Om nieuwe klanten te winnen en binden, dien je integer te handelen en de geldende regels binnen jouw sector na te leven. Denk aan regels uit de Wft (Wet op het financieel toezicht), de Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) en de Sanctiewet, maar ook aan privacyregels uit de nieuwe AVG (Algemene Verordening Gegevensbescherming). Als jij je niet aan de regels houdt, riskeer je forse boetes, strafrechtelijke vervolgingen én reputatieschade.
Om succesvol zaken te doen dien je jouw bedrijfsvoering op orde te hebben. Een tijdrovende klus, en een lastige. Want sommige regels lijken op een gespannen voet met elkaar te staan. Hoe kun je aan de ene kant diepgaand klantonderzoek doen om aan de Wft, Wwft en de Sanctiewet te voldoen, en aan de andere kant deze gegevens beschermen volgens de Verordening? Wat bedrijven zich onvoldoende realiseren is dat deze zakelijke klantgegevens ook persoonsgegevens kunnen zijn, en dus onder de privacywetgeving vallen. Wat betekent dat voor jouw bedrijf, mag je nog wel onderzoek doen naar je zakelijke relaties? En hoe?
Privacy en klantonderzoek hand in hand
Wetten zijn er om bepaalde maatschappelijke waarden te garanderen. Een paar voorbeelden. Voor veiligheid accepteren we een bepaalde inbreuk op privacy, zoals telefoontaps. En voor rechtszekerheid mag een financiële instelling op grond van de Wwft diepgaand onderzoek doen naar de zogenaamde Ultimate Beneficial Owner (UBO) van een bedrijf.
In veel gevallen zeggen bedrijfsdata ook iets over een privépersoon. Bij kleine bedrijven geldt namelijk vaak: de vent is de tent.
Om rechtszekerheid in het handelsverkeer te waarborgen, zijn bij wet ook bepaalde gegevens openbaar gemaakt, zoals data uit het Handelsregister en het Kadaster die rechtstreeks of via intermediairs geraadpleegd kunnen worden. Je moet in veel gevallen zelf een afweging maken tussen het handelsbelang en de privacy. Persoonlijke informatie vastleggen mag, maar je moet je wel aan de spelregels houden:
5 tips om klantdata in te zetten en te beschermen bij UBO en compliance checks
1. Inventariseer welke zakelijke data je hebt en of deze data persoonsgegevens zijn
Zakelijke gegevens hoeven geen persoonsgegevens te zijn als zij iets zeggen over een rechtspersoon, bijvoorbeeld de jaarrekening van Ahold. Maar in veel gevallen zeggen bedrijfsdata ook iets over een privépersoon. Bij kleine bedrijven geldt namelijk vaak: de vent is de tent, en is het vestigingsadres ook het privéadres. Ook namen van bestuurders zijn persoonsgegevens. Is in Kadasterdata de eigenaar een natuurlijk persoon? Dan zegt de informatie iets over deze persoon en daarom valt de data ook onder de regels van de Verordening.
Ook Company.info heeft haar data geïnventariseerd ten behoeve van privacy. Naast bedrijfsinformatie en zakelijk nieuws levert Company.info ook persoonlijke gegevens. Deze gaan altijd over de rol die deze persoon zakelijk speelt, zoals de naam van een eigenaar of bestuurder van een organisatie. Company.info verwerkt en beveiligt deze data zorgvuldig, en leeft zelf ook de privacyregels na.
2. Beoordeel of deze gegevens noodzakelijk zijn voor jouw bedrijfsprocessen
Organisaties willen hun relaties kennen, en registreren (persoons)gegevens, zoals contactinformatie en facturatiedata. Soms worden ook externe bronnen geraadpleegd om te zien of een bedrijf een betrouwbare handelspartner is. Dit mag, maar onbeperkt data verzamelen niet. De wet verplicht namelijk dataminimalisatie. Dit betekent dat je van alle informatie die je verzamelt van jouw handelspartner, moet bedenken of dat noodzakelijk is.
