GDPR: klantengegevens in goede handen bij de Belgische banken

25 mei 2018

Vandaag, vrijdag 25 mei, treedt de General Data Protection Regulation (GDPR) in werking. De Europese privacywetgeving zorgt voor meer transparantie en scherpt de rechten en de bescherming van de consumenten aan op het vlak van persoonlijke informatie. Doelstellingen die de Belgische banken alleen maar toejuichen. Ze springen zorgvuldig om met klantengegevens: de banken geven geen klantendata door aan derden voor commerciële doeleinden, tenzij de klant daar specifiek toestemming voor geeft.

Karel Van Eetvelt, CEO Febelfin: “Meer dan 60% van de banken heeft extra personeel aangeworven voor GDPR, bij grootbanken gaat het al snel over meer dan 10 man extra. De CEO’s van onze banken zijn trouwens duidelijk over de toepassing van GDPR: als banksector geven wij geen klantengegevens door aan derden voor commerciële doeleinden, zonder dat de klant daar eerst specifiek toestemming voor heeft gegeven. Sinds jaar en dag springt de sector zorgvuldig om met klantengegevens, wat sterk geapprecieerd wordt door de klant. Uit een Febelfin bevraging blijkt dat 4/5e van de Belgen vertrouwen heeft in de wijze waarop zijn bank omgaat met persoonsgegevens.”

Privacy: een kwestie van vertrouwen

Uit een enquête van Febelfin (gepubliceerd in 2016) blijkt dat de Belgische klant zijn bank sterk vertrouwt in het gebruik van zijn klantengegevens. Zo geeft 81% van de respondenten aan vertrouwen in zijn bank te hebben. Daarmee doet de bank het even goed als het ziekenhuis (81%), de politie (81%) of de mutualiteit (84%). Enkel de huisdokter scoort met 92% nog beter. Internet-en sociale mediabedrijven bungelen daarentegen helemaal onderaan de lijst.

Wat verandert GDPR voor u?

De Belgische banken hebben de gegevens van hun klanten altijd al met de nodige voorzichtigheid beheerd. Privacy en veiligheid zijn een absolute prioriteit. De nieuwe privacywetgeving verandert aan dat principe op zich weinig.

Uiteraard is het wel zo dat GDPR de privacyregels in het algemeen versterkt. Een overzicht:

Transparantie

Banken zullen nog duidelijker moeten aangeven waarvoor ze de gegevens van hun klanten gebruiken en verwerken. Ze mogen die gegevens niet zomaar hergebruiken voor andere doeleinden dan aanvankelijk gepland.

Een voorbeeld: wanneer de klant zijn gegevens aan zijn bank toevertrouwt om bijvoorbeeld een MiFID-profiel op te stellen, mag zijn bank die gegevens niet zomaar gebruiken om die klant pakweg een kredietproduct voor te stellen.

Rechten

Als de banken de toestemming moeten vragen van hun klant om gegevens te verwerken dan volstaat niet zomaar een toestemming maar moet een specifieke, vrijwillige en welgeïnformeerde toestemming worden bekomen. Een toestemming via een opt-out systeem (vooraf aangevinkt vakje) zal dan ook eerder uitzonderlijk worden.

Binnen GDPR heeft de klant onder meer het recht om:

  • geïnformeerd te worden over de verwerking van zijn gegevens;
  • zijn gegevens te raadplegen, te corrigeren of te wissen;
  • zich te verzetten tegen de verwerking van die gegevens;
  • de verwerking van gegevens te laten beperken.

Het merendeel van die rechten bestond al onder de Privacywet (1992). De nieuwe verordening scherpt de modaliteiten aan op basis waarvan de klant zijn rechten kan uitoefenen. In principe zal de bank binnen de maand moeten ingaan op het verzoek van een klant om die rechten uit te oefenen en mag ze daarvoor alleen kosten aanrekenen wanneer blijkt dat een vraag buitensporig en duidelijk ongegrond is.

Nieuw binnen GDPR is het recht op overdraagbaarheid van gegevens. Via dit recht kan de klant aan zijn bank vragen om bepaalde gegevens die de bank over hem bezit, over te dragen of te gebruiken voor andere diensten. Een voorbeeld uit een andere sector: een consument wil zijn favoriete playlists laten overzetten van bijvoorbeeld Apple Music naar Spotify. Gelet op het bestaan van de bankoverstapdienst verwachten we hier echter slechts een beperkte impact van voor de financiële sector.

Bescherming

De verplichtingen op het vlak van veiligheid zijn veel strenger geworden, ook al hebben de banken al zeer strenge verplichtingen op het gebied van cybersecurity die veel verder gaan dan wat GDPR vereist.

Als gevolg van GDPR zijn er specifieke procedures voorzien om de klant te beschermen indien zijn gegevens zouden uitlekken of verloren gaan. Banken zullen lekken binnen de 72 uur moeten melden bij de Gegevensbeschermingsautoriteit (opvolger van de Privacycommissie) en desgevallend ook rechtstreeks aan de klant.

Wat mag u verwachten van uw bank in het kader van GDPR?

Banken beschikken over heel wat data die klanten als gevoelig beschouwen. Klanten hebben dan ook terecht hoge verwachtingen en hechten veel belang aan transparantie, vertrouwelijkheid en veiligheid bij het gebruik van klantengegevens in een financiële context. Zo wil de Belgische burger liever niet dat het saldo en nummer van zijn rekening, zijn inkomen of informatie over zijn beleggingen breed verspreid worden.

GDPR is vooral een evolutie op regelgevend vlak, eerder dan een revolutie. Een groot deel van de verplichtingen bestonden al onder de Privacywet van 1992. Bovendien was databeheer voor banken ook al belangrijk in het verleden. Ze hebben altijd al nood gehad aan een goed datamanagement om risico’s te kunnen beheren en ze zijn op dat vlak onderworpen aan heel wat specifieke reglementering die vaak een stuk verder gaat dan wat GDPR voorschrijft.

Meer informatie

Uitgebreide informatie over GDPR binnen de banksector vindt u hier.

Benieuwd naar wat de consument verwacht van zijn bank in het digitale tijdperk? Wilt u meer weten over wat de bank allemaal met uw gegevens kan doen? Neem dan zeker een kijkje in de brochure “De digitale bank en uw privacy: een kwestie van wederzijds vertrouwen”

Voor meer informatie kunt u eveneens terecht bij Isabelle Marchand, woordvoerster van Febelfin, op het centrale persnummer 02 507 68 31 of via press@febelfin.be.

Meer over: