Anticiperen op de AVG

Jurjen Oosterbaan zw 2017

Op 25 mei 2018 wordt de algemene verordening gegevensbescherming (avg) ingevoerd. De burger krijgt daarmee zijn persoonlijke gegevens stevig in handen. Een noodzaak in deze tijd van verregaande digitalisering. Voor adviseurs kan de komst van de avg extra werk betekenen, maar met de juiste voorbereiding hoeft dat geen tour de force te zijn.

Wij schrijven 27 maart 1943. Een verzetsgroep pleegt een aanslag op het Amsterdamse bevolkingsregister. Doel is om de persoonsgegevens van zo’n 70.000 Amsterdamse Joden te vernietigen. De aanslag lukt. Maar de leden van de verzetsgroep worden vrij snel opgepakt. Deze geschiedenis laat zien dat de zorg om persoonsgegevens niet iets is van de laatste jaren. Het toont ook aan dat persoonsgegevens die in verkeerde handen komen, voor individuele mensen grote persoonlijke gevolgen kunnen hebben.

Met de opkomst van computers en intelligente software, wordt de zorg over de wijze waarop met persoonsgegevens wordt omgegaan steeds groter. Het is onplezierig wanneer je niet weet waar allerlei gegevens over jouw persoon staan geregistreerd. Het wordt nog onplezieriger wanneer je merkt, dat verschillende organisaties jouw gegevens met elkaar uitwisselen zonder dat je dit weet. Helemaal onplezierig wordt het wanneer de computers van al die organisaties op basis van gecombineerde gegevens over jou beslissingen nemen, zonder dat er een mens naar kijkt en zonder dat je dit zelf weet. Al die onplezierige dingen gebeuren op dit moment. Ook binnen de financiële sector. Daaraan gaat de Algemene Verordening Gegevensbescherming (AVG) paal en perk stellen. Simpelweg omdat persoonsgegevens niet onschuldig zijn, maar groot leed en schade kunnen toebrengen aan individuele mensen.

Europees recht

De AVG is Europees recht. Nederland zal deze verordening dus moeten invoeren. De optie dit niet te doen is er niet. De mogelijkheden voor afwijkingen die alleen gelden voor Nederland, zijn beperkt. De kern van de AVG is om de individuele burger volledig zeggenschap te geven over zijn persoonsgegevens. Het is de individuele burger die het laatste woord krijgt over wie, waarom, hoe lang en op welke wijze zijn persoonsgegevens door anderen dan hijzelf mogen worden gebruikt.

Cultuurschok wacht ons

Het geven van de macht aan het individu om te bepalen hoe er door anderen met zijn persoonsgegevens mag worden omgegaan, zal leiden tot een cultuurschok. In de afgelopen jaren is de samenleving ervan overtuigd geraakt, dat verzamelde persoonsgegevens het ‘nieuwe goud’ zijn. Op talloze plaatsen is men daarom als een bezetene gestart met het verzamelen en opslaan van zoveel mogelijk persoonsgegevens. Je kijkt één keer naar een site van een beleggingsonderneming, vervolgens krijg je jarenlang popups over dat bedrijf op je scherm. Je doet mee aan een ‘onderzoek’. In de maanden daarna krijg je ‘toevallig’ allemaal aanbiedingen over onderwerpen die in het onderzoek aan de orde zijn gekomen. Met in het achterhoofd het begrip cross-selling, worden ook door veel advieskantoren veel te veel gegevens van klanten opgeslagen. De cultuurschok die de samenleving en het bedrijfsleven wacht, is de nieuwe juridische werkelijkheid dat er zware beperkingen worden gesteld aan wat er aan gegevens over klanten nog mag worden opgeslagen.

Wat mag de klant bepalen?

De individuele burger krijgt via de AVG de regie over zijn eigen persoonsgegevens. De belangrijkste rechten die de burger daarbij krijgt:

• De adviseur moet de klant informeren indien hij bepaalde gegevens van de klant wil opslaan. Daarbij

‘Als het woord schadevergoeding valt, is het: mag ik effe vangen’

moet de adviseur ook aangeven om welke gegevens het gaat, met welk doel hij deze gegevens wil opslaan en voor welke periode;

• De adviseur mag vervolgens gegevens die hij rechtmatig opslaat niet voor een ander doel gebruiken, dan wat is overeengekomen met de klant;

• De klant heeft het recht om (zonder kosten) een kopie van alle persoonsgegevens die de adviseur over hem heeft te ontvangen;

• Indien de klant meent dat bepaalde gegeven onjuist zijn geregistreerd, dan kan hij afdwingen dat deze gegevens worden gecorrigeerd;

• De klant kan ook verder gebruik van de gegevens door de adviseur verbieden;

• Een stapje verder is dat de klant ook kan afdwingen dat de gegevens definitief en volledig uit de administratie van de adviseur worden verwijderd;

• De klant mag zelfs eisen dat de adviseur alle persoonsgegevens over de klant overdraagt aan een door de klant aan te wijzen derde. Ook wanneer deze derde een concurrerend financieel advieskantoor is waarmee de adviseur niet ‘on speaking terms’ is;

• De adviseur zal afdoende maatregelen moeten nemen om te voorkomen dat de persoonsgegevens die hij heeft, in onbevoegde handen komen.