Voor bijvoorbeeld financiële organisaties geldt dat zij verplicht zijn de identiteit van hun zakelijke relaties te onderzoeken ter voorkoming van witwassen en fraude. Ook hier laait de privacy-discussie weer op. Want hoewel iedereen het erover eens is dat deze instellingen de informatie moeten krijgen, vinden sommigen een openbaar UBO register een te grote inbreuk maken op de privacy. PwC verwoordde het als volgt: “Omdat het register in de huidige voorgestelde vorm een zware inbreuk maakt op de privacy van degenen die worden geregistreerd, moeten nut en noodzaak van de openbaarheid naar onze mening boven alle twijfel verheven zijn.”
3. Leg jouw overwegingen voor het verzamelen of verrijken van data vast in een verwerkingsregister
Door de Verordening ben je verplicht om een zogenoemd verwerkingsregister bij te houden. In het verwerkingsregister geef je aan welke data je verzamelt, via welke bronnen je aan de data komt en in welke systemen de data worden opgeslagen. De personen met toegang tot de gegevens moeten ook in het register staan en je bent verplicht aan te geven hoe de beveiliging is ingericht. De AVG schrijft bovendien voor dat je moet aangeven waarvoor je de informatie gaat gebruiken. Denk bijvoorbeeld aan het uitvoeren van een overeenkomst, het maken van marktanalyses of het doen van UBO en compliance checks. Tot slot moet je ook relaties aangeven die jouw data verwerken, zoals je administratiekantoor.
In de praktijk blijkt dat veel bedrijven moeite hebben om een goed register bij te houden. Daarom is het belangrijk dat je de belangenafweging bij elk gebruik van informatie inzichtelijk maakt. Jouw organisatie vraagt extra informatie op over een zakenrelatie (en maakt inbreuk op zijn privacy), maar je doet dit bijvoorbeeld ter voorkoming van fraude en witwassen.
4. Kies je dataleverancier bewust
Accountability is één van de kernbegrippen uit de Verordening. Dit betekent dat je altijd medeverantwoordelijk blijft voor wat met jouw data gebeurt. Het goed op orde hebben van je eigen privacygevoelige data is niet voldoende. Je zult grip moeten houden op je relaties.
Zo mag je jouw eigen bestand verrijken met informatie van bijvoorbeeld Company.info. Maar leg vast met welke informatie je verrijkt en waarvoor je deze data gebruikt. Je mag ook informatie van een bedrijf en bestuurders opvragen om een afweging te maken of je met hen in zee wilt. Maar dat betekent niet automatisch dat je met deze informatie afgeleide bestanden mag aanleggen.
5. Beveilig je gegevens
Verantwoorde omgang met persoonsgegevens betekent ook een adequate beveiliging van persoonsgegevens. Adequaat betekent niet automatisch het hoogste beveiligingsniveau.
De gradatie van beveiliging moet passen bij:
De aard en gevoeligheid van de gegevens
De stand van de techniek en de kosten van de maatregelen
Dat betekent dat als je gevoelige gegevens verzamelt zoals privé-informatie van bestuurders, jouw organisatie een zwaarder beveiligingsniveau moet realiseren. Je moet er bijvoorbeeld voor zorgen dat slechts een beperkt aantal mensen toegang heeft die dit vanwege hun functie nodig hebben. Deze mensen moeten een geheimhoudingsverklaring hebben getekend. Wellicht moet de data ook encrypt worden opgeslagen en moet ook bekeken worden waar deze data wordt opgeslagen en of toegang tot de applicatie ook mogelijk is op externe locaties.
Tot slot: gebruik gezond verstand
Het zal per keer verschillen of jouw belang zwaarder weegt dan het privacybelang van jouw relatie. In sommige gevallen maak je de afweging zelf. In andere gevallen heeft de wetgever al bepaald dat een belang zoals fraudebestrijding prevaleert boven privacy. Daarom mogen financiële instellingen ook toegang hebben tot privégegevens van bestuurders en kunnen zij de UBO vaststellen en onderzoeken.
Dit artikel kwam mede tot stand met medewerking van Jitty van Doodewaerd, senior privacy consultant bij DMCC Nederland. Zij ondersteunt opdrachtgevers uit velerlei maatschappelijke sectoren bij de praktische implementatie van privacy binnen organisaties en neemt deel in de Big Data expertgroep van het ministerie van Economische Zaken.