IVR en EVR registratie

KENNIS BLOG

Geregistreerd in het IVR of EVR:

De juridische grenzen van indidentenregistratie van banken

27 januari 2026

Het overgrote deel van het betalingsverkeer in Nederland verloopt inmiddels giraal. Vrijwel iedere inwoner beschikt over een bankrekening en maakt dagelijks gebruik van een betaalpas, mobiele bankapp of internetbankieren. De afhankelijkheid van bancaire dienstverlening is daarmee groot. Zonder toegang tot het betalingsverkeer is volwaardige deelname aan het maatschappelijke en economische verkeer praktisch onmogelijk.

Tegen deze achtergrond heeft de wetgever financiële instellingen verplicht om actief op te treden tegen gedragingen die de integriteit en veiligheid van de financiële sector kunnen aantasten. Het waarborgen van die integriteit en het bestrijden van sector gerelateerde criminaliteit behoren tot de kernverantwoordelijkheden van banken, verzekeraars en andere financiële ondernemingen. In dit artikel wordt onder een financiële instelling verstaan: een bank, verzekeraar, hypothecaire instelling of financieringsonderneming.

Een belangrijk instrument binnen dit integriteitsbeleid is het Incidentenwaarschuwingssysteem Financiële Instellingen (IFI). Dit systeem bestaat uit het Intern Verwijzingsregister (IVR) en het Extern Verwijzingsregister (EVR).[1] Het IFI beoogt criminaliteit binnen de financiële sector te voorkomen en te bestrijden en risico’s op fraude en andere integriteitsschendingen te beperken. De verwerking en uitwisseling van persoonsgegevens binnen het IFI zijn geregeld in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI), waarvoor de Autoriteit Persoonsgegevens toestemming heeft verleend.[2] Een registratie in het IVR of EVR kan voor betrokkenen verstrekkende gevolgen hebben, zoals het weigeren of beëindigen van een betaalrekening. In dit artikel wordt ingegaan op het juridische kader van IVR- en EVR-registraties, de gevolgen daarvan voor betrokkenen en de beschikbare mogelijkheden tot rechtsbescherming.

Juridisch kader IVR- en EVR- registratie

Intern Verwijzingsregister (IVR)

Als een (rechts)persoon betrokken is of is geweest bij een incident bij een financiële instelling, kan de financiële instelling de betreffende gegevens van deze (rechts)persoon opnemen in het eigen IVR. Centraal staat daarbij het begrip incident, dat in het PIFI wordt gedefinieerd als:

“een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding” [3]

Het IVR is een intern register dat uitsluitend toegankelijk is voor geautoriseerde medewerkers van de betreffende financiële instelling. In het register worden geen inhoudelijke gegevens over het incident opgenomen. [4] Het IVR bevat enkel identificerende gegevens: bij natuurlijke personen is dit de naam en geboortedatum, en bij rechtspersonen het KvK-nummer, eventueel aangevuld met de handelsnaam en postcode.

Uit de rechtspraak volgt dat aan een IVR-registratie hoge eisen worden gesteld.[5] De verwerking van persoonsgegevens moet in overeenstemming zijn met de Algemene verordening gegevensbescherming (AVG) en het PIFI. De rechtmatigheid van de verwerking berust in beginsel op artikel 6, eerste lid, onder f, AVG: de verwerking moet noodzakelijk zijn ter behartiging van de gerechtvaardigde belangen van de financiële instelling. Dit vereist een concrete en zorgvuldige belangenafweging.

Extern Verwijzingsregister (EVR)

Indien sprake is van een ernstig incident, is de financiële instelling gehouden de persoonsgegevens van de betrokken (rechts)persoon op te nemen in het EVR. Volgens het PIFI is daarvan sprake als cumulatief aan de volgende voorwaarden is voldaan:

de gedragingen vormen, hebben gevormd of kunnen een bedreiging vormen voor (i) de (financiële) belangen van cliënten en/of medewerkers van een financiële instelling, dan wel de organisatie van de financiële instelling zelf, of (ii) de continuïteit en/of integriteit van de financiële sector;
in voldoende mate vaststaat dat de betreffende (rechts)persoon bij deze gedragingen betrokken is (in beginsel wordt in dat geval aangifte of klacht gedaan bij een opsporingsambtenaar); en
het proportionaliteitsbeginsel wordt in acht genomen.[6]

