Geen carte blanche DNB en AFM voor massale dataverwerking

Het ministerie van Financiën heeft in twee internetconsultaties voorgesteld dat de financiële toezichthouders Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) op grote schaal persoonsgegevens van klanten mogen gaan opvragen bij financiële instellingen zoals banken. Privacy First heeft deelgenomen aan beide consultaties[*] en heeft zware kritiek op de voorstellen, nu beide toezichthouders al op grote schaal persoonsgegevens verwerken zonder dat daar publieke verantwoording over wordt afgelegd.

3 juli 2024

Discriminatie

Financiën

Toezichthouders

Financiële persoonsgegevens lopen risico

Op dit moment wordt de privacy van burgers op grote schaal bedreigd door grote advertentiebedrijven zoals Facebook en Google. Tot op zekere hoogte kun je jezelf echter onttrekken aan de pogingen van deze bedrijven om alles over je te weten te komen.

Financiële persoonsgegevens zijn tot nu toe redelijk buiten schot gebleven van de datahonger van de internetgiganten en overheden. Het is veel moeilijker voor mensen om hun financiële persoonsgegevens te beschermen omdat je nu eenmaal niet zonder banken, verzekeraars en andere financiële instellingen kunt. Die instellingen bieden essentiële producten aan, bijvoorbeeld een WA-verzekering of een betaalrekening, zonder welke burgers niet volwaardig kunnen deelnemen aan de maatschappij. Burgers moeten erop kunnen vertrouwen dat hun privacy bij hun bank gewaarborgd is en dat de overheid hun privacy niet stelselmatig schendt door aan de achterdeur bij banken stelselmatig hun data op te vragen en die data vervolgens met elkaar en andere nationale en internationale overheidsinstanties te delen. Dit zou het wettelijke grondrecht op gegevensbescherming tot een dode letter maken.

Daar komt bij dat veel overheidsinstanties al toegang hebben tot bankrekeninggegevens van Nederlanders, bijvoorbeeld via het Verwijzingsportaal Bankgegevens.

Toezichthouders zoeken naar data voor ‘machine learning’

Privacy First heeft geconstateerd dat internationale financiële samenwerkingsverbanden zoals de Bank for International Settlements (BIS) bepleiten dat financiële toezichthouders gebruikmaken van kunstmatige intelligentie (artificial intelligence, AI). Die kunstmatige intelligentie moet door middel van persoonsgegevens en andere gedetailleerde gegevens van personen en organisaties (‘granulaire data’) getraind worden. Gevolg van deze veronderstelling is dat de toezichthouders proberen aan zoveel mogelijk granulaire data te komen, waartoe de financiële persoonsgegevens van iedere burger behoren.

Privacy First vindt dat ongewenst en wijst op het advies van de Raad voor het Openbaar Bestuur (ROB) van mei 2021, bekendgemaakt via het nieuwsbericht ‘Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger‘. De ROB bepleit een volwassen afweging van de noodzaak om persoonsgegevens aan de overheid te verschaffen, een afweging die in de voorstellen van het ministerie van Financiën ontbreekt.

Grootschalige verwerking van persoonsgegevens door AFM en DNB vindt al plaats

Daar komt nog bij dat zowel AFM als DNB al op grote schaal granulaire data verwerken. Voorbeeld zijn de persoonsgegevens die AFM verwerkt op grond van Mifid 2: weinig beleggers zijn ervan op de hoogte dat de AFM bij iedere aandelenkoop of -verkoop paspoortnummers en/of fiscale nummers en geboortedata van de betrokken belegger ontvangt. Verder ontvangt AFM van pensioenfondsen op grote schaal persoonsgegevens van burgers. DNB ontvangt persoonsgegevens bij uitvoering van het depositogarantiestelsel, onder meer adressen en telefoonnummers, en verwerkt op grote schaal persoonsgegevens in het kader van het witwasbestrijdingstoezicht. Beide toezichthouders ontvangen op grote schaal persoonsgegevens van het Centraal Bureau voor de Statistiek (CBS).

Verantwoording en grondrechtentoetsing gewenst

Privacy First stelt voor dat eerst verantwoording wordt afgelegd van de huidige verwerking van granulaire gegevens door DNB en AFM en dat vervolgens door middel van een adequate grondrechtentoetsing wordt vastgesteld of er wel redenen zijn om financiële instellingen te verplichten extra gegevens te leveren.

