Bent u AML én GDPR Proof? |
close
Share with your friends

Bent u AML én GDPR Proof?

Bent u AML én GDPR Proof?

Op 25 mei is de EU General Data Protection Regulation (GDPR) in werking getreden. Deze verordening harmoniseert data privacy wetgeving in Europa en beoogt Europese burgers meer grip te geven op het gebruik van hun persoonsgegevens. Als burger krijg ik onder de nieuwe wetgeving meer rechten. Zo kan ik bijvoorbeeld een beroep doen op mijn “Right to access” wat inhoudt dat ik als betrokkene kan opvragen óf mijn persoonlijke data zijn verwerkt, waar en voor welk doel. Daarnaast kan ik om een elektronische kopie vragen van mijn persoonlijke data bij bijvoorbeeld de bank waar ik een rekening aanhoud. Ook heb ik het recht om vergeten te worden (“Right to be forgotten”) en dit geeft mij de mogelijkheid om de verwerkingsverantwoordelijke van de bank te verzoeken mijn persoonlijke data te wissen, niet verder te verspreiden en – indien van toepassing – derde partijen op te roepen te stoppen met het verwerken van mijn persoonlijke data.

Gerelateerde content

AML en GDPR

Als AML professional adviseer ik banken over de inrichting van hun Know Your Customer (KYC) processen en het vastleggen van klantgegevens. Ik ben dan ook benieuwd welke gegevens van míj zijn vastgelegd. De vraag is echter: kan een bank al deze gegevens wel met mij delen? Een bank moet namelijk ook aan antiwitwaswetgeving voldoen en deze wetgeving verbiedt het delen van vastgelegde gegevens omtrent meldingen aan de Financial Intelligence Unit (FIU) over de klant mét deze klant.

Wat als er een paar ton verspreidt over enkele weken op mijn rekening wordt gestort terwijl de bank geen idee heeft wat de bron van mijn inkomsten is? De bank besluit nader onderzoek te doen en stelt vast dat ik maandelijkse salarisbetalingen ontvang die niet bepaald in lijn zijn met de tonnen die over mijn rekening gaan. Een internetzoektocht levert geen nadere informatie op over mij, maar wel over de tegenpartij van de transactie. De informatie wordt netjes vastgelegd in mijn dossier en de bank besluit een melding te doen aan de Financial Intelligence Unit (FIU) vanwege het mogelijk ongebruikelijke karakter van de transacties. De Wet ter Voorkoming van Witwassen en Financieren van Terrorisme (Wwft) is duidelijk omtrent de meldingen aan de FIU. Het is namelijk expliciet verboden informatie over de melding van de ongebruikelijke transactie door te spelen aan de klant. Maar de informatie over de internetzoektocht naar de tegenpartij van de transactie: mag dit met mij gedeeld worden? Het zijn immers gegevens die in mijn dossier zijn vastgelegd. Banken leggen ook vaak een memo met daarin een risicoafweging van de klant vast in het dossier. Mag een dergelijk memo – ook zonder informatie over de transactie – met mij worden gedeeld? Om een duidelijk beeld van de klant te krijgen (inderdaad: Know Your Customer) verzamelen banken vaak zoveel mogelijk data over de klant.

Onder de GDPR heb ik er recht op te weten of en welke gegevens c.q. categorieën van gegevens van mij worden verwerkt, wat het doel is van het gebruik, in welke systemen de gegevens zijn vastgelegd, aan wie of welke categorieën van ontvangers de gegevens zijn of zullen worden verstrekt, wat de herkomst van de gegevens is (bijvoorbeeld informatie verkregen van mijzelf, openbare bronnen of van derden), de reden waarom de gegevens zijn vastgelegd (i.e. de verwerkingsgrondslag) en of sprake is van geautomatiseerde besluitvorming op basis van de gegevens. Kortom, ik kan niet zonder meer alle gegevens die zijn vastgelegd inzien. Daarnaast vallen persoonlijke werkaantekeningen van de bank niet onder het inzagerecht. Zodra de bank deze aantekeningen echter opneemt in mijn dossier of verstrekt aan anderen, dan heb ook ik recht op inzage.

In het licht van de GDPR moeten gegevensverwerkers – in casu banken in het kader van het KYC proces – zich voorts afvragen:

  • Wat de grondslag voor het verwerken van persoonsgegevens is. In het geval van het uitvoering geven aan de Wwft als onderdeel van het KYC proces bij banken, zal de grondslag erin zijn gelegen dat de verwerking van gegevens noodzakelijk is voor het nakomen van een wettelijke verplichting. Belangrijk hierbij is dat de verwerking van de gegevens daadwerkelijk noodzakelijk is voor het nakomen van de wettelijke verplichting aangezien gegevensverwerkers verantwoording moeten kunnen afleggen over de door hen vastgelegde gegevens en dat er niet meer gegevens onder deze grondslag verwerkt worden dan strikt noodzakelijk voor het doel: het KYC proces.
  • De grondslag kan – indien deze verder strekt dan de wettelijke verplichting – in casu ook gelegen zijn in een gerechtvaardigd belang om gegevens te verwerken. Zijn alle verzamelde data daadwerkelijk noodzakelijk om het doel te bereiken en is sprake van evenredigheid? Kortom, wordt niet teveel informatie opgevraagd?
     

Banken zullen bij zowel het verzamelen van data als het delen van data een afweging moeten maken tussen het recht op privacy en de risico’s die antiwitwaswetgeving beoogt te mitigeren. In het voorbeeld van de melding aan de FIU prevaleert die laatste, maar zo eenduidig zal het in veel andere gevallen niet zijn. Alleen door aan de voorkant de verschillende belangen in kaart te brengen en af te wegen, zullen banken zowel GDPR als AML-proof zijn!

Auteurs van deze blog zijn Krisje van der Poel en Evelyn Bell

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig