Strengere privacy-eisen ook van toepassing op financiële sector

Gevoelige persoonsgegevens

In de financiële sector wordt er vaak en veel met persoonsgegevens gewerkt. Bijvoorbeeld bij het verstrekken van een krediet of hypotheek, het verlenen van beleggingsdiensten of het saneren van schulden. In deze gevallen vraagt men nogal wat gevoelige persoonsgegevens aan klanten. Vaak is dat omdat de wet het vraagt. Identificatie bijvoorbeeld is wettelijk verplicht. Maar daar blijft het niet bij: de financiële huishouding van de klant wordt doorgelicht, zijn of haar persoonlijke situatie wordt tegen het licht gehouden. Is hij of zij getrouwd of gescheiden? Zijn er kinderen? Is er sprake van schulden? Komt de klant zijn aflossingsverplichtingen wel na? Dit soort vragen moeten beantwoord en vastgelegd worden. Via allerlei registers en systemen kan vrij gemakkelijk een precies beeld van het huishouden worden verkregen. 

Strengere eisen

Zo komen er dagelijks zeer gevoelige persoonsgegevens van de klanten terecht in de computer van de financiële professional. Meestal in de vorm van burgerservicenummers (BSN), adresgegevens en salarisgegevens. Maar het kunnen ook bijzondere persoonsgegevens zijn, zoals gegevens over gezondheid. Aan het verwerken van deze gegevens worden nu al strenge eisen gesteld. Deze eisen worden dus nòg strenger vanaf 25 mei 2018. Dan zal in alle landen van de Europese Unie de AVG rechtstreeks gaan werken.

Autoriteit Persoonsgegevens houdt financiële sector in de gaten

Voldoet een bedrijf niet aan de privacywetgeving, dan zal de Autoriteit Persoonsgegevens (AP) krachtig optreden, zoals deze zomer al bleek bij een transportbedrijf. Het bedrijf maakte scans van de identiteitsdocumenten van vrachtwagenchauffeurs die goederen kwamen laden en verwerkte de gegevens in het eigen computersysteem voor onbepaalde tijd. Dat is niet toegestaan, zeker niet als er (online) geen extra beveiliging is om identiteitsfraude tegen te gaan. Wat wel mag is ter identificatie een ID-bewijs vragen. Daarvan een kopie maken en die vervolgens bewaren is bij een transportbedrijf niet toegestaan. Het is onnodig en er is geen wettelijke grondslag voor. De AP eiste dan ook beëindiging van de overtreding op straffe van een last onder dwangsom. Het bedrijf koos eieren voor zijn geld en veranderde het systeem volgens de aanwijzingen van de AP. Door deze affaire stond het bedrijf wel in het openbaar als overtreder bekend: met naam en toenaam. Niet bepaald prettig voor een bedrijf met een goede reputatie In dit geval was het een transportbedrijf, volgende keer kan het een financiële instelling zijn. De AP houdt de financiële sector met al zijn transacties en gevoelige persoonsgegevens zeker in de gaten. Verstandig dus om als bedrijf en als financiële professional in de aanloop naar de ingangsdatum van de nieuwe wet in mei 2018 na te gaan of je voldoet aan de strengere privacy-eisen. 

Voorop lopen

Privacybescherming wordt een cruciaal onderdeel van moderne bedrijfsvoering. En dat niet alleen vanwege dreigende boetes, maar ook om als modern bedrijf voorop te kunnen lopen. Klanten en relaties willen dat hun persoonlijke gegevens en bedrijfsgegevens in veilige handen zijn. Wie dat gegeven serieus en door middel van privacy by default en privacy by design in de juiste systemen en processen weet te introduceren, kan de concurrentie een stap voor zijn.

Privacybescherming

Daarbij nog wel een kanttekening: zeker 70% van de datalekken wordt veroorzaakt door menselijke fouten. In steeds meer opleidingen zal privacybescherming dan ook een cruciaal onderdeel zijn van het curriculum. Dat geldt zeker ook voor de opleiding van een financiële professional. Vernieuwing kost tijd en geld, maar wie vooruit kijkt weet dat het een goede investering is.