Blog

Zijn uw zakelijke klantgegevens persoonsgegevens?

5 tips om klantdata in te zetten en te beschermen bij UBO en compliance checks

Om nieuwe klanten te winnen en binden, dient u integer te handelen en de geldende regels binnen uw sector na te leven. Denk aan regels uit de Wft (Wet op het financieel toezicht), de Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) en de Sanctiewet, maar ook aan privacyregels uit de nieuwe AVG (Algemene Verordening Gegevensbescherming). Als u zich niet aan de regels houdt, riskeert u forse boetes, strafrechtelijke vervolgingen én reputatieschade.

Om succesvol zaken te doen dient u uw bedrijfsvoering op orde te hebben. Een tijdrovende klus, en een lastige. Want sommige regels lijken op een gespannen voet met elkaar te staan. Hoe kunt u aan de ene kant diepgaand klantonderzoek doen om aan de Wft, Wwft en de Sanctiewet te voldoen, en aan de andere kant deze gegevens beschermen volgens de Verordening? Wat bedrijven zich onvoldoende realiseren is dat deze zakelijke klantgegevens ook persoonsgegevens kunnen zijn, en dus onder de privacywetgeving vallen. Wat betekent dat voor uw bedrijf, mag u nog wel onderzoek doen naar uw zakelijke relaties? En hoe?

 "/

Privacy en klantonderzoek hand in hand

Wetten zijn er om bepaalde maatschappelijke waarden te garanderen. Een paar voorbeelden. Voor veiligheid accepteren we een bepaalde inbreuk op privacy, zoals telefoontaps. En voor rechtszekerheid mag een financiële instelling op grond van de Wwft diepgaand onderzoek doen naar de zogenaamde Ultimate Beneficial Owner (UBO) van een bedrijf.

In veel gevallen zeggen bedrijfsdata ook iets over een privépersoon. Bij kleine bedrijven geldt namelijk vaak: de vent is de tent.
Om rechtszekerheid in het handelsverkeer te waarborgen, zijn bij wet ook bepaalde gegevens openbaar gemaakt, zoals data uit het Handelsregister en het Kadaster die rechtstreeks of via intermediairs geraadpleegd kunnen worden. U moet in veel gevallen zelf een afweging maken tussen het handelsbelang en de privacy. Persoonlijke informatie vastleggen mag, maar u moet zich wel aan de spelregels houden:

1. Inventariseer welke zakelijke data u heeft en of deze data persoonsgegevens zijn

Zakelijke gegevens hoeven geen persoonsgegevens te zijn als zij iets zeggen over een rechtspersoon, bijvoorbeeld de jaarrekening van Ahold. Maar in veel gevallen zeggen bedrijfsdata ook iets over een privépersoon. Bij kleine bedrijven geldt namelijk vaak: de vent is de tent, en is het vestigingsadres ook het privéadres. Ook namen van bestuurders zijn persoonsgegevens. Is in Kadasterdata de eigenaar een natuurlijk persoon? Dan zegt de informatie iets over deze persoon en daarom valt de data ook onder de regels van de Verordening.

Ook Company.info heeft haar data geïnventariseerd ten behoeve van privacy. Naast bedrijfsinformatie en zakelijk nieuws levert Company.info ook persoonlijke gegevens. Deze gaan altijd over de rol die deze persoon zakelijk speelt, zoals de naam van een eigenaar of bestuurder van een organisatie. Company.info verwerkt en beveiligt deze data zorgvuldig, en leeft zelf ook de privacyregels na.

2. Beoordeel of deze gegevens noodzakelijk zijn voor uw bedrijfsprocessen

Organisaties willen hun relaties kennen, en registreren (persoons)gegevens, zoals contactinformatie en facturatiedata. Soms worden ook externe bronnen geraadpleegd om te zien of een bedrijf een betrouwbare handelspartner is. Dit mag, maar onbeperkt data verzamelen niet. De wet verplicht namelijk dataminimalisatie. Dit betekent dat u van alle informatie die u verzamelt van uw handelspartner, moet bedenken of dat noodzakelijk is.

