GDPR voor de Financiële Sector: 3 actiepunten die extra aandacht verdienen

Financiële instellingen verzamelen en gebruiken veel persoonsgegevens. Hoewel ze gewend zijn aan regeldruk, veranderende wetgeving en het op orde hebben van de integere bedrijfsvoering, is de bescherming van privacy ook voor financiële instellingen een complexe en tijdrovende aangelegenheid. De Algemene Verordening Gegevensbescherming (AVG) stelt nog strengere eisen aan de organisatorische en technische maatregelen die financiële instellingen moeten treffen om de veiligheid van persoonsgegevens te borgen.

Drie belangrijke uitdagingen waar financiële instellingen mee te maken krijgen, zijn: 

Dataminimalisatie en bewaartermijn

Financiële instellingen mogen alleen de persoonsgegevens verzamelen die ze nodig hebben om hun werk te doen (en dus geen overbodige data verzamelen). Naast die ‘dataminimalisatie’ mogen organisaties de vergaarde persoonsgegevens niet langer bewaren dan noodzakelijk. Deze bewaartermijn roept belangrijke vragen op, bijvoorbeeld:

  • Hoe gaat u om met data die voor een deel nog op papier staat, zoals bijvoorbeeld papieren adviesdossiers, zoals die jarenlang in de financiële sector zijn bijgehouden (data legacy)?
  • Moet u bijzondere persoonsgegevens bewaren ná acceptatie van een klant? Denk bijvoorbeeld aan de medische gegevens voor een levensverzekering of een arbeidsongeschiktheidsverzekering.

Door de open normen van AVG kan het antwoord per situatie verschillen. En wat u in deze situaties gaat doen, is afhankelijk van de risico’s die u loopt en welke maatregelen u treft om die risico’s (voor klanten) te beperken. Wat u als financiële instelling alvast kunt doen, is een helder standpunt innemen vanuit de gedachte, comply of explain. 

Dataportabiliteit

Ook heel belangrijk is dat data in een leesbare vorm overdraagbaar moet zijn; deze ‘dataportabiliteit’ zorgt voor kopzorgen. Zo hebben veel financiële instellingen in de loop van de jaren een lappendeken aan systeem aan elkaar geknoopt, waarbij niet altijd met zekerheid gesteld kan worden dat de dataportabiliteit systeemtechnisch mogelijk is. En wanneer die overdracht wel mogelijk is, hoe moet u de overdraagbare gegevens dan aanleveren? Hoe draagt u data over aan een concurrent als die data ook intellectueel eigendom bevat? En hoe zorgt u ervoor dat legacy data voor anderen leesbaar zijn?

Element van toestemming

Een derde uitdaging voor financiële instellingen is het ‘element van toestemming’. Wanneer moet u als financiële instelling toestemming vragen voor de verwerking van persoonsgegevens? Of wanneer kunt u zich beroepen op een van de legitieme gronden voor verwerking, zoals de wettelijke verplichting van identificatie op grond van de Wet ter voorkoming van witwassen en terrorismefinanciering (Wwft)? En kunt u ook aantonen dat deze toestemming verkregen is? 

Hoe kunt u deze uitdagingen en andere privacy-risico’s op een pragmatische wijze beheersen? Door het voldoen aan de AVG niet solistisch te benaderen en te zien als een eenmalige exercitie.

Continuous monitoring

Het is belangrijk om privacy-risico’s periodiek te evalueren en te beoordelen of de getroffen organisatorische en technische maatregelen toereikend zijn. Dit kan door de privacy-risico’s onderdeel te laten uitmaken van het integrale risicomanagementraamwerk van de organisatie.

Door privacy-risico’s niet als losstaand item te behandelen, maar te beschouwen als een van de soorten risico’s die een organisatie loopt, wordt het eenvoudiger ze tijdig te signaleren en te beheersen. De sleutel voor een succesvolle aanpak is continuous monitoring.

Meer informatie

Heeft u grip op uw privacy-risico’s? Heeft u hulp nodig bij het beantwoorden van klantvragen? Wilt u graag beschikken over betrouwbare tools om blijvend te voldoen aan de eisen rondom privacy? Neem dan gerust contact met mij op.

Meer informatie over onze aanpak rondom implementatie en borging van de GDPR vindt u op www.bdo.nl/gdpr.

meer over GDPR



Tags: