Financiële instellingen en financieel toezicht

Bij financiële ondernemingen, zoals banken en verzekeraars, worden veel persoonsgegevens verzameld en verwerkt. Dat is gebaseerd op de kernactiviteiten van deze organisaties, maar ook op bijzondere regels op het gebied van het financiële toezicht.

Op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) zijn banken en vele andere Wwft-plichtigen (zoals accountants, administratiekantoren, domicilieverleners) verplicht om cliëntenonderzoek uit te voeren en daarbij veel persoonsgegevens te verwerken.

Dit komt hierna aan de orde.

Financiële ondernemingen

Financiële ondernemingen verwerken veel persoonsgegevens. Deels is dat gebaseerd op de overeenkomsten die zij met hun cliënten hebben gesloten en deels is dat gebaseerd op de voor hen geldende regelgeving. Dat neemt echter niet weg dat ook deze instellingen moeten kunnen onderbouwen wat de verwerkingsgrondslag is en zij de overige verplichtingen op grond van de AVG, zoals het informeren van de betrokkenen en het treffen van cybersecurity maatregelen, moeten naleven.

Aandacht Autoriteit Persoonsgegevens

Financiële ondernemingen krijgen de nodige aandacht van de Autoriteit Persoonsgegevens.

Banken nalatig met verplichtingen functionaris voor de gegevensbescherming

Voor bepaalde instellingen, waartoe banken en verzekeraars behoren, is de aanstelling van een functionaris voor de gegevensbescherming (FG) verplicht.

Uit onderzoek van de Autoriteit Persoonsgegevens is gebleken dat banken en verzekeraars hun AVG-verplichtingen inzake de functionaris voor de gegevensbescherming nog niet goed op orde hadden. Zes banken en negen verzekeraars hadden nog geen functionaris aangemeld bij de Autoriteit Persoonsgegevens. Bij zeven banken en veertien verzekeraars liet de vermelding van de gegevens van de functionaris op de site nog te wensen over.

Lees verder

Last onder dwangsom voor Theodoor Gilissen Bank

Deze bank kreeg een last door de Autoriteit Persoonsgegevens opgelegd, die inhield dat de bank binnen twee maanden diende te voldoen aan het inzageverzoek van een klant. Bij niet-nakoming verbeurde de bank EUR 12.000 voor iedere week dat de last niet (geheel) was uitgevoerd, tot een maximum van EUR 60.000. De bank voldeed niet aan het inzageverzoek, waarna de bank een dwangsom moest betalen. Volgens het bericht van de Autoriteit van 9 augustus 2018 heeft de klant uiteindelijk inzage gekregen.

Lees hier het besluit

Uitzondering op meldplicht datalekken voor financiële ondernemingen

Voor financiële ondernemingen geldt een afwijking op de hoofdregel van de AVG, te weten dat zij niet verplicht zijn om betrokkenen te informeren over datalekken. Zij zijn wel verplicht de financiële toezichthouder (DNB en AFM) op de hoogte te stellen. Volgens de parlementaire geschiedenis van deze uitzonderingsbepaling vertrouwt de overheid op de wijsheid van deze ondernemingen als het gaat om gelekte persoonsgegevens en vond men het niet nodig hen een verplichting op te leggen.

Financiële onderneming

Onder deze uitzondering valt een zeer grote groep ondernemingen.

De Wet op het financieel toezicht verstaat onder ‘financiële onderneming’: een afwikkelonderneming; een bank; een beheerder van een beleggingsinstelling; een beheerder van een icbe; een beleggingsinstelling; een beleggingsonderneming; een betaaldienstverlener; een bewaarder; een clearinginstelling; een entiteit voor risico-acceptatie; een financiëledienstverlener; een financiële instelling; een icbe; een kredietunie; een pensioenbewaarder; een premiepensioeninstelling; een verzekeraar; een wisselinstelling.

Een ‘financiële instelling’ is degene die, geen bank zijnde, in hoofdzaak zijn bedrijf maakt van het verrichten van een of meer van de werkzaamheden, bedoeld onder 2 tot en met 12 en 15 in bijlage I bij de richtlijn kapitaalvereisten of van het verwerven of houden van deelnemingen. Een ‘financiële dienstverlener’ is degene die een ander financieel product dan een financieel instrument aanbiedt, die adviseert over een ander financieel product dan een financieel instrument of die bemiddelt, herverzekeringsbemiddelt, optreedt als gevolmachtigd agent of optreedt als ondergevolmachtigde agent.

