Hoewel financiële instellingen datalekken niet aan betrokkenen hoeven te melden (artikel), moeten zij wel degelijk cybersecurity maatregelen nemen.

Financiële toezichthouder AFM publiceerde recent een bericht waarin aandacht wordt gevraagd voor de Digital Operations Resilience Act (DORA). DNB publiceerde diverse berichten over cybersecurity, onder mee:

• Hoe goed beheersen banken en betaalinstellingen cyberrisico’s? en
• DNB ziet cyberdreiging toenemen terwijl basismaatregelen niet altijd op orde zijn.

Blinde vlek voor communicatie met de klant en de gegevensverwerking op grond van de Wwft
Mij valt op dat deze toezichthouders niet optreden tegen de huidige praktijken van financiële instellingen om onveilig met de klanten te communiceren inzake het cliëntenonderzoek op grond van onder meer de Wwft.

Zo zijn er weinig banken die een beveiligd kanaal aanbieden voor het uploaden van vertrouwelijke documenten (inclusief persoonsgegevens) [*]. Er wordt zeer veel per e-mail uitgewisseld, wat een inherent onveilig communicatiemiddel is, zie bijvoorbeeld de Belastingdienst:

Een van de ernstigste AVG-overtreders is ING Bank die persoonsgegevens van uiteindelijk belanghebbenden per e-mail opvraagt. Met moeite kan een andere route worden gevonden, die door deze bank wordt afgeraden omdat de verwerking dan langer zou duren.

Ook is er geen aandacht bij AFM en DNB voor de wijze waarop financiële instellingen met het cliëntenonderzoek omgaan en of wel correct aan dataminimalisatie wordt gedaan, om de cybersecurity risico’s te verminderen.

[*] Er is een enkele bank die een beperkte hoeveelheid gegevens via de bank-app of via de site laat verlopen, dat kan dan alleen de rekeninghouder zelf.