8. GEGEVENSBESCHERMING EN BEWAARPLICHT
8.1 Algemeen
Een Wwft-instelling is verplicht om documenten, gegevens en overige informatie die gebruikt zijn voor de identificatie van de cliënt, de gemachtigde en de UBO van een cliënt en voor de verificatie van identificatie, te bewaren.
Deze bewaarplicht strekt zich uit tot alle informatie die uit hoofde van alle cliëntenonderzoeksmaatregelen vergaard is. Zo dient bijvoorbeeld de informatie die een Wwft- instelling op basis van redelijke maatregelen verwerft over de eigendom- en zeggenschapsstructuur van een cliënt te worden vastgelegd. Een Wwft-instelling dient daarbij ook vast te leggen welke maatregelen zijn genomen om deze structuur in beeld te brengen. Bij het nemen van redelijke maatregelen ten einde de eigendom- en zeggenschapsstructuur van een cliënt in kaart te brengen, verwerft een Wwft-instelling eveneens inzicht in de aard en omvang van een door een UBO gehouden uiteindelijk belang. Ook deze informatie dient te worden vastgelegd.
Hetzelfde geldt voor de beschikbare informatie met betrekking tot het doel en de aard van een zakelijke relatie. Ook die moet worden vastgelegd. Ook moet de overige informatie die is verkregen in het kader van het vereenvoudigd of verscherpt cliëntenonderzoek door een Wwft-instelling worden vastgelegd en bewaard. Daarbij gaat het onder meer om de informatie die met betrekking tot een respondentinstelling wordt verzameld en om de passende maatregelen die Wwftinstellingen treffen om de bron van het vermogen en van de middelen vast te stellen die bij het aangaan of voortzetten van een zakelijke relatie met of het verrichten van een transactie voor een PEP worden gebruikt.
8.2 Bewaartermijn
In paragraaf 5.2.6 is reeds toegelicht welke gegevens of documenten die een Wwft-instelling bij het toepassen van een cliëntenonderzoek heeft verzameld, moeten worden vastgelegd. Deze gegevens dient een Wwft-instelling gedurende vijf jaar na het tijdstip van het beëindigen van de zakelijke relatie of gedurende vijf jaar na het uitvoeren van de transactie te bewaren.
Bij het verstrijken van de bewaartermijn van vijf jaar dienen de op grond van de Wwft verzamelde persoonsgegevens te worden vernietigd, tenzij bij wettelijk voorschrift anders is bepaald.
De gegevens of documenten die in het kader van het cliëntenonderzoek worden vastgelegd en bewaard, bevatten persoonsgegevens. Dit betekent dat het regelgevend kader van de Algemene Verordening Gegevensbescherming (AVG)231 van toepassing is. Het vastleggen en bewaren van persoonsgegevens die in het kader van de Wwft (bijvoorbeeld voor het cliëntenonderzoek) worden verzameld, is een verwerking van persoonsgegevens als bedoeld in de AVG.
8.3 Algemene verordening gegevensbescherming (AVG)
Indien een Wwft-instelling persoonsgegevens verwerkt, gelden een aantal beginselen, die zijn vastgelegd in artikel 5 van de AVG......
Wel kunnen dezelfde persoonsgegevens voor meerdere doeleinden worden verzameld.
De persoonsgegevens die door een Wwft-instelling uit hoofde van de verplichtingen van de Wwft worden verzameld, kunnen ook voor andere doeleinden worden verzameld, zoals voor andere wettelijke verplichtingen of voor de uitvoering van een overeenkomst.
In deze gevallen kan wel verdere verwerking voor een niet-verenigbaar doel zijn toegestaan. Indien dezelfde persoonsgegevens voor meerdere doeleinden worden verwerkt, zal een Wwft-instelling moeten vaststellen voor welke doeleinden deze persoonsgegevens zijn verzameld en aan de hand daarvan moeten vaststellen of verdere verwerking van deze persoonsgegevens is toegestaan.
....Daarbij kan onder meer gedacht worden aan de wettelijke bewaartermijn van vijfjaar. Ook hierbij geldt dat persoonsgegevens die tevens voor andere doeleinden zijn verzameld, op grond van andere wet- en regelgeving aan afwijkende bewaartermijnen onderworpen kunnen zijn.