Of de uitzonderling gerechtvaardigd is voor deze grote groep, is voor ons de vraag.

Financieel toezicht: de anti-witwaswet

Niet alleen banken, verzekeringsmaatschappijen en andere financiële ondernemingen krijgen met privacyregels te maken. Nederland kent financiële toezichtswetgeving op grond waarvan grote hoeveelheden persoonsgegevens verwerkt moeten worden.

De groep van Wwft-plichtigen zal op grond van in voorbereiding zijnde wetgeving verder worden uitgebreid.

Cliëntenonderzoek Wwft

Dat cliëntenonderzoek omvat onder andere de identificatie en verificatie van de cliënt als dat een natuurlijke persoon is. Bij rechtspersonen moet de vertegenwoordiger worden geïdentificeerd en geverifieerd en dient de zogenaamde 'uiteindelijk belanghebbende' (ubo) te worden vastgesteld. De verplichting een ubo vast te stellen geldt voor alle rechtspersonen, zoals bv’s, nv’s, stichtingen en verenigingen. Zo’n ubo is altijd een natuurlijke persoon.

Bij de meeste stichtingen en verenigingen zijn op grond van de Wwft de statutair bestuurders allen ‘ubo’. Bij B.V.’s en N.V.’s zullen directe of indirecte houders van 25% of meer van de aandelen veelal ubo zijn.

Onderdeel van het cliëntenonderzoek is dat de zakelijke relatie tussen de Wwft-plichtige en zijn klant en de eventueel gedurende die relatie uitgevoerde transacties worden gemonitord door de Wwft-plichtige. Soms zal de herkomst van het vermogen van de cliënt, respectievelijk de ubo worden onderzocht.

Doel van het cliëntenonderzoek is dat wordt nagegaan of de klant betrokken is bij criminaliteit (‘witwassen’) of bij terrorismefinanciering. Als de Wwft-plichtige daarvan een vermoeden heeft, moet dat worden gemeld bij FIU-Nederland.

Voorts moeten Wwft-plichtigen nagaan of hun klant of relaties daarvan op een lijst van gesanctioneerde personen staat (‘sanctielijst’). Voor zover de Wwft-plichtige geld of goederen van iemand die op de sanctielijst staat onder zich heeft, moet de Wwft-plichtige dat geld of die goederen ‘bevriezen’; dat betekent vasthouden in afwachting van jusitiële maatregelen.

Ubo-register

Een nieuwe verplichting is dat alle ubo’s in een door de Kamer van Koophandel gehouden ‘ubo-register’ moeten worden opgenomen. Naar verwachting zal deze regelgeving per 1 januari 2020 in werking treden. Dat register levert de navolgende verplichtingen op:

• iedere Nederlandse rechtspersoon moet zijn eigen ubo’s bij het ubo-register aanmelden en zorgen dat het register up-to-date is;
• Wwft-plichtigen moeten nagaan wie de ubo van een rechtspersoon is en zijn verplicht te controleren of de rechtspersoon de ubo’s juist bij het register heeft aangemeld. Als dat niet het geval is, moet de Wwft-plichtige dit melden, zodat het register kan worden aangepast.

Toepasselijkheid AVG

Het zal duidelijk zijn dat bij de naleving van de Wwft grote hoeveelheden persoonsgegevens worden verwerkt. Op die verwerking is de AVG van toepassing, met dien verstande:

• er mogen alleen persoonsgegevens worden verwerkt als de Wwft daar een grondslag voor biedt;
• alle regels van de AVG zijn van toepassing, tenzij in de AVG of de Nederlandse wet een uitzondering is opgenomen.

Gevolg van de toepasselijkheid van de AVG is onder meer dat de personen wiens gegevens door Wwft-plichtigen worden verwerkt (de 'betrokkenen') door die Wwft-plichtigen moeten worden geïnformeerd en dat de betrokkenen de gelegenheid moeten hebben om de verwerkte gegevens te corrigeren. Dit betekent ook dat die betrokkenen vragen kunnen stellen over de grondslag en over de noodzaak bepaalde gegevens te verwerken.

