Vakpaper AVG voor Financieel Adviseurs

Transcriptie

1 Vakpaper AVG voor Financieel Adviseurs Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Bureau DFO heeft een vakpaper gemaakt voor financieel advieskantoren. Doel van deze vakpaper is om u snel kennis te laten nemen van de hoofdlijnen van deze nieuwe regelgeving. Algemene Verordening Gegevensbescherming De Algemene Verordening Gegevensbescherming, AVG, is Europese Wetgeving waarop de burger rechtstreeks een beroep op kan doen. Het verschil met een Verordening en een Richtlijn is, dat bij een Verordening de nationale lidstaten vrijwel geen ruimte hebben om van de inhoud van de tekst af te wijken. Bij een richtlijn wordt een doel geformuleerd maar hebben de lidstaten een grote mate van vrijheid om via eigen nationale wetgeving te bepalen op welke wijze zij tot dit doel komen. De AVG is een Verordening. Doel van de Verordening is de burger controle te geven over eigen gegevens Centraal doel van de AVG is om de individuele burger volledige controle te geven over de mate waarin derden over zijn persoonsgegevens kunnen beschikken. Via de AVG wordt bereikt dat: De burger weet wie over zijn persoonsgegevens beschikt. De burger de inhoud van deze persoonsgegevens kent. De burger het gebruik van zijn persoonsgegevens kan beperken of verbieden. De burger er zeker van kan zijn dat derden die over zijn persoonsgegevens beschikken, hier zorgvuldig mee omgaan. Differentiatie naar type organisatie De tekst van de AVG is voor elke organisatie in Europa gelijk. De uitwerking van deze tekst kan echter per organisatie sterk verschillen. Voor een (grote) financiële instelling brengen de eisen vergaande en tot op zeer detaillistisch niveau gevolgen met zich mee. Hoewel het gaat om in principe dezelfde bepalingen zal de uitwerking van de AVG voor een regulier hypotheekadvieskantoor veel minder impact hebben. Focus op hoofdlijnen Het advies is om te proberen de focus op de hoofdlijnen te richten. Discussies over de uitzondering op de uitzondering leiden onnodig af en raken vaak gebieden die nog onvoldoende uitgekristalliseerd zijn om hierover met volledige zekerheid een standpunt in te nemen. Definitie persoonsgegevens De AVG gaat over persoonsgegevens. Onder persoonsgegevens wordt alle informatie verstaan die iets zegt over een individueel, natuurlijk persoon. Uiteraard betreft dit de naam en contactgegevens. Maar ook inkomensgegevens, burgerlijke staat, waarde woning, etc. zijn persoonsgegevens zodra deze gegevens te koppelen zijn aan een individueel persoon. Pagina 1 van 7

2 Zelfs de informatie dat de heer X zijn koffie drinkt met twee klontjes suiker is een persoonsgegeven. Informatie over overleden personen en informatie over rechtspersonen vallen niet onder de AVG. Bij dit laatste moet echter opgepast worden. Gegevens over een Besloten Vennootschap zijn geen persoonsgegevens. Maar de vermelding dat de heer X DGA van de B.V. is, is wel een persoonsgegeven. Het zegt iets over de heer X. Definitie geautomatiseerde gegevens De AVG gaat in principe over persoonsgegevens die in een geautomatiseerde omgeving staan. Dus in computerbestanden, tablets en in uw mobiel. Een belangrijke uitbreiding is echter dat de gegevens die op gestructureerde wijze in een papieren dossier zijn opgeslagen, ook onder de AVG vallen. Dit betekent dus dat bij financieel advieskantoren alle papieren klantdossiers ook onder de werking van de AVG vallen. Definitie verwerken De laatste voor een goed begrip van de AVG belangrijke definitie, is het begrip verwerken. De AVG stelt eisen aan het verwerken van persoonsgegevens. Onder verwerken worden alle denkbare handelingen verstaan welke je kunt doen met persoonsgegevens. Bijvoorbeeld opslaan, analyseren, doorgeven, aanpassen, wissen, etc. Kern: er moet een grondslag zijn om persoonsgegevens te verwerken De grote cultuurverandering waarmee wij binnen onze branche te maken krijgen, is dat alleen persoonsgegevens mogen verwerken indien één of meer van de in de AVG limitatief opgenomen gronden (zie hierna) aanwezig zijn. Is er geen grondslag dan mogen de persoonsgegevens niet verwerkt worden. Dit uitgangspunt stelt forse grenzen aan het denken over big data en aan het gevoel dat de door een ondernemer verzamelde data van klanten zijn data zijn en hij deze onbeperkt mag gebruiken om zijn commerciële activiteiten te versterken. Er zijn zes grondslagen De AVG kent zes grondslagen die een organisatie het recht kunnen geven om te komen tot verwerking van persoonsgegevens. Deze zes gronden zijn gelijkwaardig. De ene rechtsgrond is niet belangrijker dan de andere rechtsgrond. Is er één rechtsgrond aanwezig dan is verwerking toegestaan. In de praktijk zal blijken dat er vaak gelijktijdig meerdere rechtsgronden aanwezig zijn. De eerste hierna te noemen rechtsgronden zijn voor financieel advieskantoren de belangrijkste: 1. Omdat de wet dit eist. Op grond van artikel 4:23 Wft moet de financieel dienstverlener specifieke gegevens inventariseren en analyseren om zijn advies daarop te baseren. 2. Omdat dit voor de uitvoering van de overeenkomst nodig is. Tussen een financieel adviseur en een consument wordt een overeenkomst van opdracht afgesloten. Bijvoorbeeld voor het adviseren en bemiddelen bij de totstandkoming van een hypothecair krediet. Pagina 2 van 7

3 Voor alle persoonsgegevens die de adviseur nodig heeft om deze opdracht correct uit te voeren, heeft hij dus een grondslag: de overeenkomst van opdracht. 3. Omdat de klant hiervoor toestemming geeft. Verwerking van gegevens kan ook plaatsvinden omdat de klant hiervoor toestemming geeft. Bijvoorbeeld de financieel adviseur die toestemming van de klant krijgt om de gegevens aan de plaatselijke Klussenier te geven, zodat deze contact met de klant kan opnemen om een aantal aanpassingen in de woning te doen. 4. Ter bescherming van de vitale belangen van de betrokkene. Het gaat hier dan om zaken van leven en dood voor de klant. Bijvoorbeeld om acute gezondheidssituaties. 5. Ter vervulling van taak van algemeen belang. Ook deze grond is voor de financieel adviseur niet van belang. Deze rechtsgrond is van belang voor overheidsorganisaties, etc. 6. Gerechtvaardigde belangen van verwerkingsverantwoordelijk. De organisatie die persoonsgegevens verwerkt heet de verwerkingsverantwoordelijke. Er kunnen situaties zijn waarbij het belang van de verwerkingsverantwoordelijke om bepaalde persoonsgegevens wél te kunnen verwerken groter is dan het belang van de individuele persoon om deze gegevens niet te verwerken. In dit geval kan de verwerkingsverantwoordelijke hierin een rechtsgrond vinden. Komen partijen niet tot een gemeenschappelijk visie, dan zal uiteindelijk de burgerlijke rechter hierin beslissen. In de contacten met financieel adviseurs bestaat inmiddels het grote misverstand dat er voor verwerking van persoonsgegeven altijd toestemming van de klant zou moeten zijn. Dat is dus niet het geval! Adviseurs doen er goed aan om niet te snel voor deze grondslag te kiezen, omdat - wil er sprake zijn van toestemming - er voldaan moet worden aan een aantal aanvullende eisen. Onder meer: De toestemming moet uitdrukkelijk worden gegeven. Dat kan niet als onderdeel van algemene voorwaarden. De toestemming moet vrijwillig zijn gegeven. Het is dus niet toegestaan het recht op een gunstige hypotheekrente te koppelen aan het geven van deze toestemming Achteraf moet kunnen worden aangetoond dat deze toestemming is gegeven. De financieel adviseur maakt het zich dus onnodig moeilijk indien hij te snel voor de grondslag toestemming kiest. Doelbinding Er moet dus een grondslag zijn om persoonsgegevens te mogen verwerken. Is deze grondslag aanwezig dan mogen de persoonsgegevens alleen worden verwerkt voor het doel waarvoor deze zijn verkregen. Is het doel uitvoering van opdracht tot advies en bemiddeling van een hypothecair krediet dan mogen de gegevens niet zonder meer worden gebruikt voor bijvoorbeeld het aanbieden van een abonnement op een glasvezelkabel. Pagina 3 van 7

