Business transformatie in de financiële sector

Voogt Pijl en Partners

AVG wetgeving raakt 17 miljoen Nederlanders

dit staat de financiële sector te wachten

Ruim een half jaar geleden stelde het CPB al dat privacywetgeving en Europese regels uiteindelijk doorslaggevend zijn voor de toekomst van de financiële sector. Deze ontwikkelingen, zo stelde het planbureau, zullen uiteindelijk bepalen welke (technologie)bedrijven overleven. Privacy komt daarmee steeds hoger op de agenda in de board rooms van de ‘financials’. De regeling wordt in Nederland per 25 mei 2018 vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Reputatieschade en sancties liggen daardoor op de loer.

 

 

AVG vraagt veel

Financiële instellingen moeten onder meer impact analyses (‘PIA’s’) opstellen, gegevensverwerkingsfunctionarissen (‘privacy officer’) benoemen en hun datalekken beter documenteren. Maar, daar blijft het niet bij. Ook aan de operationele kant is er flinke impact. Een aantal concrete voorbeelden:

  • De veranderingen omvatten een gewijzigde invulling van het begrip ‘persoonsgegevens’. Op dit moment beslaat de definitie alleen de NAW-gegevens, zoals namen en adressen. In de nieuwe verordening vallen hier nu ook gekoppelde data onder. Hierbij valt te denken aan IP-adressen, MAC-adressen en cookies. Zelfs anonieme cookies moeten behandeld worden als privacygevoelig. De IT dataverantwoordelijke bevindt zich in de kern van het vraagstuk.
  • In het verlengde hiervan dienen verwerking en bewerking van data bijgehouden te worden. Door middel van data logs moet aantoonbaar gemaakt worden wie wanneer aanpassingen heeft gemaakt in de data. Vooral voor grote ‘administratiefabrieken’ die banken, verzekeraars en pensioenfondsen zijn, vormt dit een grote uitdaging. Dit werkt ook door in zaken waar het in eerste instantie wellicht niet van toepassing lijkt, zoals de personeelsadministratie. Ook HR dient dus te worden betrokken.
  • Alle papieren of online formulieren waarin om persoonsgegevens wordt gevraagd moeten worden getoetst. De ‘privacy officer’ moet toezien op de geëiste begeleidende uitleg. En vóór verzending van het formulier moet de klant ondubbelzinnige toestemming (‘informed consent’) geven voor verwerking. Dat terwijl de specialisten het nog niet eens zijn over de exacte invulling van de AVG op dit onderwerp. Marketing en sales activiteiten ontkomen dus niet aan de impact.
  • De omvang van de informatieplicht wijzigt fors. Een maatwerk privacy statement moet een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm hebben. Uitdaging voor grote financials en zeker internationaal werkende, is hoe om te gaan met uniformering van het privacy statement. Uw medewerkers van Compliance en Juridische Zaken moeten hiermee aan de bak.

 

Mentaliteitsverandering gevraagd door privacy by design en default

Werken met de privacyregels vergt meer dan een eenmalige, grootschalige ‘inhaalactie’. De wetgever heeft met AVG een mentaliteitsverandering voor ogen waarvan het hele bedrijf permanent doordrongen moet zijn. De verantwoordelijke toezichthouder, de Autoriteit Persoonsgegevens, hamert niet voor niets op bewustwording en het toepassen van ‘privacy by design’ en ‘privacy by default’. Grofweg houdt de eerste term in dat bedrijven er al bij het ontwerpen van producten en diensten voor moeten zorgen dat persoonsgegevens goed worden beschermd. De tweede term verplicht bedrijven standaard alleen persoonsgegevens te verwerken die specifiek noodzakelijk zijn voor het te bereiken doel. Hiervoor dienen zij technische én organisatorische maatregelen te nemen. Een op het eerste oog niet erg ingrijpend punt dat in de praktijk vaak zwaar tegenvalt.

 

PSD2 als adder onder het gras voor banken

Alsof dit allemaal nog niet genoeg is, komt voor banken ook nog de samenhang met PSD2 om de hoek kijken. Deze wetgeving regelt dat derde partijen met toestemming van de klant toegang krijgen tot bepaalde gegevens van de online betaalrekening en vrij opneembare spaarrekeningen. Het achterliggende idee hierbij is dat klanten meer keuzevrijheid krijgen. Zo ontstaat bijvoorbeeld de mogelijkheid om betaalopdrachten via een derde partij te initiëren. Of kunnen klanten rekeninginformatie van hun betaalrekening via een derde partij opvragen. De Nederlandse banken moeten daartoe specifieke IT-services (‘API’s’) ontwikkelen om deze derde partijen te ontsluiten. Tegelijkertijd wordt hiermee een ‘achterdeur’ gecreëerd die potentieel kwetsbaar is voor het lekken van privacygevoelige informatie.

 

Toezichthouder legt sneller boetes op

Tot slot is een trend te signaleren dat toezichthouders steeds vaker geneigd zijn om boetes uit te delen. Tot op heden kwam dat met name voor bij (internationale) megazaken.

Het valt niet uit te sluiten dat ook de Autoriteit Persoonsgegevens naar boetes en sancties zal grijpen. Daar komt bij dat de potentiele strafmaat hoog is voor Nederlandse begrippen: maximaal 4% van de jaaromzet of maximaal €20 miljoen.

 

Ervaren ondersteuning kan het verschil maken

De meeste partijen in de financiële sector hebben de implementatie van AVG inmiddels op het vizier. Wij merken momenteel echter wel dat veel bedrijven de daadwerkelijke gevolgen van de privacywetgeving nu pas écht beginnen te doorgronden. De komende periode wordt het dus cruciaal snel de goede stappen te zetten. Zo niet, dan bestaat het risico dat medio 2018 directies moeten concluderen dat een opgelegde boete beter anders besteed had kunnen worden.

 

Michel Witte is consultant bij het boutique adviesbureau Voogt Pijl & Partners. Het kantoor uit Amersfoort is gespecialiseerd in organisatieadvies en programmamanagement in de financiële sector. Met kennis, ervaring en implementatiekracht ontzorgen zij al bijna 20 jaar een grote verscheidenheid aan opdrachtgevers. Die hulp zorgt voor snelle grip op de uitdagingen in de sector. Michel houdt zich bezig met complexe verandertrajecten binnen pensioenuitvoerders, banken en verzekeraars.

Terug
Algemene Verordening Gegevensbescherming (AVG), AVG, Algemene Verordening Gegevensbescherming