Voor bijvoorbeeld financiële organisaties geldt dat zij verplicht zijn de identiteit van hun zakelijke relaties te onderzoeken ter voorkoming van witwassen en fraude. Ook hier laait de privacy-discussie weer op. Want hoewel iedereen het erover eens is dat deze instellingen de informatie moeten krijgen, vinden sommigen een openbaar UBO register een te grote inbreuk maken op de privacy. PwC verwoordde het als volgt: “Omdat het register in de huidige voorgestelde vorm een zware inbreuk maakt op de privacy van degenen die worden geregistreerd, moeten nut en noodzaak van de openbaarheid naar onze mening boven alle twijfel verheven zijn.”

3. Leg uw overwegingen voor het verzamelen of verrijken van data vast in een verwerkingsregister

Door de Verordening bent u verplicht om een zogenoemd verwerkingsregister bij te houden. In het verwerkingsregister geeft u aan welke data u verzamelt, via welke bronnen u aan de data komt en in welke systemen de data worden opgeslagen. De personen met toegang tot de gegevens moeten ook in het register staan en u bent verplicht aan te geven hoe de beveiliging is ingericht. De AVG schrijft bovendien voor dat u moet aangeven waarvoor u de informatie gaat gebruiken. Denk bijvoorbeeld aan het uitvoeren van een overeenkomst, het maken van marktanalyses of het doen van UBO en compliance checks. Tot slot moet u ook relaties aangeven die uw data verwerken, zoals uw administratiekantoor.

In de praktijk blijkt dat veel bedrijven moeite hebben om een goed register bij te houden. Daarom is het belangrijk dat u de belangenafweging bij elk gebruik van informatie inzichtelijk maakt. Uw organisatie vraagt extra informatie op over een zakenrelatie (en maakt inbreuk op zijn privacy), maar u doet dit bijvoorbeeld ter voorkoming van fraude en witwassen.

4. Kies uw dataleverancier bewust

Accountability is één van de kernbegrippen uit de Verordening. Dit betekent dat u altijd medeverantwoordelijk blijft voor wat met uw data gebeurt. Het goed op orde hebben van uw eigen privacygevoelige data is niet voldoende. U zult grip moeten houden op uw relaties.

Zo mag u uw eigen bestand verrijken met informatie van bijvoorbeeld Company.info. Maar leg vast met welke informatie u verrijkt en waarvoor u deze data gebruikt. U mag ook informatie van een bedrijf en bestuurders opvragen om een afweging te maken of u met hen in zee wilt. Maar dat betekent niet automatisch dat u met deze informatie afgeleide bestanden mag aanleggen.

5. Beveilig uw gegevens

Verantwoorde omgang met persoonsgegevens betekent ook een adequate beveiliging van persoonsgegevens. Adequaat betekent niet automatisch het hoogste beveiligingsniveau. De gradatie van beveiliging moet passen bij:
  • De aard en gevoeligheid van de gegevens
  • De stand van de techniek en de kosten van de maatregelen

Dat betekent dat als u gevoelige gegevens verzamelt zoals privé-informatie van bestuurders, uw organisatie een zwaarder beveiligingsniveau moet realiseren. U moet er bijvoorbeeld voor zorgen dat slechts een beperkt aantal mensen toegang heeft die dit vanwege hun functie nodig hebben. Deze mensen moeten een geheimhoudingsverklaring hebben getekend. Wellicht moet de data ook encrypt worden opgeslagen en moet ook bekeken worden waar deze data wordt opgeslagen en of toegang tot de applicatie ook mogelijk is op externe locaties.

Tot slot: gebruik gezond verstand

Het zal per keer verschillen of uw belang zwaarder weegt dan het privacybelang van uw relatie. In sommige gevallen maakt u de afweging zelf. In andere gevallen heeft de wetgever al bepaald dat een belang zoals fraudebestrijding prevaleert boven privacy. Daarom mogen financiële instellingen ook toegang hebben tot privégegevens van bestuurders en kunnen zij de UBO vaststellen en onderzoeken.

Dit artikel kwam mede tot stand met medewerking van Jitty van Doodewaerd, senior privacy consultant bij DMCC Nederland. Zij ondersteunt opdrachtgevers uit velerlei maatschappelijke sectoren bij de praktische implementatie van privacy binnen organisaties en neemt deel in de Big Data expertgroep van het ministerie van Economische Zaken.

Bekijk alle blogberichten