Alles bij de bron; RijksOverheid [volledig document]
Overheden kijken reikhalzend uit naar een nieuwe datawet waarmee ze bijna onbegrensd privacygevoelige gegevens kunnen delen en analyseren. Tegenstanders waarschuwen voor een herhaling van de toeslagenaffaire. ‘Dit is de legalisatie van willekeur.'
11 juni heeft de Eerste Kamer het laatste woord over de Wet gegevensverwerking samenwerkingsverbanden (WGS). Komt die wet erdoor, dan krijgt de overheid vergaande vrijheid om van burgers gegevens te verzamelen, te analyseren en te delen.
De overheid wil meer armslag bij de aanpak van criminaliteit en handhaving van de openbare orde. Bij signalen van witwassen bekijkt de fiscus bijvoorbeeld graag de gegevens die andere overheidsdiensten al over de vermoedelijke witwasser in huis hebben. Dit onderling grasduinen in databestanden gebeurt in zogeheten samenwerkingsverbanden. Maar die praktijk staat op gespannen voet met de grondwet, die de burger recht geeft op ‘eerbiediging van zijn of haar persoonlijke levenssfeer’.
Op papier beoogt de nieuwe wet die spanning op te lossen: meer ruimte voor (het delen van) ‘geautomatiseerde gegevensanalyses’, en minder ruimte om de burger bloot te stellen aan de risico’s daarvan, zoals stigmatisering of discriminatie. In werkelijkheid schiet de wet juist op dat tweede front tekort, zegt onder andere de Autoriteit Persoonsgegevens: rechten van burgers worden erdoor uitgehold.
Geruchten (of zoiets als opvallende kenmerken in een databestand) kunnen het startschot zijn voor een dataverzameling waarin te hooi en te gras informatie wordt vastgelegd die de onwetende burger niet kan verifiëren – en waartegen hij zich ook niet kan verweren. Dit laatste is volgens privacydeskundigen het grootste probleem. De Wet gegevensbescherming zet de burger met lege handen tegenover de almacht van de overheid.
Alles bij de bron; FTM [inloggen noodzakelijk]
Afgelopen maart meldde demissionair minister Yesilgöz van Justitie en Veiligheid dat het kabinet het luchtalarm eind 2025 door NL-Alert wil vervangen. De aankondiging zorgde voor allerlei kritiek, onder andere van veiligheidsregio's en burgemeesters. Daarop stemde een meerderheid in de Kamer voor een motie om het luchtalarm te behouden.
"Gezien de geopolitieke spanningen en de militaire dreiging door oorlog is het eigenlijk best gek dat we straks geen alarmeringssysteem meer hebben. Dat moet in mijn beleving naast NL-Alert bestaan. De motie-Eerdmans, waar wij ook onder staan, was helder. Hoe gaat de minister die samen met Defensie uitvoeren?", vroeg GroenLinks-PvdA-Kamerlid Mutluer tijdens een commissiedebat over nationale veiligheid, brandweer en crisisbeheersing.
"... vooralsnog constateren wij een scheefgroei tussen de toenemende en snel ontwikkelende dreiging en de opbouw van de digitale weerbaarheid. Daarom hechten wij eraan dat we geen volledige afhankelijkheid creëren van een mobiele app, zoals NL-Alert, in het geval van noodsituaties", liet NSC-Kamerlid Six Dijkstra weten.
CDA-Kamerlid Bosman noemde het gezien de huidige situatie 'onbegrijpelijk' om het luchtalarm uit te faseren. "... de realiteit is dat landen met een cyberprogramma ook dit kunnen beïnvloeden. Het lijkt mij dat je dan juist kunt terugvallen op technieken uit het stenen tijdperk. Doe het dus vooral dubbel."
De SP bestempelde het afschaffen van de sirenes als een 'onverstandig plan'. "Wij vinden dan ook dat de sirenes en NL-Alert voorlopig naast elkaar moeten blijven bestaan. De SP steunt dus het plan voor de sirenes en niet het plan van de minister op dat punt", merkte SP-Kamerlid Van Nispen op.
Minister Yesilgoz antwoordde "... Als je zo veel mogelijk gedetailleerde informatie wil horen over de dreiging en het bijbehorende handelingsperspectief, dan lukt dat niet aan de hand van een sirene. Daarvoor heb je NL-Alert. We weten ook dat als dat eruit ligt, er grote kans is dat de WAS-palen er op dat moment ook uit liggen."
