AVG


De Algemene verordening gegevensbescherming (AVG) is een Europese verordening die in de gehele EU van kracht is. De verordening heeft per 25 mei 2018 de Wet bescherming persoonsgegevens vervangen. In tegenstelling tot de richtlijnen, hoeft deze niet in de Nederlandse wetgeving te worden geïmplementeerd. Toch heeft iedere lidstaat in de EU de ruimte om de verordening op onderdelen aan te passen aan de specifieke omstandigheden in dat land. In Nederland is hiervoor de Uitvoeringswet AVG opgesteld. Bestudering van deze Uitvoeringswet levert een paar specifieke omstandigheden op voor financieel dienstverleners. Hieronder lichten wij ze voor u toe.

Verwerken van bijzondere persoonsgegevens
De AVG verbiedt het verwerken van bijzondere persoonsgegevens. Je kunt hierbij denken aan gegevens omtrent geloof, geaardheid, lidmaatschap van een vakbond etc., maar ook gegevens omtrent de gezondheid. De Uitvoeringswet biedt echter voor financieel dienstverleners in de zin van de Wet op het financieel toezicht een uitzondering indien de gezondheidsinformatie noodzakelijk is voor de uitvoering van een overeenkomst van verzekering dan wel het assisteren bij het beheer en de uitvoering van de verzekering. Voorwaarde is dan wel dat de medewerkers die deze gegevens verwerken onderworpen zijn aan een geheimhoudingsverplichting.

Een andere bijzonder persoonsgegeven is informatie over een strafrechtelijk verleden. Nu zal een adviseur / bemiddelaar deze informatie niet snel nodig hebben. Als het nodig is voor het beoordelen van een verzekeringsaanvraag, dan kan deze informatie aan de verzekeraar worden gezonden, zonder dat de adviseur / bemiddelaar dit in zijn administratie opslaat. Voor een gevolmachtigd agent ligt dit heel anders; zij beoordelen immers namens de verzekeraar verzekeringsaanvragen. Ook voor deze gegevens geldt dat ze in principe niet mogen worden verwerkt, mits:

  • Het noodzakelijk is voor de uitvoering van een overeenkomst;
  • De betrokkene uitdrukkelijk toestemming heeft verleend voor het verstrekken van deze gegevens.

Verwerking burgerservicenummer
De uitvoeringswet bepaalt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, slechts mag worden verwerkt ter uitvoering van die wet, dan wel voor doeleinden bij de wet bepaald. Nu hebben financieel dienstverleners te maken met de Wet ter voorkoming van witwassen en financieren van terrorisme. In deze wet geldt een cliëntenonderzoek. Voor het cliëntenonderzoek, noodzakelijk bij het aangaan van een zakelijke relatie of een incidentele transactie groter dan € 15.000, geldt dat de financieel dienstverlener van een natuurlijke persoon zijn geslachtsnaam, de voornamen, de geboortedatum, het adres en de woonplaats dan wel de plaats van vestiging vastlegt of een afschrift van het document dat een persoonsidentificerend nummer bevat en aan de hand waarvan de identificatie heeft plaatsgevonden.

Inmiddels is duidelijk geworden dat de Autoriteit Persoonsgegevens (AP) van mening is dat deze laatste ‘of’ dient te vervallen en dat het BSN niet mag worden opgeslagen. Voor het bemiddelen in bijvoorbeeld spaarrekeningen, hypothecaire kredieten, beleggingsproducten etc. levert dit een probleem op, omdat de bank c.q. de beleggingsinstelling altijd een BSN zal opvragen. Hierin kan worden voorzien door het BSN separaat te vertrekken aan de aanbieder om vervolgens, voordat het document wordt opgeslagen in de eigen administratie, het BSN onzichtbaar te maken.

Melding van datalekken
Van een datalek is sprake als persoonsgegevens openbaar worden gemaakt, bij personen terecht komen waarvoor deze niet bestemd zijn of als persoonsgegevens verloren zijn gegaan. Als verwerkingsverantwoordelijke moet je dergelijke datalekken uiterlijk binnen 72 uur na het ontdekken melden aan de AP. Afhankelijk van de aard en de waarschijnlijkheid dat de gelekte persoonsgegevens een hoog risico inhouden voor de rechten en de vrijheden van de betrokkenen, moet een verwerkingsverantwoordelijke op grond van de AVG het datalek melden aan de betrokkenen. Op grond van de Uitvoeringswet geldt voor deze bepaling weer een uitzondering voor financieel dienstverleners. Deze uitzondering is ingegeven omdat een dergelijk datalek waarschijnlijk ook al kwalificeert als een incident in de zin van de Wft dat aan de AFM moet worden gemeld.

Ondanks dat er geen wettelijke verplichting bestaat tot het melden van datalekken aan betrokkenen, kan het wel zinvol zijn. De klantrelatie van een financieel adviseur is immers gebaseerd op vertrouwen. Als persoonsgegevens van uw klanten openbaar zijn gemaakt, of in handen van verkeerde personen belandt, kan het vertrouwen ernstig worden aangetast. Zeker als uw klant er later achter komt en u hem niet hebt geïnformeerd.

Dienstverlening SVC Compliance
Als dé specialist in de intermediaire financiële dienstverlening is SVC als geen ander in staat om verbanden te leggen tussen de diverse wetgevingen en uw dagelijkse praktijk. Voor meer informatie over onze dienstverlening op het gebied van de AVG kunt u contact opnemen met ons bedrijfsbureau.

 


Op de hoogte blijven het laatste nieuws?
Meldt u dan aan voor onze nieuwsbrief!