4 De sector zal gaan zoeken naar een goede omschrijving van het doel waarvoor de persoonsgegevens zullen worden verwerkt. Daarbij zal de opgave worden om de doelomschrijving niet te nauw te maken waardoor de ruimte om deze persoonsgegevens te verwerken te beperkt wordt en anderzijds niet te ruim waardoor de klant geen goed zicht meer heeft waarvoor zijn persoonsgegevens echt worden gebruikt. Rechten van natuurlijke personen Vanaf 25 mei krijgen de burgers een aantal specifiek in de AVG genoemde rechten. De belangrijkste rechten zijn: 1. De betrokkene heeft het recht om te weten welke gegevens over hem verzameld worden, met welk doel en voor welke periode. De klant moet deze informatie krijgen op het moment dat hij deze gegevens verstrekt. 2. De betrokkene heeft het recht om inzage te krijgen in de gegevens die een organisatie over hem heeft. Er mogen geen belemmeringen worden opgeworpen en er mogen geen kosten in rekening worden gebracht. 3. De betrokkene heeft het recht om onjuiste gegevens te laten corrigeren. 4. Onder bepaalde voorwaarden kan de betrokkene eisen dat de gegevens worden gewist. Bijvoorbeeld indien het doel waarvoor de gegevens zijn verstrekt niet meer aanwezig is, er geen rechtsgrond is of de rechtsgrond toestemming was en de betrokkene deze toestemming intrekt. 5. Betrokkene kan beperkingen opleggen aan het gebruik van zijn persoonsgegevens. Bijvoorbeeld de gegevens mogen niet ter kennis worden gebracht van de ex-partner. 6. Betrokkene kan vorderen dat alle gegevens worden overgedragen aan een door de betrokkene aan te wijzen derde. Een klant kan dus van advieskantoor A eisen dat dit alle persoonsgegevens over hem overdraagt aan advieskantoor B. In zijn algemeenheid geldt dat alle organisaties geen kosten mogen rekenen voor het voldoen aan de rechten die natuurlijke personen hebben en de verzoeken van natuurlijke personen snel moeten uitvoeren. Beveiliging Elke organisatie moet passende maatregelen nemen om de persoonsgegevens adequaat te beveiligen. Wat passend en adequaat is, hangt af van het soort persoonsgegevens die worden verwerkt en de omvang van de onderneming. Voor bijvoorbeeld financiële gegevens gelden strengere eisen dan voor het bezoek aan een bioscoop. Voor de advieskantoren zal gelden dat zij minimaal fysieke maatregelen moeten nemen, (goed hang en sluit werk, stukken in afsluitbare kasten) organisatorische maatregelen (wie van de medewerkers mag bij welke informatie) en technische maatregelen (fire wall, wachtwoorden, etc). Pagina 4 van 7

5 Datalek Belangrijk wordt hoe moet worden omgegaan met een situatie waarbij sprake is van een datalek. Bij dit onderwerp moet goed onderscheid worden gemaakt tussen enerzijds de vraag wanneer er sprake is van een data-lek en anderzijds wanneer dit datalek moet worden gemeld. Er is sprake van een datalek wanneer het onder meer gaat om ongeoorloofde toegang tot verwerkte persoonsgegevens. Wordt een laptop gestolen, dan is er sprake van een beveiligingsincident en een datalek. Een datalek moet in principe altijd direct worden gemeld bij de Autoriteit Persoonsgegevens. Deze melding dient uiterlijk binnen 72 uur na het incident te worden gedaan. Wordt de laptop binnen een paar uur teruggevonden en kan worden vastgesteld dat onbevoegden geen toegang tot de laptop hebben gekregen, dan is het onwaarschijnlijk dat het datalek een risico inhoudt voor de betrokkenen en hoeft het incident niet te worden gemeld. Uitgangspunt bij een datalek is, dat de betrokkenen onmiddellijk worden geïnformeerd zodat zij zich tijdig kunnen beschermen tegen ongeoorloofd gebruik van hun persoonsgegevens. Verwerkingsovereenkomst De AVG stelt eisen aan degene die de persoonsgegevens verwerkt. Deze wordt de gegevensverantwoordelijke genoemd. Het kan zijn dat de gegevensverantwoordelijke bepaalde werkzaamheden besluit niet zelf uit te voeren maar deze uit te besteden aan een derde. Denk aan de situatie waarin een financieel advieskantoor zijn hypotheekdossiers laat complementeren door een provider. Op zich is dit toegestaan. Maar de AVG eist dan wel dat de gegevensverantwoordelijke met deze derde een verwerkingsovereenkomst afsluit. In deze overeenkomst dient te worden opgenomen aan welke eisen deze derde met betrekking tot het verwerken van de persoonsgegevens moet voldoen. De verwerkingsovereenkomst leidt in de praktijk tot veel vragen. Bijvoorbeeld de volgende: 1. Dient een financieel advieskantoor dat stukken opstuurt aan de notaris met deze eerst een verwerkingsovereenkomst af te sluiten? Het antwoord is nee. De notaris doet geen activiteiten namens het kantoor maar eventueel voor het kantoor. De notaris is zelf gegevensverantwoordelijke. 2. Dient een financieel advieskantoor dat een offerte instuurt naar een geldverstrekker een verwerkingsovereenkomst te sluiten? Het antwoord is nee. De geldverstrekkers voert dus geen werkzaamheden namens het kantoor uit. De geldverstrekker is zelf gegevensverantwoordelijke. Pagina 5 van 7

