Hoe de financiële sector leert koorddansen op de GDPR wetgeving

Geschreven door Erik Luysterborg, Data Protection & Privacy Leader, Deloitte Belgium  op

Hoe de financiële sector leert koorddansen op de GDPR wetgeving

GPDR kort samengevat

De invoering van de algemene verordening gegevensbescherming (GDPR: General Data Protection Regulation) komt nu echt heel dichtbij. Deze wetgeving is van toepassing vanaf 25 mei. Zoals u weet, is de algemene verordening gegevensbescherming van toepassing op alle sectoren waaronder dus ook de financiële sector.

Het verzamelen, analyseren en internationaal delen van persoonsgegevens in de financiële wereld is van cruciaal belang voor onderzoek, ontwikkeling en marketing van financiële producten en diensten.

Vandaag de dag kunnen financiële organisaties dankzij de technologische vooruitgang belangrijke concurrentievoordelen realiseren door het grens- en functie-overschrijdend delen en gebruik van gegevens. In de toekomst zal deze trend zich zeker nog meer uitbreiden.

De GDPR wil het wettelijke kader voor de bescherming van persoonsgegevens versterken. Het doel is om de controle van individuen over hun gegevens te vergroten en ervoor te zorgen dat bedrijven de privacy verankeren en vertalen naar effectieve operationele controles in de hele organisatie en bij derden.

De implementatie brengt uitdagingen met zich mee

In de context van de financiële sector heeft dit zich vertaald in vele operationele en organisatorische uitdagingen.

Zo heeft de algemene verordening gegevensbescherming een directe impact op acties die verband houden met:

  • het garanderen van een goed privacybeheer vaak in een “silo”-omgeving;
  • het implementeren en aanpassen van adequate technische maatregelen zoals cyberveiligheid versus privacy;
  • het herzien van de regels voor de beperking van de opslagruimte en het garanderen van een correcte identificatie van de juiste rechtsgrond voor verwerking zoals de toestemming versus wettelijke verplichting of noodzaak voor de uitvoering van het contract.

Complexiteit met huidige wetgeving

De financiële dienstensector moet naast de GDPR ook andere wettelijke verplichtingen naleven, die zij zal moeten koppelen aan die van de GDPR.

Enkele concrete voorbeelden worden hierna aangehaald om u de complexiteit van deze andere verordeningen aan te tonen ten opzichte van de GDPR-principes inzake gegevensbescherming.

“Rechtmatigheid van de verwerking”: De GDPR vereist dat u een duidelijke rechtsgrond hebt voor het verwerken van de persoonsgegevens. U mag persoonsgegevens met andere woorden alleen verwerken als een van de vermelde rechtsgronden bestaat. Terwijl onder AML/CFT of zelfs FATCA duidelijk gesteld kan worden dat het monitoren van persoonsgegevens onder de “wettelijke verplichting van de GDPR” valt voor verwerking, zal dit niet altijd het geval zijn voor andere verordeningen zoals PSD II, waar men zich moet baseren op een combinatie van toestemming van de klant en noodzaak voor de uitvoering van het contract. Vooral bij de zogenaamde derdebetalerssytemen kunnen de banken geconfronteerd worden met complexere verplichtingen om te garanderen dat de correcte toestemming wordt gegeven.

Opslaglimiet: De GDPR vereist dat u persoonsgegevens “niet langer bewaart dan vereist voor het doel van de verwerking”. Een dergelijk “doel van verwerking” kan een wettelijke verplichting zijn zoals vastgelegd in MIFID II. Welke gegevens precies moeten worden bewaard en hoelang enz., is echter niet altijd duidelijk en zal zorgvuldig moeten worden geanalyseerd.

Veiligheidsmaatregelen: Volgens de GDPR moet u blijk geven van een effectieve naleving door onder andere de geavanceerde technische beveiligingsmaatregelen te implementeren. Ook in het kader van NIS zult u in bepaalde omstandigheden passende veiligheidsmaatregelen moeten treffen en moeten kunnen aantonen dat u ze hebt geïmplementeerd. Hoewel (cyber)beveiliging en privacy hand in hand kunnen gaan, moet men er hier ook aandacht aan besteden dat ze elkaar niet negatief beïnvloeden. Het “evenredigheidsbeginsel” van de GDPR zal hierbij het sleutelwoord zijn.

Conclusie

Eén ding is zeker: in veel GDPR-domeinen zal een zeer delicate en grondige evenwichtsoefening vereist zijn om een naleving op alle fronten te verkrijgen.

Dit zal een risico-gebaseerde benadering vereisen. Met name in het interne bestuur zal een zeer effectieve, pragmatische en vooral multifunctionele gegevensbeheeromgeving nodig zijn om een dergelijke evenwichtsoefening tot een goed einde te brengen.

Bijgevolg zal de GDPR niet alleen een technische en juridische impact hebben op de financiële sector, maar ook een nieuwe kijk vereisen op de organisatorische impact van de bestaande omgevingen voor databescherming en gegevensbeheer. 

Nieuwe e-learning

Meer weten? Febelfin Academy stelt u haar nieuwe online opleiding voor: GDPR in de praktijk - E-learning - NEW

Deze e-learning is ook beschikbaar in het Frans en in het Engels.