Het PIFI-protocol: regels voor EVR-registraties uitgelegd

Wat is het PIFI-protocol?

Het PIFI-protocol is het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. Dit protocol is opgesteld door de Nederlandse Vereniging van Banken (NVB) en het Verbond van Verzekeraars en bevat de regels waaraan financiële instellingen zich moeten houden bij het registreren van personen in het Intern Verwijzingsregister (IVR) en het Extern Verwijzingsregister (EVR). Het PIFI-protocol is daarmee het belangrijkste document dat bepaalt of een EVR-registratie rechtmatig is.

Het protocol is in het leven geroepen om een balans te vinden tussen enerzijds het belang van de financiële sector om fraude te bestrijden en anderzijds het recht op privacy van individuele burgers. In de praktijk zien wij echter dat veel financiële instellingen de regels van het PIFI-protocol niet correct naleven, waardoor onterechte EVR-registraties worden geplaatst. Bij Arslan & Arslan Advocaten toetsen wij elke EVR-registratie aan het PIFI-protocol om te beoordelen of de registratie rechtmatig is.

De voorwaarden voor een EVR-registratie volgens het PIFI

Volgens het PIFI-protocol moet een financiële instelling aan meerdere voorwaarden voldoen voordat zij een persoon mag registreren in het EVR. Deze voorwaarden zijn cumulatief, wat betekent dat aan alle voorwaarden tegelijkertijd moet zijn voldaan. Als een van de voorwaarden niet is vervuld, is de registratie onrechtmatig.

De eerste voorwaarde is dat de gedraging een bedreiging moet vormen voor de belangen van de financiële instelling of de financiële sector als geheel. Het moet gaan om een incident dat serieus genoeg is om andere instellingen voor te waarschuwen. Een eenvoudige administratieve fout of een misverstand is onvoldoende voor een EVR-registratie.

De tweede voorwaarde is dat de instelling de feiten voldoende moet hebben onderzocht en vastgesteld. Een vermoeden alleen is niet voldoende; de instelling moet concrete aanwijzingen hebben dat er daadwerkelijk sprake is van een incident. De bewijslast ligt bij de instelling, niet bij de betrokkene.

De derde voorwaarde is dat er een individuele belangenafweging moet hebben plaatsgevonden. De instelling moet het belang van de registratie afwegen tegen het privacybelang van de betrokkene. Hierbij moet rekening worden gehouden met de ernst van het incident, de mate van verwijtbaarheid, de persoonlijke omstandigheden van de betrokkene en de gevolgen van de registratie.

Hoor en wederhoor: een essentieel vereiste

Een belangrijk onderdeel van het PIFI-protocol is het beginsel van hoor en wederhoor. Dit betekent dat de financiële instelling u in beginsel vooraf moet informeren over de voorgenomen EVR-registratie en u de gelegenheid moet geven om uw zienswijze te geven. Dit is een fundamenteel recht dat is vastgelegd in zowel het PIFI-protocol als de Algemene Verordening Gegevensbescherming (AVG).

In de praktijk zien wij dat veel financiële instellingen dit beginsel niet naleven. Veel betrokkenen ontdekken pas dat zij een EVR-registratie hebben wanneer zij worden geweigerd voor een financieel product bij een andere instelling. Dit is in strijd met het PIFI-protocol en kan een grond zijn voor het aanvechten van de registratie.

Er zijn uitzonderingen op het beginsel van hoor en wederhoor. Als de instelling gegronde redenen heeft om aan te nemen dat het informeren van de betrokkene het onderzoek zou belemmeren of een gevaar zou opleveren, kan de instelling besluiten om de betrokkene pas achteraf te informeren. Deze uitzondering wordt echter te vaak en te ruim toegepast door financiële instellingen.

De proportionaliteitstoets

Het PIFI-protocol vereist dat de duur van de EVR-registratie proportioneel is. De maximale termijn is 8 jaar, maar dit is geen standaard. De instelling moet per geval beoordelen welke termijn passend is, rekening houdend met de ernst van het incident en de persoonlijke omstandigheden van de betrokkene.

In de praktijk zien wij dat vrijwel alle financiële instellingen standaard registreren voor de maximale termijn van 8 jaar. Dit is in strijd met het PIFI-protocol, dat voorschrijft dat een individuele afweging moet worden gemaakt. Een registratie van 8 jaar is alleen gerechtvaardigd bij de meest ernstige incidenten, zoals grootschalige fraude of georganiseerde criminaliteit.

Bij minder ernstige incidenten, zoals een eenmalige fout of een situatie waarin de betrokkene onbewust betrokken was, is een kortere termijn passender. Wij zien in de jurisprudentie dat rechters steeds vaker de duur van EVR-registraties terugbrengen wanneer de instelling geen individuele afweging heeft gemaakt.

Wanneer is een EVR-registratie onrechtmatig?

Op basis van het PIFI-protocol is een EVR-registratie onrechtmatig in de volgende situaties. Ten eerste wanneer de instelling de feiten onvoldoende heeft onderzocht of vastgesteld. Als de registratie is gebaseerd op vermoedens zonder concrete bewijzen, is de registratie onrechtmatig.

Ten tweede wanneer er geen individuele belangenafweging heeft plaatsgevonden. Als de instelling standaard registreert zonder rekening te houden met uw persoonlijke omstandigheden, is dit in strijd met het PIFI-protocol. Ten derde wanneer het beginsel van hoor en wederhoor niet is nageleefd zonder geldige reden.

Ten vierde wanneer de duur van de registratie disproportioneel is. Als u bent geregistreerd voor 8 jaar terwijl het incident dit niet rechtvaardigt, kan de duur worden teruggebracht. Bij Arslan & Arslan Advocaten toetsen wij elke registratie aan deze criteria en starten wij waar nodig een procedure tot verwijdering.

Gesubsidieerde rechtsbijstand

Het verwijderen van een EVR-registratie via juridische routes hoeft niet onbetaalbaar te zijn. Als uw inkomen beperkt is, kunt u mogelijk een toevoeging aanvragen via de Raad voor Rechtsbijstand. De overheid betaalt dan het grootste deel van de advocaatkosten en u betaalt slechts een eigen bijdrage. Dit maakt professionele juridische hulp bereikbaar voor iedereen. Neem contact met ons op om te bespreken of u hiervoor in aanmerking komt.

Wat kunt u doen bij schending van het PIFI-protocol?

Als uw EVR-registratie in strijd is met het PIFI-protocol, heeft u verschillende mogelijkheden. U kunt een bezwaar indienen bij de financiële instelling, een klacht indienen bij het KiFiD, of een procedure starten bij de rechter. In alle gevallen is het PIFI-protocol het toetsingskader dat de rechter of geschillencommissie hanteert.

Neem contact op voor een vrijblijvende beoordeling van uw EVR-registratie. Wij toetsen uw registratie aan het PIFI-protocol en adviseren u over de beste aanpak. Lees ook meer over uw rechten bij een EVR-registratie.

Het PIFI-protocol is een essentieel document dat de rechten van geregistreerden beschermt. Kennis van dit protocol is onmisbaar bij het aanvechten van een onterechte registratie.