In één zin. De financiële sector navigeert tussen AVG-vereisten en sectorale wetgeving (Wft, Wwft, DSP2, BKR-reglement) waarbij DNB en AP gezamenlijk toezien — met BKR (830 K EUR), ING (290 K EUR) en Achmea (240 K EUR) als waarschuwing voor profilering- en transparantietekortkomingen.
Belangrijkste punten
- Wwft-cliëntenonderzoek = wettelijke verplichting (art. 6.1.c AVG).
- BKR-registratie onder strikt regime (BKR-reglement 2024).
- DSP2: open banking met expliciete toestemming.
- Profilering kredietbeoordeling = DPIA verplicht.
- AP-boetes: BKR 830 K (2020), ING 290 K (2025), Achmea 240 K (2025).
- DNB-circulaire informatiebeveiliging samenloop met AVG art. 32.
“De verwerking is alleen rechtmatig indien (…) noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.” (art. 6 lid 1 sub c AVG)
1. Sectorale wetgeving
- Wft (Wet financieel toezicht): toezicht DNB en AFM.
- Wwft (Wet ter voorkoming witwassen en financiering terrorisme): cliëntenonderzoek, transactiemonitoring, melding ongebruikelijke transacties.
- DSP2 (Payment Services Directive 2, geïmplementeerd in Wft): open banking, account information services.
- BKR-reglement: kredietregistratie.
- Wfk (Wet financiële kredietregistratie): grondslag BKR.
- Sanctiewet 1977: screening tegen sanctielijsten.
2. Rechtsgronden in financiële sector
| Verwerking | Rechtsgrond |
|---|---|
| Wwft-cliëntenonderzoek | Wettelijke plicht (art. 6.1.c) |
| Wwft-transactiemonitoring | Wettelijke plicht (art. 6.1.c) |
| Sanctiescreening | Wettelijke plicht (art. 6.1.c) |
| Kredietbeoordeling | Overeenkomst (b) + gerechtvaardigd belang (f) |
| BKR-registratie | Wettelijke plicht (Wfk) + gerechtvaardigd belang |
| Fraudepreventie | Gerechtvaardigd belang (art. 6.1.f) |
| Marketing | Toestemming (art. 6.1.a) |
| Cookies | Toestemming (Tw 11.7a + art. 6.1.a) |
3. BKR-boete 830 K EUR (2020)
AP constateerde dat BKR onnodige drempels opwierp voor inzagerecht: kosten, identificatieprocedure, beperkte toegang. Schending art. 12 (faciliteren rechten) en art. 15 (inzagerecht). BKR moest procedure herzien — sinds 2021 gratis online inzage. Belangrijke jurisprudentie voor alle dataverwerkers die rechten “duur” maken.
4. Profilering en geautomatiseerde besluitvorming (art. 22)
Kredietscoring, hypotheekbeoordeling, fraudedetectie zijn vaak profilering met rechtsgevolgen of vergelijkbaar significante gevolgen → art. 22 van toepassing:
- Recht op menselijke tussenkomst.
- Recht op uitleg.
- Recht op aanvechting beslissing.
- Speciale waarborgen.
ING-boete 290 K EUR (2025): profilering klanten zonder voldoende transparantie en zonder concrete uitleg over logica.
5. DPIA verplicht (AP-lijst)
AP-lijst noemt expliciet: creditscoring, financiële situatie (DSP2), fraudedetectie, samenwerkingsverbanden voor signalering (zoals Verzekeraarsregister, Interne Verwijzingsregister IVR). Voor banken en verzekeraars betekent dit een DPIA volgens het stappenplan van art. 35 voor: kredietbeoordeling, fraudedetectie, AML/KYC-systeem, transactiemonitoring, schadeclaim-analyse.
6. Achmea-boete 240 K EUR (2025)
Verzekeraar gebruikte gezondheidsgegevens uit polisaanvragen voor marketingsegmentatie zonder grondslag onder art. 9. Geen uitdrukkelijke toestemming, geen wettelijke uitzondering. Boete: 240 K EUR + verplichting marketing-database te schonen. Les: bijzondere gegevens uit één doel (polisbeoordeling) mogen niet zonder grondslag voor ander doel (marketing).
7. DSP2 en account information services
DSP2 (PSD2 in Nederlands: Wft) introduceert PISP (payment initiation) en AISP (account information). Toegang tot rekeninggegevens vereist:
- Expliciete toestemming klant.
- Beperkt doel (gespecificeerd in toestemming).
- Beveiligde authenticatie (PSD2-SCA: Strong Customer Authentication).
