Wwft en de AVG | onvolledige informatie van Bureau Financieel Toezicht
1 november 2018Op de website van het Bureau Financieel Toezicht (BFT) staat op de Wwft-pagina een vraag en antwoord over de relatie tussen Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en AVG die incompleet is.
De vraag en het door BFT gegeven antwoord staan hierna:
Moet ik rekening houden met de Algemene verordening gegevensbescherming (AVG) bij het vastleggen en bewaren van cliëntgegevens volgens de Wwft?
De in de Wwft genoemde instellingen zijn (en blijven) verplicht om cliëntenonderzoek te doen en gehouden cliëntgegevens vast te leggen. Dit kan bijvoorbeeld middels het maken van een kopie van een identiteitsbewijs maar kan ook op andere wijze. Omdat sprake is van een wettelijke verplichting voor de instelling is geen sprake van strijd met de AVG.
Op grond van de Wwft dienen deze gegevens 5 jaar te worden bewaard. Hetzelfde geldt voor gegevens met betrekking tot ongebruikelijke transacties. In artikel 34a Wwft zijn nadere bepalingen opgenomen over gegevensbescherming.
Terecht merkt het BFT op dat de Wwft een wettelijke grondslag als bedoeld in de AVG oplevert om persoonsgegevens te mogen opvragen en vastleggen.
Bewaartermijn
Ook is juist dat die persoonsgegevens langdurig mogen bewaard, waarbij het BFT verzuimt te vermelden vanaf wanneer die genoemde vijfjaarstermijn gaat lopen.
Dat is wel belangrijk, want de vijfjaarstermijn gaat pas lopen vanaf het tijdstip van het eindigen van de zakelijke relatie tussen de Wwft-plichtige en zijn klant. Bij langdurige relaties (zoals bijvoorbeeld bij banken voorkomen) betekent dit dat de vergaarde gegevens zeer langdurig bewaard moeten worden. Mij lijkt dit niet in overeenstemming met de Algemene verordening gegevensbescherming (AVG).
Bij incidentele transacties loopt de termijn vanaf de afronding van de transactie, dus dat zal veel kortere bewaartijden opleveren.
AVG is gewoon van toepassing
Verder ontbreekt in de beantwoording van de BFT dat voor het overige de AVG gewoon van toepassing is. Dat betekent onder meer:
- De personen wiens gegevens geregistreerd worden ('betrokkenen'), moeten daar over en over het doel van de verwerking worden geïnformeerd.
- De betrokkenen moeten worden geïnformeerd over hun inzagerecht, correctierecht en moeten in de gelegenheid worden gesteld die rechten uit te oefenen.
- De Wwft-plichtige moet aan hoge cybersecurity eisen voldoen. Mogelijk moet een Privacy Impact Assessment tot stand komen. Het zou BFT en andere Wwft-toezichthouders sieren als zij de Wwft-plichtigen hier op zouden wijzen.
- Op deze regels gelden slechts voor specifieke situaties uitzonderingen, bijvoorbeeld voor de gegevens die de Wwft-plichtige heeft gemeld bij het melden van een 'ongebruikelijke transactie', een vermoedelijke witwas- of terrorismefinancieringstransactie bij FIU-Nederland, een overheidsinstantie.
Meer informatie over privacy in relatie tot de Wwft en andere onderwerpen op het gebied van privacy is te verkrijgen bij de privacy specialisten van Pellicaan Advocaten.