Volgens vaste jurisprudentie is voor een EVR-registratie vereist dat sprake is van zodanige concrete feiten en omstandigheden dat deze een als strafbaar feit te kwalificeren bewezenverklaring in de zin van artikel 350 Wetboek van Strafvordering zouden kunnen dragen. De verdenking moet zwaarder zijn dan een redelijk vermoeden van schuld. Een strafrechtelijke veroordeling is echter niet vereist. Het is aan de financiële instelling om de registratiebeslissing deugdelijk te onderbouwen en te concretiseren.[7]

Toegang, duur en gevolgen registratie

Persoonsgegevens die in het EVR zijn opgenomen, zijn toegankelijk voor alle bij het IFI aangesloten financiële instellingen. Raadpleging vindt plaats via de Externe Verwijzingsapplicatie (EVA), die werkt met een zogenoemd hit/no-hit-systeem. Bij een hit wordt zichtbaar dat een betrokkene in een register voorkomt, zonder dat direct inhoudelijke informatie over het incident beschikbaar is.

Registraties in zowel het IVR als het EVR kennen een maximale duur van acht jaar, te rekenen vanaf de datum van opname.[8] Financiële instellingen dienen, met inachtneming van het proportionaliteitsbeginsel, te motiveren waarom voor een bepaalde registratieduur is gekozen.[9] De registratie moet bovendien worden beëindigd zodra niet langer wordt voldaan aan de voorwaarden die opname rechtvaardigen. [10]

De praktische gevolgen van een registratie zijn aanzienlijk. Financiële instellingen kunnen besluiten geen nieuwe diensten te verlenen, zoals het openen van een betaalrekening, het verstrekken van krediet of het afsluiten van verzekeringen, of bestaande klantrelaties te beëindigen. Dit raakt direct de mogelijkheid van de betrokkene om volwaardig aan het maatschappelijk verkeer deel te nemen.

Rechtsbescherming van de geregistreerde

Recht op inzage, rectificatie en verwijdering

Een geregistreerde heeft het recht op inzage in de persoonsgegevens die over hem worden verwerkt.[11] De financiële instelling mag inzage pas verlenen nadat de betrokkene zich heeft gelegitimeerd. [12] Binnen één maand na ontvangst van het verzoek dient de instelling mee te delen of persoonsgegevens worden verwerkt en, zo ja, welke gegevens dat zijn. Deze termijn kan bij complexe of omvangrijke verzoeken met maximaal twee maanden worden verlengd, mits de betrokkene daarvan tijdig in kennis wordt gesteld. [13]

Indien de verstrekte gegevens onjuist of onvolledig blijken, heeft de betrokkene recht op rectificatie. Daarnaast kan op grond van artikel 17 AVG om verwijdering van persoonsgegevens worden verzocht. Inzage kan in uitzonderlijke gevallen worden geweigerd, bijvoorbeeld indien dit noodzakelijk is ter voorkoming, opsporing of vervolging van strafbare feiten of ter bescherming van de rechten en vrijheden van derden. [14]

Recht van bezwaar

Naast inzage en rectificatie kan de betrokkene te allen tijde bezwaar maken tegen de verwerking van zijn persoonsgegevens in het IVR of EVR op grond van bijzondere persoonlijke omstandigheden.[15] Dit kan bijvoorbeeld aan de orde zijn bij identiteitsfraude of wanneer de feitelijke grondslag voor de registratie ontbreekt of onvoldoende is.[16] De financiële instelling dient in beginsel binnen één maand op het bezwaar te reageren. Deze termijn kan, indien de complexiteit van de zaak dit rechtvaardigt, met maximaal twee maanden worden verlengd, mits de betrokkene daarvan binnen de oorspronkelijke termijn op de hoogte wordt gesteld.[17]

Indien de betrokkene zich niet kan verenigen met de uitkomst, kan hij de kwestie voorleggen aan het bestuur of de directie van de financiële instelling.^{^[18]} Blijft een oplossing uit, dan kan de zaak worden voorgelegd aan het Klachteninstituut Financiële Dienstverlening, de Stichting Klachten en Geschillen Zorgverzekeringen, de Autoriteit Persoonsgegevens of de civiele rechter.

Rekening openen bij Nederlandse en buitenlandse banken

EVR- registratie en banken binnen de EU

Het IFI is een nationaal registratiesysteem dat uitsluitend geldt voor in Nederland aangesloten financiële instellingen.[19] Banken die buiten Nederland zijn gevestigd, ook binnen de Europese Unie, zijn in beginsel niet aangesloten. Dit betekent dat een (rechts)persoon die in Nederland in het EVR is geregistreerd, in theorie alsnog een betaalrekening kan openen bij een bank in een andere EU-lidstaat.

