Wwft en AVG: het vereiste van een grondslag voor gegevensverwerking bij cliëntenonderzoeken
Op het eerste gezicht zou gedacht kunnen worden dat de Wwft en de AVG onderling strijdig zijn, of ten minste tegengestelde doelen hebben. Op grond van de Wwft moeten financiële instellingen immers cliëntenonderzoeken uitvoeren, gegevens verzamelen en documentatie opvragen en deze duurzaam opslaan. Tegelijkertijd is het minimaliseren van de verwerking van persoonsgegevens één van de belangrijkste beginselen van de AVG. Niettemin sluiten de Wwft en de AVG wetstechnisch in principe goed op elkaar aan. De Wwft specificeert bovendien enkele verplichtingen van de AVG specifiek voor Anti-Money Laundering / Combating the Financing of Terrorism (AML/CFT). De Europese AML-richtlijnen zijn in Nederland primair geïmplementeerd in de Wwft.
De raakvlakken van de Wwft en de AVG
De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) legt aan banken en andere financiële instellingen in Nederland verplichtingen op die witwassen en terrorismefinanciering zo veel mogelijk moeten voorkomen. Financiële instellingen worden onder meer geacht genoeg over hun klanten, UBO’s en financiers te weten (het Know Your Customer- ofwel KYC-principe) en hun geldstromen te monitoren. Financiële instellingen sturen daarom op grote schaal KYC/CDD-brieven naar klanten, waarin ze de klant vragen nadere informatie te verschaffen over bijvoorbeeld hun UBO’s en bestuurders, de herkomst van het (ondernemings)vermogen en de specifieke (contante) geldstromen.
In dit proces worden vele gegevens en documenten opgevraagd, waaronder een grote hoeveelheid persoonsgegevens. Vaak zijn deze gegevens zelfs niet afkomstig van de klant zelf, maar van derden. De Europese Algemene Verordening Gegevensbescherming (AVG ofwel GDPR) vereist een grondslag die noodzakelijk is voor de verwerking van deze persoonsgegevens bij cliëntenonderzoeken. Bij het uitvoeren van cliëntenonderzoeken op grond van de Wwft moeten financiële instellingen dan ook waken voor schendingen van de AVG.
De AVG vereist een grondslag, ook bij een cliëntenonderzoek op grond van de Wwft
De AVG kent een limitatieve lijst van zes mogelijke grondslagen voor de verwerking van persoonsgegevens:
a. toestemming van de betrokkene;
of noodzakelijkheid voor:
b. de uitvoering van een overeenkomst;
c. het voldoen aan een wettelijke verplichting;
d. de bescherming van vitale belangen van de betrokkene;
e. de vervulling van een taak van algemeen belang; of
f. het behartigen van gerechtvaardigde belangen.
Zonder één van deze grondslagen mogen de persoonsgegevens niet worden verwerkt. Dat betekent onder meer dat de financiële instelling de desbetreffende gegevens niet mag ontvangen, laat staan opslaan voor het cliëntenonderzoek.
‘Toestemming’ als grondslag voor gegevensverwerking is meestal niet genoeg
In de praktijk leunen financiële instellingen voor de verwerking van persoonsgegevens gemakshalve vaak op de toestemming van de betrokkene (grondslag a). Vertrouwen op deze grondslag is echter, vooral bij cliëntenonderzoeken, een onverstandige keuze. Betrokkenen kunnen hun toestemming op elk moment intrekken. Als de toestemming wordt ingetrokken, mag de financiële instelling de gegevens niet meer verwerken en dienen de gegevens te worden gewist. Als gevolg kan het gebeuren dat een financiële instelling die dacht aan haar Wwft-verplichtingen te hebben voldaan, plots haar verplichting uit de Wwft om gegevens en documentatie vijf jaar lang te bewaren, dreigt te schenden.
Daarnaast zal de financiële instelling van alle betrokkenen, waaronder van derden, individueel toestemming moeten verkrijgen. Dat kan een hele exercitie zijn.
Ten slotte moet toestemming ‘vrijelijk’ door de betrokkene worden gegeven. Veelal kondigt de financiële instelling consequenties aan, zoals de ‘heroverweging’ (ofwel opzegging) van de zakelijke relatie, voor het geval de betrokkene de opgevraagde gegevens niet verstrekt – en daarmee (impliciet) toestemming geeft. In dit geval is de verkregen toestemming niet vrijelijk gegeven en mogen de persoonsgegevens dus niet worden verwerkt en bewaard.
Denkbare grondslagen voor persoonsgegevensverwerking bij cliëntenonderzoeken
Financiële instellingen doen er over het algemeen verstandiger aan een andere grondslag te kiezen. Logischer en verstandiger keuzen zijn:
- (c) de noodzakelijkheid om te voldoen aan een wettelijke verplichting (het cliëntenonderzoek uit de Wwft),
- (e) de noodzakelijkheid voor de vervulling van een taak van algemeen belang (het voorkomen van witwassen en terrorismefinanciering), en
- (f) de noodzakelijkheid voor het behartigen van gerechtvaardigde belangen (het wegnemen van integriteitsrisico’s bij de financiële instelling).
Alleen een grondslag voor de verwerking van persoonsgegevens is niet genoeg
Met enkel een beroep op een verwerkingsgrondslag is de financiële instelling er overigens nog niet. Zo is het voor een beroep op grondslagen b tot en met f vereist dat de gegevensverwerking echt noodzakelijk is en zal voor een beroep op een gerechtvaardigd belang (grondslag f) een belangenafweging moeten worden gemaakt. Voor alle grondslagen geldt bovendien dat de financiële instelling zich dient te houden aan de (overige) vereisten en beginselen van de AVG (waaronder het vereiste van doelbinding).
Wilt u meer weten over (de toepassing van) de Wwft en de AVG?
Wilt u meer weten over (de toepassing van) de Wwft en de AVG, neem dan contact met ons op. Wij helpen u graag verder.