Anticiperen op de AVG

Jurjen Oosterbaan zw 2017

Op 25 mei 2018 wordt de algemene verordening gegevensbescherming (avg) ingevoerd. De burger krijgt daarmee zijn persoonlijke gegevens stevig in handen. Een noodzaak in deze tijd van verregaande digitalisering. Voor adviseurs kan de komst van de avg extra werk betekenen, maar met de juiste voorbereiding hoeft dat geen tour de force te zijn.

Wij schrijven 27 maart 1943. Een verzetsgroep pleegt een aanslag op het Amsterdamse bevolkingsregister. Doel is om de persoonsgegevens van zo’n 70.000 Amsterdamse Joden te vernietigen. De aanslag lukt. Maar de leden van de verzetsgroep worden vrij snel opgepakt. Deze geschiedenis laat zien dat de zorg om persoonsgegevens niet iets is van de laatste jaren. Het toont ook aan dat persoonsgegevens die in verkeerde handen komen, voor individuele mensen grote persoonlijke gevolgen kunnen hebben.

Met de opkomst van computers en intelligente software, wordt de zorg over de wijze waarop met persoonsgegevens wordt omgegaan steeds groter. Het is onplezierig wanneer je niet weet waar allerlei gegevens over jouw persoon staan geregistreerd. Het wordt nog onplezieriger wanneer je merkt, dat verschillende organisaties jouw gegevens met elkaar uitwisselen zonder dat je dit weet. Helemaal onplezierig wordt het wanneer de computers van al die organisaties op basis van gecombineerde gegevens over jou beslissingen nemen, zonder dat er een mens naar kijkt en zonder dat je dit zelf weet. Al die onplezierige dingen gebeuren op dit moment. Ook binnen de financiële sector. Daaraan gaat de Algemene Verordening Gegevensbescherming (AVG) paal en perk stellen. Simpelweg omdat persoonsgegevens niet onschuldig zijn, maar groot leed en schade kunnen toebrengen aan individuele mensen.

Europees recht

De AVG is Europees recht. Nederland zal deze verordening dus moeten invoeren. De optie dit niet te doen is er niet. De mogelijkheden voor afwijkingen die alleen gelden voor Nederland, zijn beperkt. De kern van de AVG is om de individuele burger volledig zeggenschap te geven over zijn persoonsgegevens. Het is de individuele burger die het laatste woord krijgt over wie, waarom, hoe lang en op welke wijze zijn persoonsgegevens door anderen dan hijzelf mogen worden gebruikt.

Cultuurschok wacht ons

Het geven van de macht aan het individu om te bepalen hoe er door anderen met zijn persoonsgegevens mag worden omgegaan, zal leiden tot een cultuurschok. In de afgelopen jaren is de samenleving ervan overtuigd geraakt, dat verzamelde persoonsgegevens het ‘nieuwe goud’ zijn. Op talloze plaatsen is men daarom als een bezetene gestart met het verzamelen en opslaan van zoveel mogelijk persoonsgegevens. Je kijkt één keer naar een site van een beleggingsonderneming, vervolgens krijg je jarenlang popups over dat bedrijf op je scherm. Je doet mee aan een ‘onderzoek’. In de maanden daarna krijg je ‘toevallig’ allemaal aanbiedingen over onderwerpen die in het onderzoek aan de orde zijn gekomen. Met in het achterhoofd het begrip cross-selling, worden ook door veel advieskantoren veel te veel gegevens van klanten opgeslagen. De cultuurschok die de samenleving en het bedrijfsleven wacht, is de nieuwe juridische werkelijkheid dat er zware beperkingen worden gesteld aan wat er aan gegevens over klanten nog mag worden opgeslagen.

Wat mag de klant bepalen?

