De AVG en de Wwft leveren voor veel organisaties administratieve rompslomp op. Wat het allemaal nog lastiger maakt is de schijnbare tegenstrijdigheid tussen beide wetten. Waar de Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) vraagt om het vastleggen van gegevens over verschillende personen, bepaalt de AVG (Algemene verordening gegevensbescherming) dat er zo min mogelijk gegevens moeten worden vastgelegd. Welke wet heeft nu voorrang? Wat mag al dan niet worden vastgelegd?
De doelen van de AVG zijn de bescherming van persoonsgegevens binnen de EU en het waarborgen van het vrije verkeer van persoonsgegevens in de EU. Daarom verplicht de AVG ‘verwerkingsverantwoordelijken’ onder meer om alleen noodzakelijke gegevens vast te leggen, voor zover zij daartoe een gerechtvaardigd doel en een wettelijke rechtsgrond heeft. Persoonsgegevens bewaren mag alleen zolang dat noodzakelijk is voor het doel waarvoor ze verwerkt worden. Delen van persoonsgegevens met anderen mag daarnaast alleen als dat strikt noodzakelijk is én de nodige waarborgen zijn getroffen (denk aan het sluiten van verwerkersovereenkomsten). Daar komt nog bij dat de betrokkene (degene op wie de persoonsgegevens zien) geïnformeerd moet worden over de verwerking van zijn persoonsgegevens.
De Wwft heeft – de naam zegt het al – als doel om witwassen en de financiering van terrorisme te voorkomen. Daartoe verplicht zij banken, financiële instellingen en tal van andere partijen om onder meer cliëntenonderzoek te doen, verdachte transacties te melden bij de ‘Financial Intelligence Unit’ (FIU) en allerlei informatie te registreren. Ook moeten die partijen vaststellen welke risico’s op witwassen en het financieren van terrorisme zij lopen. Ze moeten afhankelijk van het risico op witwassen of financieren dat een zakelijke relatie of transactie met zich meebrengt, een vereenvoudigd of verscherpt cliëntenonderzoek uitvoeren. De daarbij gebruikte documenten en gegevens moeten worden vastgelegd, zowel voor wat betreft de ‘uiteindelijk belanghebbende’( de natuurlijke persoon die eigenaar is van of zeggenschap heeft over de cliënt-rechtspersoon, dan wel de natuurlijke persoon voor wiens rekening een transactie of activiteit wordt verricht) als van andere betrokken natuurlijke personen. Van de natuurlijke personen, niet zijnde uiteindelijk belanghebbenden, moeten onder meer de naam, geboortedatum, adres en bepaalde informatie over een identiteitsbewijs worden vastgelegd. Van uiteindelijk belanghebbenden moeten de identiteit (in ieder geval voor- en achternaam) en gegevens en documenten die op redelijke wijze zijn vergaard om de identiteit van de uiterlijk belanghebbende te verifiëren worden vastgelegd. Ook over ongebruikelijke transacties moeten verschillende gegevens worden bijgehouden.
De gegevens en documenten moeten gedurende vijf jaar bewaard worden, te rekenen vanaf het moment dat de zakelijke relatie eindigt of de desbetreffende transactie is uitgevoerd. In principe moeten de gegevens na die tijd worden verwijderd. De vastgelegde documenten en gegevens moeten opvraagbaar zijn. Instellingen moeten over systemen beschikken om snel en volledig op vragen van de FIU te kunnen reageren.
Specifiek over gegevensbescherming bepaalt de Wwft dat de in het kader van de Wwft verwerkte gegevens, alleen voor het doel ‘voorkomen van witwassen en financieren van terrorisme’ verwerkt mogen worden (en niet voor bijvoorbeeld commerciële doelen). Voordat een instelling een zakelijke relatie of transactie aangaat, moet deze informatie aan de cliënt verstrekken over de krachtens de Wwft geldende verplichtingen voor de verwerking van persoonsgegevens.
Een algemene hoofdregel in het recht is dat specifieke wetgeving voorgaat op algemene wetgeving. De AVG bevat een algemene regeling voor de verwerking van persoonsgegevens. De AVG biedt expliciet ruimte voor de (meer specifieke) Wwft; een van de rechtsgronden voor het verwerken van persoonsgegevens is de ‘noodzakelijkheid van de verwerking om te voldoen aan een wettelijke verplichting die op verwerkingsverantwoordelijke rust’. Kort gezegd betekent dit dat persoonsgegevens in beginsel verwerkt mogen worden als (en voor zover) dit wettelijk verplicht is. De verplichtingen uit de Wwft bieden daarmee zowel een doel (‘voldoen aan de Wwft) als een rechtsgrond voor de verwerking van persoonsgegevens in het kader van de Wwft.
De Wwft sluit over het algemeen goed aan op de AVG. Zowel de Wwft als de AVG bepalen dat de verkregen gegevens in beginsel alleen verwerkt mogen worden voor zover dat noodzakelijk is. Uit de Wwft volgt dat deze noodzaak vijf jaar bestaat. Praktisch gezien is het aan te raden om een cliëntdossier te splitsen, ofwel zo in te richten dat het deel waarop de Wwft van toepassing is apart van de overige informatie kan worden bewaard of verwijderd. Ook voor wat betreft de informatieplichten sluiten beide wetten op elkaar aan: de informatieplicht uit de Wwft is een aanvulling op de informatieplichten uit de AVG. Dat de Wwft en de AVG op elkaar aansluiten laat onverlet dat alle AVG-verplichtingen van toepassing zijn op de gegevensverwerkingen in het kader van de Wwft (denk aan het vermelden van de ‘Wwft -persoonsgegevensverwerkingen’ in het register van verwerkingsactiviteiten) , tenzij uitdrukkelijk anders is bepaald.
Overigens kan men zich wel afvragen of de Wwft in meer algemene zin niet als privacy-onvriendelijk kan worden beschouwd. Immers worden van betrokkenen persoonsgegevens bewaard, mogelijk zonder dat zij ooit iets fout deden. Het gaat echter te ver om dat hier te bespreken.
De ervaring van administratieve rompslomp kan moeilijk worden weggenomen, maar de combinatie van Wwft en AVG hoeft geen onduidelijk op te leveren. Het bijhouden van persoonsgegevens om aan de Wwft te voldoen verhoudt zich goed met de AVG – vooropgesteld dat alleen persoonsgegevens verwerkt voor zover en zo lang als de Wwft dat eist. De Wwft biedt de juridische basis. Aan het bedrijfsleven de taak om te implementeren.
Heeft u vragen over de AVG en het raakvlak met de Wwft en hoe u hier in de praktijk mee omgaat? Volg dan de cursus Wwft en AVG: het spanningsveld en de naleving in de praktijk.
