Afgelopen zomer werden wetgevingsvoorstellen geconsulteerd door het ministerie van Financiën, die het mogelijk moeten maken dat financiële toezichthouders De Nederlandsche Bank (DNB) en Autoriteit Financiële Markten (AFM) op nog grotere schaal financiële persoonsgegevens van alle Nederlanders (‘microdata’) mogen gaan verwerken dan ze nu al doen (info: blog DNB consultatie, blog AFM consultatie, blog over andere reacties).
Tijdens de internetconsultaties zijn een aantal commentaren gegeven (reacties DNB consultatie, reacties AFM consultatie), onder meer door Privacy First.

Adviezen AP

Inmiddels heeft ook de Autoriteit Persoonsgegevens adviezen uitgebracht. Op 12 december werd het advies over de verwerking van microdata door DNB openbaar gemaakt, nieuwsbericht Wetsvoorstel over hypotheekgegevens moet scherper worden afgebakend, advies (pdf). Uit het nieuwsbericht:

Persoonlijke informatie

“Financiële informatie is heel persoonlijk en vertelt veel over iemands privéleven, daar moet dus zo zorgvuldig mogelijk mee worden omgegaan”, zegt AP-bestuurslid Katja Mur. “Het kabinet is met een wetsvoorstel gekomen mede op aandringen van de AP, en het is goed dat er een voorstel is gemaakt. Nu is er nog een aantal aandachtspunten.”

Pseudonimisering op wettelijk niveau regelen

Het wetsvoorstel gaat over gedetailleerde gegevens van hypotheekbezitters in Nederland. Maar de concept-wettekst maakt niet duidelijk dat er een verplichting is tot het pseudonimiseren van de verstrekte gegevens. Pseudonimisering is een beveiligingsmaatregel waardoor data moeilijker te herleiden zijn naar individuele personen, zodat de privacy van mensen beschermd blijft. Dit is een essentiële waarborg. De eis van pseudonimisering moet daarom in de wettekst komen te staan. 

Gebruik voor ander doel mag niet

Het wetsvoorstel regelt dat DNB de hypotheekgegevens niet alleen kan gebruiken voor economische rapportages en statistieken, maar de gegevens ook kan doorgeven aan DNB-afdelingen met andere taken. Zoals toezichtsafdelingen. Die hebben een heel andere taak. 

Gegevens worden dan dus gebruikt voor een ander doel dan in het wetsvoorstel staat. Dat mag niet volgens de privacywetgeving. Want mensen moeten kunnen weten waarvoor hun gegevens worden gebruikt. Zodat zij weten waar zij aan toe zijn. Op dit punt moet het wetsvoorstel ook worden aangepast. 

Bewaartermijn is te lang

Ten slotte lijkt de bewaartermijn van de gegevens bij DNB aan de lange kant. Het gaat om 15 jaar, maar dit wordt niet goed onderbouwd. Het uitgangspunt moet altijd zijn dat persoonsgegevens zo kort mogelijk worden bewaard.

Het advies over de verwerking van microdata door de AFM werd op 23 december bekend, nieuwsbericht AP: meer privacybescherming nodig in wetsvoorstel over financieel toezicht, advies (pdf). Uit het nieuwsbericht:

Gevoelige gegevens

‘Het is natuurlijk begrijpelijk als een kabinet maatregelen wil nemen waarmee de AFM haar wettelijke taak als toezichthouder op de financiële markten naar behoren kan blijven uitvoeren’, zegt AP-bestuurslid Katja Mur. ‘Daarbij is privacybescherming ook heel belangrijk. Je financiële gegevens behoren tot de meest persoonlijke, gevoelige gegevens die er zijn; ze geven een inkijk in jouw leven. Wat je inkomsten en uitgaven zijn op het moment dat je een lening afsluit, hoeveel je leent, of je een levensverzekering hebt: allemaal informatie die zeer privé is. En die echt goed moet worden beschermd.’

Verbied re-identificatie

Het wetsvoorstel gaat over gegevens van miljoenen mensen. Voordat deze gegevens naar de AFM gaan, moeten ze worden gepseudonimiseerd. Dat is een beveiligingsmaatregel waardoor data moeilijker te herleiden zijn naar individuele personen, zodat de privacy van deze mensen beschermd blijft.

Maar deze essentiële waarborg ontbreekt in het wetsvoorstel, constateert de AP. Het moet voor iedereen duidelijk zijn dat de data niet mogen worden gebruikt om mensen te identificeren. Een verbod op ‘re-identificatie’ moet daarom expliciet in de wettekst worden opgenomen.

Mur: ‘Of het nu gaat om je vaste lasten of eventuele betalingsachterstanden, het mag duidelijk zijn dat het voor het toezicht op de financiële markten niet nodig is dat zulke gevoelige data gebruikt mogen worden op een manier die tot jou te herleiden is.’

Verduidelijk de doelen

Daarnaast is onduidelijk hoe het toezicht van de AFM eigenlijk verbetert door het voorgestelde gebruik van de data. Volgens het wetsvoorstel zal de AFM de financiële gegevens gaan gebruiken voor ‘het duiden van marktontwikkelingen’ en ‘het identificeren van toezichtsrisico’s’. Maar wat dit precies inhoudt en hoe dit het toezicht beter maakt, is niet duidelijk. De doelen zijn te breed geformuleerd en bieden onvoldoende basis om gegevens van mensen te mogen gaan gebruiken.

Mur: ‘Als er gegevens van jou worden verlangd, moet natuurlijk wel goed kunnen worden uitgelegd waarom dat per se nodig is, voor welk doel. En waarom het niet met minder gegevens kan. Dat is wettelijk verplicht. Zodat jij van tevoren weet waar je aan toe bent. En, heel belangrijk, om te voorkomen dat jouw gegevens later mogelijk ook gebruikt worden voor een heel ander doel.’

Data naar DNB?

Tot slot is niet duidelijk of de data die naar de AFM gaan, ook zullen worden doorgegeven aan De Nederlandsche Bank (DNB), de toezichthouder op de financiële instellingen. Onder bepaalde voorwaarden mag de AFM gegevens delen met DNB. Dat staat in de Wet op het financieel toezicht (Wft). Maar het huidige wetsvoorstel gaat niet in op de vraag of data inderdaad gedeeld zullen worden met DNB en hoe dat zich zou verhouden tot de Wft. Hier is duidelijkheid nodig.

Lees op dit blog de artikelen over microdata.