Het kabinet wil De Nederlandsche Bank (DNB) de bevoegdheid geven om van hypotheekbezitters in Nederland gegevens te verzamelen. DNB heeft gegevens nodig voor het uitvoeren van wettelijke taken. Het wetsvoorstel dat hierover gaat, moet wel scherper worden afgebakend. Dat concludeert de Autoriteit Persoonsgegevens (AP) na een toetsing.
Via de Wet rapportage hypotheekmarkt DNB wil het kabinet hypotheekverstrekkers verplichten om met tussenpozen gegevens over klanten te delen met DNB. Hypotheekverstrekkers zijn bijvoorbeeld banken, beleggingsinstellingen, pensioenfondsen en verzekeraars. Qua gegevens van klanten gaat het bijvoorbeeld om de looptijd van een hypotheek, rente, aflossingstype, energielabel en eventuele wanbetalingen.
DNB heeft hypotheekgegevens nodig om wettelijke taken uit te voeren. Die taken zijn de stabiliteit van het financiële stelsel bevorderen en statistieken maken over de woningmarkt in Nederland. De AP constateert nu dat het kabinet het wetsvoorstel op sommige punten moet aanpassen.
"Financiële informatie is heel persoonlijk en vertelt veel over iemands privéleven, daar moet dus zo zorgvuldig mogelijk mee worden omgegaan", zegt AP-bestuurslid Katja Mur. "Het kabinet is met een wetsvoorstel gekomen mede op aandringen van de AP, en het is goed dat er een voorstel is gemaakt. Nu is er nog een aantal aandachtspunten."
Het wetsvoorstel gaat over gedetailleerde gegevens van hypotheekbezitters in Nederland. Maar de concept-wettekst maakt niet duidelijk dat er een verplichting is tot het pseudonimiseren van de verstrekte gegevens. Pseudonimisering is een beveiligingsmaatregel waardoor data moeilijker te herleiden zijn naar individuele personen, zodat de privacy van mensen beschermd blijft. Dit is een essentiële waarborg. De eis van pseudonimisering moet daarom in de wettekst komen te staan.
Het wetsvoorstel regelt dat DNB de hypotheekgegevens niet alleen kan gebruiken voor economische rapportages en statistieken, maar de gegevens ook kan doorgeven aan DNB-afdelingen met andere taken. Zoals toezichtsafdelingen. Die hebben een heel andere taak.
Gegevens worden dan dus gebruikt voor een ander doel dan in het wetsvoorstel staat. Dat mag niet volgens de privacywetgeving. Want mensen moeten kunnen weten waarvoor hun gegevens worden gebruikt. Zodat zij weten waar zij aan toe zijn. Op dit punt moet het wetsvoorstel ook worden aangepast.
Ten slotte lijkt de bewaartermijn van de gegevens bij DNB aan de lange kant. Het gaat om 15 jaar, maar dit wordt niet goed onderbouwd. Het uitgangspunt moet altijd zijn dat persoonsgegevens zo kort mogelijk worden bewaard.