Verder achten wij het ongewenst dat de uitwerking van het type persoonsgegevens dat financiële instellingen moeten verschaffen niet plaatsvindt in een wet, maar in een algemene maatregel van bestuur. Voorts is niet transparant hoe de toezichthouders de van financiële instellingen verkregen gegevens gaan koppelen aan andere datasets waarover zij beschikken en dient daar helderheid over te komen. Verschaffing van granulaire data aan internationale organisaties hoort naar de mening van Privacy First niet plaats te vinden.

Tot slot is gewenst dat er onafhankelijk gegevensverwerkingstoezicht op AFM en DNB wordt gecreëerd en dat wordt gezorgd voor andere waarborgen om te voorkomen dat de financiële toezichthouders verkeerd omgaan met persoonsgegevens en andere granulaire data.

[*] Consultatie Wet rapportage hypotheekmarkt DNB en Consultatie Wet toezichtondersteunende rapportage AFM. Lees HIER het volledige commentaar van Privacy First bij de DNB-consultatie en HIER ons identieke commentaar bij de AFM-consultatie.

Over de auteurs

Vincent Böhre

Vincent Böhre ging vanuit idealisme internationaal recht studeren, specialiseerde zich in mensenrechten en was op dat terrein voor diverse organisaties actief. Hij is sinds 2011 directeur en jurist van Privacy First en richt zich vooral op onze rechtszaken, politieke lobby, onderzoek en woordvoering.

Gerelateerd nieuws

AI en Auteursrecht: waarom een uitspraak uit München alles verandert

4 december 2025

Op 11 november 2025 deed het Landesgericht München uitspraak in een zaak die de juridische wereld én de techsector op scherp zet: GEMA tegen OpenAI (zaaknummer 42 O 14139/24). Het ging om de vraag of het gebruik van auteursrechtelijk beschermde songteksten door generatieve AI-modellen zoals ChatGPT in strijd is met het auteursrecht. Het antwoord van de rechtbank? Ja. En dat is best baanbrekend.

Topbestuurders zien AI als oplossing voor klimaatambities, niet als bedreiging

28 november 2025

Topbestuurders zien Kunstmatige Intelligentie (AI) als belangrijk hulpmiddel voor het behalen van klimaatdoelen. Dat blijkt uit een wereldwijd onderzoek van KPMG onder ruim 1.200 CEO’s en bestuursvoorzitters in twintig landen. De meeste ondervraagde topbestuurders (87 procent) geven aan dat AI-toepassingen bijdragen aan het realiseren van net-zero-doelen. Hoewel slechts 30 procent van de organisaties op korte termijn prioriteit geeft aan het verbeteren van het energieverbruik door AI, is 96 procent ervan overtuigd dat er in de toekomst voldoende duurzame energie beschikbaar zal zijn om aan de energievraag van AI te voldoen.

Cybersecuritybeeld 2025: dreigingen divers en onvoorspelbaar, digitale basishygiëne op orde blijft cruciaal

27 november 2025

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft het Cybersecuritybeeld Nederland 2025 (CSBN) gepubliceerd. Het CSBN schetst een beeld van een digitaal dreigingslandschap dat steeds complexer en onvoorspelbaarder wordt. Cyberaanvallen worden geavanceerder terwijl digitale systemen onderling sterk van elkaar afhankelijk zijn. Deze ontwikkeling vraagt om een brede, proactieve aanpak om digitale weerbaarheid te vergroten. In dit bericht belichten we de belangrijkste aandachtspunten uit het CSBN voor Nederlandse bedrijven en organisaties.

Een strategische aanpak voor het beheren van AI-risico's

26 november 2025

Kunstmatige intelligentie (AI) verandert het bedrijfsleven in een ongekend tempo. Vooral Generatieve AI heeft de verwachtingen van experts ver overtroffen en decennia aan voorspelde vooruitgang samengeperst in slechts enkele jaren. Tegen 2028 verwacht 62% van de bedrijfsleiders dat AI in alle onderdelen van hun organisatie is geïntegreerd. Maar terwijl 45% AI ziet als een grote kans, maakt 56% zich zorgen over de cybersecurity- en privacyrisico’s die gepaard gaan met deze snelle adoptie.

Meer nieuws