Op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (‘Wwft’) moeten bepaalde ondernemingen onderzoek doen naar hun klanten. Het vastleggen van documenten en gegevens om aan deze verplichtingen te voldoen blijkt in de praktijk niet makkelijk en roept vragen op. Bijvoorbeeld of het hele kopie paspoort opgeslagen mag worden op de servers van een onderneming. Niet in de laatste plaats omdat een onderneming zich ook dient te houden aan de Algemene Verordening Gegevensbescherming (‘AVG’). Om te voldoen aan relevante wet- en regelgeving is adequate vastlegging essentieel. In dit perspectief gaan wij nader in op de wijze waarop gegevens en documenten vastgelegd dienen te worden vanuit de Wwft en de eisen die de AVG daaraan stelt.
Vereisten uit de Wwft
Allerlei (financiële) ondernemingen en beroepsgroepen zijn onderworpen aan de Wwft en verrichten clientonderzoek voordat zij een nieuwe zakelijke relatie aangaan met een client. Het clientonderzoek bestaat onder meer uit de identificatie van de identiteit van de client en de verificatie daarvan met behulp van een onafhankelijk document, zoals een paspoort. Ook dient te worden onderzocht wat het doel en de aard van de relatie is, bijvoorbeeld internetbankieren. Alle resultaten uit het clientonderzoek bepalen de uiteindelijke risicoclassificatie van een client, zoals een hoog-, midden- of laagrisico. Deze risicoclassificatie is van belang om vast te stellen hoe vaak het periodieke clientonderzoek plaatsvindt. Zo vindt in de praktijk een clientonderzoek van een laagrisico client om de vijf jaar plaats en van een hoogrisico client ieder jaar.
Niet alleen voor de periodieke review is vastlegging van de resultaten uit het clientonderzoek van belang. Zowel nationale toezichthouders (bijvoorbeeld De Nederlandsche Bank) als de Financial Intelligence Unit-Nederland kunnen de resultaten uit het clientonderzoek opvragen. Zij doen dit bijvoorbeeld omdat De Nederlandsche Bank wilt onderzoeken of aan de Wwft wordt voldaan, of omdat de Financial Intelligence Unit-Nederland een vermoeden heeft dat sprake is van witwassen of terrorismefinanciering.
Niet alleen welke en wanneer informatie opgevraagd moet worden is aan regels geboden, ook de manier waarop dit wordt vastgelegd. Vragen hierover komen ook vaak terecht bij het Klachteninstituut Financiële Dienstverlening. Zij doen bindende uitspraken, bijvoorbeeld dat een kopie van het identiteitsbewijs vastgelegd dient te worden zonder dat de pasfoto zichtbaar is.
Vereisten uit de AVG
De AVG regelt onder andere of persoonsgegevens opgevraagd mogen worden en hoe deze gebruikt mogen worden. De wet kent een aantal doelstellingen, zoals dat niet meer informatie opgevraagd mag worden dan strikt noodzakelijk is voor het doel waarvoor ze gebruikt worden (dataminimalisatie), dat persoonsgegevens niet gedeeld kunnen worden zonder een goede reden (grondslag) en niet gebruikt mogen worden voor een ander doel dan dat zij in eerste instantie verzameld zijn (doelbinding). Ook verplicht de AVG dat informatie veilig opgeslagen wordt en dat zij niet door personen binnen de onderneming bekeken kunnen worden als zij dat niet mogen.
Voor ondernemingen is het vaak lastig te bepalen wat de vereisten uit de Wwft en AVG zijn en hoe hiermee moet worden omgegaan in de praktijk. Hierbij spelen niet alleen juridische vragen een rol, bijvoorbeeld of de pasfoto van een kopie identiteitsbewijs nou wel of niet mag worden bewaard, maar ook praktische. Hoe zorg je ervoor dat enkel díe werknemers toegang hebben tot de gegevens, die daarvoor een gegronde reden hebben? Daarnaast is dit rechtsgebied ook volop in ontwikkeling. Vaak wordt er nieuwe wetgeving gepubliceerd, waarbij ondernemingen aan nieuwe en strengere eisen worden onderworpen en waarbij toezichthouders ook kritisch zijn.
Kortom: voor ondernemingen die moeten voldoen aan de Wwft en de AVG komt het regelmatig voor dat zij zich in een spagaat bevinden en niet goed weten welke informatie opgevraagd, gebruikt en bewaard mag worden.
Wat kan BDO voor ondernemingen betekenen?
Wij krijgen geregeld uiteenlopende vragen over specifieke gevallen. Dit varieert van “Mag ik een kopie legitimatiebewijs opvragen en bewaren?” tot “Hoe zorg ik ervoor dat ik voldoe aan de Wwft?” en “Hoe zorg ik ervoor dat de informatie die ik opsla, ook daadwerkelijk veilig wordt opgeslagen?”.
De juridisch experts van BDO hebben jarenlange ervaring met vraagstukken op het gebied van financieel toezicht- en privacyrecht. Zo ook met de Wwft en AVG. Daarnaast is BDO een multidisciplinaire organisatie waarbij ook andere adviseurs een grote toegevoegde waarde hebben voor ondernemingen om compliant te zijn met de Wwft en AVG. Denk bijvoorbeeld aan internal auditors en cyber security specialisten.
Meer weten?
Benieuwd wat we specifiek voor uw onderneming kunnen betekenen? Neem dan vrijblijvend contact op met een van onze specialisten.