- AVG-grondslag toestemming (art. 6.1.a) en DSP2-toestemming (art. 64).
8. Wwft versus AVG: spanning
Wwft vereist:
- Bewaartermijn cliëntonderzoek: 5 jaar na einde relatie.
- Doorvoeren ongebruikelijke transactiemeldingen aan FIU-NL.
- Risicogebaseerde benadering, soms diepgaand onderzoek (PEP, hoog risico).
AVG-minimalisatie vereist beperking. Praktische resolutie: Wwft is wettelijke plicht (art. 6.1.c) → grondslag aanwezig, maar minimalisatie wordt geinterpreteerd binnen Wwft-noodzaak. Documenteer afweging.
9. Beveiliging financiële sector
DNB-Good Practice Informatiebeveiliging (2019, herzien) en EBA Guidelines on ICT and security risk management:
- Geïntegreerd ISMS (vaak ISO 27001).
- Specifieke vereisten payment industry (PCI DSS).
- Penetratietests, red team-oefeningen.
- Incident response 24/7.
- Resilience tests (DORA per 17 januari 2025).
Samenloop met AVG art. 32 — DNB-conform = AP-conform in beginsel.
10. DORA: Digital Operational Resilience Act
EU-verordening 2022/2554, van toepassing sinds 17 januari 2025. Financiële sector. Vereist:
- ICT-risk management framework.
- Incident classification en rapportage.
- Digital operational resilience testing.
- ICT third-party risk management.
- Information sharing.
De volledige verordeningstekst staat op EUR-Lex (DORA, Verordening 2022/2554). DORA + AVG art. 32 = parallel regime, vergelijkbare doelen. Voor de bredere cyberverplichtingen van de sector geldt DORA als lex specialis ten opzichte van de NIS2-richtlijn en de Cyberbeveiligingswet.
11. Sectorboetes en internationale benchmarks
| Toezichthouder | Sanctie | Verantwoordelijke | Reden |
|---|---|---|---|
| AP (NL) | 830 K EUR (2020) | BKR | Inzage-drempels |
| AP (NL) | 290 K EUR (2025) | ING | Profilering transparantie |
| AP (NL) | 240 K EUR (2025) | Achmea | Gezondheid in marketing |
| CNIL (FR) | 50 M EUR (2019) | Toestemming reclame | |
| AEPD (ES) | 5 M EUR (2024) | CaixaBank | Profilering zonder grondslag |
| Garante (IT) | 26,5 M EUR (2023) | Unicredit | Datalek |
| BaFin/DSK (DE) | 35 M EUR (2020) | H&M | Werknemersmonitoring (financieel relevant) |
Patroon Europees: profilering, transparantie en grondslag zijn dominante boetegronden in financiële sector. Voor AP boetes 2025 detail.
12. Direct marketing en Bel-me-niet Register
Voor telemarketing aan particulieren: opt-in vereist (sinds 1 juli 2021, wijziging Tw). Verlies van Bel-me-niet Register-functie betekent strikt opt-in voor alle marketing-belletjes. Banken/verzekeraars mogen bestaande klanten benaderen voor soortgelijke producten op grond van gerechtvaardigd belang, mits opt-out elke keer aangeboden.
13. Veelvoorkomende fouten in financiële sector
- Hergebruik Wwft-data voor commerciële profilering (doelbinding).
- Geen DPIA bij vernieuwd kredietmodel.
- Profilering-modellen niet uitlegbaar voor klanten (art. 22).
- Verwerking gezondheidsgegevens (verzekeringen) zonder uitdrukkelijke toestemming.
- AML-meldingen aan FIU langer bewaard dan strikt noodzakelijk.
- Geen verwerkersovereenkomst met fintech-partners.
- Beleidsmatige bewaartermijnen die wettelijke termijnen overschrijden.
14. CJEU SCHUFA en gevolgen voor NL-financiële sector
HvJ EU oordeelde in SCHUFA (C-634/21, december 2023) dat geautomatiseerde credit scoring als zelfstandige beslissing in de zin van art. 22 AVG kwalificeert, ook wanneer formeel een mens de kredietverstrekker is. Voor Nederlandse banken en BKR betekent dit dat scoring-modellen volledige art. 22-waarborgen vereisen: menselijke tussenkomst, uitleg over logica, mogelijkheid tot betwisting. De Autoriteit Persoonsgegevens heeft in 2024 handhavingstoezicht aangekondigd op kredietscoring-systemen. Zie ook de EDPB-richtsnoeren over geautomatiseerde besluitvorming en AVG Art. 5 beginselen voor het transparantiebeginsel.
13. AML-platforms en samenwerkingsverbanden
Nederlandse banken nemen deel aan Transactie Monitoring Nederland (TMNL) — gezamenlijke transactiemonitoring tussen ABN, ING, Rabobank, Volksbank, Triodos. Spanning met AVG: bundeling persoonsgegevens van miljoenen klanten over verschillende verantwoordelijken. De AP heeft in 2022 een advies uitgebracht waarbij specifieke wettelijke grondslag werd vereist (Wijzigingswet Wwft, in behandeling). Tot ingang wet: TMNL opereert in juridische schemerzone. Vergelijkbaar issue bij Interne Verwijzings Register (IVR) van verzekeraars, dat wel een formele basis in Wft heeft.
14. Rechten betrokkenen in financiële sector
Specifieke uitdagingen:
- Inzagerecht (art. 15): vaak omvangrijk in financiële relaties. BKR-uitspraak heeft norm gezet — gratis, makkelijk, snel.
- Recht op vergetelheid (art. 17): beperkt door wettelijke bewaarplichten (Wwft 5 jaar, BKR 5 jaar na aflossing).
- Recht op bezwaar (art. 21): bij gerechtvaardigd belang (fraudedetectie) afweging vereist.
- Recht op dataportabiliteit (art. 20): bankgegevens in PSD2-context relevant.
FAQ
Welke grondslag heeft Wwft-cliëntenonderzoek?
Wettelijke verplichting (art. 6.1.c AVG). Wwft schrijft cliëntenonderzoek voor — geen toestemming nodig, geen recht op weigering door cliënt. Wel transparantieplicht onder art. 13 AVG.
Mag ik klantgegevens gebruiken voor cross-sell?
Beperkt. Bestaande klanten kunnen worden benaderd voor soortgelijke producten op grond van gerechtvaardigd belang (art. 6.1.f) mits opt-out aangeboden. Voor nieuwe productcategorieën: toestemming.
Hoe lang mag ik kredietgegevens bewaren?
BKR-registratie: 5 jaar na aflossing of einde achterstand. Klantgegevens algemeen: looptijd relatie + 5 jaar verjaring + Wwft 5 jaar na einde. Daarna wissen of anonimiseren.
Heeft een verzekeraar een FG nodig?
Ja. Verzekeraars verwerken grootschalig bijzondere gegevens (gezondheid, soms strafrechtelijk). FG verplicht onder art. 37 lid 1 sub c — zie wanneer een functionaris gegevensbescherming verplicht is. Geldt ook voor schadeverzekeraars met letselclaims.
Mag ik fraudedetectie-algoritmen gebruiken?
Ja, op grond van gerechtvaardigd belang (art. 6.1.f). DPIA verplicht (AP-lijst). Bij geautomatiseerde besluitvorming met rechtsgevolgen art. 22-waarborgen: menselijke tussenkomst, uitleg, aanvechting. SCHUFA-arrest (HvJ EU 2023) bevestigt dat scoring zelf onder art. 22 valt.
Hoe verhoudt DORA zich tot AVG art. 32?
DORA (Verordening 2022/2554, vanaf 17 januari 2025) en AVG art. 32 lopen parallel met overlappende vereisten op ICT-risicomanagement, incidentrapportage en third-party risk. DORA is sectorspecifiek en gedetailleerder; AVG-conformiteit verzwakt niet door DORA-implementatie. Een DORA-conform framework dekt grotendeels AVG Art. 32 beveiliging, mits expliciet verwerkt voor persoonsgegevens.
Wat betekent SCHUFA voor mijn bank?
Elke geautomatiseerde scoring met materiële invloed op kredietbeoordeling vereist volledige art. 22-waarborgen: menselijke tussenkomst (niet pro forma), schriftelijke uitleg van logica (in begrijpelijke taal), procedure voor betwisting met heroverweging. AP verwacht implementatie in 2026, met handhaving daarna. Praktisch: notice in B1-taal, modelkaarten met inputvariabelen, ticketsysteem voor herbeoordelingen.
Welke verwerkersovereenkomsten zijn standaard nodig?
Voor outsourcing (cloud, callcenters, IT-onderhoud): verplicht onder art. 28. Voor AML-aanbieders (Refinitiv, LexisNexis, ComplyAdvantage): DPA met expliciete doelbinding. Voor BKR: lidmaatschapsovereenkomst werkt als kaderovereenkomst. Voor TMNL: nog in ontwikkeling, voorlopig art. 26 (gezamenlijke verantwoordelijken). Zie Verwerkersovereenkomst template.
Zie ook: AVG voor advocatenkantoren, AVG in transport en logistiek en AVG voor accountantskantoren.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial