Consultatieversie memorie van toelichting ontwerpwijzigingswet gebruik BSN bij uitvoering DGS - Hoofdinhoud
Inhoudsopgave
| Documentdatum | 22-12-2017 |
|---|---|
| Publicatiedatum | 16-05-2018 |
| Externe link | originele PDF |
| Originele document in PDF |  |
Wijziging van de Wet op het financieel toezicht in verband met het nader regelen van het gebruik van het burgerservicenummer bij de uitvoering van het depositogarantiestelsel
MEMORIE VAN TOELICHTING
ALGEMEEN
§1. Inleiding
Dit wetsvoorstel heeft betrekking op het gebruik van het burgerservicenummer ten behoeve van de uitvoering van het depositogarantiestelsel. Voorgesteld wordt de bestaande grondslag in artikel 3:17, zesde lid, van de Wet op het financieel toezicht (Wft) aan te passen. Die schrijft voor dat banken bij het verwerken van persoonsgegevens in hun administratie gebruikmaken van het burgerservicenummer (BSN) voor het voeren van een administratie die zodanig is dat deze ingeval van toepassing van het depositogarantiestelsel geen belemmering vormt of kan vormen voor de uitbetaling van vergoedingen uit hoofde van het depositogarantiestelsel binnen de daarvoor gestelde wettelijke termijn. De bestaande grondslag vergt dat banken in hun administratie gebruikmaken van het BSN, indien zij daarover beschikken. Om echter tijdige en betrouwbare uitbetaling van vergoedingen te kunnen bewerkstelligen, is het in sommige gevallen noodzakelijk het BSN van een wettelijke vertegenwoordiger die een depositohouder moet vertegenwoordigen vast te leggen, die zelf geen klant is bij de bank. De huidige wettekst biedt op dit moment onvoldoende houvast voor banken om het BSN van die wettelijke vertegenwoordigers ten behoeve van de uitvoering van het depositogarantiestelsel vast te leggen. Daar het BSN een persoonsidentificerend nummer is, waarvan het gebruik bij wet geregeld wordt, wordt voorgesteld dit te verduidelijken.
Daarnaast wordt voorgesteld te verduidelijken dat gebruikmaking van het BSN in de bankadministratie nodig is voor de uitvoering van het depositogarantiestelsel in het algemeen. Dit is noodzakelijkerwijs breder dan gebruikmaking enkel voor, in geval van toepassing van het depositogarantiestelsel, het niet belemmeren van uitbetaling van vergoedingen binnen de wettelijke termijn, zoals op dit moment is bepaald.
§2. De uitvoering van het depositogarantiestelsel
Op grond van de richtlijn depositogarantiestelsels is er een depositogarantiestelsel dat deposito's garandeert tot €100.000 per depositohouder bij banken met een Nederlandse bankvergunning en andere banken die verplicht deelnemen. Het doel van het depositogarantiestelsel is tweeledig: enerzijds worden depositohouders beschermd en anderzijds wordt het vertrouwen in het financieel stelsel en daarmee de financiële stabiliteit bevorderd. Doordat depositohouders het vertrouwen hebben dat hun tegoeden tot een bepaald bedrag steeds gegarandeerd zijn, worden bank runs, die het financiële stelsel ingrijpend kunnen destabiliseren, voorkomen.
Banken dragen de kosten van het depositogarantiestelsel. Sinds begin 2016 betalen zij ieder kwartaal bijdragen aan het Depositogarantiefonds, dat deze bijdragen beheert. Het Depositogarantiefonds dient medio 2024 een doelomvang van 0,8% van de gegarandeerde deposito's te bereiken. DNB stelt de hoogte van de bijdragen vast. Evenals de doelomvang van het fonds, wordt de hoogte van de bijdragen (mede) bepaald op basis van de hoeveelheid gegarandeerde deposito's die bij iedere bank wordt aangehouden. Indien - kort gezegd - een bank faalt en depositohouders niet meer bij hun deposito's kunnen, kent de Nederlandsche Bank (DNB) vergoedingen toe uit hoofde van dit stelsel en keert die uit. Het Depositogarantiefonds stelt hiervoor geld beschikbaar uit het fondsvermogen, zo nodig aangevuld met buitengewone bijdragen die worden geheven van de andere banken.
De termijn waarbinnen DNB en het Depositogarantiefonds in staat moeten zijn om vergoedingen toe te kennen en beschikbaar te maken voor uitkering, is thans twintig werkdagen. Een korte uitkeringstermijn, die ook daadwerkelijk wordt gehaald, is essentieel voor het functioneren van het depositogarantiestelsel. In de kern beoogt het depositogarantiestelsel depositohouders immers het vertrouwen te geven dat hun betaal- en spaartegoeden veilig zijn. Zolang depositohouders erop kunnen vertrouwen dat als een bank in de problemen komt, zij snel weer over hun tegoeden kunnen beschikken, zullen zij minder geneigd zijn hun tegoeden massaal tussentijds weg te halen en elders onder te brengen. Tegen deze achtergrond is de afgelopen jaren de uitkeringstermijn al verkort van drie maanden naar twintig werkdagen en wordt deze komende jaren verder verkort. Uit artikel 8, eerste lid, van de herschikte richtlijn depositogarantiestelsels, waarvan de implementatie is voltooid in 2015, volgt dat de uitkeringstermijn uiteindelijk zeven werkdagen zal bedragen. Bij de implementatie is ervoor gekozen gebruik te maken van de mogelijkheid die de richtlijn biedt om de uitkeringstermijn stapsgewijs terug te brengen, van vijftien werkdagen per 1 januari 2019 naar tien werkdagen per 1 januari 2021 naar uiteindelijk zeven werkdagen per 1 januari 2024.
Het halen van een strikte uitkeringstermijn van (uiteindelijk) zeven werkdagen stelt hoge eisen aan de voorbereiding door de aan het depositogarantiestelsel deelnemende banken en de uitvoerders van het depositogarantiestelsel: DNB en het Depositogarantiefonds. De kwaliteit van de administratie van banken moet zodanig zijn dat DNB op basis van die administratie binnen zeer korte termijn kan vaststellen welke deposito's binnen de reikwijdte van het depositogarantiestelsel vallen, wat de omvang ervan is, wie de depositohouders zijn en hoe hoog de vergoeding is die zij uit hoofde van het depositogarantiestelsel van het Depositogarantiefonds dienen te ontvangen. Omdat het depositogarantiestelsel tegoeden garandeert per depositohouder moet DNB de aanspraken bepalen per individuele natuurlijke of rechtspersoon. Dit is complex omdat het gebruikelijk is dat personen meerdere bankrekeningen aanhouden bij een bank of dat er meerdere personen gerechtigd zijn tot een bankrekening (en/of-rekening). Bovendien handelen veel banken met één bankvergunning onder verschillende handelsnamen of labels, die over eigen administraties kunnen beschikken. Dit betekent dat bij inwerkingstelling van het depositogarantiestelsel verschillende producten van verschillende depositohouders in mogelijk meerdere administraties aan elkaar worden gekoppeld teneinde een eenduidig klantbeeld van elke depositohouder te maken. Thans stelt DNB dit individueel klantbeeld (IKB) op. Het IKB vormt de basis voor het vaststellen door DNB van vergoedingen die depositohouders uit hoofde van het depositogarantiestelsel ontvangen. DNB stelt deze vergoedingen vast aan de hand van het bepaalde in het Besluit bijzondere prudentiële maatregelen, beleggerscompensatie en depositogarantie Wft (Bbpm).
