Op 10 mei 2026 heeft Stichting Human Rights in Finance.EU bezwaar gemaakt tegen ruim 140 door de Autoriteit Persoonsgegevens afgegeven PIFI 2026-vergunningsbesluiten. Deze vergunningen maken het mogelijk dat financiële instellingen persoonsgegevens van strafrechtelijke aard verwerken en onderling signalen uitwisselen via het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen 2026.
Volgens ons heeft de AP deze vergunningen niet individueel en zorgvuldig genoeg beoordeeld, maar feitelijk een sectorale blokvergunning verleend voor private zwarte-lijstsystemen in de financiële sector. De AP herschrijft hiermee feitelijk de spelregels die in de AVG staan en een meer individueel geborgd besluit vereisen.
Wat is PIFI?
PIFI staat voor Protocol Incidentenwaarschuwingssysteem Financiële Instellingen. Het is het systeem waarmee financiële instellingen incidenten kunnen registreren en onder voorwaarden signalen kunnen delen over personen of organisaties die volgens hen betrokken zijn bij fraude, misbruik of andere integriteitsrisico’s.
In gewone taal: PIFI is de spelregelset voor private waarschuwingsregisters in de financiële sector. Banken, verzekeraars en andere financiële instellingen kunnen daarin verwijzingsgegevens opnemen en raadplegen. Een instelling ziet dan niet meteen het volledige dossier, maar krijgt via een zogenoemde hit/no-hit-systematiek een signaal dat iemand ergens in het systeem voorkomt.
Dat klinkt technisch, maar de gevolgen kunnen groot zijn. Als gevolg van een PIFI-signaal kan gebeuren dat iemand moeilijker een bankrekening, verzekering, hypotheek, krediet of zakelijke relatie krijgt. Daarom gaat het niet om gewone administratie, maar om een systeem dat raakt aan financiële toegang, reputatie en rechtsbescherming.
Daarom ook is voorafgaande toetsing door de AP nodig. PIFI ziet namelijk op verwerking van persoonsgegevens van strafrechtelijke aard. Zulke gegevens mogen niet lichtvaardig door private partijen worden vastgelegd en gedeeld. En dat laatste gaat, dankzij de nieuwe vergunningen die onder nieuwe spelregels worden uitgevoerd wél gebeuren. Daarbij komt dat de oude spelregels/werkwijze gewoon nog niet eens fatsoenlijk beoordeeld en geëvalueerd waren.
De eerste slachtoffers hebben zich al gemeld bij HRIF.EU: AP gaat zijn boekje hier echt vér te buiten – ruim 140 vergunningen in 3 maanden
De betrokken grootbanken in Nederland zijn voortvarend aan de slag gegaan. Met de nieuw verworven vergunning zijn zij veel meer informatie onderling gaan delen, op grond van hun eigen afwegingen. In april kreeg HRIF.EU al signalen over dergelijke informatie-uitwisseling. En ja, ook hier was het tegelijk een signaal met een buitenlands/discriminatoir tintje eraan.
Doordat we ook druk bezig waren met de Solvinity zaak (ziehier) moest ons bezwaar richting de AP even wachten. Maar ja, lees het basisbesluit AP en tel even mee.
Volgens de gepubliceerde AP-lijst zijn tot en met het eerste kwartaal van 2026 ruim 140 PIFI 2026-vergunningen afgegeven. Dat betekent dat de AP in minder dan drie maanden een groot aantal vergunningen zou hebben moeten beoordelen voor verwerking van strafrechtelijke persoonsgegevens door financiële instellingen.
Dat roept een eenvoudige vraag op: is dat werkelijk per instelling zorgvuldig en individueel getoetst?
De echte sprong van 2021-2026: van fraudewaarschuwing naar integriteitsinfrastructuur met private datadeling zonder échte waarborg
Wie de ontwikkeling van zwarte lijst systemen door de tijd heen bestudeert (ziehier de handige pagina van NVB met brondocumenten) ziet hoe een klein beperkt waarschuwings-systeem voor ernstige noodgevallen geleidelijk verandert naar een alomvattend surveillance en data-deelsysteem.
Niet alleen banken en verzekeraars doen mee, maar ook andere financiële instellingen en partijen rond betaalrekeningen, hypotheken, krediet en zorgverzekeringen. Ook het soort signalen is verbreed: niet alleen bewezen fraude, maar ook incidenten, vermoedens, integriteitsrisico’s, onoorbaar gedrag, agressie, cybercriminaliteit, misbruik van producten en andere gedragingen die volgens financiële instellingen relevant zijn.
Daarmee verschuift PIFI in de vergunningsverlening 2026 van een beperkt waarschuwingssysteem naar een systeem waarmee private instellingen onderling bepalen wie nog als betrouwbaar geldt binnen het financiële verkeer. Daarbij mogen de private instellingen zélf bepalen bij welke gedragingen er sprake is van het recht op datadelen. Zo van: “Wij vinden dat dit mag/moet wegens fraudebestrijding en excessief gedrag van de klant”. Deze verruiming, waarin elke waarborg zoek is, noemen wij dus een vrijbrief.
