De zes AVG-beginselen die (ook) bij Wwft-cliëntenonderzoeken in acht moeten worden genomen
Financiële instellingen worden op grond van de Wet ter voorkoming van witwassen en financieren (Wwft) onder andere geacht genoeg over hun klanten, UBO’s en financiers te weten (het Know Your Customer- ofwel KYC-principe). Daarom voeren zij cliëntenonderzoeken uit. Tijdens dit onderzoek worden vele gegevens en documenten opgevraagd, waaronder een grote hoeveelheid persoonsgegevens. De AVG legt verschillende regels op waaraan bij de verwerking van persoonsgegevens moet worden voldaan. Het is voor u als financiële instelling belangrijk om deze regels na te leven en te waken voor schendingen van de AVG. In een eerder verschenen artikel zijn we ingegaan op het vereiste van een grondslag voor de verwerking van persoonsgegevens bij cliëntonderzoeken. In dit artikel gaan wij in op de zes AVG-beginselen, die (ook) bij persoonsgegevensverwerking binnen cliëntenonderzoeken toegepast moeten worden.
De AVG-beginselen
Iedere verwerking van persoonsgegevens dient aan de zes algemene beginselen uit de AVG te voldoen. De financiële instelling is verantwoordelijk voor het naleven van deze beginselen en moet de naleving ervan ook kunnen aantonen.
AVG-beginsel 1: Rechtmatig, behoorlijk en transparant
Rechtmatigheid houdt op de eerste plaats in dat een financiële instelling persoonsgegevens enkel mag verwerken voor gerechtvaardigde doeleinden en op basis van één van de in de AVG genoemde grondslagen. Denk voor het cliëntenonderzoek aan de grondslag ‘wettelijke verplichting’ en ‘gerechtvaardigd belang’.
Verder dient voor de betrokkene, dit is degene van wie de persoonsgegevens worden verwerkt, duidelijk te zijn voor welke doelen persoonsgegevens worden verwerkt en hoe dat gebeurt. Deze informatie kan in een zogenoemde ’privacyverklaring’ worden geplaatst. Het is een financiële instelling dus niet toegestaan om in het geheim persoonsgegevens te verwerken; dit kan leiden tot forse boetes van de AP.
AVG-beginsel 2: Doelbinding
Voor de verwerking van persoonsgegevens heeft een financiële instelling een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel nodig. Nadat zij het doel heeft bepaald en persoonsgegevens voor dat specifieke doel heeft verzameld, mag de financiële instelling deze persoonsgegevens niet zomaar voor een ander doel gebruiken. Dit mag alleen als dat nieuwe doel verenigbaar is met het oorspronkelijke verzameldoel.
Dit beginsel is ook uitgewerkt in de Wwft. Hierin is vastgelegd dat instellingen persoonsgegevens op basis van de Wwft alleen mogen verwerken met het oog op het voorkomen van witwassen en financieren van terrorisme (het doel). De persoonsgegevens die zijn verzameld voor dit specifieke doel mogen, gelet op het vereiste van doelbinding, dus niet voor commerciële doelen worden verwerkt of op een andere manier die niet met dit doel (van de Wwft) verenigbaar is.
Belangrijk om op te merken is dat dezelfde persoonsgegevens wel voor meerdere doeleinden kunnen worden verzameld, bijvoorbeeld zowel voor een verplichting van de Wwft, als voor de uitvoering van een overeenkomst. Als de verwerking meerdere doeleinden heeft, dient ieder doeleinde aan de verplichtingen uit de AVG te voldoen (denk aan het bestaan van een grondslag).
AVG-beginsel 3: Minimale gegevensverwerking
Dit betekent dat de financiële instelling alleen die persoonsgegevens mag verwerken die noodzakelijk zijn voor een specifiek verwerkingsdoel. Het is in de praktijk dan ook belangrijk voor financiële instellingen om bij iedere verwerking stil te staan bij de vraag of een bepaald persoonsgegeven wel écht nodig is voor het uitvoeren van het cliëntenonderzoek op grond van de Wwft.
