Het protocol van verzekeraars, banken en andere financiële instellingen om gegevens over fraude of onregelmatigheden van klanten uit te wisselen, is aangepast aan de Algemene Verordening Gegevensbescherming (AVG). Iedere financiële instelling die gebruik wil maken van het waarschuwingssysteem, moet nu een vergunning van de Autoriteit Persoonsgegevens hebben. Inmiddels heeft de Autoriteit 144 vergunningaanvragen binnen; er worden er in totaal 160 à 170 verwacht. De vergunning geldt vijf jaar.
De voorwaarden voor uitwisseling van gegevens over frauduleuze klanten staan beschreven in het nieuwe Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Dit nieuwe protocol beoogt de rechten van burgers beter te beschermen en hen hun AVG-rechten goed te laten uitoefenen. Banken en verzekeraars moeten kortom nog beter uitleggen waarom ze een burger op de lijst opnemen en waarom ze die informatie aan andere (financiële) instellingen verstrekken.
De AVG werd in Nederland in mei 2018 ingevoerd. De aanpassing van het PIFI is begonnen in 2017 en heeft dus maar liefst vier jaar geduurd. Een woordvoerder van de Nederlandse Vereniging van Banken verklaart de lange duur uit het feit dat aanpassing aan de AVG voor alle betrokkenen nieuw was: “Er waren niet zoveel precedenten. Het is een zoektocht geweest, samen met de toezichthouder, om alle bepalingen juridisch sluitend te omschrijven.” Gedurende het herzieningstraject is het oude PIFI uit 2011 altijd van kracht gebleven, zodat er geen gat in de regelgeving ontstond.
Praktisch gezien is er in het nieuwe PIFI verder niets veranderd. De belangrijkste wijzigingen zitten in de vastlegging van de waarborgen voor betrokkenen (de klanten) conform de AVG, de regeling van de vergunning en verduidelijking van de informatiedeling tijdens de onderzoeksfase tussen afdelingen Veiligheidszaken van de financiële instellingen.
