“Gaan DNB en AFM nu alles doen wat de AVG-God verboden heeft?”

Dat is de eerste gedachte die bij me opkomt als ik de titel van het artikel door AFM over een nieuw convenant lees: Meer aandacht voor data en digitalisering in vernieuwd convenant AFM en DNB.

Aan het begin van het convenant wordt het uitgangspunt geformuleerd dat alles gedeeld mag worden met een piepkleine AVG-noodrem:

De bij de toezichthouders aanwezige informatie wordt in beginsel geacht over en weer relevant te zijn voor elkaars taakuitoefening, en kan ingevolge de Toezichtwetgeving eigener beweging of op verzoek met de ander worden gedeeld wanneer het doel daarvan gelegen is in die taakuitoefening en verstrekking van de informatie niet in strijd is met de Algemene verordening gegevensbescherming. De toezichthouders informeren elkaar bovendien actief over ontwikkelingen bij onder toezicht staande instellingen, die voor de ander relevant zijn. Ook bij wetgeving waarbij de andere toezichthouder geen wettelijke taak heeft, zoals de Wtt en wetgeving inzake resolutie, wordt, voor zover die wetgeving in informatie-uitwisseling voorziet, op dezelfde wijze samengewerkt als in dit convenant beschreven.

Dat uitgangspunt kan grote gevolgen hebben.

Volgens dat bericht gaat het convenant eveneens over voorkoming dat dubbel wordt uitgevraagd:

De AFM en DNB moeten elkaar proactief informeren over voorgenomen data-uitvragen die het domein van de ander kunnen raken, deze waar relevant met elkaar afstemmen en waar mogelijk samenvoegen tot een gezamenlijke data-uitvraag.

De samenwerking heeft voorts betrekking op digitaal onderzoek, iets waarmee beide toezichthouders druk bezig zijn. Wat dat digitaal onderzoek precies inhoudt wordt uit de tekst van het convenant niet duidelijk, er staat niet meer dan:

1.11 Samenwerking digitaal onderzoek
De toezichthouders werken samen op het gebied van digitaal onderzoek en maken hierover nadere werkafspraken.

In de toelichting staat:

Afspraak 1.11
Digitaal onderzoek omvat OSINT en eDiscovery onderzoek. Kort gezegd zijn dit vormen van (forensisch) onderzoek waarbij feiten worden opgespoord en gereconstrueerd in digitale systemen. Dit gebeurt bijvoorbeeld bij incidentonderzoeken. Digitaal onderzoek is van groot belang vanwege de trend van digitalisering in de samenleving in het algemeen en de financiële wereld in het bijzonder. De met digitaal onderzoek belaste organisatieonderdelen van de toezichthouders werken al geruime tijd samen. Deze samenwerking wordt in het convenant opgenomen in het kader van transparantie.

Een reden om de krachten te bundelen is om voor het toezicht effectiever te kunnen zijn. Dankzij de samenwerking vindt een kruisbestuiving plaats waardoor de toezichthouders meer expertise en capaciteit ontwikkelen dan zij zelfstandig hebben. Dit draagt bij aan meer efficiency en doelmatigheid en is ook wenselijk omdat expertise op het gebied van OSINT en eDiscovery schaars is.

Dit zet de deur open naar praktijken die elders zijn te zien zijn, namelijk dat grootschalig gegevens worden gekocht van datahandelaren, zoals advertentiebedrijven, kredietbeoordelaars en witwasinformatiebedrijven, maar ook van ongure gegevensaanbieders (bijvoorbeeld op het dark web) [1].

Persoonsgegevens

Op welke manier wordt omgegaan met de grote hoeveelheden persoonsgegevens waarover de toezichthouders beschikken, blijkt beperkt uit het convenant. In eerder geciteerde artikel 1.1.1 van het convenant staat wel een noodrem, maar wat dat praktisch inhoudt is niet uit het convenant af te leiden.

De toezichthouders hebben veel vertrouwelijke gegevens onder zich. Zo verwerkt de AFM op grond van Mifid 2 de persoons- en bedrijfsgegevens van alle beleggers en houden beide toezichthouders zich bezig met personentoetsing (toetsing van personen op geschiktheid en betrouwbaarheid) van huidige en toekomstige functionarissen bij onder toezicht staande ondernemingen. Verder worden grote hoeveelheden persoonsgegevens verwerkt in het kader van het toezicht op de naleving van de misdaadbestrijdingsregelgeving door onder toezicht staande ondernemingen [2] en gebeurt er nog meer.

Van mensen uit de praktijk hoor ik dat de werkelijkheid bij de toezichthouders anders is dan de schone AVG-theorie , dat er AVG-overtredingen plaats vinden en dat er onvoldoende toezicht is op naleving door AFM en DNB van de principes van de gegevensbescherming.

Noten

[1] Lees mijn blogs OSINT en datagraaiende overheden | de VS koopt op grote schaal persoonsgegevens van datahandelaren en Stiftung Neue Verantwortung: disproportionate use of commercially and publicly available data: Europe’s next frontier for intelligence reform?

[2] Bekend onder de naam ‘witwasbestrijding’, voorts bestrijding van terrorismefinanciering en de sanctieregelgeving.