Het is bij velen onbekend dat financiële toezichthouders op grote schaal persoonsgegevens verwerken.
Daartoe behoren de gegevens van beleggers als een beleggingstransactie wordt verricht. Dat is gebaseerd op een Europese verordening die vaak als ‘MiFIR’ wordt aangeduid [1]. In artikel 26 MiFIR is de verplichting voor beleggingsondernemingen om transacties in financiële instrumenten te melden bij de nationale toezichthouder. In lid 3 van dat artikel is opgenomen dat onder meer de volgende gegevens moeten worden doorgegeven:

een kenmerk ter identificatie van de partijen namens wie de beleggingsonderneming de transactie heeft uitgevoerd, een kenmerk ter identificatie van de personen en de computeralgoritmen die binnen de beleggingsonderneming verantwoordelijk zijn voor het beleggingsbesluit

Welke kenmerken moeten worden aangeleverd is nader vastgelegd in uitvoeringsregelgeving [2]. Daarin staat dat naast het paspoortnummer of identiteitskaartnummer [3] altijd voornamen, achternaam en geboortedatum moeten worden aangeleverd. Er worden ook persoonsgegevens geleverd van anderen dan verkoper en koper.

De levering van de gegevens van verkoper, koper en bij de transactie betrokkenen maakt het mogelijk dat de toezichthouder die gegevens in analyses gebruikt.

De Nederlandse toezichthouder AFM geeft op deze pagina uitleg over de melding van transactiegegevens en schrijft:

Per transactie moeten ook de persoonsgegevens van de klant gemeld worden. Voor natuurlijke personen moet bij de melding gebruik worden gemaakt van een nationaal paspoortnummer. Indien de klant geen paspoort heeft dan zal een nationaal identificatienummer gebruikt moeten worden, en als de klant deze ook niet heeft dan is er als laatste mogelijkheid een zogenaamde CONCAT. Voor juridische entiteiten moet een legal entity identifier (LEI) gebruikt worden.

Verwerking persoonsgegevens
Op deze pagina is niet te vinden wat de AFM met de op grond van artikel 26 MiFIR verkregen persoonsgegevens doet en of alles wordt doorgestuurd naar de Europese toezichthouder ESMA.
In de privacyverklaring (pdf) van de AFM wordt in algemene termen over de Europese verordeningen en andere regelgeving gesproken, maar wordt niet vermeld wat er met er op grond van artikel 26 MiFIR verkregen persoonsgegevens gebeurt. Op deze pagina wordt gemeld dat er een verwerkingsregister is, maar deze kan niet digitaal worden ingezien.
Nu de AFM pleit voor betere informatievoorziening over online gebruik van gegevens van internetgebruikers, zou het fijn zijn als ze ook in detail aan de burger uitleggen wat er gebeurt met de persoonsgegevens die zij van financiële instellingen verkrijgt op grond van artikel 26 MiFIR.

Noten:

[1] Verordening (EU) 2022/720 van de Commissie van 10 mei 2022 betreffende de toepassing van artikel 101, lid 3, van het Verdrag betreffende de werking van de Europese Unie op groepen verticale overeenkomsten en onderling afgestemde feitelijke gedragingen, overzichtspagina.

[2] De AFM vermeldt op deze pagina:

De inhoud van de te rapporteren transactiegegevens en de specifieke vereisten zijn omschreven in een zogenaamde Commission Delegated Regulation. Daarnaast heeft ESMA op 25 december 2015 een consultatiedocument (‘Guidelines on transaction reporting, reference data, order recordkeeping and clock synchronization’) gepubliceerd waarin voorbeelden van verschillende scenario’s zijn opgenomen en hoe er in die situatie gerapporteerd moet worden. In oktober 2016 heeft ESMA de definitieve richtsnoeren gepubliceerd. De richtsnoeren zijn op 8 augustus 2017 geactualiseerd. In aanvulling op de richtsnoeren heeft ESMA relevante technische rapportage-instructies en XML-schema’s gepubliceerd.

[3] Of CONCAT, dat de geboortedatum bevat.