Bij Know Your Customer (KYC) draait het allemaal om het goed leren kennen van je klant. Zowel voor het nakomen van de zorgplicht als voor het bestrijden van witwassen. Financiële instellingen die aan KYC-wetgeving moeten voldoen hebben daardoor bij het accepteren van klanten vaak veel privacygevoelige informatie over de klant nodig. Tegelijkertijd stelt de Algemene verordening gegevensbescherming (AVG) strenge eisen aan de informatie die je over klanten mag opslaan en wat je daarmee mag doen. Hierdoor duiken vaak juridische en ethische dilemma’s op. Zeker als tijdrovende klantacceptatieprocessen geautomatiseerd worden en technieken als Artificial Intelligence (AI) en Machine Learning (ML) om de hoek komen kijken. In dit artikel gaan we in op de juridische dilemma’s op het snijvlak van de AVG en de zorgplicht.
Data controleren om te voldoen aan de zorgplicht
De algemene zorgplicht is vastgelegd in de Wft. Deze wet stelt dat financiële dienstverleners op zorgvuldige wijze de gerechtvaardigde belangen van de consument in acht moet nemen. Bij adviezen moet altijd gehandeld worden in het belang van de consument. Daarvoor is grondig klantonderzoek noodzakelijk. Om te kunnen bepalen welke KYC-data gecontroleerd dienen te worden om te voldoen aan deze zorgplicht is het doel van de overeenkomst tussen een financiële instelling en een klant bepalend. In de B2B-markt speelt de zorgplicht een belangrijke rol bij beleggings- en verzekeringsdienstverlening. Ook doet de zorgplicht steeds meer zijn intrede bij de kredietverlening aan kleine bedrijven. Zo is de Gedragscode Kleinzakelijke Klanten door de Nederlandse Vereniging van Banken (NVB) in het leven geroepen, met normen waar banken zich aan moeten houden bij het verstrekken van financieringen aan kleinzakelijke klanten.
“Financiële instellingen worstelen soms met het dilemma hoever de zorgplicht reikt. Stel een klant dient een kredietaanvraag in voor het starten van een eigen bedrijf en het aanschaffen van materialen voor het produceren van een nieuw type product. De vraag is dan hoe succesvol dat bedrijf en dat nieuwe product wordt. Kan de klant die lening op termijn terugbetalen, ook als het succes wat tegenvalt? Moet/wil een bank deze vragen voor zichzelf beantwoorden?”
AVG kent veel open normen
De AVG maakt het naleven van de zorgplicht in sommige situaties uitdagend. Zo kent de AVG veel open normen. Dat wil zeggen dat sectoren en organisaties in meer of mindere mate zelf mogen bepalen hoe ze hun privacybeleid inrichten en vormgeven. Dit grijze gebied wordt gelukkig wat meer ingekleurd door guidance vanuit de Autoriteit Persoonsgegevens. Maar dat neemt niet weg dat de vertaalslag van de wet naar de dagelijkse gang soms erg lastig is en hiervoor vaak de hulp van specialisten wordt ingeroepen.
Zijn de privacymaatregelen proportioneel?
Een ander vraagstuk waar financiële instellingen vaak mee worstelen is dat de maatregelen die je neemt om de privacy van je klanten te beschermen proportioneel moeten zijn. Maar wat is precies wel en niet proportioneel? Dat staat nergens beschreven. Mr. Saskia Vermeer-de Jongh is partner bij HVG Law en als advocaat werkzaam binnen de praktijkgroep Digital, Cyber & Privacy. Zij geeft de noodzaak aan van het goed beschermen van zeer privacygevoelige gegevens.
“Privacygevoelige gegevens, zoals NAW-gegevens in combinatie met iemands banksaldo of volledige transactiegeschiedenis, dienen heel goed beschermd te worden met onder meer pseudonimisering en encryptie. Minder privacygevoelige gegevens, zoals de combinatie van een naam en één individuele betaling, hoeven aan wat minder strenge beveiligingseisen te voldoen. Wat precies ‘minder streng’ is, staat in de AVG niet beschreven. Naarmate de Autoriteit Persoonsgegevens meer uitspraken doet, wordt het grijze gebied steeds verder ingekleurd. Er is dus nog altijd veel onduidelijk, ook voor juristen. Vast staat dat je als (financiële) organisatie goed moet kunnen aantonen wat je om welke reden al dan niet hebt gedaan. Zorg dus dat je heel goed weet wie wat met welke data om welke reden heeft gedaan. Het onderwerp is bovendien dermate complex dat je met generieke juridische kennis niet ver komt. Het is daarmee echt een onderwerp voor specialisten geworden.”
Juridische en ethische vraagstukken bij automatisering KYC-processen
Bij het automatiseren van KYC-processen is het belangrijk bewust te zijn van deze juridische en ethische vraagstukken. En hier rekening mee te houden als nieuwe technieken als Artificial Intelligence en Machine Learning ingezet worden bij KYC processen. Wil je hier meer over weten? Download dan het gratis whitepaper ‘De inzet van algoritmen in KYC-processen’. Dit whitepaper kwam tot stand in samenwerking met HVG Law en biedt een verkenning van de impact van AI op KYC.
De impact van AI op KYC-processen.
Bij het automatiseren van KYC-processen duiken vaak juridische en ethische vraagstukken op. Ontdek de aandachtspunten in dit whitepaper.