De minister ging verder door te zeggen dat er keuzes moeten worden gemaakt. "Maar de kosten moeten daarin niet leidend zijn. Ik weet dat ik de vierde of vijfde minister op rij ben die een poging waagt om de WAS-palen af te schaffen. Het is ook mij niet gelukt, dus we gaan zien wat mijn opvolger voor elkaar krijgt."
Alles bij de bron; Security
Graag informeer ik uw Kamer, mede namens de minister van Economische Zaken en Klimaat, de minister van Justitie en Veiligheid en de minister voor Rechtsbescherming, over de voortgang en afdoening van moties en toezeggingen die raken aan het onderwerp AI en algoritmes.
Omdat de moties en toezeggingen in veel gevallen met elkaar samenhangen, leek het mij overzichtelijk om dit in een verzamelbrief te doen. In de bijlage treft u een overzicht aan van alle moties en toezeggingen die ik behandel in deze brief en in hoeverre die hiermee zijn afgedaan.
Alles bij de bron; RijksOverheid
Op 21 december 2023 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties, mede namens mij, uw Kamer bij brief geïnformeerd over de regeling.
In de brief is uiteengezet dat, vooruitlopend op de inwerkingtreding van de Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, het hoofd van de betreffende dienst met het oog op dringende redenen van de nationale veiligheid een onderbouwd verzoek kan doen aan de betreffende minister tot vaststelling van een nieuwe eindtermijn van telkens ten hoogste één jaar voor het kunnen blijven gebruiken van een bulkdataset. In de brief is tevens de toezegging gedaan dat uw Kamer terstond wordt geïnformeerd indien voor een bulkdataset een nieuwe eindtermijn is vastgesteld.
De regeling is de afgelopen periode vijfmaal toegepast, waarvan tweemaal door de minister van Binnenlandse Zaken en Koninkrijksrelaties en driemaal door mij...
...de regeling komt te vervallen op het moment dat de Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma in werking treedt. Dit is voorzien per 1 juli 2024.
Alles bij de bron; RijksOverheid
De Tweede Kamer heeft een motie aangenomen om gegevens van ggz-patiënten te vernietigen die voor de Nederlandse Zorgautoriteit (NZa) werden verzameld. Demissionair minister Helder van Volksgezondheid had de Kamer aangeraden om tegen de motie te stemmen. Uiteindelijk werd de motie met 105 stemmen voor en 45 tegen aangenomen.
Psychiaters en psychologen zijn door de NZa verplicht om informatie over iedere patiënt aan te leveren. Het gaat daarbij ook om antwoorden op HONOS+-vragen, die zeer gevoelig kunnen zijn.
HONOS staat voor Health Of the Nation Outcome Scales en is een vragenlijst die een behandelaar over zijn patiënt invult. Het gaat dan om zaken als problematisch alcohol- of drugsgebruik, hyperactief, agressief, destructief of geagiteerd gedrag, problemen als gevolg van hallucinaties en waanvoorstellingen, suïcidepogingen en gedachten over suïcide, problemen met relaties en overige psychische en gedragsproblemen.
De Consumentenbond stelde vorig jaar dat de NZa te weinig gedaan heeft om patiënten over de maatregel te informeren, wat in strijd is met de Algemene verordening gegevensbescherming (AVG). Uit onderzoek blijkt dat de meeste patiënten niet weten dat ze bezwaar kunnen maken.
Wanneer ggz-patiënten achteraf een privacyverklaring indienen om bezwaar te maken zorgt dit er niet voor dat al gedeelde en verzamelde gegevens worden verwijderd, zo meldde het platform voor ggz-patiënten MIND. Zodra de gegevens zijn opgestuurd door de behandelaar, zijn deze niet meer uit de dataset te halen.
In een motie werd het kabinet opgeroepen om de nu al verzamelde HONOS+-data te vernietigen en ervoor te zorgen dat er wordt gestopt met de uitvraag van HONOS+-vragenlijsten. Verder werd de regering verzocht om ervoor te zorgen dat de NZa bij het voorspellen van zorgkosten in de GGZ voortaan slechts gebruikmaakt van geaggregeerde data en geen patiëntgegevens op persoonsniveau.
"MIND is opgelucht door dit besluit. Sinds de start van de verzameling in juli 2022 pleiten we ervoor om cliënten en naasten zeggenschap over hun gegevens te geven. MIND vindt dat mensen altijd de regie moeten behouden over hun gegevens", zo laat het platform weten. "Deze motie is een belangrijke stap in de juiste richting."
