Op het eerste gezicht zou gedacht kunnen worden dat de Wwft en de AVG onderling strijdig zijn, of ten minste tegengestelde doelen hebben. Op grond van de Wwft moeten financiële instellingen immers cliëntenonderzoeken uitvoeren, gegevens verzamelen, documentatie opvragen en deze duurzaam opslaan. Tegelijkertijd is het minimaliseren van de verwerking van persoonsgegevens één van de belangrijkste beginselen uit de AVG. Niettemin sluiten de Wwft en de AVG wetstechnisch in principe goed op elkaar aan. De Wwft specificeert bovendien enkele verplichtingen uit de AVG specifiek voor Anti-Money Laundering / Combating the Financing of Terrorism (AML/CFT). De Europese AML-richtlijnen zijn in Nederland primair geïmplementeerd in de Wwft.
De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) legt aan banken en andere financiële instellingen in Nederland verplichtingen op die witwassen en terrorismefinanciering zo veel mogelijk moeten voorkomen. Financiële instellingen worden onder meer geacht genoeg over hun klanten, UBO’s(1) en financiers te weten (het Know Your Customer- ofwel KYC-principe)(2) en hun geldstromen te monitoren. Financiële instellingen sturen daarom op grote schaal KYC/CDD-brieven naar klanten, waarin ze de klant vragen nadere informatie te verschaffen over bijvoorbeeld hun UBO’s en bestuurders, de herkomst van het (ondernemings)vermogen en de specifieke (contante) geldstromen.
In dit proces worden vele gegevens en documentatie opgevraagd, waaronder een grote hoeveelheid persoonsgegevens. Vaak zijn deze gegevens zelfs niet afkomstig van de klant zelf, maar van derden. De Algemene verordening gegevensbescherming (AVG) vereist een grondslag die noodzakelijk is voor de verwerking van deze persoonsgegevens bij cliëntenonderzoeken. Bij het uitvoeren van cliëntenonderzoeken op grond van de Wwft moeten financiële instellingen dan ook waken voor schendingen van de AVG.
De AVG kent een limitatieve lijst van zes mogelijke grondslagen voor de verwerking van persoonsgegevens:
toestemming van de betrokkene;
of noodzakelijkheid voor:
de uitvoering van een overeenkomst;
het voldoen aan een wettelijke verplichting;
de bescherming van vitale belangen van de betrokkene;
de vervulling van een taak van algemeen belang; of
het behartigen van gerechtvaardigde belangen.
Zonder één van deze grondslagen mogen de persoonsgegevens niet worden verwerkt. Dat betekent onder meer dat de financiële instelling de desbetreffende gegevens niet mag ontvangen, laat staan opslaan voor het cliëntenonderzoek.
In de praktijk leunen financiële instellingen voor de verwerking van persoonsgegevens gemakshalve vaak op de toestemming van de betrokkene (grondslag a). Vertrouwen op deze grondslag is echter, vooral bij cliëntenonderzoeken, een onverstandige keuze. Betrokkenen kunnen hun toestemming op elk moment intrekken. Als de toestemming wordt ingetrokken, mag de financiële instelling de gegevens niet meer verwerken en dienen de gegevens te worden gewist. Als gevolg kan het gebeuren dat een financiële instelling die dacht aan haar Wwft-verplichtingen te hebben voldaan, plots haar verplichting uit de Wwft om gegevens en documentatie vijf jaar lang te bewaren, dreigt te schenden.
Daarnaast zal de financiële instelling van alle betrokkenen, waaronder van derden, individueel toestemming moeten verkrijgen. Dat kan een hele exercitie zijn.
Ten slotte moet toestemming ‘vrijelijk’ door de betrokkene worden gegeven. Veelal kondigt de financiële instelling consequenties aan, zoals de ‘heroverweging’ (ofwel opzegging) van de zakelijke relatie, voor het geval de betrokkene de opgevraagde gegevens niet verstrekt – en daarmee (impliciet) toestemming geeft. In dit geval is de verkregen toestemming niet vrijelijk gegeven en mogen de persoonsgegevens dus niet worden verwerkt en bewaard.
Financiële instellingen doen er over het algemeen verstandiger aan een andere grondslag te kiezen. Logischer en verstandiger keuzen zijn:
(c) de noodzakelijkheid om te voldoen aan een wettelijke verplichting (het cliëntenonderzoek uit de Wwft),
(e) de noodzakelijkheid voor de vervulling van een taak van algemeen belang (het voorkomen van witwassen en terrorismefinanciering), en
(f) de noodzakelijkheid voor het behartigen van gerechtvaardigde belangen (het wegnemen van integriteitsrisico’s bij de financiële instelling).
Met enkel een beroep op een verwerkingsgrondslag is de financiële instelling er overigens nog niet. Zo is het voor een beroep op grondslagen b tot en met f vereist dat de gegevensverwerking echt noodzakelijk is en zal voor een beroep op een gerechtvaardigd belang (grondslag f) een belangenafweging moeten worden gemaakt. Voor alle grondslagen geldt bovendien dat de financiële instelling zich dient te houden aan de (overige) vereisten en beginselen van de AVG (waaronder het vereiste van doelbinding).
(1) rwv.nl/nieuws/2020/09/wie-kwalificeert-als-een-ubo
(2) rwv.nl/rechtsgebieden/financieel-recht/kyc-cdd
Meer artikelen van RWV Advocaten