6 3. Dient een financieel advieskantoor dat gebruik maakt van Adviessoftware een verwerkingsovereenkomst te sluiten? Het antwoord is ja. Maar softwarebedrijven zullen niet bereid zijn om van alle gebruikers eigen overeenkomsten aangeboden te krijgen. Grote partijen zullen daarom komen met een uniform model dat aan alle gebruikers wordt voorgelegd. Autoriteit Persoonsgegevens Op de correcte uitvoering van de AVG zal worden toegezien door de Autoriteit Persoonsgegevens. Deze organisatie heeft in hoge mate een eigen, zelfstandige bevoegdheid en is in zeer beperkte mate verantwoording verschuldigd aan de nationale politiek. Sancties Aan het niet correct naleven van de AVG zijn een aantal bijzondere sancties verbonden. Uiteraard is er sprake van reputatieverlies. Daarnaast heeft de Autoriteit Persoonsgegevens een uitgebreid arsenaal aan sancties dat varieert van adviezen, waarschuwingen, lasten onder dwangsom tot boetes. Deze boetes kunnen ongekend hoog zijn tot een maximum van 20 miljoen euro of 4 % van de wereldwijde omzet in het geval deze hoger is. Daarnaast kan een ieder (dus niet alleen klanten!) die meent materiele of immateriële schade te hebben geleden als gevolg van het niet naleven van de AVG, degene die de AVG heeft overtreden voor deze schade aansprakelijk stellen Nog enkele zaken Hierboven staan de hoofdlijnen. Kort nog een paar aandachtspunten bij onderwerpen die op dit moment in de praktijk leven. Functionaris voor de gegevensbescherming Een regulier financieel advieskantoor is niet verplicht om een functionaris voor de gegevensbescherming aan te stellen. BSN Financieel advieskantoren mogen geen BSN-nummers archiveren. Mogelijk dat kantoren wel wordt toegestaan BSN-nummers door te geven aan geldverstrekkers. Maar archiveren is en zal niet worden toegestaan. Portefeuilleoverdracht Kantoren die hun (verzekerings-)portefeuille als activa willen verkopen, zullen zich moeten beraden onder welke voorwaarden zij deze overdracht binnen de AVG goed kunnen uitvoeren. Een rechtsgrond en doel zijn niet bij voorbaat aanwezig. Personeel en toestemming Bij medewerkers van een bedrijf is de rechtsgrond toestemming vrijwel nooit bruikbaar. De rechtspraak gaat ervan uit dat medewerkers in een afhankelijke situatie tot hun werkgever staan en daarom hun instemming niet vrijelijk kunnen geven of weigeren. Pagina 6 van 7

7 Dataportabiliteit en bemiddelaar Met een beroep op dataportabiliteit kan een consument van geldverstrekkers vorderen dat zij alle persoonsgegevens rechtstreeks overdragen aan een derde. Dus ook aan een financiële instelling waarmee de geldverstrekker niet wil samenwerken. Hoevelaken, 17 april 2018 Pagina 7 van 7