Op de consultaties inzake wetsvoorstellen die het mogelijk moeten maken dat AFM en DNB op grote schaal persoonsgegevens en andere granulaire data mogen opvragen bij financiële instellingen, zijn een groot aantal reacties binnen gekomen.
Daartoe behoorden commentaren van Human Rights in Finance.EU: HRIF.EU visie over sleepnet-rapportage wetten voor AFM/DNB: niet doen! en Privacy First: Geen carte blanche voor DNB en AFM om massaal persoonsgegevens binnen te harken.
Reacties
In de AFM-consultatie zijn veertien reacties openbaar gemaakt, twee van de genoemde burgerrechtenorganisaties, nl. Human Rights in Finance.EU en Privacy First. Veel brancheorganisaties deden mee: NVB, NVP, VV&A, VvVA, Adfiz, SRA, DUFAS, NBA, VFN, NVF, VvV.
Naar aanleiding van de DNB-consultatiedocumenten zijn zeven openbare reacties ingediend, waarbij burgerrechtenorganisaties Human Rights in Finance.EU en Privacy First eveneens mee deden. Verder werden reacties door de volgende brancheorganisaties ingediend: VvV, NVB en DUFAS.
Waarom detailgegevens?
In de DNB-consultatie zijn ook twee anonieme reacties, de ene schrijft:
Vreemd dat DNB voor het controleren van de onder haar toezicht vallende banken detail gegevens nodig heeft. Een accountant vraagt toch ook niet standaard alle betalingen van alle rekeninghouders op bij een bank als gecontroleerd dient te worden of het financiële jaarverslag klopt?
DNB dient samen met de politiek het speelveld te bepalen. Verder dient er gerapporteerd te worden over de wijze waarop banken hun risico’s managen en daar dient een audit op plaats te vinden. De door de banken aan te leveren gegevens kunnen op hoofdlijnen blijven, geen noodzaak tot praktisch op huisniveau te analyseren.
Alleen al de vermelding dat aanvullende acties nodig zijn om analyse tot op persoonsniveau gedaan kunnen worden geeft al aan dat het voorstel te ver gaat en niet in deze vorm door mag.
Verder de vraag in hoeverre de door de DNB verzamelde data weer bij ander partijen terecht kan komen en wat die met deze data kunnen doen.
De doos van Pandora gaat nu eenmaal moeilijker dicht dan open.
Pseudonimisering
De andere zet vraagtekens bij de pseudonimisering:
Er word in het voorstel gepraat over pseudonimisering, maar tegelijk word hierbij ook een een hele reeks gegevens bij gevraagd die individueel misschien niet direct herleidbaar zijn, maar de combinatie van deze gegevens zal het zeer eenvoudig zijn om personen te identificeren. Alleen al de 4 cijfers van de postcode kan in sommige gevallen al vrij veel informatie geven (in bepaalde gevallen zijn dit slechts 15 personen, gemiddeld 4000), en de combinatie met o.a. het geboortejaar en alle andere gegevens zijn individuen in de praktijk eenvoudig te identificeren. Met het volgbaar maken van individuele hypotheken over meerdere jaren (15 jaar), is dit kinderlijk eenvoudig voor een goede data analist.
Ik denk dat dit een zorgelijke ontwikkeling is. Ik zie ook geen goed onderbouwde reden dat de DNB de hypotheekmarkt niet in de gaten kan houden zonder deze zeer grote inbreuk op de privacy van individuen.
Berichtgeving
Uit de berichtgeving rond deze consultaties blijkt dat niet alleen Human Rights in Finance.EU en Privacy First kritiek hebben op de voorstellen. Ook de brancheorganisaties van de ondernemingen die de gegevens aan AFM en DNB moeten aanleveren zijn bezorgd.
Een greep uit de artikelen:
- Het FD: Banken in verzet tegen nieuwe ‘datahonger’ AFM en DNB (betaalmuur).
- Findinet: Kritiek op datahonger van AFM.
- Investment Officer: Datagedreven toezicht: een ‘fishing expedition?’, door Randy Pattiselanno van Dufas.
- AccountantWeek: Accountants bezorgd over grotere bevoegdheden AFM. (Eerder schreef Pieter de Kok AFM wordt meest data driven accountantskantoor van Nederland).
- Amweb: ‘Onrust over wetsvoorstellen die toezichthouders aan klantdata kunnen helpen’ (betaalmuur).
Bij het afsluiten van de tekst was er bij andere landelijke media nog niets over de consultatie te vinden.
Ellen Timmer - juridische artikelen en berichten 