Alles bij de bron; Security
Staatssecretaris Van Rij (Fiscaliteit en Belastingdienst) en staatssecretaris De Vries (Toeslagen en Douane) geven antwoord op vragen over het advies van de landsadvocaat over geautomatiseerde selectietechnieken.
De vragen zijn gesteld door de vaste commissie voor Financiën in een verslag van een schriftelijk overleg (VSO) Verwerking en Bescherming Persoonsgegevens met de staatssecretarissen.
....Staatssecretaris Van Rij (Fiscaliteit en Belastingdienst) en staatssecretaris De Vries (Toeslagen en Douane) geven antwoord op vragen over het advies van de landsadvocaat over geautomatiseerde selectietechnieken. De vragen zijn gesteld door de vaste commissie voor Financiën in een verslag van een schriftelijk overleg (VSO) Verwerking en Bescherming Persoonsgegevens met de staatssecretarissen.....
....De conclusies van de landsadvocaat zijn echter nog met onzekerheid omgeven. Derhalve is de Autoriteit Persoonsgegevens (AP) gevraagd om onder andere duiding te geven aan het profileringsbegrip
Alles bij de bron; RijksOverheid
,,Waar ik mij als EP-kandidaat oprecht zorgen over maak is de bescherming van onze privacy, van onze gegevens. Dat is ook mijn werk, voorheen bij woonstichting Alwel en de gemeente Etten-Leur, nu bij de Drechtsteden en de Omgevingsdienst. Burgers moeten ervan uit kunnen gaan dat hun gegevens niet misbruikt worden, dat ze veilig zijn. Je hebt gezien bij de toeslagenaffaire hoe schandalig fout het kan gaan.”
Landen, organisaties, gemeenten, de politie: ze hebben data van burgers nodig om goed te kunnen functioneren, hun werk te kunnen doen, ze te kunnen helpen. Maar hoeveel laat je toe?”
,,Data zijn het nieuwe goud; voor multinationals, voor hightechbedrijven, voor mensen die op macht uit zijn, voor criminelen... Dan moet je als overheden zorgen dat je niet met paard en wagen op de digitale snelweg rijdt, dat onze privacygevoelige gegevens veilig zijn. Van dat probleem is niet iedereen zich bewust, we moeten mensen beschermen.”
Alles bij de bron; AD
De Autoriteit Persoonsgegevens gaat vijf jaar lang toezicht houden op de Nederlandse Belastingdienst. Dit 'toezichtarrangement' moet ervoor zorgen dat de bescherming van de persoonsgegevens van burgers en bedrijven verbetert.
De AP gaat onder meer kijken naar het gebruik van risicomodellen binnen de Belastingdienst, de cultuur met betrekking tot het omgaan met persoonsgegevens bij het overheidsorgaan en de uitwisseling van gegevens.
De afgelopen jaren was de Belastingdienst meermaals bij privacyschandalen betrokken. Het overheidsorgaan kreeg onder meer een AVG-boete voor het discrimineren op basis van nationaliteit in het kader van de toeslagenaffaire. In het verlengde daarvan werden omstreden risicomodellen gebruikt voor de profilering van burgers en bedrijven. Ook bleken persoonsgegevens van burgers voor medewerkers van de dienst inzichtelijk terwijl zoekopdrachten niet gelogd werden.
Alles bij de bron; Tweakers
De internetconsultatie van de Cyberbeveiligingswet is van start gegaan. Via de consultatieronde is het mogelijk verbetersuggesties aan te dragen voor het wetsvoorstel, dat de Europese NIS2-richtlijn in Nederlandse wetgeving omzet.
De Cyberbeveiligingswet is de opvolger van de zogeheten Wet beveiliging netwerk- en informatiesystemen (Wbni). Ten opzichte van deze wet bevat het wetsvoorstel een aantal wijzigingen. Allereerst is het aantal sectoren en daarmee het aantal organisaties dat onder de wet valt vergroot. Ook omvat het wetsvoorstel regels omtrent een zorgplicht (cyberbeveiligingsmaatregelen), meldplicht (het melden van incidenten) en toezicht op naleving.
Reageren op het wetsvoorstel kan tussen 21 mei en 2 juli 2024 hier. Na de consultatieperiode worden alle reacties bekeken en wordt eventueel het wetsvoorstel aangepast. Het resultaat van de consultatie en de verwerking daarvan wordt in een verslag op hoofdlijnen vermeld op de website van de internetconsultatie.
Alles bij de bron; Dutch-IT-Channel