Schade verhalen

Bijna alle kantoren hebben een prima relatie met hun klanten. Die klanten gaan echt niet op elke slak zout leggen. De Autoriteit Persoonsgegevens kan forse boetes opleggen, maar die autoriteit zit in Den Haag en heeft maar tachtig mensen in dienst. Die hebben waarschijnlijk hun handen vol aan de grote vissen. Die hebben echt geen tijd en zin een klein plaatselijk advieskantoor aan te pakken. Het is denkbaar dat veel financieel adviseurs deze gedachten hebben. Waarschijnlijk hebben ze nog gelijk ook. Toch geeft dat geen legitimatie om op de oude voet verder te gaan.

Op de eerste plaats omdat de adviseur gewoon goed voor zijn klanten wil zorgen. Goed omgaan met de persoonsgegevens van klanten hoort daarbij. Meer rationeel speelt er nog iets anders. De Europese wetgever maakt het mogelijk dat iedereen die schade leidt als gevolg van het feit dat de financieel adviseur zijn verplichtingen uit de AVG niet of onvoldoende nakomt, deze schade op de financieel adviseur mag verhalen. Zowel de materiele als immateriële schade.

Of het nu gaat over renteswaps, een verkeerde voorstelling van zaken over trekkingen bij de staatsloterij, woekerpolissen of het niet tijdig voldoen aan een verzoek op grond van de Wet openbaarheid van bestuur (Wob); de praktijk toont aan dat zodra het woord schadevergoeding valt, velen opeens ‘mag ik effe vangen’ roepen. Zeker wanneer voor de schadevergoedingsprocedure geen advocaat nodig is en allerlei randfiguren, al dan niet op basis van no cure no pay, zich aanbieden om de schade van de klant te verhalen. Te voorspellen is dat dit gaat gebeuren, dus is het niet voldoen aan de eisen van de AVG geen optie.

Wat te doen?

De vraag is hoe een financieel advieskantoor zich nu het beste kan voorbereiden op de invoering van de AVG. Ik wil een aantal suggesties geven:

• Stop met denken dat de AVG iets ‘stoms’ is en alleen maar bedacht is om hardwerkende ondernemers het leven zuur te maken. In deze snel digitaliserende samenleving is bescherming van persoonsgegevens noodzakelijk.

• Ga niet mee met allerlei deskundigen die aangeven dat de AVG heel ingewikkeld is. De AVG zit best logisch in elkaar en op hoofdlijnen valt die complexi-teit best wel mee. Natuurlijk kun je als deskundige interessant gaan doen over de uitzondering op de uitzondering. Maar voor de dagelijkse praktijk is de AVG minder ingewikkeld dan de Wft.

• Ten aanzien van een deel van de uitvoering van de AVG zal de financieel adviseur geholpen worden door zijn automatiseringsleveranciers. Elke automatiseerder is hier nu mee bezig. Vraag uw leveranciers naar hun planning en faciliteiten rondom de AVG.

• Beroepsorganisaties zoals Adfiz, maar ook bureaus zoals Bureau DFO, hebben praktische informatie en zullen tijdig met allerlei modellen komen. Het is echt niet nodig om met 8.000 adviseurs hetzelfde wiel uit te vinden.

• Start met het inlezen over de AVG. Voor hen die nog niets gelezen hebben, is dit artikel mogelijk een goed begin. Probeer het onderwerp AVG ‘eigen’ te maken. Het gaat dan echt wel lukken om op 25 mei 2018 op zijn minst in de geest van de AVG te handelen. En dan is al een heel belangrijke stap gezet.

Lees meer over
Wetsvoorstel Uitvoeringswet AVG gepubliceerd

Wetsvoorstel Uitvoeringswet AVG gepubliceerd

Het kabinet heeft het wetsvoorstel Uitvoeringswet Algemene verordening gegevensbescherming (AVG) gepubliceerd. Het voorstel wijkt op de belangrijke punten niet af...

Tips om van privacywetgeving een geschenk te maken

Tips om van privacywetgeving een geschenk te maken

De nieuwe Algemene verordening gegevensbescherming (AVG) leeft nog niet zo onder adviseurs, stelt Silvia Janssen (Oostdam & Partners) in VVP 9. "Misschien omdat...

Betrokkene inlichten over dataverwerking

Betrokkene inlichten over dataverwerking

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG moet klanten en medewerkers bij de verwerking van hun persoonsgegevens...

AVG zet rem op datagebruik

AVG zet rem op datagebruik

Big Data staat garant voor maximale commerciële waarde, zo leerden we tijdens allerlei congressen binnen onze bedrijfstak. De Algemene Verordening Gegevensbescherming...

Adviseur krijgt steun bij privacykwesties

Adviseur krijgt steun bij privacykwesties

Adfiz rolt een privacyprogramma voor leden uit. Dataverwerking moet vanaf medio volgend jaar aan strengere regels voldoen. Op 25 mei 2018 treedt de Algemene verordening...

Sivi ontwikkelt standaard voor dataportabiliteit

Sivi ontwikkelt standaard voor dataportabiliteit

Kenniscentrum Sivi gaat in oktober van start met de werkgroep Privacy by Design. Doel is een standaard te ontwikkelen waarmee gegevens in de sector kunnen worden...