Voorbeeld:

Een accountant neemt in zijn Wwft-dossier van B.V. A op dat aandeelhouder B, die 20% van de aandelen in een B.V. houdt, ubo van de B.V. is. Aandeelhouder B is zelf geen klant van de accountant. De accountant is verplicht B te infomeren over het feit dat zijn persoonsgegevens worden verwerkt en de grondslag (de Wwft). Aandeelhouder B kan aan de accountant vragen waarom hij als ubo is aangemerkt en – als blijkt dat dit ten onrechte is gebeurd – verzoeken om het wissen van alle gegevens.

Uit het voorbeeld blijkt dat ten onrechte geregistreerde persoonsgegevens moeten worden verwijderd. Als een Wwft-plichtige op juiste gronden persoonsgegevens heeft verwerkt, kan het voorkomen dat de gegevens zeer lang mogen worden bewaard.

Voorbeeld:

Een bank heeft in 2006 een overeenkomst gesloten met B.V. D, met twee aandeelhouders, de heer E en mevrouw F. In 2018 bestaat de zakelijke relatie nog steeds, maar sinds 2010 is de heer E geen aandeelhouder meer en is er een nieuwe aandeelhouder G bij gekomen.

De bank moet de gegevens van het Wwft-cliëntenonderzoek bewaren tot vijf jaar na het eindigen van de zakelijke relatie met B.V. D. Dat  betekent dat de bank de persoonsgegevens van de heer E, ook al is hij sinds 2010 geen aandeelhouder meer, moet blijven bewaren.

Informatieleveranciers

Veel Wwft-plichtigen maken gebruik van informatieleveranciers, die informatie leveren over de natuurlijke personen die onderwerp zijn van het cliëntenonderzoek. Dergelijke informatieleveranciers, internationale voorbeelden zijn World-Check en Experian, verzamelen op ontransparante manier persoonsgegevens voor verschillende doelen, onder meer witwasbestrijdingsdienstverlening en kredietwaardigheidsbeoordeling. Ook op hen is de AVG van toepassing, hetgeen onder meer betekent dat zij een grondslag voor verwerking moeten aantonen en de betrokken personen moeten informeren over de verwerking.

Wwft-plichtigen mogen de door hen verzamelde persoonsgegevens niet commercieel gebruiken of aan derden (zoals voornoemde informatieleveranciers) verschaffen.

Data protection impact assessment (DPIA) door Wwft-plichtigen

De AVG verplicht tot het uitvoeren van DPIA in situaties dat de verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico oplevert. Dat zal bij verwerking op grond van de Wwft vaak aan de orde zijn.

De Autoriteit Persoonsgegevens heeft aangegeven dat onderzoek in het kader van fraudebestrijding waarvan betrokkene niet op de hoogte wordt gesteld, een hoog risicoverwerking is en tot DPIA-plicht leidt. Andere redenen voor een DPIA zijn onder meer grootschalige en/of systematische verwerkingen als hierna vermeld:

• zwarte lijsten, zoals lijsten met strafrechtelijke veroordelingen en strafbare feiten, gegevens over onrechtmatig of hinderlijk gedrag of slecht betalingsgedrag;
• verwerking van gegevens in het kader van fraudebestrijding, zoals door fraudeafdelingen van verzekeraars;
• het beoordelen van kredietwaardigheid (‘creditscore’) en het verwerken van financiële gegevens waaruit de inkomens- en vermogenspositie van mensen valt af te leiden;
• het uitwisselen van persoonsgegevens in samenwerkingsverbanden van private en/of publieke partijen;
• een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen gebaseerd op geautomatiseerde verwerking (profilering), bijvoorbeeld beoordeling van economische situatie, betrouwbaarheid of gedrag.

Als in het verleden een DPIA is uitgevoerd, is er pas reden voor een nieuwe DPIA als er iets verandert aan het risico van de verwerking. Een verandering kan bijvoorbeeld zijn dat een nieuwe technologie wordt ingezet of dat de persoonsgegevens voor een ander doel gebruikt gaan worden. Ook kan een DPIA nodig zijn als de organisatiecontext of maatschappelijke context verandert.

De Autoriteit Persoonsgegevens beveelt aan periodiek een DPIA uit te voeren, bijvoorbeeld een keer per drie jaar.

Terug naar alle thema's