Eerlijk proces versus bescherming van persoonsgegevens in het bankentuchtrecht
Eerlijk proces versus bescherming van persoonsgegevens in het bankentuchtrecht
Peter Laaper & Stijn van Deursen[1]
Essentie: Kunnen banken tuchtdossiers ongeanonimiseerd aan de STB overleggen? Waar het recht op een eerlijke tuchtprocedure gebaat is bij een zo compleet mogelijk dossier, kan het recht op bescherming van persoonsgegevens zich daar juist tegen verzetten. Onzes inziens kiest de Tuchtcommissie de verkeerde grondslag voor het overdragen van persoonsgegevens en biedt de AVG een grondslag waarbij meer rekening wordt gehouden met de belangen van betrokkenen.
Trefwoorden: bankentuchtrecht, gegevensbescherming, AVG, afweging grondrechten
1. Bankentuchtrecht: het recht op een eerlijk proces en bescherming van persoonsgegevens
Banken moeten tuchtwaardig gedrag van hun medewerkers melden bij de Stichting Tuchtrecht Banken (STB).[2] In het licht van deze verplichting zijn in recente zaken dossiers aangeleverd die met het oog op de bescherming van persoonsgegevens van klanten en anderen zijn geanonimiseerd.[3] De Tuchtcommissie, het tuchtorgaan van de STB, accepteert geen geanonimiseerde dossiers meer. Zij stelt dat uit de Wft en het daarop gebaseerde Tuchtreglement Bancaire Sector een wettelijke verplichting volgt om dossiers in ongeanonimiseerde vorm in de procedure te brengen en dat deze wettelijke verplichting de verwerking van persoonsgegevens rechtmatig maakt. Het op andere wijze dan in niet-geanonimiseerde vorm aanleveren van interne onderzoeksrapporten leidt volgens de Tuchtcommissie tot een schending van de waarborgen voor een behoorlijk proces.[4]
Iedereen kan bij de STB melding maken van vermeend tuchtwaardig gedrag, maar meldingen die tot een tuchtrechtelijke klacht leiden, worden meestal gedaan door banken. Voorts kan de STB een bank om aanvullende inlichtingen vragen. De bank is in beginsel gehouden die te verstrekken.[5] Meldingen door en de medewerking van banken zijn dus van groot belang voor een effectief bankentuchtrecht. Banken moeten dan wel zeker weten dat zij geen privacyregels overtreden.
In dit artikel onderzoeken wij de mogelijkheid om in bankentuchtprocedures ongeanonimiseerde dossiers aan te leveren. Wij schetsen eerst enkele achtergronden en de procedurele hoofdlijnen van het bankentuchtrecht. Daarna volgt een korte introductie van het gegevensbeschermingsrecht. Vervolgens onderzoeken we de mogelijke grondslagen voor rechtmatige overdracht van een dossier met persoonsgegevens. Wij concluderen dat de door de Tuchtcommissie aangevoerde grondslag voor overdracht van ongeanonimiseerde dossiers discutabel is. Een andere grondslag biedt volgens ons uitkomst en doet meer recht aan de belangen van de verschillende betrokkenen.
2. Achtergronden en procedurele hoofdlijnen van het bankentuchtrecht
2.1 Achtergronden
De financiële crisis ondermijnde het vertrouwen van het publiek in banken. Om dat vertrouwen weer terug te winnen, nam de Nederlandse Vereniging van Banken (NVB) onder meer het initiatief tot invoering van een tuchtrecht dat, op verzoek van de NVB, ook wettelijk is verankerd.[6] Op grond hiervan moet elke bank haar medewerkers[7] onderwerpen aan ‘een’ tuchtrecht, dat aan bepaalde (procedurele) waarborgen voldoet, zoals uitvoering door een onafhankelijke en deskundige organisatie. Hoewel dit niet de STB hoeft te zijn, is dat in de praktijk de enige uitvoeringsorganisatie van bankentuchtrecht, zodat die de facto ‘het’ bankentuchtrecht uitvoert.
Het bankentuchtrecht is weliswaar wettelijk verankerd, het is geen ‘wettelijk tuchtrecht’. Wettelijk tuchtrecht is tuchtrecht dat door de overheid is ingesteld en bij wet wordt geregeld.[8] Het is ingesteld voor bepaalde vrije beroepen.[9] Het bankentuchtrecht laat zich beter kenschetsen als een (wettelijk verankerd) ‘verenigingstuchtrecht’.[10] Verenigingstuchtrecht is gebaseerd op een privaatrechtelijke afspraak tussen de leden. De scheidsrechters oordelen niet op basis van een hen wettelijk toegekende bevoegdheid, maar omdat leden ermee hebben ingestemd zich te onderwerpen aan dat tuchtrecht. Verenigingstuchtrecht is onder meer bekend uit de sportwereld[11] en de makelaardij.[12]
Het onderscheid tussen wettelijk tuchtrecht en verenigingstuchtrecht ligt er dus in of men vrijwillig toetreedt tot dat tuchtrecht. Wie advocaat wil worden, moet zich onderwerpen aan het tuchtrecht van de Orde van Advocaten. Geschrapt van het tableau kan men niet langer advocaat zijn. Wie daarentegen wil makelen of voetballen hoeft zich niet bij NVM of KNVB aan te sluiten om te makelen of te voetballen. Uitsluiting door een van deze verenigingen heeft niet als consequentie dat het beroep niet meer kan worden uitgeoefend.
Het bankentuchtrecht is een verenigingstuchtrecht, maar heeft kenmerken van een wettelijk tuchtrecht, aangezien de wettelijke verankering de onderwerping aan ‘een’ tuchtrecht vereist. De facto is dit het tuchtrecht van de STB. Hoewel iemand bij uitsluiting door de STB zijn activiteiten in theorie kan voortzetten door in dienst te treden bij een bank die niet bij de STB is aangesloten of door zelf een bank te beginnen, is een door de STB opgelegd ‘beroepsverbod’ daardoor in feite inderdaad een beroepsverbod.
Wettelijk tuchtrecht moet voldoen aan de eisen van een fair trial.[13] Op verenigingstuchtrecht zijn de eisen van fair trial niet van toepassing. Een verenigingstuchtrechtelijke uitspraak die tot stand is gekomen met schending van fundamentele beginselen van procesrecht is echter vernietigbaar.[14] De bankentuchtprocedure moet daarom in ieder geval voldoen aan de beginselen van een behoorlijke tuchtprocedure, waaronder het verdedigingsbeginsel, recht op hoor en wederhoor, redelijke termijnen en het bestaan van een beroepsmogelijkheid.[15] De facto moet de bankentuchtprocedure dus wél voldoen aan de eisen van een fair trial.
2.2 Procedurele hoofdlijnen
Door aflegging van de bankierseed,[16] committeert de bankmedewerker zich aan de Gedragsregels van de NVB. Die Gedragsregels houden kort gezegd in dat de bankmedewerker (1) integer en zorgvuldig werkt, (2) belangen zorgvuldig afweegt, (3) de belangen van de klant centraal stelt, (4) zich houdt aan de wet en andere regels voor zijn werk bij de bank, (5) vertrouwelijke informatie geheimhoudt, (6) open en eerlijk is over zijn gedrag en zijn verantwoordelijkheid voor de samenleving kent, en (7) bijdraagt aan het vertrouwen van de samenleving in de bank.
