Op 20 mei startte een internetconsultatie over wijziging van de Nederlandse aanvullende wet inzake privacy, de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). In dit artikel bespreek ik een aantal thema’s uit de geconsulteerde voorstellen.
Accountantscontrole
In het consultatievoorstel worden een aantal wensen vervuld, zoals de wens van accountants om persoonsgegevens te verwerken de wettelijke controle. Er wordt een nieuw artikel voorgesteld:
Artikel 23a Uitzondering voor verplichte accountantscontroles
1. Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing indien de verwerking noodzakelijk is voor een door een accountant te verrichten bij wettelijk voorschrift voorgeschreven controle.
2. Op persoonsgegevens waarop de geheimhoudingsplicht, bedoeld in artikel 457, eerste lid, van boek 7 van het Burgerlijk Wetboek rust dan wel heeft gerust, heeft voor aanvang van de verwerking van persoonsgegevens voor de controle, bedoeld in het eerste lid, pseudonimisering als bedoeld in artikel 4, onderdeel 5, van de verordening, plaatsgevonden.
Toelichting: “de verordening” is de AVG, de Europese privacywet.
Verder wordt in verband met het bovenstaande een wijziging van de Wet toezicht accountantsorganisaties voorgesteld, door middel van een nieuw artikel 63aa en een wijziging van de Wet op het accountantsberoep, met een nieuw artikel 57.
Faillissementscurator
Ook de faillissementscurator komt in het voorstel voor. In een nieuw artikel 68a wordt de verwerking van persoonsgegevens mogelijk gemaakt in het kader van de uitvoering van de wettelijke taken die een curator heeft, zoals het opstellen en openbaar maken van het faillissementsverslag.
Financiële sector: geautomatiseerde blokkering van transacties
Voorgesteld wordt om in de Wet op het financieel toezicht bepalingen (in artikel 3:17, de huidige tekst staat hier) op te nemen die het mogelijk maakt om geautomatiseerd betalingstransacties gekoppeld aan een financieel product te blokkeren of op te schorten:
9. Ter uitvoering van het bepaalde in het eerste lid beschikt een financiële onderneming als bedoeld in dat lid over procedures en maatregelen met betrekking tot het monitoren en analyseren van betalingstransacties van cliënten. Een financiële onderneming kan in dat kader geautomatiseerd besluiten om betalingstransacties die zijn gekoppeld aan een financieel product te blokkeren of op te schorten, indien:
a. het blokkeren of opschorten plaatsvindt op basis van afwijkende individuele transactiepatronen ten opzichte van het gebruik van het individuele financieel product van cliënten;
b. de financiële onderneming de betalingstransacties na het blokkeren of opschorten onverwijld door menselijke tussenkomst onderzoekt; en
c. cliënten hun standpunt omtrent het blokkeren of opschorten van de betalingstransactie kenbaar kunnen maken.
10. Bij algemene maatregel van bestuur worden aanvullende regels gesteld over passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van cliënten in geval van het blokkeren of opschorten van betalingstransacties, bedoeld in het negende lid.
Financiële instellingen zijn op grond van artikel 3:17 Wft en artikel 3 lid 2 sub d Wwft verplicht tot transactiemonitoring. Dit is zowel ter voorkoming van fraude ten nadele van de financiële instelling of ten nadele van de klant van de financiële instelling, als om te voorkomen dat criminelen gebruik maken van bankrekeningen en andere financiële producten. In de consultatietoelichting wordt onder meer het volgende opgemerkt:
Aangezien het geautomatiseerd, dat wil zeggen zonder menselijke tussenkomst, stoppen van een transactie de betrokken cliënt in aanmerkelijke mate kan treffen, is het geautomatiseerd blokkeren of opschorten van een transactie door een financiële onderneming aan te merken als geautomatiseerde individuele besluitvorming in de zin van artikel 22 van de AVG. Op grond van artikel 22, tweede lid, van de AVG is dit slechts in een aantal gevallen toegestaan, onder meer als de betreffende geautomatiseerde individuele besluitvorming is toegestaan bij een lidstatelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene.
Met de voorgestelde bepalingen wordt verduidelijkt dat financiële ondernemingen in het kader van het uitvoeren van transactiemonitoring zo nodig ook geautomatiseerd transacties kunnen blokkeren of opschorten als hiervoor aanleiding is. Zo kan een transactie worden geblokkeerd of opgeschort als wordt gedetecteerd dat er sprake is van een afwijkend transactiepatroon ten opzichte van het gebruik van het individueel financieel product van cliënten, bijvoorbeeld door de aanwezigheid van (fraude)indicatoren. Het gaat om een afwijking van het transactiepatroon van de betreffende individuele cliënt. Het betreft hier dan ook geen profilering in de zin van de AVG, waarbij sprake is van vergelijking van bepaalde persoonlijke kenmerken met kenmerken van een groep. In dit geval is er sprake van vergelijking met kenmerken van betalingsgedrag van de betrokken persoon zelf. Verder moet een financiële onderneming zo snel als redelijkerwijs mogelijk is na het blokkeren of opschorten van de transactie contact opnemen met de cliënt, dat wil zeggen door menselijke tussenkomst, om te onderzoeken of al dan niet sprake is van fraude. In dat kader moet de betrokken cliënt de mogelijkheid hebben om zijn standpunt over het blokkeren of opschorten van de transactie kenbaar te maken. Als naar het oordeel van de financiële onderneming sprake is van fraude dan zal de transactie definitief worden geblokkeerd. Als dat niet het geval is, zal de transactie vervolgens alsnog worden uitgevoerd. Het geautomatiseerde besluit van een financiële onderneming om een transactie te blokkeren of op te schorten kan worden aangevochten via de interne klachtenprocedure van de betreffende onderneming en zo nodig via de klachtenprocedure bij de stichting Klachteninstituut financiële dienstverlening (Kifid) en via de rechter. Op grond van de voorgestelde bepalingen worden bij algemene maatregel van bestuur aanvullende regels gesteld over passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van cliënten. De middelen op basis waarvan deze signalen worden gedetecteerd worden periodiek geëvalueerd en financiële ondernemingen nemen verder alle passende maatregelen om ervoor te zorgen dat aan de overige eisen van de AVG wordt voldaan. In de respectieve privacyverklaringen, de overeenkomst of voorwaarden van de financiële ondernemingen zal de betrokkene bijvoorbeeld geïnformeerd moeten worden dat het blokkeren of opschorten van transacties voor de in dit wetsvoorstel bedoelde doeleinden geautomatiseerd kan plaatsvinden.
Nu de mogelijkheid om bij de uitvoering van transactiemonitoring in voorkomende gevallen transacties geautomatiseerd te blokkeren of op te schorten is geregeld in de Wft, ligt het – met het oog op de samenhang en begrijpelijkheid van de regeling – voor de hand om ook de verplichting tot het uitvoeren van transactiemonitoring zelf in de Wft op te nemen. De voorgestelde bepalingen voorzien hierin.
Opvallend is dat de transactiemonitoring op grond van de Wwft in deze passage niet aan bod komt (op pagina 8-9, paragraaf 1.2.2, wordt de Wwft wel genoemd). Elders in de toelichting staat dat nog wordt bezien of een adequate grondslag nodig is voor profilering door banken ter voorkoming van witwassen en fraude (pagina 9, paragraaf 1.2.2).
Financiële sector: gebruik BSN, cross-sectorale gegevensdeling en vermoedens van ziekte en dementie
Voorts wordt nagegaan of ondernemers, meer in het bijzonder banken, het BSN mogen gebruiken voor het uitoefenen van hun poortwachtersfunctie bij het voorkomen van witwassen (pagina 3, paragraaf 2.2, zie voorts paragraaf 1.2.7 op pagina 12). Na ontvangst van het advies van de Autoriteit Persoonsgegevens zal worden bekeken of de BSN-regels worden aangepast.
Cross-sectorale gegevensdeling komt in paragraaf 1.24 (pagina 10) aan de orde.
De financiële sector blijkt behoefte te hebben aan een mogelijkheid om vermoedens van (geestelijke) ziektes of dementie te registreren, zo lees ik in paragraaf 1.3.1 (pagina 12-13). Het Ministerie van Veiligheid stelt in overleg met een aantal betrokkenen uit de sector onderzoek in hoe vormgegeven kan worden aan de zorgplicht met betrekking tot kwetsbare cliënten.
Meer informatie:
- Aankondiging consultatie
- Consultatievoorstel Verzamelwet gegevensbescherming
- Consultatietoelichting Verzamelwet gegevensbescherming
- IAK
- Overige informatie: brief 1, brief 2, motie.
- Alle artikelen over de UAVG op dit blog.
Aanvulling 9 juni 2020
Lees over de UAVG ook de brief van de Minister voor Rechtsbescherming van 4 juni 2020 met onder meer passages over criminaliteitsbestrijding/Wwft en BSN-gebruik door banken in verband met uitwisseling van gegevens over vermoedelijke criminelen:
3.5 Cross-sectorale gegevensdeling te behoeve van de bestrijding van fraude
Bij de behandeling van de begroting van het ministerie van Justitie en Veiligheid op 21 november 2019 is door de leden Van Aartsen (VVD) en Yesilgöz-Zegerius (VVD) een motie ingediend waarin de regering wordt verzocht te onderzoeken in hoeverre het mogelijk is dat ondernemers onderling informatie uitwisselen in de strijd tegen georganiseerde en ondermijnende criminaliteit. Bij brief van 11 juni 2019 heb ik u de Beleidsreactie onderzoek ‘Cross-sectorale gegevensdeling tussen private partijen voor fraudebestrijding’ doen toekomen. Hierin is aangegeven dat binnen het wettelijk kader van AVG en UAVG (cross-sectorale) gegevensdeling tussen private partijen mogelijk is mèt vergunning van de AP. In vervolg op dit onderzoek voert MKB Nederland, met ondersteuning van het ministerie van Justitie en Veiligheid, een data protection impact assessment (DPIA) uit om de privacyrisico’s van de gegevensverwerking in kaart te brengen. Op basis hiervan kan een vergunningsaanvraag worden voorgelegd aan de AP om gegevensdeling mogelijk te kunnen maken.3.6 Gebruik van het BSN-nummer door ondernemers, meer in het bijzonder door banken e.a. voor het uitoefenen van de poortwachtersfunctie bij het voorkomen van witwassen
Zoals uit de brief van 31 oktober jl. blijkt, hebben VNO-NCW en MKB-Nederland gevraagd het burgerservicenummer (BSN), gezien de meerwaarde die het gebruik daarvan heeft voor allerlei administratieve processen en klantgerichte vertrouwensmodellen, vrij te geven voor een breder gebruik. Met het oog daarop wijs ik er graag op dat de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties uw Kamer heeft toegezegd een brief te sturen over toegang tot de Basisregistratie Persoonsgegevens voor banken. In die brief zal hij ook ingaan op het toekomstig BSN-beleid.Eerder heb ik melding gemaakt van het vraagstuk of het gebruik van het BSN dient te worden toegestaan ten behoeve van het uitoefenen van de poortwachtersfunctie van instellingen, zoals banken. Met het oog op die vraag heeft de Minister van Financiën mede namens de Minister van JenV afgelopen september de AP om advies gevraagd over onder meer het gebruik van het BSN voor specifiek dit doel. Het advies is op 16 december 2019 ontvangen en is aan uw Kamer gezonden, als bijlage bij de voortgangsbrief over het plan van aanpak witwassen. De AP heeft in hoofdzaak opmerkingen over de onderbouwing (noodzaak) en de afweging met minder ingrijpende alternatieven (subsidiariteit). Hierover is in overleg getreden met de betrokken partijen en de uitkomsten daarvan worden meegenomen in het wetsvoorstel plan van aanpak witwassen, dat december jl. in consultatie is gebracht. [12]
—
[12] https://www.internetconsultatie.nl/wetplanvanaanpakwitwassen.
Over de registratie van gezondheidsgegevens door financiële instellingen schrijft de Minister:
De afgelopen maanden heeft overleg plaatsgevonden over de wens van de bankensector om voor banken de mogelijkheid te scheppen in voorkomende gevallen in het belang van de klant zorgen omtrent de (geestelijke) gezondheidstoestand van cliënten te kunnen registreren. Aan dit overleg namen deel de ministeries van Financiën, JenV en VWS, de AFM, de AP, het klachteninstituut financiële dienstverlening (Kifid) en de Nederlandse Vereniging van banken (NVB). In onderling overleg is vooralsnog besloten om dit traject niet verder in te gaan. Het blijkt op dit moment voor de bankensector lastig afdoende de afweging tussen de privacy van de betrokken klant en de zorg voor klanten met mogelijk een ziekte te maken en gedegen te onderbouwen. In de plaats daarvan wil de sector onderzoeken of hiermee in de praktijk op een andere werkbare manier kan worden omgegaan, waarbij aanvullende regelgeving niet nodig is. Als uit het praktijkonderzoek blijkt dat het zonder regelgeving toch niet goed mogelijk is voor banken om tegemoet te komen aan de zorg voor klanten met mogelijk een ziekte, dan wil de sector opnieuw contact met de betrokken ministeries zoeken. De financiële instellingen verwachten dat dit praktijkonderzoek binnen zes maanden zal zijn afgerond.
Aanvulling 12 september 2022
Onlangs verscheen een in opdracht van Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), het bureau van VenJ opgesteld rapport over de UAVG, zie het bericht Uitvoeringswet AVG kritisch beoordeeld van 6 september.
Aanvulling 22 oktober 2022
Zie over de biometrische wensen van banken ook het NVB-artikel Banken pleiten voor mogelijk gebruik van biometrische gegevens financiële diensten, 14 juli 2020. Het gebruik van biometrie is zeer riskant, lees onder meer mijn artikel Biometrische identificatie | het inlogmiddel dat je niet kunt veranderen.
Ellen Timmer - juridische artikelen en berichten 