Bestuurder van de Autoriteit Financiële Markten (AFM) Jos Heuvelman werd door het FD in de gelegenheid gesteld om de microdata-behoefte van de AFM te promoten.
Lees Voor modern financieel toezicht zijn data onontbeerlijk (betaalmuur).

Opvallend is dat Heuvelman niet transparant is over het feit dat de AFM en andere financiële toezichthouders al op grote schaal financiële persoonsgegevens (‘microdata’, ‘granulaire gegevens’) verwerken.

Grondrechtenafweging nodig
Privacy First heeft aan de overheidsbehoefte aan financiële persoonsgegevens aandacht besteed in de bijdrage aan een wetgevingsconsultatie in juli van dit jaar [*]. De organisatie schrijft in de aankondiging van de consultatiedeelname onder meer:

Toezichthouders zoeken naar data voor ‘machine learning’
Privacy First heeft geconstateerd dat internationale financiële samenwerkingsverbanden zoals de Bank for International Settlements (BIS) bepleiten dat financiële toezichthouders gebruikmaken van kunstmatige intelligentie (artificial intelligence, AI). Die kunstmatige intelligentie moet door middel van persoonsgegevens en andere gedetailleerde gegevens van personen en organisaties (‘granulaire data’) getraind worden. Gevolg van deze veronderstelling is dat de toezichthouders proberen aan zoveel mogelijk granulaire data te komen, waartoe de financiële persoonsgegevens van iedere burger behoren.
Privacy First vindt dat ongewenst en wijst op het advies van de Raad voor het Openbaar Bestuur (ROB) van mei 2021, bekendgemaakt via het nieuwsbericht ‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger‘. De ROB bepleit een volwassen afweging van de noodzaak om persoonsgegevens aan de overheid te verschaffen, een afweging die in de voorstellen van het ministerie van Financiën ontbreekt.

Grootschalige verwerking van persoonsgegevens door AFM en DNB vindt al plaats
Daar komt nog bij dat zowel AFM als DNB al op grote schaal granulaire data verwerken. Voorbeeld zijn de persoonsgegevens die AFM verwerkt op grond van Mifid 2: weinig beleggers zijn ervan op de hoogte dat de AFM bij iedere aandelenkoop of -verkoop paspoortnummers en/of fiscale nummers en geboortedata van de betrokken belegger ontvangt. Verder ontvangt AFM van pensioenfondsen op grote schaal persoonsgegevens van burgers. DNB ontvangt persoonsgegevens bij uitvoering van het depositogarantiestelsel, onder meer adressen en telefoonnummers, en verwerkt op grote schaal persoonsgegevens in het kader van het witwasbestrijdingstoezicht. Beide toezichthouders ontvangen op grote schaal persoonsgegevens van het Centraal Bureau voor de Statistiek (CBS).

Verantwoording en grondrechtentoetsing gewenst
Privacy First stelt voor dat eerst verantwoording wordt afgelegd van de huidige verwerking van granulaire gegevens door DNB en AFM en dat vervolgens door middel van een adequate grondrechtentoetsing wordt vastgesteld of er wel redenen zijn om financiële instellingen te verplichten extra gegevens te leveren.

Privacy First pleit voor transparantie over de verwerking van financiële persoonsgegevens en krachtig onafhankelijk toezicht.

[*] Aangekondigd in het artikel Geen carte blanche DNB en AFM voor massale dataverwerking. De complete consultatiebijdrage is hier (pdf) te vinden.