Het kabinet wil de Autoriteit Financiële Markten (AFM) de bevoegdheid geven om meer financiële informatie over mensen te verzamelen. Maar dan moet er volgens de Autoriteit Persoonsgegevens wel worden gezorgd voor goede privacybescherming.
Die wetswijziging gebeurt vanwege verscherpt toezicht op de financiële markten in Nederland. Het gaat om het voorstel voor de Wet toezichtondersteunende rapportage AFM. Met deze wet kan de AFM het werk als toezichthouder op de financiële markten in Nederland voortaan meer ‘datagedreven’ doen. Banken, verzekeraars, hypotheekadviseurs en andere financiële dienstverleners en beleggingsinstellingen moeten regelmatig data over hun klanten aan de AFM geven. De AFM kan deze data dan gebruiken bij het toezicht. Maar het wetsvoorstel dat dit regelt, schiet tekort wat privacybescherming betreft.
Financiële gegevens zijn heel gevoelig: privacybescherming cruciaal
“Het is natuurlijk begrijpelijk als een kabinet maatregelen wil nemen waarmee de AFM haar wettelijke taak als toezichthouder op de financiële markten naar behoren kan blijven uitvoeren”, zegt AP-bestuurslid Katja Mur. “Daarbij is privacybescherming ook heel belangrijk. Je financiële gegevens behoren tot de meest persoonlijke, gevoelige gegevens die er zijn. Ze geven een inkijk in jouw leven. Wat je inkomsten en uitgaven zijn op het moment dat je een lening afsluit, hoeveel je leent, of je een levensverzekering hebt: allemaal informatie die zeer privé is. En die echt goed moet worden beschermd.”
Het wetsvoorstel gaat over gegevens van miljoenen mensen. Voordat deze gegevens naar de AFM gaan, moeten ze worden gepseudonimiseerd. Dat is een beveiligingsmaatregel waardoor data moeilijker te herleiden zijn naar individuele personen. Maar deze essentiële waarborg ontbreekt in het wetsvoorstel, constateert de AP. Het moet voor iedereen duidelijk zijn dat de data niet mogen worden gebruikt om mensen te identificeren. Een verbod op ‘re-identificatie’ moet daarom expliciet in de wettekst komen.
Mur: “Of het nu gaat om je vaste lasten of eventuele betalingsachterstanden, het mag duidelijk zijn dat het voor het toezicht op de financiële markten niet nodig is dat zulke gevoelige data gebruikt mogen worden op een manier die tot jou te herleiden is.”
Doelen van datadelen moeten duidelijker, zegt AP
Daarnaast is onduidelijk hoe het toezicht van de AFM eigenlijk verbetert door het voorgestelde gebruik van de data. Volgens het wetsvoorstel zal de AFM de financiële gegevens gaan gebruiken voor “het duiden van marktontwikkelingen” en “het identificeren van toezichtsrisico”s”. Maar wat dit precies inhoudt en hoe dit het toezicht beter maakt, is niet duidelijk. De doelen zijn te breed en bieden onvoldoende basis om gegevens van mensen te mogen gebruiken.
Mur: “Als er gegevens van jou worden verlangd, moet natuurlijk wel goed kunnen worden uitgelegd waarom dat per se nodig is, voor welk doel. En waarom het niet met minder gegevens kan. Dat is wettelijk verplicht. Zodat jij van tevoren weet waar je aan toe bent. En, heel belangrijk, om te voorkomen dat jouw gegevens later mogelijk ook gebruikt worden voor een heel ander doel.”
Tot slot is niet duidelijk of de data die naar de AFM gaan, ook terecht zullen komen bij De Nederlandsche Bank (DNB), de toezichthouder op de financiële instellingen. Onder bepaalde voorwaarden mag de AFM gegevens delen met DNB. Dat staat in de Wet op het financieel toezicht (Wft). Maar het huidige wetsvoorstel gaat niet in op de vraag of data inderdaad gedeeld zullen worden met DNB en hoe dat zich zou verhouden tot de Wft. Hier is volgens de waakhond meer duidelijkheid nodig.
Tip:
- UWV meldt 769 datalekken in 2024