Veiligheid
3 minuten

Algemene verordening gegevensbescherming (AVG)

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dan geldt in heel de EU dezelfde privacywetgeving. Voor alle – grote én kleine - organisaties die persoonsgegevens verwerken, dus ook voor banken. Wat zijn de hoofdlijnen van de AVG en wat betekent het voor de bankensector?

Highlights
  • De AVG geeft mensen een aantal privacyrechten. Een daarvan is nieuw. Het nieuwe recht op dataportabiliteit houdt in dat mensen - onder voorwaarden - het recht hebben om een bank te vragen om de door hun verstrekte persoonsgegevens in een machineleesbaar format te verkrijgen. Of om die gegevens over te dragen aan een derde partij.
  • Nieuw is ook het ‘recht op vergetelheid’: mensen hebben daarmee niet alleen het recht om een organisatie te vragen om hun persoonsgegevens te verwijderen. Ze kunnen ook eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Dit betekent echter niet dat alle gegevens gewist moeten worden. Soms zijn ze nodig voor andere belangrijke redenen. In deze gevallen worden deze gegevens niet verwijderd, ondanks het verzoek om verwijdering. Reeds bestaande klantrechten blijven gehandhaafd of worden verder uitgewerkt.
  • De AVG betekent ook een versterking van een aantal bestaande privacyrechten: organisaties moeten meer doen om geldige toestemming van mensen te verkrijgen voor de verwerking van hun persoonsgegevens. In de meeste gevallen zullen banken overigens geen persoonsgegevens verwerken op basis van toestemming. Vaak hebben zij een wettelijke verplichting om gegevens te verwerken. Of is het nodig voor de uitvoering van de overeenkomst tussen bank en klant.
  • Organisaties krijgen meer verplichtingen bij hun omgang met persoonsgegevens. Ze moeten kunnen aantonen dat zij zich houden aan de privacywetgeving (accountability). Ze moeten onder meer een register van verwerkingsactiviteiten gaan bijhouden.
  • Alle Europese privacytoezichthouders hebben dezelfde bevoegdheden, waaronder de nieuwe bevoegdheid om boetes tot 20 miljoen euro (of 4% wereldwijde omzet) op te leggen. In Nederland is de Autoriteit Persoonsgegevens (AP) toezichthouder.
  • De AVG is ook bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De uitvoering van de AVG wordt nationaal geregeld; in Nederland via de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). 
  • Per 25 mei vervallen vanwege de AVG de Nederlandse Wet bescherming persoonsgegevens (Wbp) en de Europese Privacyrichtlijn (1995).
Gedragscode Verwerking Persoonsgegevens Financiële Instellingen vervalt

Banken werken al langer aan transparantie over het verwerken van persoonsgegevens van consumenten. Sinds 2009 houdt de sector zich aan de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, opgesteld door de Nederlandse Vereniging van Banken (NVB) en het Verbond van Verzekeraars. Doel van deze code was het stellen van regels voor het verwerken van persoonsgegevens, het verschaffen van informatie aan mensen wier persoonsgegevens door financiële instellingen verwerkt werden en tot slot het bijdragen aan transparantie van de regels die financiële instellingen hanteren bij het verwerken van persoonsgegevens. Basis van deze Gedragscode was de Wet bescherming persoonsgegevens (Wbp). Als per 25 mei 2018 de Wbp vervalt, vervalt ook deze Gedragscode.

Een nieuwe gedragscode? Een verkenning

Bescherming van privacy van klanten heeft hoge prioriteit bij banken. Zij bereiden zich afzonderlijk grondig voor op de AVG. De NVB doet in 2018 een verkenning onder stakeholders naar het verwerken van persoonsgegevens. Doel is het verkrijgen van inzicht: wat vinden en willen stakeholders - zoals consumentenorganisaties – als het gaat om het gebruik van klantgerelateerde data door banken, ook met het oog op de wettelijk verplichte verstrekking van betaalgegevens aan derde partijen vanwege PSD2? De onafhankelijke verkenning wordt uitgevoerd door Sander Klous, hoogleraar Big Data Ecosystems for Business and Society aan de Universiteit van Amsterdam en partner bij KPMG.

Daarnaast organiseerde de NVB drie dialoogbijeenkomsten (‘Data Talks’). Daarin bespraken banken over hoe om te gaan met het verwerken van klantgerelateerde data. De uitkomsten van de verkenning en de dialoogbijeenkomsten zijn input voor vervolgstappen. Daarbij wordt ook afgewogen wat de toegevoegde waarde is van een eventuele nieuwe gedragscode.