Veel Wwft-verplichten brengen vragen met zich mee over het bewaren van verzamelde gegevens. Wat mag er nu wel en wat mag er nu niet bewaard worden, of wat moet er bewaard worden volgens de verschillende regelgevingen? Volgens de AVG moeten persoonsgegevens verwijderd worden, maar volgens de Wwft moet u een dossier aanleggen en gegevens bewaren. Welke wetgeving moet nu gevolgd worden? En als er dan gegevens bewaard en vastgelegd moeten worden, wat is hiervan de bewaartermijn? In deze blog een antwoord op veelgestelde vragen!
Volgens de Wwft zijn bepaalde instellingen verplicht om een cliëntenonderzoek uit te voeren en hiervan de clientgegevens vast te leggen. Een voorbeeld hiervan is het maken van een kopie van een identiteitsbewijs, maar ook andere clientgegevens moeten worden vastgelegd. Omdat er sprake is van een wettelijke verplichting voor de instelling, is deze vastlegging niet in strijd met de AVG. Persoonsgegevens mogen in beginsel verwerkt worden als (en voor zover) dit wettelijk verplicht is. De verplichtingen uit de Wwft bieden daarmee zowel een doel (‘voldoen aan de Wwft’) als een rechtsgrond voor de verwerking van persoonsgegevens in het kader van de Wwft.
Op grond van de Wwft moeten deze gegevens vijf jaar worden bewaard. Hetzelfde geldt voor gegevens met betrekking tot ongebruikelijke transacties. In artikel 34a van de Wwft zijn nadere bepalingen opgenomen over gegevensbescherming.
Dit betekent dat de personen wiens gegevens geregistreerd worden daarover geïnformeerd moeten werden, alsmede het doel van de verwerking. Tevens moeten de personen wiens gegevens geregistreerd worden geïnformeerd worden over hun inzagerecht, correctierecht en moeten deze personen in de gelegenheid worden gesteld die rechten uit te oefenen.
Op de regels van de Wwft en AVG gelden in uitzonderlijke gevallen andere regels, bijvoorbeeld voor gegevens die de Wwft-plichtige heeft gemeld bij het melden van een ‘’ongebruikelijke’’ transactie.
De AVG gaat over het rechtmatig omgaan met persoonsgegevens. De belangrijkste bepalingen uit de AVG zijn als volgt samen te vatten:
Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor de betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) moet het duidelijk en transparant zijn hoe en waarom de persoonsgegevens verwerkt worden.
Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel. Dat doel moet welbepaald zijn en vooraf uitdrukkelijk zijn omschreven. Het doel waarvoor een organisatie de persoonsgegevens gaat verwerken moet verenigbaar zijn met het doel waarmee de persoonsgegevens zijn verzameld.
Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke). Het doel van de gegevensverwerking moet voor de persoon van wie de persoonsgegevens worden verwerkt ook duidelijk zijn.
Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij ‘zo min mogelijk’ als uitgangspunt hanteren. Dat houdt o.a. in dat de verwerking van de gegevens moet passen bij het doel waarvoor ze worden verwerkt.
De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd.
De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.