Wwft en de AVG

shutterstock_631473233

Wwft en AVG

Veel Wwft-verplichten brengen vragen met zich mee over het bewaren van verzamelde gegevens. Wat mag er nu wel en wat mag er nu niet bewaard worden, of wat moet er bewaard worden volgens de verschillende regelgevingen? Volgens de AVG moeten persoonsgegevens verwijderd worden, maar volgens de Wwft moet u een dossier aanleggen en gegevens bewaren. Welke wetgeving moet nu gevolgd worden? En als er dan gegevens bewaard en vastgelegd moeten worden, wat is hiervan de bewaartermijn? In deze blog een antwoord op veelgestelde vragen!

Volgens de Wwft zijn bepaalde instellingen verplicht om een cliëntenonderzoek uit te voeren en hiervan de clientgegevens vast te leggen. Een voorbeeld hiervan is het maken van een kopie van een identiteitsbewijs, maar ook andere clientgegevens moeten worden vastgelegd. Omdat er sprake is van een wettelijke verplichting voor de instelling, is deze vastlegging niet in strijd met de AVG. Persoonsgegevens mogen in beginsel verwerkt worden als (en voor zover) dit wettelijk verplicht is. De verplichtingen uit de Wwft bieden daarmee zowel een doel (‘voldoen aan de Wwft’) als een rechtsgrond voor de verwerking van persoonsgegevens in het kader van de Wwft.

Bewaartermijn

Op grond van de Wwft moeten deze gegevens vijf jaar worden bewaard. Hetzelfde geldt voor gegevens met betrekking tot ongebruikelijke transacties. In artikel 34a van de Wwft zijn nadere bepalingen opgenomen over gegevensbescherming.

  • Persoonsgegevens, verzameld op grond van deze wet, worden door een instelling alleen verwerkt met het oog op het voorkomen van witwassen en voorkomen van het financieren van terrorisme. De persoonsgegevens mogen niet verder worden verwerkt voor commerciële doeleinden of andere doeleinden die niet verenigbaar zijn met het doel van de Wwft.
  • Een instelling verstrekt, alvorens een zakelijke relatie aan te gaan of een incidentele transactie te verrichten, informatie aan een cliënt over de krachtens deze wet geldende verplichtingen ter zake van de verwerking van persoonsgegevens met het oog op het voorkomen van witwassen en financieren van terrorisme.
  • Een instelling vernietigt de persoonsgegevens die zij op basis van deze wet heeft verkregen onmiddellijk na het verstrijken van de termijn, bedoeld in artikel 33, derde lid, en 34, tenzij bij wettelijk voorschrift anders is bepaald.

Dit betekent dat de personen wiens gegevens geregistreerd worden daarover geïnformeerd moeten werden, alsmede het doel van de verwerking. Tevens moeten de personen wiens gegevens geregistreerd worden geïnformeerd worden over hun inzagerecht, correctierecht en moeten deze personen in de gelegenheid worden gesteld die rechten uit te oefenen.

Op de regels van de Wwft en AVG gelden in uitzonderlijke gevallen andere regels, bijvoorbeeld voor gegevens die de Wwft-plichtige heeft gemeld bij het melden van een ‘’ongebruikelijke’’ transactie.

Wet Algemene Verorderning Gegevensbescherming (AVG)

De AVG gaat over het rechtmatig omgaan met persoonsgegevens. De belangrijkste bepalingen uit de AVG zijn als volgt samen te vatten:

  • Overeenstemming wet

Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor de betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) moet het duidelijk en transparant zijn hoe en waarom de persoonsgegevens verwerkt worden.

  • Gerechtvaardigd doel

Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel. Dat doel moet welbepaald zijn en vooraf uitdrukkelijk zijn omschreven. Het doel waarvoor een organisatie de persoonsgegevens gaat verwerken moet verenigbaar zijn met het doel waarmee de persoonsgegevens zijn verzameld.

  • Op de hoogte brengen

Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke). Het doel van de gegevensverwerking moet voor de persoon van wie de persoonsgegevens worden verwerkt ook duidelijk zijn.

  • Zo min mogelijk

Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij ‘zo min mogelijk’ als uitgangspunt hanteren. Dat houdt o.a. in dat de verwerking van de gegevens moet passen bij het doel waarvoor ze worden verwerkt.

  • Juiste en actuele gegevens

De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd.

  • Beveiliging

De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.