Banken en andere financiële instellingen zitten in toenemende mate klem tussen de Wwft, die eist dat zij verregaande screening uitvoeren in het kader van Know-Your-Customer, en de AVG, die eist dat zij slechts een minimum aan gevoelige gegevens van klanten opslaan. Het resultaat: banken moeten van soms honderdduizenden dossiers uitpluizen of alle persoonsgegevens conform de regels worden bewaard.
Een recente uitspraak van Kifid leek de banken wat lucht te geven, maar die hoop werd al snel de kop ingedrukt. De boosdoener is het Burgerservicenummer (BSN). Dit nummer houdt de financiële sector al langer in haar greep en is onderwerp van verhitte discussie. Namelijk: bewaren of niet bewaren. Kifid sprak hierover begin dit jaar een bindend oordeel uit. Banken mogen het wel degelijk opvragen, vastleggen en bewaren maar een kopie van het ID-bewijs mag niet onbewerkt worden opgeslagen. Zulk koorddansen is kenmerkend voor de frictie tussen enerzijds een verscherping van de poortwachtersrol van financiële instellingen en anderzijds de toenemende privacybescherming van consumenten.
Vreugdesprong
Compliance-medewerkers die na het lezen van deze uitspraak wellicht een vreugdesprongetje maakten, stonden al snel weer met beide benen op de grond. Hoewel banken het BSN mogen blijven verwerken, moet de pasfoto wel altijd worden afgeschermd. Evenzo moet het document worden voorzien van een watermerk. De enige grond op basis waarvan banken het BSN mogen verwerken, is omdat zij wettelijk verplicht zijn om bij het verstrekken van informatie aan de Belastingdienst het BSN te vermelden. Hiernaast moeten zij vanwege het depositogarantiestelsel het BSN van hun rekeninghouders delen met De Nederlandsche Bank.
In veel andere gevallen mogen financiële dienstverleners het BSN helemaal niet in bezit hebben. Hypotheekverstrekkers bijvoorbeeld mogen pas over een BSN beschikken als de hypotheek definitief akkoord is. Dus zolang het aanbod in de offerte nog niet door de nieuwe klant is geaccepteerd, mag de kredietverstrekker het BSN van die mogelijk toekomstige klant in geen enkel geval verwerken. Zelfs niet als die daarvoor toestemming geeft. In de praktijk betekent dit dat consumenten eigenlijk zelf het BSN moeten doorkrassen voordat zij documenten met hypotheekverstrekkers delen. Brancheorganisaties roepen partijen in de loonaangifteketen dan ook op om documentatie in een variant met BSN en in een variant zonder BSN beschikbaar te stellen. Onder meer het UWV en Stichting Pensioenregister (SPR) zijn hier al toe overgegaan.
Legacydata
Maar dat is slechts een deel van het probleem. Want wat te doen met legacydata die zich reeds in een digitaal archief bevindt? In het digitale archief van financiële instellingen is decennia aan privacygevoelige data van klanten opgeslagen, waar de instellingen dus niet langer over mogen beschikken. Deze data moet dus onleesbaar worden gemaakt. Om dit allemaal handmatig te doorzoeken, zou een gemiddelde inspanning van zo’n tien minuten per klantdossier noodzakelijk zijn. Extrapoleer je dit naar het totaal van een kleine vijf miljoen hypotheeknemers in Nederland, dan lijkt handmatige verwerking geen optie. Echter, vanwege de beperkte beschikbaarheid van de benodigde technologie wordt dit door veel banken wel gezien als de enige oplossing. Als gevolg hiervan is er naar schatting van De Nederlandsche Bank ruim 20% van al het bankpersoneel actief op het gebied van compliance.
De oplossing: Blurrify
Handmatig verwerken lijkt een onwerkbare oplossing. Niet alleen vanwege de tijd die het kost, maar vooral ook vanwege de beperkte betrouwbaarheid van het routinematige werk alsmede de frauderisico’s waaraan banken klanten blootstellen bij het handmatig laten doorlopen van hun meest gevoelige financiële gegevens. Om deze reden zoekt de financiële sector in toenemende mate naar geautomatiseerde oplossingen om te voldoen aan wet- en regelgeving. De markt voor deze oplossingen is inmiddels zelfs zo groot dat het een aparte naam heeft: regulatory technology (regtech).
Eén van de spelers op deze markt is de Nederlandse fintech Hyarchis. Net na de introductie van de Algemene verordening gegevensbescherming (AVG) in 2018, heeft het al een applicatie ontwikkeld die voorziet in de eisen van de recente Kifid-uitspraak. Adriaan Hoogduijn, CEO van Hyarchis, stond aan de basis van deze applicatie en zegt hierover: “Vanaf de introductie van de AVG hebben we de ietwat onwerkelijke discussie over het BSN van dichtbij gevolgd. Zo’n 85% van alle Nederlandse hypotheken staat in onze systemen en ondanks de verdeeldheid onder hypotheekverstrekkers hebben wij op basis van onze interpretatie van de AVG besloten om een oplossing te ontwikkelen voor naleving hiervan – Hyarchis Blurrify. De Europese Unie heeft dit gesteund met een aanzienlijke subsidie waarmee we in samenwerking met enkele Europese universiteiten een AI-gedreven applicatie hebben ontwikkeld die inmiddels in Nederland, België en Duitsland wordt ingezet om te voldoen aan Europese privacywetgeving.”
Elke werkdag het belangrijkste financiële nieuws in uw mailbox? Meld u gratis aan voor InFinance Daily.
