Michel Klompmaker
Zoals bekend hebben banken en andere financiële instellingen in Nederland te maken met de “Wet ter voorkoming van witwassen en financieren van terrorisme”, afgekort Wwft. Deze wet vereist het uitvoeren van verregaande screening bij het aanvaarden van nieuwe klanten en het regelmatig onderzoeken van bestaande klanten aan de ene kant maar aan de andere kant is er de AVG, die eist dat zij slechts een minimum aan gevoelige gegevens van klanten kunnen en mogen opslaan. Het resultaat is dat soms duizenden dossiers uitgezocht moeten worden om er zeker van te zijn of alle persoonsgegevens conform de regels worden bewaard. Een recente uitspraak van Kifid leek de banken wat lucht te geven, maar die hoop werd al snel de kop ingedrukt. De boosdoener is het burgerservicenummer, ook bekend als BSN. Dit nummer houdt de financiële sector al langer in haar greep en is onderwerp van verhitte discussie. De kwestie is namelijk bewaren of niet bewaren. We spraken erover met Adriaan Hoogduijn, CEO van Hyarchis.
We vroegen Adriaan hoe dat nu zit met het oordeel van Kifid. “De banken mogen het burgerservicenummer wel degelijk opvragen, vastleggen en bewaren maar een kopie van het ID-bewijs mag niet onbewerkt worden opgeslagen. Dit is echt een vorm van koorddansen en is kenmerkend voor de frictie tussen enerzijds een verscherping van de rol als poortwachter van financiële instellingen en anderzijds de toenemende privacybescherming van consumenten. Compliance medewerkers die na het lezen van deze uitspraak wellicht een vreugdesprongetje maakten, stonden al snel weer met beide benen op de grond. Hoewel banken het BSN mogen blijven verwerken, moet de pasfoto wel altijd worden afgeschermd. Ook moet het document worden voorzien van een watermerk. De enige grond op basis waarvan banken het BSN mogen verwerken, is omdat zij wettelijk verplicht zijn om bij het verstrekken van informatie aan de Belastingdienst het BSN te vermelden.”
Hoogst actueel gezien het recente faillissement van de Amsterdam Trade Bank moeten de banken vanwege het depositogarantiestelsel het BSN van hun rekeninghouders delen met De Nederlandsche Bank. In veel andere gevallen mogen financiële dienstverleners het BSN helemaal niet in bezit hebben. Zo mogen de verstrekkers van hypotheken pas over een BSN beschikken als de hypotheek definitief akkoord is. Dus zolang het aanbod in de offerte nog niet door de nieuwe klant is geaccepteerd, mag de kredietverstrekker het BSN van die mogelijk toekomstige klant in geen enkel geval verwerken. Zelfs niet als die daarvoor toestemming geeft. In de praktijk betekent dit dat consumenten eigenlijk zelf het BSN moeten doorkrassen voordat zij documenten met hypotheekverstrekkers delen. Brancheorganisaties roepen partijen in de loonaangifteketen dan ook op om documentatie in een variant met BSN en in een variant zonder BSN beschikbaar te stellen. Onder meer het UWV en Stichting Pensioenregister (SPR) zijn hier al toe overgegaan.
Risk & Compliance Platform Europe: Problemen alom dus. Maar hoe zit dat dan met de legacy van data? Wat te doen met de data die zich al in een digitaal archief bevinden?
Adriaan Hoogduijn: “Tja, dat is wel een probleem, want in de digitale archieven van financiële instellingen is gedurende de afgelopen tientallen jaren privacygevoelige data van klanten opgeslagen, waar de instellingen dus niet langer over zouden mogen beschikken. Deze data moet dus op de een of andere manier onleesbaar worden gemaakt. Om dit allemaal handmatig te doorzoeken, schat ik in dat dit qua tijd zo’n tien minuten per klantdossier zou kosten. Reken maar even uit wat de consequenties zijn alleen al in het geval van zo’n kleine vijf miljoen hypotheeknemers in Nederland. Handmatige verwerking is dan echt geen optie meer. Maar als gevolg van het ontbreken van de benodigde technologie wordt dit door veel banken nog wel gezien als een oplossing. Het gevolg daarvan is dat naar schatting van De Nederlandsche Bank ruim twintig procent van al het bankpersoneel actief op het gebied van compliance.”
Risk & Compliance Platform Europe: Het is bekend dat erg veel medewerkers van financiële dit niet-productieve werk doen. Maar zie je dan een oplossing voor dit probleem?
Adriaan Hoogduijn: “We zij het er over eens dat het handmatig verwerken eigenlijk een onwerkbare oplossing is. Niet alleen vanwege de tijd, maar vooral ook vanwege de beperkte betrouwbaarheid van het routinematige werk, alsmede de frauderisico’s waaraan banken klanten blootstellen bij het handmatig laten doorlopen van hun meest gevoelige financiële gegevens. Om deze reden zoekt de financiële sector in toenemende mate naar geautomatiseerde oplossingen om te voldoen aan wet- en regelgeving. De markt voor deze oplossingen is inmiddels zelfs zo groot dat het een aparte naam heeft te weten Regulatory Technology, afgekort RegTech. Wij zijn een van die spelers op deze markt. Net na de introductie van de Algemene verordening gegevensbescherming (AVG) in 2018, hebben wij al een applicatie ontwikkeld die voorziet in de eisen van de recente Kifid-uitspraak. Wij hebben vanaf de introductie van de AVG de ietwat onwerkelijke discussie over het BSN van dichtbij gevolgd. Zo’n 85% van alle Nederlandse hypotheken staat in onze systemen en ondanks de verdeeldheid onder hypotheekverstrekkers hebben wij op basis van onze interpretatie van de AVG besloten om een oplossing te ontwikkelen voor naleving hiervan onder de naam Hyarchis Blurrify. We zijn bijzonder blij dat de Europese Unie ons hierbij gesteund heeft met een aanzienlijke subsidie waarmee we in samenwerking met enkele Europese universiteiten een AI-gedreven applicatie konden ontwikkelen die inmiddels in Nederland, België en Duitsland wordt ingezet om te voldoen aan Europese privacywetgeving.”