Banken moeten de persoonsgegevens van klanten die worden verzameld in het kader van onderzoek onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) na vijf jaar verwijderen. Dat oordeelt het financiële klachteninstituut Kifid.

De Wwft verplicht banken om klantonderzoek te doen en ongebruikelijke betalingstransacties te melden.

Het Kifid oordeelde in een zaak van twee ING-klanten. De bank stelde deze klanten vragen over betalingen aan derden. Volgens ING hebben de klanten onvoldoende duidelijkheid over deze transacties gegeven en de twijfels van de bank niet weggenomen. Hierop heeft de bank aangekondigd de bankrelatie met de klanten te beëindigen omdat zij het klantonderzoek niet heeft kunnen afronden.

Daarnaast heeft de bank de persoonsgegevens van de klanten voor acht jaar opgenomen in het Incidentenregister (IVR). Het IVR is een zwarte lijst binnen de betreffende bank en is alleen voor het eigen bankpersoneel toegankelijk.

Een registratie in het IVR heeft in beginsel dan ook alleen gevolgen voor de relatie met de betreffende bank. Wat betreft de duur van de registratie oordeelt het Kifid dat die niet langer kan zijn dan vijf jaar. De Wwft schrijft namelijk voor dat gegevens verkregen via het in deze wet verplichte klantonderzoek vijf jaar lang moeten worden bewaard en onmiddellijk daarna moeten worden vernietigd.

De bank moet de registratieduur van persoonsgegevens van deze klanten in de interne waarschuwingsregisters daarom verkorten van acht naar vijf jaar, aldus het Kifid.

Alles bij de bron; Security