Hoe dit pijn doet bij alle klanten…
Financiële dienstverlening is geen luxe. Wie geraakt wordt door een PIFI-signaal, krijgt misschien niet meteen te horen wat er precies is gedeeld, wie de bron is, welke afweging is gemaakt en hoe lang het signaal blijft hangen. Maar de gevolgen kunnen wel direct voelbaar zijn: extra controles, weigering van een rekening, verzekering, hypotheek of krediet, beëindiging van een klantrelatie, reputatieschade of jarenlang wantrouwen bij nieuwe aanvragen.
Daarbij is er een zorgelijke trend die we signaleren bij deriskende instellingen. Er wordt op vrij grote schaal momenteel nog steeds geprobeerd om ‘risico-volle’ bankklanten te lozen. En de nieuwste truuk is: banken dreigen klanten dat ze op de PIFI-lijst komen. Tja, dan kun je nergens meer terecht. Dus dan worden klanten in een soort off-boardings-afspraak geduwd/gesjoemeld waarin ze volkomen ‘vrijwillig’ zeggen ergens niet meer te zullen gaan bankieren. Niet omdat ze het echt willen. Maar omdat als ze dat niet tekenen, ze in de PIFI komen en dan kunnen ze nergens terecht.
Zo ontstaat een systeem waarin iemand niet strafrechtelijk is veroordeeld, maar wel privaatrechtelijk als risico wordt behandeld. Dat is precies waar HRIF.EU bezwaar tegen maakt: fraudebestrijding mag niet veranderen in een sluiproute naar financiële uitsluiting zonder voldoende publieke controle.
AP vindt een sectorale DPIA van een branche-vereniging prima
De Autoriteit Persoonsgegevens heeft de offboarding praktijk in de financiële sector onvoldoende op het netvlies. Die ontdekte wellicht gewoon te laat dat het oude PIFI systeem zou verlopen en ze nog niets geregeld had. En geeft alle financiele instellingen in de zaal een vergunnings-verlenging. Op grond van een sector DPIA. Wacht even. Een sector DPIA?
Die kennen we nog van Transactie Monitoring Nederland (zie AP-documenten hier). De AP kreeg een sector DPIA, las hem niet en vond het bancaire sleepnet goed. Althans, de AP wist intussen drommels goed dat die sector DPIA niet voldeed. In januari 2023 waarschuwde diezelfde AP in een eigen position paper aan de Tweede Kamer dat gezamenlijke bancaire datadeling kan leiden tot massasurveillance, financiële uitsluiting en discriminatierisico’s.
Dat wringt enorm. De AP gebruikt in een efficiency-slag een DPIA op sectorniveau, maar heeft zelf eerder al aangegeven hoe bij massamonitoringsystemen sprake kan zijn van function creep en beoordeelt niet op individueel niveau. De AP gaat dus niet na of haar eigen waarschuwingen uit 2023 inmiddels waren geadresseerd door individuele instellingen. Ze accepteert – net als bij het sleepnet – een generieke DPIA en checkt verder niets.
Ja, dat klinkt bekend inderdaad.
AP gaat hier ook ten onrechte zélf op de stoel van de regelgever zitten
Tja. Als de AP in één klap ruim 140 vergunningen instuurt, herschrijft ze eigenlijk gewoon zélf de wet. Dus dan sturen wij in één ruim 140 bezwaren tegen die vergunningen in. En dat bezwaar leest u hier.
Ons kernpunt is: je kunt/mag als AP niet, door een blokvergunningsmodel te hanteren, feitelijk de individueel noodzakelijke concrete toetsing van de AVG vervangen. Het is zonneklaar dat de AP zich met deze werkwijze in feite zélf als regelgever neerzet en alle betrokken instellingen een vrijbrief geeft om zélf uit te maken hoe/welke gegevens ze delen over klanten.
AP als in Alles Prima?
Eerder al gaven we de AP een bijnaam ‘Alles Prima’.
Die bijnaam maakt ze nu meer dan waar. Met deze innovatieve vergunningsverlening wordt een grote klap toegebracht aan de grondrechten van alle klanten van de instellingen die het betreft. Die krijgen nu nog eerder te maken met exclusie, indringende vragen, onterechte datadeling tussen instellingen. De praktijk laat het nu al zien.
En de AP staat erbij, kijkt ernaar, geeft in één klap iedereen een vrijbrief/vergunning en vindt Alles waar ze in 2023 nog voor waarschuwde nu Prima?
Wij niet.
Steun HRIF.EU in dit werk. Wij komen op voor financiële grondrechten, bescherming tegen bancaire uitsluiting en behoorlijk toezicht op gegevensdeling in de financiële sector. Procedures als deze kosten tijd, geld en juridische energie, maar zijn nodig om te voorkomen dat private zwarte-lijstsystemen ongemerkt normaal worden. Met uw bijdrage (zie de QR-code rechtsboven of toets zelf in: NL94 TRIO 0320 7857 85 tnv Stichting Human Rights in Finance.EU ) helpt u HRIF.EU signalen van burgers en ondernemers te onderzoeken, toezichthouders scherp te houden en op te komen voor het eenvoudige uitgangspunt: fraude bestrijden mag, maar grondrechten wegvergunningen niet.