Bij cliëntenonderzoeken op grond van de Wwft komen veel verwerkingen van persoonsgegevens kijken. Identiteitsbewijzen worden opgevraagd, personalia van derden worden verzameld en contactgegevens worden opgeslagen. Financiële instellingen dienen bij de uitvoering van hun KYC/CDD-beleid goed rekening te houden met de AVG.
In een eerder artikel gingen wij vooral in op het wettelijke vereiste van een verwerkingsgrondslag. Hier komt meer bij kijken dan alleen het kiezen van een grondslag; iets waar financiële instellingen vaak niet (of niet genoeg) bij stilstaan. In dit artikel lopen we enkele aanvullende vereisten na aan de hand van praktijkvoorbeelden.
Vooral bij het opvragen en opslaan van informatie en documentatie van klanten worden al snel persoonsgegevens verwerkt. Om (aantoonbaar) te voldoen aan hun verplichtingen onder (artikel 3 van) de Wwft, vragen KYC-afdelingen van financiële afdelingen veelal liever te veel dan te weinig informatie en documentatie bij de klant op. De instelling krijgt op deze manier immers eerder een volledig(er) beeld van de klant en zijn transacties.
Toch kan er ook te veel informatie en documentatie worden opgevraagd, namelijk als de persoonsgegevensverwerking in dat kader te ver gaat. Bij cliëntenonderzoeken worden verwerkingen meestal (mede) gegrond op sub c van artikel 6 lid 1 AVG: een wettelijke verplichting (voldoen aan de Wwft, en soms tegelijkertijd de Wft/Bpr Wft). Om rechtsgeldig een beroep op deze verwerkingsgrond te kunnen doen, moet de gegevensverwerking wel voldoen aan het noodzakelijkheidsvereiste. Dit houdt in dat de informatie en/of documentatie die wordt opgevraagd, noodzakelijk moet zijn om te kunnen voldoen aan (artikel 3 van) de Wwft.
Een gegevensverwerking die niet voldoet aan het noodzakelijkheidsvereiste kan tot een aansprakelijkstelling en een boete leiden
Een financiële instelling kan dus niet zomaar zo veel mogelijk informatie en documentatie opvragen. Zij zal zich per (persoons)gegeven/document moeten afvragen of zij het wel daadwerkelijk nodig heeft. Kan wel worden aangetoond dat het nodig is dat de klant wordt gevraagd naar (zakelijke achtergronden van) al zijn familieleden? Wat is de aantoonbare noodzaak voor het opvragen van documentatie uit een ver verleden? In veel gevallen vragen financiële instelling de desbetreffende informatie en documentatie ‘voor de zekerheid’ toch op. Dit kan echter nadelige gevolgen met zich brengen.
Een gegevensverwerking gestoeld op sub c van artikel 6 lid 1 AVG (de wettelijke verplichting) die niet voldoet aan het noodzakelijkheidsvereiste is immers onrechtmatig. Een boete van de toezichthouder en/of een aansprakelijkstelling door de betrokkene(n) is dan niet uitgesloten.
Hetzelfde geldt ook voor de eisen van proportionaliteit en subsidiariteit. Op grond van de AVG (en het Santander-arrest van de Hoge Raad) moeten alle persoonsgegevensverwerkingen hieraan voldoen. Financiële instellingen doen er dan ook verstandig aan om steeds de vraag te stellen of de verwerking van bepaalde informatie/documentatie wel in verhouding staat tot het te dienen doel en of dat doel niet gewoon op een andere (voor de klant minder nadelige) manier kan worden bereikt.
Als een instelling slechts onderzoek doet naar enkele specifieke transacties, zal het doorlichten van het gehele relatiebestand van de klant bijvoorbeeld buitensporig zijn en niet in verhouding staan tot de aantasting van de privacy van de desbetreffende relatie(s). Mogelijk kan het onderzoek ook gewoon worden beperkt tot alléén de specifieke relatie(s) waar het om gaat.
Logischerwijze houden de eisen van proportionaliteit en subsidiariteit nauw verband met het noodzakelijkheidsvereiste. Voldoet een verwerking van persoonsgegevens niet aan de eisen van proportionaliteit en subsidiariteit, dan is vaak ook niet voldaan aan het noodzakelijkheidsvereiste, en vice versa. Deze vereisten hangen ook samen met een overkoepelend AVG-beginsel: dat van minimale gegevensverwerking.
Al met al brengt de AVG dus met zich dat financiële instellingen goed rekening moeten (blijven) houden met de privacybelangen van hun klanten en (eventuele) andere betrokkenen. De Wwft biedt hen geen vrijbrief om ongelimiteerd informatie en documentatie op te vragen, ook niet als dat voor een cliëntenonderzoek gebeurt. De financiële instelling moet zorgvuldig bepalen welke informatie en documentatie zij opvraagt (en welke dus niet): meer is in dit geval niet altijd beter.
Wilt u meer inzicht in de privacy-rechtelijke aspecten waar financiële instellingen op dienen te letten bij de uitvoering van het cliëntenonderzoek op grond van de Wwft?
Volg dan de cursus ‘Verhouding Wwft en AVG: de grenzen van het cliëntenonderzoek’. Meer informatie vindt u hier.
Wilt u meer weten over dit onderwerp? Volg dan de workshop Privacy in de financiële sector tijdens de Kennismarkt Data&Privacyweb 7 december 2021.