Handelt een bankmedewerker in strijd met de Gedragsregels, dan kan eenieder daarvan melding doen.[17] Ook banken kunnen – en volgens de wetgever: moeten[18] – melding doen. Iedere melding moet onder andere de naam van de bankmedewerker vermelden (of, indien de naam onbekend is: voldoende nauwkeurig zijn identiteit aanduiden) en een omschrijving van de verweten gedraging.[19]
De melding komt binnen bij de Algemeen Directeur. De Algemeen Directeur treedt als een soort openbaar aanklager op. Hij stelt een onderzoek in naar iedere melding.[20] Hij kan daarbij inlichtingen en informatie opvragen bij de melder. Indien de melder een bank is, is zij verplicht om die inlichtingen en informatie te verstrekken, tenzij dat onder de gegeven omstandigheden niet van haar kan worden gevergd of zij daardoor in strijd met wet- en regelgeving zou handelen.[21]
De Algemeen Directeur legt niet zelf sancties op.[22] Hij beslist naar aanleiding van de melding of hij een klacht voorlegt aan de Tuchtcommissie.[23] Hij kan ook op eigen initiatief, zonder voorafgaande melding, een klacht voorleggen, maar moet dan eerst overleggen met de voorzitter van het bestuur van de STB.[24] De Algemeen Directeur kan besluiten om geen klacht aan de Tuchtcommissie voor te leggen, onder meer als de vermoede overtreding onvoldoende ernstig is.[25] Legt de Algemeen Directeur een klacht voor, dan treedt hij op als klager. De melder wordt geen partij in de procedure.
Ter zitting[26] voor de Tuchtcommissie kan de beklaagde bankmedewerker zich laten bijstaan.[27] Zowel de Algemeen Directeur als de beklaagde bankmedewerker mogen getuigen en deskundigen doen horen.[28] Ook de Tuchtcommissie zelf kan actief vragen stellen over de feitelijke toedracht waarop de klacht ziet[29] en inlichtingen vragen van de bank die de melding heeft gedaan.[30] De zitting is niet openbaar.[31]
Oordeelt de Tuchtcommissie dat de Gedragsregels inderdaad zijn geschonden, dan kan zij een van de volgende maatregelen opleggen:
- verplicht te volgen educatie;
- een berisping;
- een boete tot 25.000 euro (te voldoen aan de STB), of;
- een beroepsverbod voor maximaal drie jaar.
Na de beslissing van de Tuchtcommissie staat zowel de bankmedewerker als de Algemeen Directeur de mogelijkheid van beroep bij de Commissie van Beroep open.[32] Op de beroepsprocedure zijn vrijwel dezelfde procedurele bepalingen van toepassing als op de procedure bij de Tuchtcommissie.[33]
Eenmaal onherroepelijk geworden tuchtrechtelijke maatregelen worden opgenomen in het Tuchtregister dat de STB houdt. Het Tuchtregister kan enkel worden ingezien door banken en wordt door hen gebruikt in het kader van de pre-employment screening.[34]
Er zijn dus drie momenten waarop overdracht van een dossier met persoonsgegevens door de bank aan de STB aan de orde kan zijn: (1) wanneer de bank zelf een melding doet, (2) na opvraag bij de bank door de Algemeen Directeur, en (3) na opvraag door de Tuchtcommissie. Wij merken hierbij nog op dat de bank de gegevens niet noodzakelijk in dossiervorm moet verstrekken. Omwille van de eenvoud hebben wij het toch steeds over overlegging van een dossier.
3. De bescherming van persoonsgegevens
In deze paragraaf onderzoeken we de mogelijkheden voor rechtmatige overdracht van een dossier met persoonsgegevens.
3.1 Bescherming van persoonsgegevens onder de AVG
De bescherming van persoonsgegevens is in de Europese Unie een grondrecht[35] en de verwerking van persoonsgegevens dient dan ook in overeenstemming met dit recht te gebeuren: op eerlijke wijze, voor bepaalde doeleinden en op basis van toestemming van de betrokkene of een in de wet voorziene grondslag.[36] Deze verplichting is sinds 25 mei 2018 verder uitgewerkt in de rechtstreeks toepasselijke Algemene Verordening Gegevensbescherming (AVG). De AVG is de opvolger van de Richtlijn gegevensbescherming[37] en beoogt een einde te maken aan de lappendeken van nationale benaderingen van de Europese lidstaten onder die Richtlijn, door natuurlijke personen een consistent en hoog beschermingsniveau te bieden en belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen.[38] Omdat de AVG op bepaalde punten ruimte laat voor verdere invulling door de Europese lidstaten is de AVG in Nederland verder uitgewerkt in de Uitvoeringswet AVG (UAVG). In Nederland ziet de Autoriteit Persoonsgegevens (AP) toe op de naleving van de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens. De AP is op Europees niveau vertegenwoordigd in de European Data Protection Board (EDPB): een onafhankelijk Europees orgaan dat de consistente toepassing van de regels op het gebied van gegevensbescherming door de lidstaten bevordert en daarmee de taken overneemt die de Artikel 29-Werkgroep onder de Richtlijn Gegevensbescherming had.
De AP heeft zich tot dusver niet uitgelaten over de verwerking van persoonsgegevens in een bankentuchtprocedure. De AP weigerde zelfs om een zienswijze te geven over de vraag of een bank ongeanonimiseerde stukken mag inbrengen in een bankentuchtprocedure.[39] Wel oordeelde de AP over een andere verwerking dan in onze bijdrage centraal staat, namelijk over de registratie van persoonsgegevens van tuchtrechtelijk veroordeelde bankmedewerkers in het Tuchtregister. Die is volgens haar rechtmatig, omdat ze noodzakelijk is om te voldoen aan de wettelijke verplichting om een effectief tuchtrecht te waarborgen. Een tuchtrechtelijk systeem is immers illusoir als banken niet weten wie tuchtrechtelijk veroordeeld zijn. Bovendien wordt voor het Tuchtregister slechts een zeer beperkt aantal gegevens verwerkt.[40]
De AVG is van toepassing op het verwerken van persoonsgegevens. Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon kwalificeert als persoonsgegeven.[41] Identificeerbaarheid houdt in dat een natuurlijke persoon direct of indirect kan worden geïdentificeerd, bijvoorbeeld aan de hand van namen, identificatienummers, locatiegegevens of andere elementen die kenmerkend zijn voor de identiteit van die natuurlijke persoon. Het is niet van belang of identificatie direct mogelijk is of eerst na koppeling van een gegeven aan een ander gegevensbestand herleidbaar wordt tot een natuurlijk persoon. Uit rechtspraak van het Hof van Justitie van de Europese Unie (HvJEU) volgt dat het begrip ‘persoonsgegeven’ een breed begrip is dat zowel objectieve informatie als subjectieve informatie in de vorm van meningen of beoordelingen omvat.[42] Verwerking van persoonsgegevens is elke bewerking daarvan zoals verzamelen, vastleggen, bijwerken, opvragen, raadplegen, verstrekken of verspreiden.[43] De begrippen persoonsgegeven en verwerking moeten allebei ruim worden geïnterpreteerd.[44]
3.2 Verwerking van persoonsgegevens in het bankentuchtrecht
Overdracht van een tuchtdossier met persoonsgegevens door een bank aan de Tuchtcommissie of Algemeen Directeur is een verwerking van persoonsgegevens.[45] Verwerking is niet verboden, mits in overeenstemming met de voorwaarden gesteld in de AVG. Deze voorwaarden houden onder meer in dat gegevens worden verwerkt op rechtmatige, behoorlijke en transparante wijze[46] en dat dit voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden gebeurt.[47] Daarnaast moeten de gegevens toereikend, ter zake dienend en noodzakelijk zijn voor de doeleinden waartoe zij worden verwerkt.[48] Zij moeten juist zijn en zo nodig worden geactualiseerd.[49] Opslag van persoonsgegevens moet plaatsvinden op een wijze die identificatie van de betrokkenen niet langer dan noodzakelijk mogelijk maakt[50] en er moeten passende technische of organisatorische maatregelen genomen worden om de bescherming van de gegevens te waarborgen.[51]
De overdracht door een bank van een ongeanonimiseerd dossier roept vooral vragen op ten aanzien van de rechtmatigheid van de verwerking, zoals ook blijkt uit de in de inleiding besproken uitspraken van de Tuchtcommissie. Hieronder richten wij ons daarom op de rechtmatigheidskwestie. De overige voorwaarden waaronder verwerking moet gebeuren, laten we in principe onbesproken. We wijzen er niettemin nadrukkelijk op dat wanneer aan het rechtmatigheidsvereiste is voldaan, nog steeds uit de toepassing van die verwerkingsvoorwaarden kan voortvloeien dat de voorgenomen wijze van verwerken niet is toegestaan.
Er zijn zes gronden waarop de bank een verwerking van persoonsgegevens kan baseren:
- Toestemming van de betrokkene;
- Noodzakelijkheid voor de uitvoering van een overeenkomst;
- Noodzakelijkheid om te voldoen aan een wettelijke verplichting;
- Noodzakelijkheid ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon;
- Noodzakelijkheid voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag; of
- Noodzakelijkheid voor de behartiging van de gerechtvaardigde belangen van de bank of derden.[52]
De eerste, tweede, vierde en vijfde grondslag zijn voor dit artikel van weinig belang. Verkrijgen van toestemming van een betrokkene is onpraktisch, omdat een dossier persoonsgegevens van vele personen kan bevatten. Bovendien kan een betrokkene te allen tijde zijn toestemming intrekken en daarmee de overdracht (alsnog) tegenhouden.[53] Van een overeenkomst met een collega van de beklaagde bankmedewerker, een bankklant of een derde die verwerking van de persoonsgegevens noodzakelijk maakt, is geen sprake. Bij verwerking ter bescherming van vitale belangen gaat het om belangen die essentieel zijn voor het leven van die persoon en die bovendien niet op andere grondslagen gebaseerd kan worden.[54] Tot slot dient het bankentuchtrecht weliswaar het openbare belang en kan worden betoogd dat sprake is van de vervulling van een taak in het kader van de uitoefening van het openbaar gezag, maar is voor deze grondslag ook een basis in het Unierecht of het recht van een lidstaat vereist.[55] Of die basis bestaat, is op zijn best onzeker en daarom geen praktische grondslag. Het probleem van die wettelijke basis speelt ook bij de grondslag die de Tuchtcommissie koos. Dat probleem behandelen we hieronder.
De Tuchtcommissie meent dat overdracht van een dossier met ongeanonimiseerde gegevens noodzakelijk is om te voldoen aan een wettelijke verplichting.[56] Voor de wettelijke verplichting wijst zij op de Wft en het Tuchtreglement. Het is echter zeer de vraag in hoeverre dit een overdracht van de gegevens van zowel de beklaagde bankmedewerker als ook van eventuele collega’s, klanten en andere derden kan rechtvaardigen. Hoewel deze grondslag geen wet in formele zin vereist, moet de toepassing daarvan wel voorspelbaar zijn voor de betrokkenen.[57] De wettelijke verplichting in de Wft bepaalt slechts dat banken hun medewerkers moeten onderwerpen aan een tuchtrecht dat voorziet in adequate waarborgen voor een behoorlijke procesgang. Ze bepaalt niet wat die adequate waarborgen moeten inhouden.[58] Voorts bepaalt het Tuchtreglement dat het dossier de identiteitsgegevens van de beklaagde alsmede een omschrijving van zijn gedragingen moet bevatten.[59] Volgens ons volgt hier niet op voorspelbare wijze uit dat een dossier ook de persoonsgegevens van anderen dan de beklaagde moet bevatten. Bij het zogenaamde wettelijke tuchtrecht, waar zowel het tuchtrecht zelf als de geldende waarborgen bij of krachtens wet geregeld zijn, wordt eerder aan deze voorwaarde voldaan.
Voorts is te betwijfelen of overdracht van een ongeanonimiseerd dossier noodzakelijk is om een eerlijke tuchtprocedure te voeren. Het EHRM gaat immers altijd uit van een beoordeling van de eerlijkheid van een procedure als geheel en oordeelt dan ook dat wanneer een procespartij geen onbeperkte toegang heeft tot alle relevante informatie, er nog steeds sprake kan zijn van een fair trial als er compenserende waarborgen zijn.[60] Deze mogelijkheid lijkt door de Tuchtcommissie onvoldoende in haar uitspraken te zijn betrokken.
De laatste grondslag voor verwerking van persoonsgegevens is te vinden in de verwerking ter behartiging van de gerechtvaardigde belangen van de bank of derden. Deze grondslag ligt volgens ons meer voor de hand dan de verwijzing naar een verder minimaal uitgewerkte wettelijke verplichting. Ze doet tevens meer recht aan de belangen van de verschillende betrokkenen en de grondrechtelijke bescherming daarvan, omdat deze grondslag een daadwerkelijke afweging vergt van alle betrokken belangen. Onzes inziens is het in deze belangenafweging niet van belang of een dossier wordt overgedragen na eigen melding door de bank, na opvraag door de Algemeen Directeur of na opvraag door de Tuchtcommissie.[61] Er is immers in al die gevallen sprake van een vergelijkbare afweging tussen het algemene belang van een effectief tuchtrecht en een eerlijke tuchtprocedure aan de ene kant en het recht op een verantwoorde, wettelijk toegestane gegevensverwerking aan de andere kant. Wel kan deze belangenafweging naar onze mening reden geven tot het inzetten van extra aanvullende waarborgen. In paragraaf 4.4 gaan we hierop verder in.
4. Belangenafweging in het kader van de AVG
Inherent aan een belangenafweging is dat de uitkomst van geval tot geval anders kan zijn. Toch kunnen over de belangenafweging algemene opmerkingen worden gemaakt die houvast bieden voor het maken ervan. Hiervoor gebruiken wij het kader zoals uiteengezet in opinie 06/2014 van de zogenaamde Artikel 29-Werkgroep, die onder de Richtlijn bescherming persoonsgegevens onder meer waakte over de consistente toepassing van die Richtlijn.[62]
Voor de belangenafweging wordt een vierstappenplan gehanteerd. De eerste stap is het vaststellen en beoordelen van het belang bij gegevensverwerking. De tweede stap is het beoordelen van de gevolgen van de voorgenomen gegevensverwerking op de personen wier persoonsgegevens het betreft. In de derde stap wordt een voorlopige belangenafweging gemaakt. In de vierde stap wordt ten slotte gekeken naar het effect van aanvullende waarborgen op de belangenafweging.[63]
4.1. Het belang van het verwerken van persoonsgegevens in het bankentuchtrecht
De overdracht van het dossier met persoonsgegevens in het kader van een tuchtprocedure dient, zoals ook besproken in paragrafen 1 en 2 van dit artikel, verschillende belangen. Doet de bank zelf melding bij de Algemeen Directeur, dan geeft zij uitvoering aan de op haar rustende verplichting om haar medewerkers aan tuchtrecht te onderwerpen.[64] Verstrekt zij op verzoek van de Algemeen Directeur of Tuchtcommissie een dossier, dan voldoet zij aan haar verplichtingen uit het tuchtreglement.[65] Daarnaast worden met het overleggen van gegevens ook andere belangen gediend, die ook in de belangenafweging mogen worden meegenomen.[66] Voor de beklaagde bankmedewerker staat er een grondrecht op het spel: het recht op een eerlijke (tucht)procedure.[67] Om dat recht te verwezenlijken moeten de partijen bij de tuchtprocedure over relevante gegevens beschikken. Daarnaast staat er een maatschappelijk belang op het spel: door een effectief tuchtrecht wordt de betrouwbaarheid en geloofwaardigheid van de financiële sector vergroot.
