Ook Wwft-plichtigen moeten de AVG naleven
5 november 2018In Nederland geldt regelgeving inzake de bestrijding van witwassen en terrorismefinanciering, de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Op grond van die wet moeten diverse ondernemingen, zoals banken, garagebedrijven, notarissen, accountants en administratiekantoren cliëntenonderzoek doen en ‘ongebruikelijke transacties’ melden. In het kader van het cliëntenonderzoek worden zeer veel persoonsgegevens verzameld, onder andere inzake de vertegenwoordigers en uiteindelijk belanghebbenden bij B.V.’s, N.V.’s, stichtingen en verenigingen.
De AVG is van toepassing op de naleving van de Wwft door Wwft-plichtige ondernemingen. De Wwft-toezichthouder voor onder meer notarissen en administratiekantoren, het Bureau Financieel Toezicht (BFT), lijkt zich dat niet te realiseren.
Moet rekening worden gehouden met de Algemene verordening gegevensbescherming (AVG) bij het vastleggen en bewaren van cliëntgegevens volgens de Wwft?
Op de Wwft-pagina van de website van BFT wordt de vraag beantwoord of rekening moet worden gehouden met de AVG bij het vastleggen en bewaren van cliëntgegevens op grond van de Wwft.
Het antwoord van BFT luidt:
“De in de Wwft genoemde instellingen zijn (en blijven) verplicht om cliëntenonderzoek te doen en gehouden cliëntgegevens vast te leggen. Dit kan bijvoorbeeld middels het maken van een kopie van een identiteitsbewijs maar kan ook op andere wijze. Omdat sprake is van een wettelijke verplichting voor de instelling is geen sprake van strijd met de AVG.
Op grond van de Wwft dienen deze gegevens 5 jaar te worden bewaard. Hetzelfde geldt voor gegevens met betrekking tot ongebruikelijke transacties. In artikel 34a Wwft zijn nadere bepalingen opgenomen over gegevensbescherming.”
Bewaartermijn
Hoewel dit wel van belang is, geeft BFT in haar antwoord niet aan wanneer de vijfjaarstermijn ingaat. Deze termijn gaat pas in vanaf het moment van het eindigen van de zakelijke relatie tussen de Wwft-plichtige en de cliënt. Bij langlopende relaties worden de persoonsgegevens derhalve zeer langdurig bewaard. Dit lijkt niet in overeenstemming te zijn met de AVG.
AVG blijft van toepassing
Wat tevens ontbreekt in de tekst van BFT is dat de AVG voor het overige van toepassing blijft. Dat betekent onder meer dat de betrokkenen (natuurlijke personen) moeten worden geïnformeerd over de registratie van hun persoonsgegevens, het doel van de registratie en hun inzage- en correctierecht. Verder dienen Wwft-plichtigen aan hoge eisen te voldoen met betrekking tot de beveiliging van de gegevens (vaak zal een Privacy Impact Assessment nodig zijn). Het belang van een correcte AVG-naleving zou door BFT en door andere Wwft-toezichthouders moeten worden benadrukt.
Op de AVG-verplichtingen bij het cliëntenonderzoek op grond van de Wwft gelden beperkte uitzonderingen. Een voorbeeld daarvan is dat een Wwft-plichtige die een ongebruikelijke transactie heeft gemeld bij FIU-Nederland, verplicht is de melding en de daarbij verschafte gegevens geheim te houden.
Verdere informatie over privacy in relatie tot de Wwft of andere onderwerpen met betrekking tot de AVG is te verkrijgen bij de privacy specialisten van Pellicaan Advocaten.