De individuele burger krijgt via de AVG de regie over zijn eigen persoonsgegevens. De belangrijkste rechten die de burger daarbij krijgt:

• De adviseur moet de klant informeren indien hij bepaalde gegevens van de klant wil opslaan. Daarbij

‘Als het woord schadevergoeding valt, is het: mag ik effe vangen’

moet de adviseur ook aangeven om welke gegevens het gaat, met welk doel hij deze gegevens wil opslaan en voor welke periode;

• De adviseur mag vervolgens gegevens die hij rechtmatig opslaat niet voor een ander doel gebruiken, dan wat is overeengekomen met de klant;

• De klant heeft het recht om (zonder kosten) een kopie van alle persoonsgegevens die de adviseur over hem heeft te ontvangen;

• Indien de klant meent dat bepaalde gegeven onjuist zijn geregistreerd, dan kan hij afdwingen dat deze gegevens worden gecorrigeerd;

• De klant kan ook verder gebruik van de gegevens door de adviseur verbieden;

• Een stapje verder is dat de klant ook kan afdwingen dat de gegevens definitief en volledig uit de administratie van de adviseur worden verwijderd;

• De klant mag zelfs eisen dat de adviseur alle persoonsgegevens over de klant overdraagt aan een door de klant aan te wijzen derde. Ook wanneer deze derde een concurrerend financieel advieskantoor is waarmee de adviseur niet ‘on speaking terms’ is;

• De adviseur zal afdoende maatregelen moeten nemen om te voorkomen dat de persoonsgegevens die hij heeft, in onbevoegde handen komen.

Schade verhalen

Bijna alle kantoren hebben een prima relatie met hun klanten. Die klanten gaan echt niet op elke slak zout leggen. De Autoriteit Persoonsgegevens kan forse boetes opleggen, maar die autoriteit zit in Den Haag en heeft maar tachtig mensen in dienst. Die hebben waarschijnlijk hun handen vol aan de grote vissen. Die hebben echt geen tijd en zin een klein plaatselijk advieskantoor aan te pakken. Het is denkbaar dat veel financieel adviseurs deze gedachten hebben. Waarschijnlijk hebben ze nog gelijk ook. Toch geeft dat geen legitimatie om op de oude voet verder te gaan.

Op de eerste plaats omdat de adviseur gewoon goed voor zijn klanten wil zorgen. Goed omgaan met de persoonsgegevens van klanten hoort daarbij. Meer rationeel speelt er nog iets anders. De Europese wetgever maakt het mogelijk dat iedereen die schade leidt als gevolg van het feit dat de financieel adviseur zijn verplichtingen uit de AVG niet of onvoldoende nakomt, deze schade op de financieel adviseur mag verhalen. Zowel de materiele als immateriële schade.

Of het nu gaat over renteswaps, een verkeerde voorstelling van zaken over trekkingen bij de staatsloterij, woekerpolissen of het niet tijdig voldoen aan een verzoek op grond van de Wet openbaarheid van bestuur (Wob); de praktijk toont aan dat zodra het woord schadevergoeding valt, velen opeens ‘mag ik effe vangen’ roepen. Zeker wanneer voor de schadevergoedingsprocedure geen advocaat nodig is en allerlei randfiguren, al dan niet op basis van no cure no pay, zich aanbieden om de schade van de klant te verhalen. Te voorspellen is dat dit gaat gebeuren, dus is het niet voldoen aan de eisen van de AVG geen optie.

Wat te doen?

De vraag is hoe een financieel advieskantoor zich nu het beste kan voorbereiden op de invoering van de AVG. Ik wil een aantal suggesties geven:

• Stop met denken dat de AVG iets ‘stoms’ is en alleen maar bedacht is om hardwerkende ondernemers het leven zuur te maken. In deze snel digitaliserende samenleving is bescherming van persoonsgegevens noodzakelijk.

• Ga niet mee met allerlei deskundigen die aangeven dat de AVG heel ingewikkeld is. De AVG zit best logisch in elkaar en op hoofdlijnen valt die complexi-teit best wel mee. Natuurlijk kun je als deskundige interessant gaan doen over de uitzondering op de uitzondering. Maar voor de dagelijkse praktijk is de AVG minder ingewikkeld dan de Wft.