Recht op een basisbetaalrekening

Het recht op een basisbetaalrekening is geregeld in de Wet op het financieel toezicht (Wft). Op grond van artikel 4:71f Wft is iedere bank die in Nederland betaalrekeningen aan consumenten aanbiedt verplicht een basisbetaalrekening aan te bieden aan eenieder die rechtmatig in de Europese Unie verblijft. Een bank moet een aanvraag weigeren indien zij bij het openen van de rekening niet kan voldoen aan de verplichtingen uit de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).[20] Een bank mag een basisbetaalrekening weigeren als de aanvrager:

niet kan aantonen een werkelijk belang te hebben bij het openen van een basisbetaalrekening in Nederland;
bij een in Nederland gevestigde bank een aanvraag voor een basisbetaalrekening heeft lopen of reeds een betaalrekening aanhoudt bij een andere in Nederland gevestigde bank (tenzij dat die betaalrekening zal worden opgeheven);
minder dan acht jaar geleden onherroepelijk is veroordeeld voor een misdrijf, zoals valsheid in geschriften, het bewust geven van onjuiste gegevens, verduistering, fraude in faillissement, of voor witwassen;
een basisbetaalrekening had die op grond minder dan twee jaar geleden is beëindigd omdat de aanvrager er bewust strafbare feiten mee heeft gepleegd; of
weigert om desgevraagd de in het derde lid bedoelde verklaring te ondertekenen.[21]

De bank mag vooraf bij andere banken nagaan of de aanvrager al een betaalrekening heeft en mag de aanvrager vragen een verklaring te ondertekenen dat hij elders geen rekening heeft of heeft aangevraagd. [22] Een registratie in het EVR vormt geen zelfstandige wettelijke weigeringsgrond, maar zal in de praktijk zwaar meewegen bij de beoordeling of aan de Wwft-verplichtingen kan worden voldaan.

Convenant Basisbankrekening

Voor personen die geen toegang (meer) hebben tot een reguliere betaalrekening, zoals EVR-geregistreerden, biedt het Convenant inzake primaire betaaldiensten (het Convenant Basisbankrekening) een aanvullend vangnet.[23] Met de invoering van Richtlijn 2014/92/EU werd de basisbetaalrekening weliswaar op EU-niveau wettelijk verankerd, maar het Convenant behoudt maatschappelijke relevantie doordat het een tweede kans biedt aan personen die anders buiten de boot zouden vallen.

Het Convenant voorziet in een particulier betaalrekeningpakket dat in elk geval omvat:

het aanhouden en gebruiken van een betaalrekening;
toegang via internetbankieren en/of mobiele bankapp;
het kunnen ontvangen van inkomende overboekingen;
het beschikken over een betaalpas;
het raadplegen en opslaan van afschriften digitaal; en
de mogelijkheid om incassomachtigingen te verlenen.

Aan het openen en aanhouden van een basisbankrekening zijn voorwaarden verbonden. De aanvrager mag onder meer geen andere betaalrekening in Nederland hebben, dient de bank volledig te informeren en moet toestemming verlenen om informatie in te winnen bij andere banken. [24] Daarnaast gelden verplichtingen zoals het voorkomen van ongeoorloofde roodstand, naleving van de toepasselijke bankvoorwaarden en het tijdig doorgeven van adres- en contactwijzigingen; bij begeleiding door een hulpverleningsinstantie geldt bovendien dat de aanvrager voor bepaalde bankzaken door een medewerker van die instantie wordt vergezeld.

De bank kan de aanvraag van een basisbankrekening weigeren als de aanvrager betrokken is (geweest) bij oplichting, misbruik van vertrouwen bedrieglijke bankbreuk, valsheid in geschrifte, witwassen van geld en/of fraude.[25] Dit zijn vaak mensen die in het IVR of EVR staan.