In de Wwft is bepaald welke gegevens in het kader van het cliëntenonderzoek ten minste moeten worden vastgelegd en bewaard. Bij natuurlijke personen kunt u bijvoorbeeld denken aan de geslachtsnaam, voornamen en geboortedatum.
Het beginsel van dataminimalisatie houdt in dat gegevens die niet in de Wwft worden genoemd, in principe niet verwerkt mogen worden. Als een instelling meer gegevens wil vastleggen of bewaren, dient de instelling te kunnen verantwoorden waarom het vastleggen en bewaren van die specifieke gegevens noodzakelijk is voor het verrichten van een goed en volledig cliëntenonderzoek.
AVG-beginsel 4: Juistheid
De financiële instelling moet alle redelijke maatregelen nemen om ervoor te zorgen dat de gegevens die worden verwerkt correct en actueel zijn. Gegevens die onjuist of onvolledig zijn, dienen te worden gewist of gecorrigeerd.
AVG-beginsel 5: Opslagbeperking
Persoonsgegevens mogen niet langer verwerkt worden dan noodzakelijk voor het doel van de verwerking. Zijn de persoonsgegevens niet langer noodzakelijk voor het verwerkingsdoel, dan moeten zij worden vernietigd of gewist.
Voor het cliëntenonderzoek brengt dit beginsel met zich dat persoonsgegevens enkel mogen worden verwerkt om de betrokkene te identificeren, zolang als dat voor de verwerkingsdoeleinden noodzakelijk is. Uit de Wwft volgt dat de persoonsgegevens die in het kader van (onder meer) het cliëntenonderzoek worden verkregen gedurende vijf jaar na het tijdstip van het beëindigen van de zakelijke relatie of gedurende vijf jaar na het uitvoeren van de desbetreffende transactie moeten worden bewaard. Is deze bewaartermijn verstreken, dan moeten de persoonsgegevens dus worden vernietigd of gewist.
AVG-beginsel 6: Integriteit en vertrouwelijkheid
Financiële instellingen verwerken veel bijzondere en privacygevoelige persoonsgegevens. Deze persoonsgegevens moeten worden beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. De AVG stelt strenge eisen aan de organisatorische en technische maatregelen die financiële instellingen moeten nemen om de veiligheid van persoonsgegevens te borgen. De AVG hanteert in dit kader twee begrippen: privacy by design en privacy by default:
- Privacy by design houdt in dat tijdens de ontwikkeling van producten of diensten aandacht wordt besteed aan de impact op de privacy van betrokkenen en hiervoor privacy verhogende maatregelen worden getroffen.
- Privacy by default houdt in dat de financiële instelling technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat zij alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat zij wenst te bereiken.
Het is voor financiële instellingen belangrijk deze begrippen goed voor ogen te hebben. De AVG en de Wwft schrijven overigens niet voor welke specifieke maatregelen genomen dienen te worden. Dit geeft financiële instellingen de ruimte om te beoordelen welke maatregelen het meest geschikt zijn voor de verwerkingen die zij uitvoeren.
Algemene AVG beginselen worden nader geconcretiseerd in diverse bepalingen
De hiervoor besproken algemene beginselen worden nader geconcretiseerd in diverse bepalingen in de AVG. Zo dient bijvoorbeeld op basis van de informatieplicht uit de AVG bepaalde informatie aan de betrokkene te worden verstrekt, wanneer diens persoonsgegevens worden verwerkt. Het is belangrijk om ook aan deze specifiekere bepalingen te voldoen.
Wilt u meer weten over (de toepassing van) de Wwft en de AVG?
Wilt u meer weten over (de toepassing van) de Wwft en de AVG, of vraagt u zich wellicht af of u (of de financiële instellingen waarmee u zaken doet) de AVG-beginselen wel in acht neemt bij het cliëntenonderzoek, neem dan contact met ons op. Wij helpen u graag verder.