Hoe de financiële sector leert koorddansen op de GDPR-wetgeving
Geschreven door Erik Luysterborg, Data Protection & Privacy Leader, Deloitte Belgium, 29/11/2018 • Wetgeving
Concrete cases tonen de complexe evenwichtsoefening aan die de financiële wereld moet uitvoeren om een balans te vinden tussen de reeds bestaande regelgeving in voege en de nieuwe gegevensbeschermingswet (GDPR: General Data Protection Regulation).
GPDR kort samengevat
De algemene verordening gegevensbescherming (GDPR: General Data Protection Regulation) is van toepassing vanaf 25 mei. Zoals u weet, is de algemene verordening gegevensbescherming van toepassing op alle sectoren waaronder dus ook de financiële sector.
Het verzamelen, analyseren en internationaal delen van persoonsgegevens in de financiële wereld is van cruciaal belang voor onderzoek, ontwikkeling en marketing van financiële producten en diensten.
Vandaag de dag kunnen financiële organisaties dankzij de technologische vooruitgang belangrijke concurrentievoordelen realiseren door het grens- en functie-overschrijdend delen en gebruik van gegevens. In de toekomst zal deze trend zich zeker nog meer uitbreiden.
De GDPR wil het wettelijke kader voor de bescherming van persoonsgegevens versterken. Het doel is om de controle van individuen over hun gegevens te vergroten en ervoor te zorgen dat bedrijven de privacy verankeren en vertalen naar effectieve operationele controles in de hele organisatie en bij derden.
De implementatie brengt uitdagingen met zich mee
In de context van de financiële sector heeft dit zich vertaald in vele operationele en organisatorische uitdagingen.
Zo heeft de algemene verordening gegevensbescherming een directe impact op acties die verband houden met:
- het garanderen van een goed privacybeheer, vaak in een “silo”-omgeving;
- het implementeren en aanpassen van adequate technische maatregelen zoals cyberveiligheid versus privacy;
- het herzien van de regels voor de beperking van de opslagruimte en het garanderen van een correcte identificatie van de juiste rechtsgrond voor verwerking zoals de toestemming versus wettelijke verplichting of noodzaak voor de uitvoering van het contract.
Complexiteit met huidige wetgeving
De financiële dienstensector moet naast de GDPR ook andere wettelijke verplichtingen naleven, die zij zal moeten koppelen aan die van de GDPR.
Enkele concrete voorbeelden worden hierna aangehaald om u de complexiteit van deze andere verordeningen aan te tonen ten opzichte van de GDPR-principes inzake gegevensbescherming.
“Rechtmatigheid van de verwerking”: De GDPR vereist dat u een duidelijke rechtsgrond hebt voor het verwerken van de persoonsgegevens. U mag persoonsgegevens met andere woorden alleen verwerken als een van de vermelde rechtsgronden bestaat. Terwijl onder AML/CFT of zelfs FATCA duidelijk gesteld kan worden dat het monitoren van persoonsgegevens onder de “wettelijke verplichting van de GDPR” valt voor verwerking, zal dit niet altijd het geval zijn voor andere verordeningen zoals PSD II, waar men zich moet baseren op een combinatie van toestemming van de klant en noodzaak voor de uitvoering van het contract. Vooral bij de zogenaamde derdebetalerssytemen kunnen de banken geconfronteerd worden met complexere verplichtingen om te garanderen dat de correcte toestemming wordt gegeven.
Opslaglimiet: De GDPR vereist dat u persoonsgegevens “niet langer bewaart dan vereist voor het doel van de verwerking”. Een dergelijk “doel van verwerking” kan een wettelijke verplichting zijn zoals vastgelegd in MIFID II. Welke gegevens precies moeten worden bewaard en hoelang enz., is echter niet altijd duidelijk en zal zorgvuldig moeten worden geanalyseerd.
Veiligheidsmaatregelen: Volgens de GDPR moet u blijk geven van een effectieve naleving door onder andere de geavanceerde technische beveiligingsmaatregelen te implementeren. Ook in het kader van NIS zult u in bepaalde omstandigheden passende veiligheidsmaatregelen moeten treffen en moeten kunnen aantonen dat u ze hebt geïmplementeerd. Hoewel (cyber)beveiliging en privacy hand in hand kunnen gaan, moet men er hier ook aandacht aan besteden dat ze elkaar niet negatief beïnvloeden. Het “evenredigheidsbeginsel” van de GDPR zal hierbij het sleutelwoord zijn.
Conclusie
Eén ding is zeker: in veel GDPR-domeinen zal een zeer delicate en grondige evenwichtsoefening vereist zijn om een naleving op alle fronten te verkrijgen.
Dit zal een risico-gebaseerde benadering vereisen. Met name in het interne bestuur zal een zeer effectieve, pragmatische en vooral multifunctionele gegevensbeheeromgeving nodig zijn om een dergelijke evenwichtsoefening tot een goed einde te brengen.
Bijgevolg zal de GDPR niet alleen een technische en juridische impact hebben op de financiële sector, maar ook een nieuwe kijk vereisen op de organisatorische impact van de bestaande omgevingen voor databescherming en gegevensbeheer.
Nieuwe e-learning
Meer weten? Wij stellen u onze nieuwe online opleiding voor: GDPR in de praktijk - E-learning - NEW
Deze e-learning is ook beschikbaar in het Frans en in het Engels.