Febelfin verwelkomt inwerkingtreding GDPR: “Privacy is en blijft voor banken meer dan ooit een kwestie van vertrouwen”

Wat betekent GDPR voor de klant?

Meer transparantie

Banken zullen nog duidelijker moeten aangeven waarvoor ze de gegevens van hun klanten gebruiken en verwerken. Ze mogen die gegevens niet zomaar hergebruiken voor andere doeleinden dan aanvankelijk gepland. Dat zullen de banken nog beter moeten kaderen.

Een voorbeeld: wanneer de klant zijn gegevens aan zijn bank toevertrouwt om bijvoorbeeld een MiFID-profiel op te stellen, dan mag zijn bank die gegevens niet zomaar gebruiken om die klant pakweg een kredietproduct voor te stellen. Voorwaarde is namelijk dat de andere doeleinden in lijn liggen met de doeleinden waarvoor de gegevens initieel werden verzameld. Is dat niet het geval, dan zal de bank de gegevens alleen mogen gebruiken indien dat moet omwille van wettelijke verplichtingen waaraan ze moet voldoen of indien de klant expliciet toestemming geeft voor het gebruik.

Meer rechten

In gevallen waarbij banken expliciet toestemming moeten vragen aan de klant om diens gegevens te mogen verwerken, moet het voortaan gaan om een specifieke, vrijwillige en welgeïnformeerde toestemming. Het gebruik van vooraf aangevinkte vakjes (zogenaamde opt-out) om die toestemming te vragen, wordt dus de uitzondering.

Daarnaast versterkt de GDPR de rechten van klant: Zo heeft die het recht om:

  • geïnformeerd te worden over de verwerking van zijn gegevens;
  • zijn gegevens te raadplegen, te corrigeren of te wissen;
  • zich te verzetten tegen de verwerking van die gegevens;
  • de verwerking van gegevens te laten beperken;
  • zich te verzetten tegen een volledig geautomatiseerde besluitvorming op basis van persoonsgegevens.

Het merendeel van die rechten bestond al onder de Privacywet (1992). Een revolutie vormt de GDPR op dat vlak dus niet. Wat de nieuwe verordening wel doet, is de modaliteiten aanscherpen op basis waarvan de klant zijn rechten kan uitoefenen (vorm, termijn). In principe zal de bank binnen de maand moeten ingaan op het verzoek van een klant om die rechten uit te oefenen en mag ze daarvoor alleen kosten aanrekenen wanneer blijkt dat een vraag buitensporig en duidelijk ongegrond is.

Wel nieuw: het recht op overdraagbaarheid van gegevens. Via dit recht kan de klant aan zijn bank vragen om bepaalde gegevens die de bank over hem bezit, over te dragen of te gebruiken voor andere diensten. Een duidelijk voorbeeld uit een andere sector: een consument wil zijn favoriete playlists laten overzetten van bijvoorbeeld Apple Music naar Spotify. In een bancaire context zal dit recht echter niet zoveel impact hebben, want wij kennen al de bij wet geregelde bankoverstapdienst waarmee we beantwoorden aan de meeste noden van een klant die van bank wil veranderen.

Meer bescherming

De verplichtingen op het vlak van veiligheid zijn veel strenger geworden, ook al hebben de banken al zeer strenge verplichtingen op het gebied van cybersecurity die veel verder gaan dan wat GDPR vereist.

Als gevolg van GDPR zijn er specifieke procedures voorzien om de klant te beschermen indien zijn gegevens zouden uitlekken of verloren gaan. Banken zullen bijvoorbeeld gegevenslekken binnen de 72 uur moeten melden bij de Gegevensbeschermingsautoriteit (opvolger van de Privacycommissie) en desgevallend ook rechtstreeks aan de klant.

Wat mag de klant verwachten van zijn bank in het kader van GDPR?

Banken beschikken over heel wat data die hun klanten als gevoelig beschouwen. Klanten hebben dan ook terecht hoge verwachtingen en hechten veel belang aan transparantie, vertrouwelijkheid en veiligheid bij het gebruik van klantengegevens in een financiële context. Zo wil de Belgische burger liever niet dat het saldo en nummer van zijn rekening, zijn inkomen of informatie over zijn beleggingen breed verspreid worden.

GDPR is daarom vooral een evolutie op regelgevend vlak, geen revolutie. Een groot deel van de verplichtingen bestonden namelijk al onder de Privacywet van 1992. Bovendien was databeheer voor banken ook al belangrijk in het verleden. Ze hebben altijd al nood gehad aan een goed datamanagement om risico’s te kunnen beheren en ze zijn op dat vlak onderworpen aan heel wat specifieke reglementering die vaak een stuk verder gaat dan wat GDPR voorschrijft.

Hoefden banken zich dan niet voor te bereiden? Zeker wel. Nog vóór GDPR werd goedgekeurd, hebben ze de verordening geanalyseerd om zich goed te kunnen voorbereiden op de inwerkingtreding en om de gevolgen correct te kunnen begrijpen.

Na de goedkeuring zijn die werkzaamheden alleen maar intenser geworden. Twee jaar de tijd kregen de banken … Dat kan lang lijken, maar in werkelijkheid was het een heel strakke deadline waarin een heleboel zaken moesten gebeuren: toestemmingen beheren, privacyverklaringen herbekijken, klanten informeren, afspraken maken met leveranciers, werknemers sensibiliseren en bijkomende opleiding organiseren, IT-systemen en procedures bijsturen, ... Voornamelijk werden de voorbereidingen gecoördineerd door de Data protection officers binnen de instellingen, maar ze hadden wel een impact op alle departementen van de bank.

Hieronder een overzicht van de belangrijkste wijzigingen.

Privacyverklaringen

Alle banken hebben hun privacyverklaringen bijgewerkt en ze aan hun klanten voorgelegd. Daarin geven ze de klant informatie over eventuele wijzigingen, doeleinden van de gegevensverwerking, de soorten informatie die ze verwerken, …

Het is belangrijk dat de klant kennisneemt van die privacyverklaringen. Via die weg stellen namelijk heel wat banken hun klanten specifieke vragen, bijvoorbeeld om te weten te komen welke informatie ze de klant nog mogen toesturen. Met de antwoorden van de klant houden ze rekening bij het beheer van de klantengegevens.

Banken namen niet alleen hun eigen privacyverklaringen onder de loep. Ook alle overeenkomsten met leveranciers en onderaannemers moesten worden herzien om er zeker van te zijn dat ook zij de nodige garanties bieden op het vlak van gegevensbescherming.

Procedures

Het principe van minimale verwerking van data vormt in de praktijk een grote uitdaging. De GDPR verwacht dat een bank data alleen bewaart, gebruikt en verwerkt wanneer dat strikt noodzakelijk is en voor zover die gegevens relevant zijn en blijven. Gegevens opslaan zonder een duidelijk doel is niet langer toegestaan.

Op dat punt worden banken geconfronteerd met conflicterende vereisten. GDPR-gewijs moeten ze gegevens zo weinig mogelijk gebruiken en zo snel mogelijk verwijderen, terwijl het voor een goed risicobeheer of voor een goede dienstverlening aan de klant vaak wenselijk is om die data toch een zekere tijd bij te houden. Het juiste evenwicht vinden is niet gemakkelijk. In elk geval vereist het een proactieve, continue en grondige doorlichting van alle databanken waarover de banken beschikken.

Nog een aandachtspunt in dit verband: wanneer er ook gegevens buiten de Europese Unie worden verwerkt, dan hebben banken daarvoor specifieke procedures en contracten moeten voorzien.

Verantwoordelijkheden

Ten slotte is er een grootschalig bewustmakings- en opleidingsprogramma uitgevoerd, op alle niveaus binnen de banken. Dat gaat van de medewerker aan het loket, de diensten, tot de raad van bestuur.

Strategische oefening, nu en in de toekomst

De voorbereidingen binnen de sector zijn heel intensief geweest, maar het werk is niet af vandaag.

Ook in de almaar digitaler wordende toekomst zal de verwerking van persoonsgegevens gebeuren volgens de wettelijke regels en met de toestemming van de klant. De klant heeft hij er vertrouwen in dat zijn bank goed omgaat met deze gegevens en hij staat open voor het gebruik van zijn gegevens in ruil voor een betere en snellere dienstverlening.

Bijgevolg is het vooral belangrijk om het vertrouwen van de klanten in een steeds meer gedigitaliseerde financiële wereld te behouden. Dat aspect maakt de implementatie van GDPR tot een continue strategische oefening voor elke bank, in plaats van een eenvoudig administratief project.