Algemene verordening gegevensbescherming (AVG)

Bank en maatschappij
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dan geldt in heel de EU dezelfde privacywetgeving. Voor alle – grote én kleine - organisaties die persoonsgegevens verwerken, dus ook voor banken. Wat zijn de hoofdlijnen van de AVG en wat betekent het voor de bankensector?

Highlights

  • De AVG geeft mensen een aantal privacyrechten. Een daarvan is nieuw. Het nieuwe recht op dataportabiliteit houdt in dat mensen - onder voorwaarden - het recht hebben om een bank te vragen om de door hun verstrekte persoonsgegevens in een machineleesbaar format te verkrijgen. Of om die gegevens over te dragen aan een derde partij.
  • Nieuw is ook het ‘recht op vergetelheid’: mensen hebben daarmee niet alleen het recht om een organisatie te vragen om hun persoonsgegevens te verwijderen. Ze kunnen ook eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen. Dit betekent echter niet dat alle gegevens gewist moeten worden. Soms zijn ze nodig voor andere belangrijke redenen. In deze gevallen worden deze gegevens niet verwijderd, ondanks het verzoek om verwijdering. Reeds bestaande klantrechten blijven gehandhaafd of worden verder uitgewerkt.
  • De AVG betekent ook een versterking van een aantal bestaande privacyrechten: organisaties moeten meer doen om geldige toestemming van mensen te verkrijgen voor de verwerking van hun persoonsgegevens. In de meeste gevallen zullen banken overigens geen persoonsgegevens verwerken op basis van toestemming. Vaak hebben zij een wettelijke verplichting om gegevens te verwerken. Of is het nodig voor de uitvoering van de overeenkomst tussen bank en klant.
  • Organisaties krijgen meer verplichtingen bij hun omgang met persoonsgegevens. Ze moeten kunnen aantonen dat zij zich houden aan de privacywetgeving (accountability). Ze moeten onder meer een register van verwerkingsactiviteiten gaan bijhouden.
  • Alle Europese privacytoezichthouders hebben dezelfde bevoegdheden, waaronder de nieuwe bevoegdheid om boetes tot 20 miljoen euro (of 4% wereldwijde omzet) op te leggen. In Nederland is de Autoriteit Persoonsgegevens (AP) toezichthouder.
  • De AVG is ook bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De uitvoering van de AVG wordt nationaal geregeld; in Nederland via de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). 
  • Per 25 mei vervallen vanwege de AVG de Nederlandse Wet bescherming persoonsgegevens (Wbp) en de Europese Privacyrichtlijn (1995).

Dialoog voor de toekomst


Met de komst van de AVG in 2018 verviel voor banken de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. In 2018 is de NVB gestart met het voeren van een brede dialoog over het gebruik van klantdata met belangrijke stakeholders, zoals de Autoriteit Persoonsgegevens (AP), wetgevers en consumentenorganisaties. In 2018 was de NVB mede-­organisator van de Financiële Poort Persoonsgerelateerde Data. Deze Poort bood volop dialoog tussen verschillende partijen over de omgang met klantdata en over de mogelijke kansen en risico’s. Daarnaast organiseerde de NVB drie dialoogbijeenkomsten (‘Data Talks’). Daarin spraken banken over hoe om te gaan met het verwerken van klantdata. De uitkomsten van de dialoogbijeenkomsten zijn input voor vervolgstappen.