Een noodzakelijk hulpmiddel bij het snel en zo foutloos mogelijk herordenen van een bankadministratie tot IKB's, is het BSN. Het BSN is een uniek nummer dat als ordeningsinstrument onontbeerlijk is bij het volbrengen van deze logistieke uitdaging. Door het BSN te combineren met andere (persoons)gegevens zoals de naam-, adres- en woonplaatsgegevens (de zogenaamde NAW-gegevens) en de geboortedatum in geval van natuurlijke personen, wordt de foutmarge beperkt bij het opstellen van de IKB's. IKB's kunnen hierdoor automatisch worden opgesteld en op grond daarvan kan worden bepaald waar depositohouders recht op hebben. Als onvoldoende gegevens beschikbaar zijn om tot een betrouwbaar IKB te komen, leidt dit ’uitvar (informatie die niet automatisch tot een IKB leidt). Deze uitval moet handmatig worden verwerkt om alsnog tot kloppende IKB's te kunnen komen. Dit kost veel tijd. Het met behulp van het BSN opstellen van IKB's met een zo klein mogelijke foutmarge is daarom essentieel om te kunnen voldoen aan de wettelijke uitkeringstermijn.
Om deze reden is in per 1 januari 2013 in artikel 3:17, zesde lid, Wft de verplichting voor banken opgenomen om een administratie te voeren die zodanig is dat, in geval van toepassing van het depositogarantiestelsel, deze geen belemmering vormt of kan vormen voor de uitbetaling van de vergoeding binnen de daarvoor wettelijk bepaalde termijn en daarbij gebruik te maken van het BSN, indien een bank daarover beschikt. Banken verstrekken op deze grond het BSN van depositohouders die natuurlijke personen zijn - dat zij op grond van andere wettelijke bepalingen reeds gehouden zijn te verzamelen en vast te leggen - aan DNB, waarna DNB met behulp daarvan IKB's kan opstellen. DNB kan de gegevens van depositohouders, inclusief het BSN, ook opvragen in het kader van haar toezicht op de naleving van artikel 3:17, zesde lid. In dat verband is DNB bevoegd ingevolge artikel 26a van het Besluit prudentiële regels Wft (Bpr), dat zijn grondslag vindt in artikel 3:17, tweede lid, aanhef en onder d, Wft, alle voor de uitvoering van de vangnetregeling benodigde gegevens - die voortdurend actueel moeten worden bijgehouden en adequaat moeten worden vastgelegd - op te vragen.
Van de gelegenheid wordt gebruikgemaakt om het volgende te verduidelijken. Bij de totstandkoming van artikel 3:17, zesde lid, Wft is reeds opgemerkt dat een kortere uitkeringstermijn dan twintig werkdagen nog veel verdergaande eisen zou stellen aan de administraties van de banken en van DNB. Nu daadwerkelijk de uitkeringstermijn verder wordt verkort, is DNB zich (samen met de bankensector) hierop aan het voorbereiden. Gebleken is dat inderdaad verdergaande eisen moeten worden gesteld aan de administraties van de banken en van DNB om uiteindelijk binnen zeven werkdagen na inwerkingstelling van het depositogarantiestelsel uitkeringen te kunnen doen. Hierbij is de vraag opgekomen of de huidige grondslag wel volstaat. Bij de invoering van artikel 3:17, zesde lid, Wft is beoogd een grondslag te creëren voor het verstrekken van de gehele, ongeordende klantadministratie van een bank, inclusief het BSN van depositohouders, aan DNB, die er vervolgens een IKB van maakt. Dit proces is hiervoor uiteengezet. Zo is in de memorie van toelichting hierover opgemerkt:
"De verwerking van het BSN door de banken is op grond van het onderhavige wetsvoorstel uitsluitend toegestaan ter verstrekking aan DNB in verband met de uitvoering van het DGS."
In de verdere parlementaire geschiedenis wordt als volgt opgemerkt:
"Het onderhavige wetsvoorstel beoogd [sic] om op grond van artikel 24, Wbp een wettelijke grondslag te scheppen voor het verstrekken van het BSN van depositohouders door de banken aan DNB. Het wetsvoorstel ziet dan ook uitsluitend toe op de verstrekking van de banken aan DNB. Het is de banken op grond van dit wetsvoorstel dan ook niet toegestaan om het BSN voor andere doeleinden - zoals interne administratie - te gebruiken."
