In de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) staat een opmerkelijke uitzondering ten behoeve van financiële ondernemingen, zoals banken. Artikel 42 bepaalt dat artikel 34 van de AVG (de verplichting om datalekken te melden aan de benadeelden, de ‘betrokkenen’) niet geldt voor ‘financiële ondernemingen’.
Financiële onderneming
Dat begrip omvat een brede groep van grote en kleine ondernemingen in de financiële sector. In de Wet op het financieel toezicht (Wft) wordt financiële onderneming gedefinieerd als:
a. een afwikkelonderneming;
b. een bank;
c. een beheerder van een beleggingsinstelling;
d. een beheerder van een icbe;
e. een beleggingsinstelling;
f. een beleggingsonderneming;
g. een betaaldienstverlener;
h. een bewaarder;
i. een clearinginstelling;
j. een entiteit voor risico-acceptatie;
k. een financiëledienstverlener;
l. een financiële instelling;
m. een icbe;
n. een kredietunie;
o. een pensioenbewaarder;
p. een premiepensioeninstelling;
q. een verzekeraar; of
s. een wisselinstelling.
De Wft is een zoekplaatje, dus moet er nog verder worden gekeken,
financiële instelling: degene die, geen bank zijnde, in hoofdzaak zijn bedrijf maakt van het verrichten van een of meer van de werkzaamheden, bedoeld onder 2 tot en met 12 en 15 in bijlage I bij de richtlijn kapitaalvereisten, of van het verwerven of houden van deelnemingen;
en
financiëledienstverlener: degene die een ander financieel product dan een financieel in-strument aanbiedt, die adviseert over een ander financieel product dan een financieel in-strument of die bemiddelt, herverzekeringsbemiddelt, optreedt als gevolmachtigd agent of optreedt als ondergevolmachtigde agent;
Het gaat er bij mij niet in dat voor deze grote groep moet gelden wat wellicht voor een bank nuttig is ter voorkoming van een bankrun.
Melding aan toezichthouder
Uit de toelichting bij artikel 42 UAVG leid ik af dat de verantwoordelijke bewindspersoon veronderstelt dat de financiële ondernemingen moeten melden aan de financiële toezichthouder.
Ik vraag me af of dat zo is nu een deel van de financiële ondernemingen niet vergunningplichtig is op grond van de Wft. Ik kan me niet goed voorstellen dat zij ondanks de vrijstelling of het niet van toepassing zijn van de Wft toch moeten melden. (Maar ik had geen tijd om dat uit te zoeken.)
Te breed
Het neemt niet weg dat ik denk dat de uitzondering veel te breed is. De Autoriteit Persoonsgegevens oefende in het advies van 6 april 2017 aan de verantwoordelijke bewindspersoon al kritiek uit op de uitzondering (zie pagina 13 en 14, in het ontwerp was het kennelijk artikel 38).
Ook tijdens de parlementaire behandeling zijn er kritische vragen gesteld, onder meer in het verslag, tijdens de behandeling in de Tweede Kamer en door leden van de Eerste Kamer. De beantwoording daarvan is onbevredigend, onder meer omdat niet wordt ingegaan op het feit dat onder het begrip ‘financiële onderneming’ tegenwoordig een veel grotere groep ondernemingen schuil gaat dan tijdens de Wet bescherming persoonsgegevens. In de memorie van antwoord wordt door de bewindspersoon op vragen het volgende meegedeeld:
De uitzondering voor meldplicht bij datalekken bij financiële ondernemingen is bij de invoering van de meldplicht datalekken welbewust opgenomen. Dit is in lijn met de reeds lang onder de Wet op het financieel toezicht bestaande praktijk dat een financiële onderneming incidenten wel moet melden aan de financieel toezichthouder, maar niet aan betrokkenen (klanten). Daarbij speelde de overweging dat dergelijke openbare kennisgevingen aan betrokkenen in de financiële sector te risicovol zijn om in zijn algemeenheid dwingend voor te schijven.[23] Onvoorspelbaar is immers of een dergelijke openbare kennisgeving zal leiden tot het ontstaan van geruchten die niet meer op een zakelijke wijze kunnen worden ontzenuwd en die daardoor nodeloos aanleiding zouden kunnen geven tot verminderd vertrouwen van het publiek in de financiële sector of zelfs tot een bankrun.
De algemene zorgplicht die op financiële ondernemingen rust, brengt echter mee dat zij, als dat mogelijk is, hun klanten informeren.[24] Tegelijkertijd geldt dat ingevolge PSD II de financieel toezichthouder in kennis moet worden gesteld van elk groot operationeel of beveiligingsincident (dit hoeft overigens niet tevens een datalek te zijn).[25] Indien dit incident gevolgen kan hebben voor de financiële belangen van de betaaldienstgebruikers moeten ook de betaaldienstgebruikers onverwijld in kennis worden gesteld van het incident en moet aan hen worden meegedeeld hoe zij de mogelijk schadelijke gevolgen van het incident kunnen beperken.
Artikel 42 van het wetsvoorstel is identiek aan het elfde lid van artikel 34a Wbp. Gezien het strak gehanteerde uitgangspunt van beleidsneutrale implementatie is ervoor gekozen om deze bepaling ook in het wetsvoorstel weer op te nemen. Ik zie echter op dit moment ook geen aanleiding om deze regel te heroverwegen.
[23] Zie uitgebreid Kamerstukken II 2012/13, 33 662, nr. 3, p. 11.
[24] De maatschappelijke functie van banken en andere financiële instellingen brengt een (bijzondere) zorgplicht met zich waarvan de omvang afhankelijk is van de omstandigheden van het geval, zowel jegens haar cliënten uit hoofde van de met hen bestaande contractuele verhouding, als ten opzichte van derden met wier belangen zij rekening behoort te houden op grond van hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt (vergelijk HR 9 januari 1998, ECLI:NL:HR: 1998:ZC2536, NJ 1999, 285).
[25] Deze verplichting staat in artikel 96 eerste lid PSD II en zal worden geïmplementeerd in een nieuw artikel 26g Besluit Prudentiële regels Wft, als onderdeel van het Implementatiebesluit herziene richtlijn betaaldiensten, dat nog in procedure is.
Nu is gebleken dat banken en verzekeringsmaatschappijen de AVG niet zo serieus nemen, zie het bericht van de Autoriteit Persoonsgegevens van 20 november jl., lijkt me het een goed moment om artikel 42 UAVG ter discussie te stellen.
Meer informatie:
- Nieuwsbericht Autoriteit Persoonsgegevens van 20 november jl., “AP controleert banken en verzekeraars op FG-verplichting“. Security.nl naar aanleiding daarvan op dezelfde datum: “36 banken en verzekeraars in de fout met privacyfunctionaris“.
- Artikel 42 UAVG
- Advies Autoriteit Persoonsgegevens van 6 april 2017
- Verslag Tweede Kamer
- Handelingen Tweede Kamer (zoek op ‘artikel 42’)
- Memorie van antwoord, Eerste Kamer (zoek op ‘financiële onderneming’)
- Wetgevingsdossier UAVG
Ellen Timmer - juridische artikelen en berichten 