4.2 De gevolgen voor betrokkenen
Tegenover de belangen die gediend zijn met het verwerken van persoonsgegevens in de tuchtprocedure staat het belang van de bescherming van persoonsgegevens van de beklaagde bankmedewerker, zijn collega’s, bankklanten en eventuele derden van wie persoonsgegevens in het dossier voorkomen. De bank moet beoordelen wat de gevolgen van de gegevensverstrekking voor deze personen zijn. Relevante factoren zijn hier onder andere een waardering van de gevolgen van een verwerking voor de betrokkene, de aard van de verwerkte gegevens, de wijze van verwerking, de redelijke verwachtingen van de betrokkenen en ten slotte de status van de betrokkene, bank en Tuchtcommissie.[68]
Voor de waardering van de gevolgen van een overdracht valt te denken aan risico’s voor iemands reputatie, onderhandelingskracht of zelfbeschikkingsrecht. Maar ook irritatie, angst bij iemand die zich realiseert de controle over persoonlijke informatie te zijn verloren, en het effect op beschermd gedrag (zoals vrijheid van meningsuiting) wanneer iemand zich realiseert voortdurend in de gaten gehouden te kunnen worden, zijn relevante gevolgen.[69]
De aard van de verwerkte gegevens kan extra bescherming vergen. Verwerking van ‘gewone’ persoonsgegevens, zoals rekeningnummers, namen of emailadressen, zal op minder bezwaren stuiten dan de verwerking van bijzondere persoonsgegevens. Bijzondere persoonsgegevens hebben betrekking op ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, lidmaatschap van een vakbond, of gegevens over gezondheid, over seksueel gedrag of seksuele gerichtheid.[70] Zulke gegevens kunnen niet alleen uit personeelsdossiers blijken, maar bijvoorbeeld ook uit de omschrijving van betaaltransacties van klanten. Te denken valt aan de betaling van lidmaatschapsgeld aan een vakbond of politieke partij, een gift aan een kerk, of abonnementsgeld op bijvoorbeeld de Gaykrant. De verwerking van dergelijke gegevens is in beginsel verboden en mag de bank daarom in beginsel niet verstrekken. Zij zullen ook zelden relevant zijn. Voor zulke zeldzame gevallen bevat de AVG heel beperkte uitzonderingen om verwerking te rechtvaardigen.[71] Ook andere gegevens kunnen naar hun aard extra bescherming verdienen, zoals locatiegegevens en communicatiegegevens.
De wijze van verwerking is medebepalend voor het risico dat een betrokkene loopt op ongewenste bekendmaking van hem betreffende persoonsgegevens.[72] In casu vindt de verwerking plaats door de persoonsgegevens over te dragen aan de Tuchtcommissie. Relevant zijn bijvoorbeeld beveiligingsmaatregelen in de systemen die bij de verzending en verwerking gebruikt worden. Relevant is ook dat de STB een Privacyreglement hanteert zodat redelijkerwijs is te verwachten dat verspreiding van de persoonsgegevens beperkt blijft tot een kleine kring van Algemeen Directeur, Tuchtcommissie, eventueel Commissie van Beroep, de beklaagde bankmedewerker en eventueel diens juridische bijstandsverlener.[73] Tevens heeft eenieder die rechtsreeks bij een tuchtrechtelijke melding betrokken is het recht om te klagen als hij van mening is dat zijn gegevens in strijd met de wet worden verwerkt.[74]
Er kunnen omstandigheden bestaan waardoor betrokkenen redelijkerwijs kunnen verwachten dat hun persoonsgegevens extra worden beschermd.[75] Redelijke verwachtingen kunnen ook in de andere richting wijzen. De bank mag persoonsgegevens in principe enkel verwerken voor de doelen waarvoor zij ze heeft verzameld.[76] De persoonsgegevens die in een tuchtprocedure nodig zijn, zal de bank niet hebben verzameld met het oog op die tuchtprocedure.[77] Toch mag de bank die persoonsgegevens verwerken als verwerking ten behoeve van de tuchtprocedure verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Die verenigbaarheid moet worden beoordeeld aan de hand van een billijkheidsafweging die wederom een belangenafweging inhoudt.[78] Op de eerste plaats moet echter het ‘verrassingselement’ worden beoordeeld: hoe verrast moet de betrokkene zijn dat zijn persoonsgegevens in een tuchtprocedure worden gebruikt?
4.3 De voorlopige belangenafweging
In de voorlopige belangenafweging wordt het belang bij gegevensverwerking afgezet tegen het belang van de betrokkene wiens gegevens het betreft. Om die belangenafweging hanteerbaar te maken, onderscheiden wij vier categorieën betrokkenen: (1) de beklaagde bankmedewerker zelf, (2) collega’s, (3) klanten van de bank, en (4) derden. Per categorie maken we een afweging. We benadrukken dat het hier om een afweging in abstracto gaat. In een concreet geval kan de (voorlopige) belangenafweging anders uitpakken. Blijvende oplettendheid is dus geboden.
4.3.1 Het belang bij gegevensverwerking
Zoals in paragraaf 4.1 beschreven kan het verwerken van persoonsgegevens in het belang zijn van zowel de bank als de beklaagde en de maatschappij als geheel. Met name het maatschappelijk belang vergt nog een nadere toelichting: onzes inziens weegt dit zwaarder naarmate het tuchtrecht in de maatschappij algemener is geaccepteerd en verwacht wordt dat een bank actie onderneemt en daarbij persoonsgegevens verwerkt.[79] Het is moeilijk te peilen wat de huidige maatschappelijke verwachtingen op dit punt zijn. Het bankentuchtrecht is nog jong en relatief weinig bekend. De ophef rond het witwasschandaal bij ING[80] leidde niettemin, na een oproep in de landelijke media,[81] tot ongeveer 200 tuchtmeldingen bij de STB.[82] Bovendien is het maatschappelijk belang voor de wetgever reden geweest om banken te verplichten een tuchtrecht in te voeren.
De belangen bij gegevensverwerking zijn dus groot. Dat betekent dat er grote belangen tegenover moeten staan om een verwerking in beginsel onrechtmatig te achten.
4.3.2. Het belang van de beklaagde bankmedewerker
Het dossier zal gegevens van de beklaagde bankmedewerker bevatten, al is het maar om zijn identiteit vast te stellen. Soms zal het ook andere persoonsgegevens van hem bevatten.[83] Overdracht van de identiteitsgegevens van de beklaagde en een beschrijving van zijn gedragingen lijken in ieder geval gerechtvaardigd als noodzakelijk om te voldoen aan de wettelijke verplichting om een effectief tuchtrecht te waarborgen.[84] Voor zover het dossier andere persoonsgegevens bevat, moet ook ten aanzien van de beklaagde bankmedewerker een belangenafweging gemaakt worden. Hierbij is relevant dat de beklaagde bankmedewerker de bankierseed heeft afgelegd. Daarmee heeft hij zichzelf gebonden aan het Tuchtreglement. Dat het dossier diens persoonsgegevens kan bevatten, kan dus geen verrassing zijn.[85]
In de afweging zal ook meewegen dat de beklaagde bankmedewerker iets te verantwoorden heeft. Dat argument speelde ook in een civiele zaak waarin Toyota slachtoffer was van factuurfraude en ING om de gegevens van de houder van het rekeningnummer van het overgemaakte bedrag verzocht.[86] De rechter oordeelt dat de rekeninghouder, ook als hij te goeder trouw is, feitelijk heeft geprofiteerd van de factuurfraude en daarom van hem verwacht mag worden dat hij verantwoording aflegt over de gronden waarop hij meent het bedrag te mogen behouden. Voor die verantwoording moet Toyota wel eerst over de gevraagde gegevens beschikken.
