“Financiële sector in tijdnood voor nieuwe privacywetgeving”

Chris Baelemans (CEO Welten Groep en een van de oprichters van Dukers & Baelemans) gaat in gesprek met Mathijs van der Most (Managing Partner PrivacyCompass) over de impact van de AVG voor de financiële sector. “De signalen zijn duidelijk: organisaties gaan massaal in tijdnood komen.”

Chris: “Mathijs, kun je ons in het kort vertellen wat de nieuwe privacywetgeving inhoudt?”

Mathijs: “Vanaf 25 mei 2018 moeten alle organisaties voldoen aan de AVG. De nieuwe wet breidt privacyrechten van burgers uit en legt meer verplichtingen op aan organisaties die persoonsgegevens verwerken. Organisaties die niet voldoen aan deze wet kunnen boetes krijgen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Geen kleinigheid dus.”

Chris: “De financiële sector heeft de implementatie van de Wft net afgerond en is nu druk bezig met MiFID II. Waarom moeten organisaties nú ook al aandacht besteden aan de AVG?”

Mathijs: “Er komen dagelijks zeer gevoelige persoonsgegevens van klanten terecht in de computer van de financieel professional. De eisen aan het verwerken van deze gegevens worden nóg strenger vanaf 25 mei 2018. Door de verruiming van de bestuurlijke aansprakelijkheid, potentiële reputatieschade en het risico van hoge boetes die de AVG met zich meebrengt, is het van het grootste belang dat organisaties tijdig voorbereid zijn op de nieuwe wetgeving. Het kost tijd om de veranderingen te implementeren. Daarom is nú actie nodig.”

Chris: “Wat gaat er dan concreet veranderen? De privacy-eisen zijn al streng, dus wellicht vallen de veranderingen mee?”

“We hebben inderdaad al behoorlijk strenge privacy-eisen in Nederland. Toch worden deze eisen nóg strenger en veranderen er veel zaken:

• Persoonsgegevens van klanten mogen alleen verzameld en verwerkt worden op basis van een legitiem doel en na expliciete toestemming van de klant.
• Persoonsgegevens van klanten mogen alleen voor dit doel worden gebruikt.
• De rechten van klanten worden groter. Denk hierbij aan het recht op inzage, het recht op overdraagbaarheid van de persoonsgegevens en het recht om vergeten te worden.
• Er worden hogere eisen gesteld aan de gegevensverantwoordelijkheid tussen partijen (verplichte bewerkersovereenkomsten en verwerkingsregisters).
• Processen en systemen moeten zijn ingericht conform de principes ‘privacy by default’ en ‘privacy by design’.
• Er komt een verplichting tot het uitvoeren van een Privacy Impact Assessment (PIA) voor het verwerken van persoonsgegevens.
• Onder bepaalde voorwaarden zijn organisaties verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen.”

Chris: “Kun je met een voorbeeld concreet maken welke gevolgen de introductie van de AVG voor tussenpersonen heeft?”

Mathijs: “Denk hierbij bijvoorbeeld aan volmachten. Voor zowel de volmachtgever als de gevolmachtigde is het noodzakelijk om persoonsgegevens te verzamelen en te verwerken om de werkzaamheden compliant uit te kunnen voeren. Maar wie is nu de gegevensverwerker en bij wie ligt de uiteindelijke verantwoordelijkheid? Dit kan per situatie verschillen. Onze ervaring is dat er meestal wel al bewerkersovereenkomsten zijn gesloten tussen de betrokken partijen, maar vaak zijn deze nauwelijks gelezen en niet geïmplementeerd. Door de komst van de AVG en de sancties bij overtreding, is het voor tussenpersonen nóg belangrijker om goed op de hoogte te zijn van de bewerkersovereenkomsten en zich te realiseren wat de consequenties zijn. Ben je verantwoordelijke en daarmee aansprakelijk, of niet?”.

Chris: “Je noemt de bewerkersovereenkomst en het verwerkingsregister. Hoe moeten organisaties dit inrichten?”

Mathijs: “Veel organisaties weten al dat ze bewerkersovereenkomsten moeten sluiten met hun leveranciers en samenwerkingspartners. De uitdaging zit met name in het verwerkingsregister. Er komt een documentatieplicht waardoor organisaties een privacy-administratie moeten gaan voeren. Dat betekent dat van alle persoonsgegevens bekend moet zijn hoe de gegevens zijn verworven en met welk doel. Ook moet duidelijk zijn welke mensen toegang hebben tot de gegevens en hoe de beveiliging georganiseerd is. Als laatste moet helder zijn hoe er met gegevens omgegaan wordt als deze niet langer bewaard hoeven te worden conform de richtlijnen rondom bewaartermijnen en vernietiging van persoonsgegevens. Kortom: organisaties moeten al hun processen opnieuw beschrijven en vastleggen waar de privacy risico’s zitten en hoe zij de risico’s minimaliseren. Een flinke klus.”

Chris: “Maar is het niet zo dat de meeste privacy incidenten plaats vinden door een menselijke vergissing?”

Mathijs: “Ruim 70% van de privacy incidenten, zoals bijvoorbeeld datalekken, is inderdaad toe te schrijven aan menselijke fouten. Een verloren datadrager, zoals bijvoorbeeld een USB-stick, is een belangrijke oorzaak. Er is simpelweg te weinig bewustzijn bij mensen. Organisaties die privacy serieus nemen, investeren daarom in het bewustzijn en kennisniveau van hun medewerkers.”

Chris: “Stel er komt een handhavingscontrole. Hoe kan een financiële dienstverlener aantonen dat zij zich inzet voor gegevensbescherming?”

Mathijs: “Het minimale dat een organisatie moet doen is het uitvoeren van een Privacy Impact Assessment (PIA) op het primaire proces en de aanbevelingen uit het assessment implementeren. Ook moet een organisatie een privacy beleid en protocol datalekken hebben. En indien van toepassing, moet er een Functionaris Gegevensbescherming (FG) aangesteld zijn. Daarnaast moeten organisaties borgen dat zij de betrokkenheid en kennis verhogen van alle medewerkers die persoonsgegevens verwerken.”

Chris: “Wat zijn volgens jou de drie grootste uitdagingen voor de implementatie van de AVG voor de financiële sector?”

Mathijs: "Het recht van een burger op inzage van de persoonsgegevens, de data-portabiliteit en het recht om vergeten te worden. Dit zijn punten die in de praktijk niet gemakkelijk op te lossen zijn. Iedere sector heeft een aantal praktische uitdagingen waar in veel gevallen nog geen kant-en-klare oplossing voor is. Daarom is mijn advies: wacht niet tot volgend jaar en zoek op tijd naar oplossingen."

Chris: “Er moet dus veel gebeuren, maar de impact zal niet alleen maar negatief zijn. Welke kansen zie je ontstaan?”

Mathijs: “Door sneller dan concurrenten te voldoen aan de nieuwe wetgeving, kunnen organisaties een streepje voor hebben bij het toekennen van nieuwe business. Zo sprak ik vorige week een accountancy kantoor dat het onderwerp privacy een vast onderdeel heeft gemaakt van het jaarverslag. Ze vonden het simpelweg geen optie meer om het onderwerp links te laten liggen omdat de risico’s van claims en boetes substantieel zijn toegenomen. Hiermee laten zij zien voorop te lopen en hun klanten serieus te nemen. Als je het nu goed regelt, raak je snel gewend aan de nieuwe werkelijkheid. Daar kun je op wachten of je kunt het voor zijn! ”