• Ten aanzien van een deel van de uitvoering van de AVG zal de financieel adviseur geholpen worden door zijn automatiseringsleveranciers. Elke automatiseerder is hier nu mee bezig. Vraag uw leveranciers naar hun planning en faciliteiten rondom de AVG.

• Beroepsorganisaties zoals Adfiz, maar ook bureaus zoals Bureau DFO, hebben praktische informatie en zullen tijdig met allerlei modellen komen. Het is echt niet nodig om met 8.000 adviseurs hetzelfde wiel uit te vinden.

• Start met het inlezen over de AVG. Voor hen die nog niets gelezen hebben, is dit artikel mogelijk een goed begin. Probeer het onderwerp AVG ‘eigen’ te maken. Het gaat dan echt wel lukken om op 25 mei 2018 op zijn minst in de geest van de AVG te handelen. En dan is al een heel belangrijke stap gezet.

Reactie toevoegen

 
Editie
Meer over
AVG steviger gehandhaafd na aanloopjaar

AVG steviger gehandhaafd na aanloopjaar

De Autoriteit Persoonsgegevens (AP) zet in 2019 steviger in op naleving van de AVG. Aldus de toezichthouder bij de publicatie van zijn jaarverslag op 4 april. AP-voorzitter...

Meer grip op delen gegevens uit overheidsbestanden door burgers aan derden?

Meer grip op delen gegevens uit overheidsbestanden door burgers aan derden?

Het kabinet onderzoekt of er meer (juridische) kaders moeten komen bij de verstrekking van gegevens uit overheidsbestanden door burgers aan derden. Dit schrijft...

Geen aanvullende wetgeving verwerken gegevens bij  ziekmelding

Geen aanvullende wetgeving verwerken gegevens bij ziekmelding

Minister Dekker vindt aanvullende wetgeving waar het gaat om het vragen naar en het verwerken van gegevens door de werkgever bij een ziekmelding vooralsnog niet...

Consumentenbond blij met optreden tegen cookiewalls

Consumentenbond blij met optreden tegen cookiewalls

De Consumentenbond is blij dat de Autoriteit Persoonsgegevens (AP) gaat optreden tegen cookiewalls. Bedrijven mogen bezoekers die hun tracking cookies niet accepteren,...

AVG: hoe staan we er voor?

AVG: hoe staan we er voor?

(door Gerrit van Rooij en Jan van den Berg, DPO Network) De Algemene Verordening Gegevensbescherming (AVG) is ruim een half jaar geleden van kracht gegaan....

DPO Network houdt enquête over AVG

DPO Network houdt enquête over AVG

DPO Network roept financieel adviseurs op mee te doen aan de enquête die zij momenteel houdt over de AVG. Vragen die worden gesteld, zijn onder meer: ‘Weet...

Banken en verzekeraars voldoen aan FG-verplichtingen na controle AP

Banken en verzekeraars voldoen aan FG-verplichtingen na controle AP

Alle gecontroleerde Nederlandse banken en verzekeraars waarvoor de verplichtingen gelden, hebben een functionaris voor de gegevensbescherming (FG) aangesteld en...

AVG geeft niet per se recht op inzage in document zelf

AVG geeft niet per se recht op inzage in document zelf

De Algemene Verordening Gegevensbescherming (AVG) geeft geen recht op inzage in het document als zodanig. Dat stelt staatssecretaris Snel in antwoord op Kamervragen....

AVG vergt permanent aandacht

AVG vergt permanent aandacht

(Uit VVP 5 - 2018, door Adfiz) Sinds 25 mei 2018 gelden er nieuwe regels voor de bescherming van persoonsgegevens. Inmiddels heeft u waarschijnlijk de nodige...

Gevolmachtigde draagt verwerkingsverantwoordelijkheid

Gevolmachtigde draagt verwerkingsverantwoordelijkheid

Een gevolmachtigde moet beschouwd worden als een verwerkingsverantwoordelijke met alle daarbij behorende verplichtingen en verantwoordelijkheden. Dat stelt Ron Gardenier,...