Ook een beklaagde of veroordeelde bankmedewerker heeft evenwel recht op bescherming van zijn persoonsgegevens. Daarvoor is van belang dat de STB over een Privacyreglement beschikt dat voorziet in geheimhouding en anonimisering van publicaties. Ook is het Tuchtregister niet publiekelijk openbaar en zelfs voor aangesloten banken slechts raadpleegbaar door een selecte groep functionarissen.[87] Wij concluderen dat verwerking van persoonsgegevens van de beklaagde bankmedewerker in beginsel niet op bezwaren stuit.
Ten slotte is nog van belang op te merken dat het handelen van de beëdigde bankmedewerker tevens aanleiding kan geven tot een strafrechtelijke verdenking van bijvoorbeeld fraude of valsheid in geschrifte.[88] Het delen van zulke persoonsgegevens betreffende strafbare feiten is slechts mogelijk als de AP aan de bank een vergunning heeft afgegeven voor de verstrekking aan de STB van persoonsgegevens betreffende strafbare feiten door medewerkers van de bank.[89] Voor zover ons bekend zijn dergelijke vergunningen nog niet verstrekt of aangevraagd.
4.3.3. Het belang van de collega’s
Het dossier kan persoonsgegevens van collega’s van de beklaagde bankmedewerker bevatten. Zo kunnen in het dossiers e-mails en gespreksverslagen zijn opgenomen.
Ook voor een collega geldt dat hij de bankierseed heeft afgelegd. Daarmee is het ook voor hem weinig verrassend dat in een tuchtdossier tegen een beklaagde collega, persoonsgegevens van hem opduiken. Zijn persoonsgegevens kunnen noodzakelijk zijn voor de verwezenlijking van het verdedigingsbeginsel. Om een eerlijke tuchtprocedure te waarborgen kan het nodig zijn om de collega op te roepen als getuige,[90] om te verifiëren of een gespreksverslag overeenkomt met de afgelegde verklaring,[91] of om diens betrouwbaarheid te beoordelen wanneer verklaringen van hem in de tuchtprocedure worden gebruikt.[92] Voorts geldt ook ten gunste van de collega dat de STB over een Privacyreglement beschikt dat voorziet in geheimhouding en anonimisering van publicaties. Wij concluderen dat ook verwerking van persoonsgegevens van collega’s in beginsel niet op bezwaren stuit.
4.3.4. Het belang van bankklanten
Voor bankklanten ligt het minder voor de hand dat zij redelijkerwijs konden verwachten dat hun persoonsgegevens in een tuchtprocedure zouden opduiken. Zij hebben immers geen bankierseed afgelegd. Toch is de verwerking van persoonsgegevens van de klant volgens ons niet onverenigbaar met het oorspronkelijke doel waarvoor ze verzameld zijn. De bank heeft rekening- en betaalgegevens van de klant verzameld in het kader van de bancaire dienstverlening. De klant mag verwachten dat bankmedewerkers zich aan de normen van de sector houden. Bestaat het vermoeden dat een bankmedewerker die normen geschonden heeft, dan ligt het volgens ons in de rede dat de persoonsgegevens van de klant – uiteraard mits en voor zover relevant voor de betreffende tuchtprocedure – worden verwerkt. Ter vergelijking: als de AFM (toezichthouder in de accountancy) naar aanleiding van een dossier een procedure start tegen een accountantsorganisatie, zal het dossier eveneens persoonsgegevens bevatten van natuurlijke personen die werkzaam zijn bij klanten van de accountantsorganisatie.
Het nadeel voor een bankklant bij gegevensverwerking hangt onder meer af van de aard van de zaak. In veel zaken komen immers weinig (gevoelige) persoonsgegevens naar voren. Dit kan anders zijn in zaken van ‘rekeninggluren’: het bekijken van rekeninggegevens zonder zakelijke reden. Ook hier kan echter veelal worden volstaan met de vastlegging in de bancaire systemen hoeveel schermen zijn bekeken en (om vast te stellen dat ze zonder zakelijke reden zijn bekeken) van welke personen. Het dossier hoeft onzes inziens in beginsel niet te vermelden welke gegevens op die schermen stonden. In een concreet geval kan dat anders liggen, zoals in het geval waarin de beklaagde bankmedewerker rekeninggegevens van zijn schoonouders bekeek en naar aanleiding daarvan een anonieme ansichtkaart met de tekst ‘succes met de verhuur van het appartement in 020’ stuurde.[93]
Wij schatten in dat het negatieve belang van een bankklant over het algemeen niet omvangrijk is. Daarbij komt ook nu dat het Privacyreglement van de STB voorziet in geheimhouding en anonimisering van publicaties. Wij concluderen daarom dat in het normale geval er geen aanleiding bestaat om dossiers te anonimiseren met betrekking tot persoonsgegevens van bankklanten. Als gezegd: in een concreet geval kan dit anders liggen. Dat zal zeker het geval zijn waar het dossier bijzondere persoonsgegevens van bankklanten bevat. Zo kan bijvoorbeeld uit betaalomschrijvingen of de naam van de houder van de tegenrekening van een betaling blijken van iemands politieke voorkeur (contributie aan politieke partij), seksuele voorkeur (abonnementsgeld op bijvoorbeeld de Gaykrant) of lidmaatschap van een vakbond. De AVG bevat heel beperkte uitzonderingen om dergelijke gegevens te verwerken. Zij moeten vermoedelijk worden geanonimiseerd. Het dossier kan op die plek vermelden dat het om een bijzonder persoonsgegeven gaat.
4.3.5 Het belang van derden
Het dossier kan persoonsgegevens van derden bevatten. Zulke gegevens kunnen bijvoorbeeld blijken uit de tenaamstelling van een rekening waarnaar een bedrag is overgemaakt, of een overeenkomst die een klant met een derde heeft afgesloten en mede op basis waarvan de bank een kredietbeoordeling heeft verricht.
Naar onze mening gelden voor derden dezelfde argumenten voor en tegen de rechtmatigheid van gegevensverwerking als bij bankklanten. De gegevens zijn niet verzameld met het oog op een juridische procedure, maar het gebruik in een juridische procedure – mits en voor zover relevant – is daarmee niet onverenigbaar. Het nadeel voor de derde bij gegevensverwerking is in het algemeen mogelijk geringer dan bij bankklanten, omdat de persoonsgegevens van een derde in een dossier een fragmentarischer beeld zal opleveren dan de persoonsgegevens van een bankklant. Ook profiteert een derde van het bestaan van het Privacyreglement van de STB dat voorziet in geheimhouding en anonimisering van publicaties. Wij concluderen daarom dat in het normale geval de bank een dossier niet hoeft te anonimiseren ten aanzien van persoonsgegevens van derden. Ook hier geldt echter dat dat in een concreet geval anders kan liggen en dat dat zeker het geval zal zijn waar het dossier bijzondere persoonsgegevens van derden bevat.
4.4. Aanvullende waarborgen
Wij concludeerden in elk van de vier categorieën betrokkenen dat verwerking van hun persoonsgegevens ten behoeve van een tuchtprocedure in beginsel niet op bezwaren stuit. Het is echter een belangenafweging in abstracto. Het is voorstelbaar dat in een concreet geval de afweging geheel of net anders uitpakt. In het laatste geval kan de bank de balans misschien toch laten doorslaan naar verwerking van de persoonsgegevens ten behoeve van de tuchtprocedure door aanvullende waarborgen te organiseren bovenop de wettelijk verplichte waarborgen.[94] Dit is daarmee een belangrijk argument om dergelijke waarborgen op heldere wijze in het Tuchtreglement of regelgeving neer te leggen.
Van belang is bijvoorbeeld of de bank via een (on)beveiligde verbinding aan Algemeen Directeur of Tuchtcommissie zendt. Ook pseudonimisering van persoonsgegevens (van bepaalde personen) kan een goede waarborg zijn, zeker ook met het oog op beperking van de hoeveelheid gegevens die worden verwerkt.[95] Naar ons inzicht is pseudonimisering eerder aan de orde wanneer een bank zelf een melding doet en daarbij een dossier overlegt dan na opvraag van gegevens door de Algemeen Directeur of de Tuchtcommissie. Wanneer de bank een dossier overlegt bij een eigen melding is het immers nog niet duidelijk of de Algemeen Directeur in zijn onderzoek daadwerkelijk een niet-gepseudonimiseerd dossier nodig heeft of dat de Tuchtcommissie een dergelijk dossier voor de behandeling van de zaak nodig heeft. Mocht de Algemeen Directeur op basis van het gepseudonimiseerde dossier besluiten dat voor nader onderzoek of voor het voorleggen van een klacht aan de Tuchtcommissie een niet-gepseudonimiseerd dossier nodig is, dan kan de bank deze gegevens in een latere fase alsnog aanleveren.[96] Voor de Tuchtcommissie lijkt inbrenging van een gepseudonimiseerd dossier niet onoverkomelijk, want in twee zaken kwam zij tot een uitspraak op basis van een gepseudonimiseerd dossier.[97] Verstrekking van persoonsgegevens is volgens de Artikel 29-werkgroep meer acceptabel naarmate aan betrokkenen duidelijker de mogelijkheid is voorgehouden dat hun persoonsgegevens aan een bepaalde partij verstrekt kan worden. In dat verband viel ons op dat van de grote banken in Nederland, alleen ABN AMRO in haar privacyverklaring meldt dat in het kader van een tuchtprocedure persoonsgegevens aan de STB kunnen worden verstrekt.
4.5. Enkele problemen rondom de verwerking
In voorkomend geval kan het onduidelijk blijven of de verstrekking van bepaalde persoonsgegevens noodzakelijk is. De bank kan zich niet veroorloven om die persoonsgegevens toch maar te verstrekken; zij heeft een wettelijke verantwoordelijkheid. In het Tuchtreglement is daar rekening mee gehouden. Als de bank meent dat zij gegevens waarom de Algemeen Directeur of de Tuchtcommissie verzoekt, niet kan verstrekken, kan zij in overleg treden. Het bestuur kan eventueel bemiddelen.[98] Komen partijen er niet uit, dan dreigt echter een impasse. Die impasse is wellicht te doorbreken door gezamenlijk een onafhankelijke en deskundige derde aan te wijzen om onder geheimhouding de bezwaren van de bank tegen verstrekking van de gegevens te beoordelen.[99]
5. Conclusie
De vraag is of een tuchtrechtelijk dossier ongeanonimiseerd in een bankentuchtprocedure mag worden gebracht. Het recht op een eerlijk proces is gebaat bij de beschikbaarheid van een compleet dossier; het recht op bescherming van persoonsgegevens verzet zich daar juist tegen. Onzes inziens houdt de Tuchtcommissie in deze belangenafweging onvoldoende rekening met de belangen van betrokkenen, en is de door haar gekozen grondslag voor de overdracht van persoonsgegevens niet stevig genoeg.
De AVG biedt ruimte voor het maken van een afweging die meer recht doet aan de betrokken belangen en tevens de overdracht van een dergelijk ongeanonimiseerd dossier mogelijk maakt. Wij concluderen dat het overdragen van een ongeanonimiseerd dossier op grond van deze afweging over het algemeen niet op problemen stuit. Wel moet iedere zaak afzonderlijk worden beoordeeld. Hierin is met name de aanwezigheid van bijzondere persoonsgegevens of van persoonsgegevens die aanleiding kunnen geven tot een strafrechtelijke verdenking een doorslaggevende factor. Het standpunt van de Tuchtcommissie om in het geheel geen geanonimiseerde dossiers te accepteren is ons daarom te rigide.
Hoewel dit waarschijnlijk niet vaak het geval is, kan de belangenafweging ertoe leiden dat een dossier (partieel) geanonimiseerd moet worden. Het dossier is dan mogelijk onvoldoende bruikbaar in een tuchtprocedure. Dit kan de effectiviteit van het bankentuchtrecht ondermijnen. Een passende oplossing is dan dat de wetgever een deugdelijke wettelijke grondslag creëert voor de verwerking van persoonsgegevens in het bankentuchtrecht. In dat geval kunnen banken wél op basis van een wettelijke grondslag ongeanonimiseerde dossiers overleggen.
[1] Peter Laaper en Stijn van Deursen zijn verbonden aan de Universiteit Utrecht. Peter Laaper is daarnaast verbonden aan Keijser Van der Velden Advocaten te Nijmegen. De auteurs willen Roeland de Bruin en Stefan Kulk bedanken voor hun nuttige commentaar op eerdere versies van dit artikel.
[2] Kamerstukken II, 2013-2014, 33918, nr. 10, p. 9.
[3] Tuchtcommissie 1 maart 2017, TRB-2016-3540; Tuchtcommissie 1 maart 2017, TRB-2016-3508; Algemeen Directeur 13 maart 2018, TRB-2018-3670H; Algemeen Directeur 13 maart 2018, TRB-2018-3677H.
[4] Tuchtcommissie 1 maart 2017, TRB-2016-3508.
[5] Art. 3.8.2 en 6.2.2 Tuchtreglement.
[6] Kamerstukken II, 2013-2014, 33918, nr. 10, p. 5.
[7] Het gaat daarbij niet alleen om medewerkers in loondienst van de bank, maar ook anderen die onder haar verantwoordelijkheid werkzaam zijn – zoals uitzendkrachten – en daarbij werkzaamheden verrichten die deel uitmaken van of voortvloeien uit het uitoefenen van het bankbedrijf, dan wel deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan (art. 3:17b, lid 2, sub b jo 3:17c, lid 1, Wft).
[8] Art. 113 lid 2 Gw.
[9] Het gaat om de vrije beroepen van accountant, advocaat, diergeneeskundige, gerechtsdeurwaarder, geneeskundige, loods, notaris en octrooigemachtigde. Zie https://www.overheid.nl/help/tuchtrecht/instanties (laatst bekeken op 22 oktober 2018).
[10] In weerwil van de algemeen gangbare term ‘verenigingstuchtrecht’ is dat tuchtrecht niet beperkt tot verenigingen.
[11] Zo hebben onder meer de KNVB (voetbal) en de KNHB (hockey) elk hun eigen tuchtorganisatie.
[12] De bekendste tuchtorganisaties in de makelaardij zijn enerzijds die van de NVM en anderzijds die van VBO en SCVM gezamenlijk.
[13] Art. 6 EVRM. Zie EHRM 23 juni 1981, ECLI:NL:XX:1981:AC7265, NJ 1982/602 (Le Compte, Van Leuven en De Meyere/België); EHRM 10 februari 1983, ECLI:NL:XX:1983:AC1267, NJ 1987/315 (Albert en Le Compte/België).
[14] Bijvoorbeeld Rb. Midden-Nederland 19 maart 2014, ECLI:NL:RBMNE:2014:720 (Koninklijke Nederlandse Jagersvereniging). Zie verder R.H.C. van Kleef, ‘Samenloop bij de rechterlijke toetsing van tuchtrechtelijke sancties in de sport’, WPNR 2013/6965, p. 161 en R.E. Dohmen & R.N.J. Kamerling, ‘Conform de eer en waardigheid van het beroep van belastingadviseur’, TBS&H 2017/1, p. 37.
[15] Kamerstukken II, 2013-2014, 33918, nr. 10, p. 11.
[16] Zie over de bankierseed: S.A. Gawronski & A.J.P. Tillema, De Bankierseed 2.0: een verdere stap voorwaarts?, FR 2014/06.
[17] Art. 2.1.1 Tuchtreglement.
[18] Kamerstukken II, 2013-2014, 33918, nr. 10, p. 9.
[19] Art. 2.1.1 Tuchtreglement.
[20] Art. 2.1.3 Tuchtreglement. Hij hoeft geen onderzoek in te stellen als de melding niet aan de formele eisen voldoet of klaarblijkelijk niet tot een gegronde klacht kan leiden.
[21] Art. 6.2.2 Tuchtreglement.
[22] Dit systeem waarbij de Algemeen Directeur als een soort openbaar aanklager optreedt en de Tuchtcommissie over de klacht oordeelt, waarborgt de onpartijdigheid van partijen, ook wanneer de Algemeen Directeur op eigen initiatief besluit om een onderzoek in te stellen.
[23] Art. 2.2.1 Tuchtreglement.
[24] Art. 2.2.2 Tuchtreglement. Dat is begrijpelijk: hij zou over zijn eigen melding moeten beslissen.
[25] Art. 2.2.3 en 2.2.4 Tuchtreglement.
[26] In het Tuchtreglement heet zij een “vergadering”. Zie bijv. art. 3.7.5 Tuchtreglement.
[27] Art. 3.7.8, Tuchtreglement.
[28] Art. 3.7.9, Tuchtreglement.
[29] Art. 3.7.5, Tuchtreglement.
[30] Art. 3.8.1 en 3.8.2 Tuchtreglement.
[31] Art. 3.7.5, Tuchtreglement.
[32] Art. 4.4.1, Tuchtreglement.
[33] Art. 4.3.1 en 4.3.2, Tuchtreglement.
[34] Art. 5.5, Tuchtreglement.
[35] Art. 8 Handvest van de Grondrechten van de Europese Unie (Handvest).
[36] Art. 8, lid 2 Handvest.
[37] Richtlijn 95/46/EG. In Nederland is deze richtlijn geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). Met de invoering van de – rechtstreeks werkende – AVG is de Wbp ingetrokken.
[38] Overweging 10 preambule AVG.
[39] Tuchtcommissie 1 maart 2017, TRB-2016-3508, r.o. 3.1 en Tuchtcommissie 1 maart 2017, TRB-2016-3540, r.o. 2.1.
[40] Besluit inzake de verklaring omtrent de rechtmatigheid van de verwerking Tuchtrechtelijk Register Stichting Tuchtrecht Banken van Stichting Tuchtrecht Banken; z2015-00894. Het gaat daarbij om de combinatie van voornamen, achternaam en geboortedatum en, indien een beroepsverbod is opgelegd, dat dat het geval is en wanneer dat beroepsverbod afloopt. Het gaat dus om een heel beperkte hoeveelheid gegevens; veel beperkter dan de inhoud van het aan de STB overgedragen dossier. Duikt bij bijvoorbeeld een sollicitatie de naam van een kandidaat op in het Tuchtregister, dan moet de bank aan de kandidaat om een nadere uitleg vragen.
[41] Art. 4 lid 1 AVG.
[42] HvJEU 20 december 2017, ECLI:EU:C:2017:994, NTER 2018/5-6 m.nt. S. Kulk (Nowak).
[43] Art. 4 lid 2 AVG
[44] P. Voigt & A. von dem Bussche, The EU General Data Protection Regulation (GDPR) (Springer 2017), p. 9.
[45] Ook het opstellen van het dossier waarin de persoonsgegevens zijn opgenomen is een verwerking en moet dus voldoen aan deze voorwaarden.
[46] Art. 5 lid 1 onder a AVG (rechtmatigheid, behoorlijkheid en transparantie).
[47] Art. 5 lid 1 onder b AVG (doelbinding).
[48] Art. 5 lid 1 onder c AVG (minimale gegevensverwerking).
[49] Art. 5 lid 1 onder d AVG (juistheid).
[50] Art. 5 lid 1 onder e AVG (opslagbeperking).
[51] Art. 5 lid 1 onder f AVG (integriteit en vertrouwelijkheid).
[52] Art. 6 lid 1 sub a-f AVG.
[53] Art. 7 lid 3 AVG.
[54] Overweging 46 preambule AVG.
[55] Overweging 45 preambule AVG.
[56] De Tuchtcommissie verwijst in haar uitspraak van 1 maart 2017 (TRB-2016-3508) naar art. 8 onder c Wbp. Die grond is thans te vinden in art. 6 lid 1 sub c AVG.
[57] Overweging 41 preambule AVG.
[58] Art. 3:17c Wft.
[59] Art. 2.1.1 Tuchtreglement Bancaire Sector. Voor de beklaagde rechtvaardigt dit dus de overdracht van zijn identiteitsgegevens en een omschrijving van zijn gedragingen. Dit is analoog aan de redenering van de AP over waarborging van een effectief tuchtrecht zoals beschreven in paragraaf 3.1 Voor zover er sprake is van andere gegevens die hem betreffen, kan dit anders liggen, zeker als dat gegevens zijn die strafrechtelijk relevant kunnen zijn. Zie daarvoor paragraaf. 4.3.2.
[60] EHRM 23 oktober 1996, zaaknummer 17748/91 (Ankerl/Zwitserland) r.o. 38. EVRM, Guide on Article 6 of the European Convention on Human Rights, p. 46 en 52.
[61] Zie voor het onderscheid hiertussen ook paragraaf 2.
[62] Opinie 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC. De Artikel 29-Werkgroep is zoals gezegd ‘opgevolgd’ door de EDPB (European Data Protection Board). De EDPB heeft in een aantal endorsements werkzaamheden van de Artikel 29-Werkgroep die betrekking hebben op de voorbereiding op de AVG bekrachtigd. Over andere werkzaamheden, zoals deze Opinie, heeft de EDPB zich niet uitgelaten. Omdat de AVG materieel geen wijziging in regime heeft gebracht, geldt onzes inziens de Opinie onverkort.
[63] Opinie 06/2014, p. 33.
[64] Art. 3:17c lid 1 Wft jo Kamerstukken II, 2013-2014, 33918, nr. 10, p. 9.
[65] Art. 3.8.2 en 6.2.2 Tuchtreglement.
[66] Opinie 06/2014, p. 27.
