Is open finance een nieuwe informatiebron voor toezichthouders, in aanvulling op de microdata van CBS? | open finance, AVG

Geplaatst op 14 juli 2023 door Ellen Timmer

Een lezer reageerde op mijn eerdere artikel over open finance bij DNB en meldde dat een position paper van DNB en AFM is uitgebracht, zie het bericht van DNB. Dat bericht en met name de paper staan bij mijn blogvoornemens, dat ik nu maar eens gedeeltelijk uitvoer.

De data owner van DNB en AFM

Opmerkelijk in de paper is dat DNB en AFM de vreemde opvatting hebben dat iedere rekeninghouder als ‘data owner’ mag beslissen over het aan derden verschaffen van de persoonsgegevens van zijn bankrekeningen, ook als het persoonsgegevens van derden (de ‘betrokkenen’ volgens de AVG) betreft. De toezichthouders zijn van mening dat aan die betrokkenen geen toestemming hoeft te worden gevraagd.

In de position paper wordt de suggestie gewekt dat de data owner de betrokkene in de zin van de AVG is, hetgeen niet het geval is.

Het begrip ‘data owner’ heeft in de paper de volgende definitie: “a data subject or customer“, en customer wordt gedefinieerd als “a natural or a legal person who makes use of financial products and services“.

Nieuwe informatiebron voor data-gedreven toezichthouders?

Wellicht dat DNB en AFM zoveel interesse voor dit onderwerp hebben, omdat ook zij kunnen profiteren van rekeninghouders met weinig belangstelling voor de betrokkenen, wiens persoonsgegevens in hun transactiegegevens zitten. Als die rekeninghouders hun transactiegegevens ‘open’ zetten via open finance, kunnen ook DNB en AFM als ‘data gedreven’ toezichthouders profiteren van extra persoonsgegevens. Zij kunnen de persoonsgegevens die via open finance beschikbaar komen combineren met alle persoonsgegevens die zij al hebben van burgers uit hoofde van hun toezichthoudende taak.

Zo verwerkt AFM zeer gedetailleerde gegevens van beleggers (zowel natuurlijke personen als entiteiten) en gebruikt daarbij microdata van het CBS [1], waarin persoonsgegevens voorkomen, zie onder meer de toepasselijke beleidsregel [2]. Die microdata kan AFM combineren met de vele andere gegevens die zij heeft en gebruiken om gedetailleerde profielen op te stellen van zowel natuurlijke personen als entiteiten. Ik ben er nog niet aan toe gekomen om na te gaan of AFM op haar site bekend maakt hoe zij de in de microdata opgenomen persoonsgegeven verwerkt en of zij betrokkenen informeert over de gegevensverwerking [3].

Als er een lezer is die dat al heeft uitgezocht, hoor ik dat graag.

 

NB 1 Ook de andere ontvangers van microdata zijn interessant.
NB 2 Dit blog is een iets verdere uitwerking van het commentaar dat ik op de reactie van de lezer gaf.

 

Noten

[1] De url verwijst naar de lijst van instellingen met doorlopende machtiging (max 3 jaar) voor CBS-microdata-bestanden, AFM wordt vermeld met:

  • AFM, Autoriteit Financiële Markten, team Consumentengedrag;
  • AFM, Autoriteit Financiële Markten, team Risicoanalyse.

Op de lijst komen een groot aantal andere ontvangers van microdata voor. Op deze pagina is een uitleg te vinden over de voorwaarden waaraan moet worden voldaan om microdata van het CBS te mogen krijgen.

[2] Beleidsregel toegang instellingen tot microdata CBS, vindplaats. In de toelichting wordt over gegevensbescherming het volgende vermeld:

In aanvulling op de aanbevelingen van de commissie heeft het CBS gekeken naar betere aansluiting van het beleid bij de Wet CBS en de Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (PbEU 2016, L 119) (Algemene Verordening Gegevensbescherming, hierna: AVG).

Dit heeft geleid tot enkele aanscherpingen in het beleid rond de toegang tot en het gebruik van CBS-databestanden. In de beleidsregel zijn de voorwaarden voor instellingen verduidelijkt, om te verzekeren dat het gebruik van microdata in de remote access-voorziening wordt ingezet voor statistisch of wetenschappelijk onderzoek dat voldoet aan normen als zorgvuldigheid, controleerbaarheid en onafhankelijkheid. Verder is beter omschreven wat wordt verstaan onder het openbaar maken van de resultaten van het onderzoek. Ook zijn de toegangsvoorwaarden aangescherpt om de privacy nog beter te borgen.

Het CBS dient te voldoen aan de AVG en wil zijn data alleen beschikbaar stellen aan organisaties uit landen die aantoonbaar een passend beveiligingsniveau kennen. Om die reden verleent het CBS alleen nog toegang aan instellingen, diensten en organisaties die gevestigd zijn in landen die onder de reikwijdte van de AVG vallen (de Europese Economische Ruimte) of waarvoor een adequaatheidsbesluit van de Europese Commissie van toepassing is. Dit houdt ook in dat aan instellingen gevestigd in de bijzondere gemeenten Bonaire, St. Eustatius en Saba geen toegang wordt verleend. Zie verder de artikelsgewijze toelichting bij artikel 4.

Handhaving
Het CBS controleert of instellingen zich aan de voorwaarden voor bescherming van persoonsgegevens en voorkoming van onthulling houden. In voorkomend geval van schending van de voorwaarden kan het CBS maatregelen nemen. De website van het CBS bevat een overzicht van mogelijke schendingen en maatregelen (https://www.cbs.nl/nl-nl/onze-diensten/maatwerk-en-microdata/microdata-zelf-onderzoek-doen/regels-en-maatregelen).

[3] Ik kreeg wel signalen dat die gegevensverwerking door deze toezichthouders veel meer omvat dan officieel bekend wordt gemaakt.

Onbekend's avatar

About Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce en getagd met , , , , , , , , . Maak de permalink favoriet.

Plaats een reactie