partij is bij de betreffende contracten, zelf niet feitelijk heeft gehandeld, noch persoonlijk betrokken is geweest bij communicatie met Lloyds Bank, gaat dit niet op. Uit het PIFI (p. 39) volgt:
‘In het Incidentenregister worden karakteristieken van het Incident vastgelegd en van de daarbij betrokken personen, evenals handelingen die naar aanleiding van het Incident hebben plaatsgevonden. Met ‘bij het Incident betrokken personen’ wordt bedoeld personen die relevant zijn voor de beschrijving van het Incident.’
De voorzieningenrechter is van oordeel dat ook [eiser] , als UBO en enig (indirect) bestuurder van [bedrijf 2] , kan worden aangemerkt als bij het Incident (beter: de Gebeurtenis) betrokken persoon.
4.20.
Ten slotte moet zowel op grond van de AVG als op grond van het PIFI een belangenafweging worden toegepast, waarbij alle bekende feiten en omstandigheden moeten worden betrokken. Bij elke verwerking van persoonsgegevensregistratie moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. Dat betekent dat de inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkenen niet onevenredig is en in verhouding moet staan tot het met de verwerking te dienen doel (proportionaliteitsbeginsel), terwijl het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kan worden verwezenlijkt (subsidiariteitsbeginsel). [3]
4.21.
De voorzieningenrechter is van oordeel dat Lloyds Bank vooralsnog voldoende heeft onderbouwd dat aan de eisen van proportionaliteit en subsidiariteit is voldaan. Zo heeft zij gesteld dat een IVR-registratie de minst ingrijpende maatregel is, omdat het IVR (in tegenstelling tot het Incidentenregister) geen externe werking heeft en deze registratie, waarbij enkel [eiser] ’ naam, geboortedatum en woonadres zijn geregistreerd, enkel fungeert als intern signaal bij Lloyds Bank. Daarnaast kan het doel waarmee de gegevens van [eiser] zijn verwerkt - namelijk bescherming van de (integriteit van de) financiële sector - niet op een andere, voor [eiser] minder nadelige wijze, worden verwezenlijkt. Immers Lloyds Bank heeft er al voor gekozen om enkel een vermelding te maken in het IVR en de registratie uit het Incidentenregister te verwijderen. De inbreuk op de belangen van [eiser] - welke belangen door [eiser] ook niet nader zijn geconcretiseerd - is niet onevenredig in verhouding tot het met de verwerking te dienen doel.
4.22.
Op grond van al het voorgaande acht de voorzieningenrechter voorshands niet voldoende aannemelijk dat een bodemrechter tot het oordeel zal komen dat de opname in het IVR onrechtmatig is. De vordering tot verwijdering van de registratie zal daarom worden afgewezen. De hierover gevorderde dwangsom zal eveneens worden afgewezen.
4.23.
Voor zover [eiser] nog stelt dat Lloyds Bank door de IVR-registratie in strijd heeft gehandeld met artikel 6 en 8 van het EVRM en artikel 5 van de AVG gaat de voorzieningenrechter hieraan voorbij omdat [eiser] dit op geen enkele wijze nader heeft onderbouwd, en niet heeft aangegeven welke andere normen daarin besloten liggen die niet worden bestreken door het PIFI en de bepalingen van de AVG waaraan hiervoor reeds is getoetst.
Vordering op grond van artikel 15 AVG
4.24.
[eiser] vordert daarnaast op grond van artikel 15 AVG dat Lloyds Bank wordt bevolen om een volledig overzicht aan hem te verstrekken van alle persoonsgegevens die van hem zijn verwerkt en gedeeld met derden en een overzicht van de derden met wie de informatie gedeeld is, waaronder de Rabobank en de ING-bank, de e-mailprovider van ontvanger en de Lloyds Banking Group. Ter onderbouwing van zijn stelling dat er persoonsgegevens van hem met derden zijn gedeeld verwijst [eiser] naar de brief van Lloyds Bank van 23 juli 2025 zoals weergegeven onder r.o. 2.9. Lloyds Bank betwist dat er persoonsgegevens van [eiser] zijn gedeeld met derden.
4.25.
Op grond van artikel 15 lid 1 AVG heeft [eiser] het recht om van Lloyds Bank als verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van zijn persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen in die persoonsgegevens en informatie over onder meer verwerkingsdoeleinden en de betrokken categorieën van persoonsgegevens en de ontvangers daarvan.
4.26.