Uitzondering op deze regel is dat de vraag wordt gedaan via een erkende hulpverleningsinstantie.[26] In dat geval dient de betaalrekening door de hulpverleningsinstantie te worden beheerd.[27]

De bank kan de basisbankrekening ook wegens zwaarwegende redenen, zoals misbruik, beëindigen. In beginsel geldt een opzegtermijn van 30 dagen om de rekeninghouder in staat te stellen een alternatieve bank te vinden, tenzij sprake is van dermate ernstige feiten of van grove nalatigheid of opzet dat onmiddellijke beëindiging gerechtvaardigd is. [28] Misbruik van een op grond van het Convenant geopende rekening leidt tot beëindiging, waarna de betrokkene geen aanspraak meer kan maken op een nieuwe rekening onder hetzelfde Convenant. [29]

Bijzondere zorgplicht van banken

Hoewel banken in beginsel contractsvrijheid genieten, brengt hun bijzondere maatschappelijke positie een vergaande zorgplicht met zich. Zonder bankrekening is deelname aan het economische en sociale verkeer nauwelijks mogelijk. De Europese wetgever heeft dit belang expliciet onderkend bij de implementatie van Richtlijn 2014/92/EU. [30]

Voor consumenten is de toegang tot een basisbetaalrekening wettelijk gewaarborgd. Voor rechtspersonen geldt deze verplichting niet rechtstreeks. Dit betekent echter niet dat de contractsvrijheid van banken ten aanzien van rechtspersonen onbegrensd is. In de rechtspraak is aanvaard dat banken onder bijzondere omstandigheden gehouden kunnen zijn een contractuele relatie aan te gaan, mede gelet op hun maatschappelijke functie en zorgplicht. [31]

Conclusie

IVR- en EVR-registraties vormen een essentieel, maar ingrijpend instrument binnen het integriteitsbeleid van de financiële sector. Aan registratie worden strenge eisen gesteld: zij vereist een concrete feitelijke grondslag en naleving van de beginselen van noodzakelijkheid en proportionaliteit op grond van de AVG, het PIFI en de geldende jurisprudentie.

Daartegenover staan verstrekkende gevolgen voor betrokkenen, zoals langdurige registratie, weigering van bancaire diensten en het risico van maatschappelijke uitsluiting. Dit maakt een zorgvuldig gemotiveerde besluitvorming en periodieke herbeoordeling onmisbaar. De beschikbare rechtsbeschermingsmechanismen, evenals de wettelijke basisbetaalrekening en het Convenant Basisbankrekening, fungeren daarbij als noodzakelijke waarborgen voor minimale toegang tot het betalingsverkeer. In dit spanningsveld komt de bijzondere zorgplicht van banken scherp naar voren: bij iedere registratiebeslissing dient het belang van integriteitsbescherming zorgvuldig te worden afgewogen tegen het fundamentele belang van financiële inclusie.

Heeft u hier juridische hulp bij nodig? Klik dan hieronder om in contact te komen.

contact

[1] Art. 3.1.1 & art. 3.1.3 PIFI.

[2] Art. 1.3 PIFI.

[3] Art. 2 PIFI.

[4] Hof Leeuwarden 7 november 2023, ECLI:NL:GHARL:2023:9394, r.o. 3.19.

[5] Gerechtshof Amsterdam 13 juni 2017, ECLI:NL:GHAMS:2017:2284.

[6] Art. 5.2.1 PIFI.

[7] Rechtbank Rotterdam 25 januari 2021, ECLI:NL:RBROT:2021:1518, r.o. 4.6.

[8] Art. 4.3.3 & 5.3.2 PIFI.

[9] Art. 4.3.3 & 5.3.2 PIFI.

[10] Art. 4.3.1 & 5.3.1 PIFI.

[11] Art 9.3.1 PIFI.

[12] Art 9.3.2 PIFI.

[13] Art 9.3.3 PIFI.

[14] Art. 9.3.4 PIFI.

[15] Art. 9.5.1 PIFI.

[16] Rechtbank Rotterdam 25 januari 2021, ECLI:NL:RBROT:2021:1518, r.o. 4.10 & 4.11.

[17] Art. 9.5.2 PIFI.

[18] Art. 10.1 PIFI.

[19] Art 1.2 PIFI.

[20] Art. 4:71f lid 1 Wft.

[21] Art. 4:71g lid 2 Wft.

[22] Art. 4:71g lid 3 Wft.

[23] Het Convenant verwijst naar het Convenant inzake primaire betaaldiensten. De betaalvereniging Nederland is de beheerder van dit Convenant.

[24] Art. 3 Convenant.

[25] Art. 4.1 Convenant.

[26] Art. 4.1 Convenant.

[27] Art 4.1. Convenant.

[28] Art. 12 Uitvoeringsinstructie convenant.

[29] Art. 12 Uitvoeringsinstructie Convenant.

[30] Kamerstukken II, 34480, nr. 3, p. 2.

[31] Hoge Raad 5 november 2021, r.o. 3.2.