[67] De ironie is dat de beklaagde bankmedewerker mogelijk liever ziet dat de bank geen persoonsgegevens van collega’s, klanten en derden overlegt. Hij wordt dan mogelijk vrijgesproken bij gebrek aan bewijs. In de belangenafweging gaat het echter niet om zijn nadeel bij een eerlijke procedure. Zie ook paragraaf 4.3.2.
[68] Opinie 06/2014, p. 36-41.
[69] Opinie 06/2014, p. 37.
[70] Art. 9, lid 1, AVG en art. 22, lid 1, UAVG. Deze artikelen noemen ook genetische en biometrische gegevens. Dat zulke gegevens in een tuchtdossier terecht komen lijkt minder voor de hand te liggen.
[71] Art. 25 t/m 30 UAVG. Deze uitzonderingen zijn enger geformuleerd dan in het corresponderende art. 9, lid 2, AVG. Zie hiervoor ook art. 9 lid 4 AVG. Voor de verwerking van bijzondere persoonsgegevens is de normale belangenafweging niet voldoende, maar zal waarschijnlijk op grond van art. 9 lid 2 sub g AVG jo. art. 23 UAVG een verzwaarde afweging gemaakt moeten worden.
[72] Dergelijke factoren kunnen ook weer van belang zijn ter invulling van de aanvullende waarborgen, zoals besproken in paragraaf 4.4.
[73] Het Privacyreglement is niet van toepassing op de juridische bijstandsverlener. Is de juridische bijstandsverlener een advocaat, dan bestaat gebondenheid aan geheimhouding op grond van Art. 11a Advocatenwet 2015 jo. art. 3 Gedragsregels Advocatuur 2018. Is de juridische bijstandsverlener geen advocaat, dan bestaat geen geheimhoudingsverplichting. Dat is echter niet anders dan in bijvoorbeeld een civiele of strafprocedure of het accountancytuchtrecht. Daar blijkt dat risico op zichzelf geen reden om de overdracht van een dossier tegen te houden.
[74] Art. 2.1 Klachtenregeling Stichting Tuchtrecht Banken.
[75] Denk hierbij aan de aard van een aangeboden dienst (bijvoorbeeld cloudservices) of de verhoudingen tussen de betrokken partijen (bijvoorbeeld het verschoningsrecht van advocaten en medici). Zie Opinie 06/2014, p. 40.
[76] Art. 5(1)(b) AVG.
[77] Zo verzamelt een bank bijvoorbeeld persoonsgegevens van een klant om betalingstransacties mogelijk te maken en vast te stellen wat diens saldo op de rekening is. Bekijkt een bankmedewerker zonder zakelijke reden zulke informatie (het zogenaamde ‘rekeninggluren’) dan is diezelfde informatie relevant voor de tuchtprocedure, terwijl ze – evident – niet met het oog daarop zijn verzameld.
[78] Zie verder art. 6 lid 4 AVG.
[79] Opinie, p. 35.
[80] Zie bijvoorbeeld V. van der Boon, ING sluit megaschikking met OM in witwaszaken, FD 4 september 2018; K. Haegens, Hoogste boete ooit voor ING: winst bank ging boven controle op witwassen, Volkskrant 4 september 2018.
[81] De oproep is gedaan onder de naam ‘Leeuwonwaardig’.
[82] Volgens opgave door de STB.
[83] Bijvoorbeeld wanneer een bankmedewerker fraudeert en geld laat overmaken op zijn privérekening.
[84] Zie paragrafen 3.1 en 3.2.
[85] Dit zeker gezien het feit dat art. 2.1.1 Tuchtreglement Bancaire Sector bepaalt dat een dossier in ieder geval de gegevens van de beklaagde bevat. Zie ook paragraaf 3.2 van deze bijdrage.
[86] Rb. Amsterdam 28 maart 2018, ECLI:NL:RBAMS:2018:1914, JBP 2018/48, m.nt. K. Konings (Toyota/ING). Deze gegevens werden gevorderd op basis van art. 843a Rv (exhibitieplicht). De daarin opgenomen belangenafweging vulde de rechter in op basis van wat thans art. 6 lid 1 sub f AVG is.
[87] Zie Protocol Tuchtrechtelijk Register Stichting Tuchtrecht Banken.
[88] Er moet dan sprake zijn van 'zodanige concrete feiten en omstandigheden dat zij een als strafbaar feit te kwalificeren bewezenverklaring — in de zin van art. 350 Sv — kunnen dragen', zie ook HR 29 mei 2009, ECLI:NL:HR:2009:BH4720). Voor de verwerking van dergelijke gegevens door politie en justitie, zie richtlijn gegevensbescherming opsporing en vervolging (EU 2016/680) en de uitwerking daarvan in onder meer de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens.
[89] Art. 33 lid 4 sub c en lid 5 UAVG. Het samenstellen van een dergelijk dossier voor eigen gebruik door de bank lijkt te rechtvaardigen op grond van art. 33 lid 2 sub b UAVG, of art. 33 lid 3 UAVG mits dat gebeurt op basis van een door de Ondernemingsraad goedgekeurde regeling.
[90] Vergelijk Hof ’s-Hertogenbosch 6 juni 2014, ECLI:NL:GHSHE:2014:1714, NTFR 2014/1969 m.nt. R. Steenman (Bank Zonder Naam) en Hof ’s-Hertogenbosch 14 oktober 2003, ECLI:NL:GHSHE:2003:AM7927 (Jongerius/Rockwool-Grodan). De afweging in deze zaken vond plaats op grond van respectievelijk art. 8:29 Awb en art. 843a Rv en aan de hand van wat nu art. 6 lid 1 sub f AVG is.
[91] Vergelijk HR 3 april 2009, ECLI:NL:HR:2009:BH9184, NTFR 2009/766 m.nt. J. Snitker, BNB 2009/153 m.nt. R.J. Koopman (Seksinrichting). De afweging vond hier plaats op grond van art. 8:29 Awb en aan de hand van wat nu art. 6 lid 1 sub f AVG is.
[92] Vergelijk Hof Arnhem-Leeuwarden 3 februari 2015, ECLI:NL:GHARL:2015:645, JBP 2015/63, m.nt. R. Heijna & F. Leyendeckers (Tipgever Belastingdienst). Ook hier vond de afweging plaats op grond van art. 8:29 Awb en aan de hand van wat nu art. 6 lid 1 sub f AVG is.
[93] Tuchtcommissie 10 mei 2017, TRB-2017-3574.
[94] Zie Opinie 06/2014, p. 42-43.
[95] Dit heet het beginsel van minimale gegevensverwerking en is neergelegd in art. 5 lid 1 sub c AVG. Zie bijvoorbeeld Hof ’s-Hertogenbosch 6 juni 2014, ECLI:NL:GHSHE:2014:1714, NTFR 2014/1969 m.nt. R. Steenman (Bank Zonder Naam).
[96] Van belang is hier om te benadrukken dat, anders dan bij anonimisering, persoonsgegevens bij pseudonimisering wel tot identificeerbaarheid van personen leidt. Gepseudonimiseerde gegevens vallen daarom nog steeds onder de AVG en moeten dus in overeenstemming daarmee verwerkt worden.
[97] Tussenbeslissing Tuchtcommissie 1 maart 2017, TRB-2016-3540; Tussenbeslissing Tuchtcommissie 1 maart 2017, TRB-2016-3508.
[98] Art. 3.8.2 en 6.2.2 Tuchtreglement.
[99] Vergelijk Rb. Amsterdam 28 maart 2018, ECLI:NL:RBAMS:2018:1914, JBP 2018/48, m.nt. K. Konings (Toyota/ING) in welke zaak de rechtbank overigens afzag van die mogelijkheid.