De AVG & de Wwft: welke wet heeft voorrang?
Zoals bekend moeten onder meer financiële instellingen op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) de identiteit van hun cliënten vaststellen. Maar hoe verhoudt dit zich tot de Algemene verordening gegevensbescherming (AVG)? Er lijkt hier namelijk een spanningsveld te ontstaan.
We leven inmiddels ruim tien jaar na de invoering van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Veel banken en andere Wwft-plichtige instellingen zijn druk bezig met een inhaalslag om de interne kennis en capaciteit op Wwft-gebied op orde te krijgen. Maar ondertussen geldt sinds 25 mei 2018 in de hele Europese Unie ook de Algemene verordening gegevensbescherming (AVG). En die twee lijken op het eerste gezicht tegenstrijdig met elkaar te zijn. Immers, de Wwft vraagt om het vastleggen van gegevens over natuurlijke personen, waar de AVG bepaalt dat er zo min mogelijk privacygevoelige data moeten worden vastgelegd.
Nog even over de AVG
Doel van de AVG is de persoonsgegevens van burgers in de EU te beschermen. Daardoor heb je als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. Zo mag je alleen noodzakelijke gegevens vastleggen.
Overtreedt een organisatie de AVG, dan kan de Autoriteit Persoonsgegevens een boete opleggen, van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Maar wat zegt de AVG over de bewaartermijn?
De gegevens mogen niet langer dan noodzakelijk bewaard worden om het doel waarvoor het verzameld is te bereiken. In het geval van de Wwft heeft u gegevens verzameld om een identiteit vast te stellen en te verifiëren. Volgen we de AVG, dan zouden deze gegevens hierna vernietigd moeten worden. Hier ontstaat dan ook een spanningsveld.
Nog even over de Wwft
Het doel van de Wwft is om witwassen en de financiering van terrorisme te voorkomen. Wwft-plichtige instellingen moeten cliëntenonderzoek doen en verdachte transacties melden bij de ‘Financial Intelligence Unit’ (FIU). Om dit mogelijk te maken moet allerlei informatie worden geregistreerd.
En wat zegt de Wwft over de bewaartermijn?
Gegevens rondom het cliëntenonderzoek moeten volgens de Wwft minimaal vijf jaar bewaard worden na uitvoering van de transactie of na het beëindigen van de relatie met de cliënt. Hetgeen bewaard moet blijven, bestaat niet alleen uit identificatiepapieren, maar bijvoorbeeld ook uit aantekeningen van gesprekken.
Wat nu?
In het recht geldt dat specifieke wetgeving voorgaat op algemene wetgeving. De AVG is een algemene wet en de Wwft is een bijzondere wet. De Wwft zou in dezen voorgaan. Je dient identiteitsgegevens vijf jaar te bewaren, met de komst van de AVG is voor de bewaartermijn dus niets veranderd.
Maar let op!
Over het bewaren van een kopie van een identiteitsbewijs geldt het volgende: wanneer cliënten ter vaststelling en verifiëring van hun identiteit een kopie van het identiteitsbewijs overhandigen, dan staat hier vanzelfsprekend een BSN en pasfoto op. Dit zijn bijzondere gegevens en die mogen volgens de AVG alleen verwerkt worden als daarvoor een wettelijke grondslag bestaat. De Wwft geeft hiervoor geen grondslag en je mag die specifieke gegevens daarom niet bewaren. Ook niet wanneer de cliënt ze zelf aan jou heeft overhandigd.
Er geldt hier echter nog een uitzondering: als een notaris een kopie van het identiteitsbewijs nodig heeft, dan mag hij wel een volledige kopie maken en bewaren.
De combinatie van AVG en Wwft hoeft dus geen problemen met zich mee te brengen. Veel organisaties zijn echter (nog) niet volledig compliant op het gebied van Wwft, waardoor ze hoge boetes en in het slechtste geval zelfs verlies van hun vergunning riskeren.
Wie de basis van de Wwft nog niet kent, verwijzen we naar onze gloednieuwe whitepaper Wat betekent de Wwft voor jou?