Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

Met de komst van de AVG worden de verplichtingen uitgebreid en sancties aangescherpt. Dit geldt ook voor financiële instellingen. In vergelijking met de huidig wetgeving, verlangt de AVG dat de verantwoordelijke in control is ten aanzien van de volledige verwerking van persoonsgegevens (ook wel data lifecycle genoemd). Dat betekent dat een financiële instelling vanaf het moment dat de persoonsgegevens verkregen worden tot het moment van vernietiging, in control moet zijn. Bij instellingen zoals banken en verzekeraars worden grote hoeveelheden aan bijzondere persoonsgegevens verzameld. Onder de AVG is er een uitbreiding van de categorieën van bijzondere persoonsgegevens. Hierdoor neemt de spanning tussen wat noodzakelijk verzamelde gegevens van de klant zijn versus het vergemakkelijken van een optimale dienstverlening alleen maar toe.

Algemene veranderingen door de AVG

Financiële instellingen moeten goed voorbereid zijn op de belangrijkste ontwikkelingen van de AVG. Zo verplicht de nieuwe Europese Privacyverordening om een register in te stellen waarin alle verwerkingen zijn opgenomen met daarbij het doel, de grondslag, het soort persoonsgegevens, de ontvangers van die gegevens, eventuele bewerkers et cetera. Wat zijn in de voorbereiding op de AVG verder belangrijke aandachtspunten?

Duidelijk doel: voorafgaand aan de verwerking van persoonsgegevens een duidelijk doel vaststellen en de grondslagen van artikel 8 AVG hanteren. Dit betekent dat je bij alle verzamelde gegevens nagaat of ze noodzakelijk¹ zijn om het doel te bereiken en tegelijkertijd af te wegen of de persoonsgegevens niet op een andere manier verkregen kunnen worden. Een manier die minder ingrijpend is voor de privacy van de klant.

Vernietig onnodige data: gegevens die niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, moeten vernietigd worden. Organisaties beoordelen – aan de hand van toepasselijke regelgeving of het noodzakelijkheidscriterium - zelf hoe lang bepaalde gegevens nodig zijn voor het doel waarvoor deze zijn verzameld en wanneer zij persoonsgegevens vernietigen.

Bewerkersovereenkomst: onder de huidige privacywetgeving bestaat al de verplichting om een bewerkersovereenkomst op te stellen als je een gegevensverwerking uitbesteedt aan een derde partij. De AVG schrijft voor dat partijen nu zelf moeten aantonen dat de gegevensbescherming veilig, transparant en conform wet- en regelgeving geregeld is.

Verschil met de huidige wetgeving is dat de eisen die gesteld worden aan een bewerkersovereenkomst strenger zijn en de terminologie in de AVG veranderd. Een bewerker heet onder de AVG ‘verwerker’ Daarbij zijn de gevolgen onder de AVG groter als er in de gegevensverwerking iets misgaat bij de bewerker, aangezien de boetes² aanzienlijk worden verhoogd. Ik raad om die reden banken en verzekeraars dan ook aan om hun huidige bewerkersovereenkomsten aan te passen aan de normen die de AVG stelt door goede afspraken te maken met derde partijen, bijvoorbeeld over datalekken.

Privacy by design & privacy by default

Financiële instellingen als banken en verzekeraars verwerken veel bijzondere en privacygevoelige gegevens, bijvoorbeeld betaalgegevens. Deze bijzondere- en gevoelige persoonsgegevens moeten zo veel mogelijk transparant³ en bij voorkeur geautomatiseerd worden verwerkt⁴. De AVG stelt strengere eisen aan de organisatorische en technische maatregelen die financiële instellingen moeten nemen om de veiligheid van persoonsgegevens te borgen. Om een dergelijk beveiligingsniveau te bereiken introduceert de AVG twee begrippen; privacy by design en privacy by default. In essentie zijn deze begrippen verschillend van elkaar in hun toepasbaarheid. Echter, in de praktijk zijn ze niet los van elkaar te zien. Privacy by design richt zich op de ontwikkeling van (nieuwe) producten of diensten, waarbij voorafgaand aan het proces de impact van dat proces op de privacy van betrokkenen bepaalt wordt en hiervoor maatregelen worden getroffen. Privacy by default richt zich voornamelijk op de technische en organisatorische maatregelen die genomen moeten worden om er voor te zorgen dat er standaard alleen die persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat er mee bereikt dient te worden. Het is voor financiële instellingen belangrijk dit goed voor ogen te hebben. De AVG wilt met privacy by default regelen dat er zo min mogelijk persoonsgegevens verzameld worden.

Data lineage

Om de juistheid, betrouwbaarheid en beschikbaarheid van persoonsgegevens te kunnen waarborgen moet je maatregelen treffen en deze continu controleren. Banken en verzekeraars hebben nog steeds moeite goed grip te krijgen op data lineage en de kwaliteit van data. Data lineage⁵ beschrijft wat er met de data gebeurt van a tot z, dus van het ontstaan tot het gebruik van de data. Voor klanten is het van groot belang dat hun (financiële) gegevens in alle opzichten betrouwbaar en beschikbaar zijn. De AVG eist dan ook een duidelijke en strakke rapportage, opslag en verwerking van gegevens van financiële instellingen. De gegevens moeten naar de stand van de techniek worden beschermd. Toezichthouders, zoals DNB en AFM, verlangen een gedegen beheersing en een goede verhouding tussen geautomatiseerde en handmatige verwerking van gegevens.

Leidende toezichthouder

De AVG zal direct van toepassing zijn in de gehele Europese Unie én daarbuiten. Alle organisaties die persoonsgegevens van EU ingezetenen verwerken, vallen binnen de werkingssfeer van de AVG. Dit geldt ongeacht de locatie van de onderneming of instelling⁶ en de impact is daarmee veelomvattender dan onder de huidige privacy richtlijn.

Financiële instellingen hebben vaak vestigingen in meerdere EU-lidstaten en zelfs wereldwijd. De gegevensverwerkingen binnen deze instellingen heeft impact in meerdere lidstaten. De AVG gaat uit van een one-stop-shop regel; financiële instellingen hoeven maar met één privacy toezichthouder zaken te doen. Ook wel de ‘leidende toezichthouder’ of lead supervisory authority genoemd.

De AVG verlangt dat alle organisaties die persoonsgegevens verwerken ‘in control’ zijn rond privacygevoelige data. De verwachting is dat de AP vooral grote instellingen, die veel bijzonder- en gevoelige persoonsgegevens verwerken, goed in de gaten gaat houden. Tot die tijd hebben organisaties nog flinke stappen te zetten om optimaal ‘in control’ te zijn. Het nut en de noodzaak van de verwerking van (bijzonder) persoonsgegevens, data lineage en data governance verdienen hierbij zeker de aandacht.

Want oplossingen zijn leuker!

Op 29 juni lees je meer over het sluitstuk van de AVG: de Uitvoeringswet.

Benieuwd naar de 3 meest opvallende wijzigingen voor de financiële sector met de komst van de AVG?
Klik dan hier.

¹ Bij elke verwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit.|
² Het maximale boetebedrag wordt onder de AVG verhoogd tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
³ De nieuwe regelgeving MiFiD II is vanaf 3 januari 2018 van toepassing. Deze regelgeving heeft tot doel de efficiency en transparantie van de Europese financiële markten te vergroten en de bescherming van particulieren beleggers te versterken.
⁴ www.consultancy.nl/nieuws/13924/nieuwe-privacywet-doet-belang-van-data-governance-toenemen
⁵ Data life cycle.
⁶ J. Kriele en M. Geerse, Nieuwe privacywet doet belang data governance toenemen, Position paper, Solid Professionals.

Gerelateerde artikelen
Alle artikelen