Hoewel Lloyds Bank zich op het standpunt stelt dat er geen persoonsgegevens van [eiser] zijn gedeeld met derden, kan de voorzieningenrechter haar daarin - zonder nadere toelichting die ontbreekt - niet volgen. Uit de brief van Lloyds Bank van 23 juli 2025, waarin de door mr. Van der Wijk gestelde vragen worden beantwoord, volgt immers dat er persoonsgegevens zijn gedeeld met de functionaris voor gegevensbescherming, de e-mailprovider van ontvanger, IT-dienstverleners en Lloyds Banking Group. Deze brief lijkt bovendien vooralsnog betrekking te hebben op [eiser] . De vragen zoals door mr. Van der Wijk gesteld zien immers specifiek op gegevens van haar cliënt (zij treedt op namens [eiser] en niet namens [bedrijf 2] ) en de brief van 23 juli 2025 is mede aan [eiser] gericht. Desgevraagd kon Lloyds Bank op de mondelinge behandeling ook niet uitleggen waarom in deze brief wordt geschreven dat er persoonsgegevens zijn gedeeld, terwijl zij dat zelf in deze procedure uitdrukkelijk betwist. Voor zover Lloyds Bank het standpunt heeft ingenomen dat dit een algemeen antwoord zou zijn, in die zin dat dit bedrijven zouden zijn waarmee Lloyds Bank in dergelijke gevallen informatie zou
kunnendelen, kan de voorzieningenrechter haar daarin evenmin volgen. De voorzieningenrechter zal daarom de vordering toewijzen, met dien verstande dat Lloyds Bank een overzicht moet verstrekken van de persoonsgegevens van [eiser] die Lloyds Bank gedeeld heeft met:
kunnendelen, kan de voorzieningenrechter haar daarin evenmin volgen. De voorzieningenrechter zal daarom de vordering toewijzen, met dien verstande dat Lloyds Bank een overzicht moet verstrekken van de persoonsgegevens van [eiser] die Lloyds Bank gedeeld heeft met:
- De functionaris voor gegevensbescherming
- De e-mailprovider van ontvanger
- IT-dienstverleners
- Lloyds Banking Group
4.27.
Voor zover de vordering ziet op de Rabobank en de ING-Bank is de voorzieningenrechter van oordeel dat [eiser] - gelet op het door Lloyds Bank gevoerde verweer - onvoldoende heeft gesteld om dit toe te kunnen wijzen. Niet is gebleken en door Lloyds Bank is uitdrukkelijk betwist dat met de Rabobank en de ING-bank persoonsgegevens van [eiser] zijn gedeeld. Weliswaar blijkt uit de overgelegde correspondentie dat bij deze twee banken gegevens zijn
opgevraagd, maar dat maakt niet dat er ook gegevens van hem zijn gedeeld.
opgevraagd, maar dat maakt niet dat er ook gegevens van hem zijn gedeeld.
4.28.
Voor zover er informatie van [bedrijf 2] gedeeld is met derden, overweegt de voorzieningenrechter dat [bedrijf 2] geen partij is in deze procedure. Dat dit indirect leidt of kan leiden tot het delen van persoonsgegevens van [eiser] - bijvoorbeeld via raadpleging van het handelsregister - acht de voorzieningenrechter in het kader van de door [eiser] ingestelde vorderingen niet relevant, al was het maar omdat geen verwijdering is gevorderd van gegevens die betrekking hebben op [bedrijf 2] .
4.29.
De voorzieningenrechter ziet geen aanleiding tot het opleggen van de door [eiser] gevorderde dwangsom. Deze vordering van [eiser] is blijkens het petitum van de dagvaarding niet gekoppeld aan de vordering tot het verschaffen van de door hem gevorderde gegevensverstrekking maar - slechts - aan ‘het voortduren van de registratie’ (petitum onder II). Zoals hiervoor is overwogen, zal de vordering die ziet op deze registratie (in het IVR) echter worden afgewezen.
Vordering tot rectificatie
4.30.
Tot slot vordert [eiser] dat Lloyds Bank wordt bevolen om een rectificatie naar alle derden te sturen aan wie gegevens van [eiser] zijn verstrekt, met de mededeling dat de eerdere melding onjuist was en dat de registratie is verwijderd. Deze vordering komt niet voor toewijzing in aanmerking, omdat vooralsnog volstrekt onduidelijk is (gebleven) welke gegevens er zijn gedeeld, met wie deze zijn gedeeld en wat er dan zou moeten worden gerectificeerd. Gelet hierop is de vordering niet alleen onvoldoende onderbouwd, maar ook onvoldoende gespecificeerd.
Proceskosten
4.31.
Omdat beide partijen over en weer in het (on)gelijk zijn gesteld, ziet de rechtbank aanleiding om de proceskosten te compenseren, in die zin dat iedere partij zijn eigen kosten draagt.
5.De beslissing
De voorzieningenrechter
5.1.
beveelt Lloyds Bank om binnen zeven dagen na betekening van dit vonnis aan [eiser] een volledig overzicht te verstrekken van alle persoonsgegevens die van [eiser] zijn gedeeld met de functionaris voor gegevensbescherming, de e-mailprovider van ontvanger, IT-dienstverleners en Lloyds Banking Group;
5.2.
verklaart dit vonnis tot zover uitvoerbaar bij voorraad;
5.3.
compenseert de proceskosten, in die zin dat iedere partij zijn eigen kosten draagt;
5.4.
wijst af het meer of anders gevorderde.
Dit vonnis is gewezen door mr. M. Kremer en in het openbaar uitgesproken op 5 september 2025.
711/lw