Echter, bij een uitkeringstermijn vanaf zeven werkdagen, ervan uitgaande dat een bank de klantgegevens binnen drie werkdagen kan overdragen aan DNB, resteren er effectief vier werkdagen om de gegevens per depositohouder in IKB's te ordenen en op basis daarvan per depositohouder de vergoedingen vast te stellen. Aangezien het ordenen een tijdrovend en foutgevoelig proces is, is die termijn te kort voor DNB om tot betrouwbare vergoedingen te komen. Om tijdigheid en betrouwbaarheid te kunnen garanderen, is het noodzakelijk dat niet DNB, maar banken zelf bij de uitvoering van het depositogarantiestelsel de klantgegevens aan de hand van (onder andere) het BSN ordenen in IKB's en deze IKB's, verzameld in een IKB-bestand, overdragen aan DNB. Concreet vergt dit dat banken een systeem ontwikkelen waarmee de klantgegevens vanuit verschillende bronadministraties van verschillende branches en eventueel verschillende "labels" waaronder bankactiviteiten worden ontplooid, op het moment dat dit voor het depositogarantiestelsel noodzakelijk is worden samengebracht om centraal te worden verwerkt tot IKB's. De verdere verkorting van de uitkeringstermijn heeft aldus gevolgen voor de wijze waarop banken hun administratie dienen te organiseren en in voorkomend geval over te dragen aan DNB. De huidige formulering van artikel 3:17, zesde lid, Wft biedt voldoende ruimte voor banken om het BSN te gebruiken om klantadministratie te ordenen in IKB's. Immers, het criterium is dat banken een zodanige administratie moeten voeren dat deze - kort gezegd - geen belemmering vormt voor de uitvoering van het depositogarantiestelsel. In de praktijk loopt men echter aan tegen de oorspronkelijke bedoeling van de wetgever zoals deze in de geciteerde passage uit de parlementaire geschiedenis tot uitdrukking komt, die restrictiever lijkt omdat wordt uitgegaan van (enkel) verstrekking van de ongeordende bankadministratie, inclusief BSN, aan DNB. De consequentie van een kortere wettelijke uitkeringstermijn is evenwel dat er andere eisen aan de inrichting van de administratie van banken worden gesteld dan dat, het vergt namelijk dat banken zelf in staat zijn om indien noodzakelijk IKB's van hun depositohouders op te stellen aan de hand van onder andere het BSN.
Opgemerkt zij dat het gebruik door banken van het BSN voor het opstellen van IKB's niet hetzelfde is als het gebruik door banken ten behoeve van het doel "interne administratie", zoals in het voorgaande citaat uit de parlementaire geschiedenis wordt aangehaald. Immers, het verwerken van het BSN en het aan de hand daarvan opstellen van IKB's bij de uitvoering van het depositogarantiestelsel is niet hetzelfde als het gebruiken van het BSN als klant- of relatienummer door banken, enkel en alleen ten behoeve van de interne administratie. Dergelijk gebruik is dan ook niet toegestaan. Niettemin zal het proces zoals hiervoor omschreven wel leiden tot verbetering van de kwaliteit van de interne administratie van banken. Zo zullen door het testen van het systeem waarmee banken IKB's maken onjuist vastgelegde klantgegevens en andere fouten in de klantadministratie naar verwachting naar boven komen die banken kunnen verbeteren.
Overigens zal het IKB ook worden gebruikt voor afwikkelingsdoeleinden. Dergelijk gebruik stoelt echter op een andere op zichzelf toereikende grondslag, namelijk op artikel 3A:63 Wft en artikel 7j Bbpm, zodat daarop hier voor het overige niet op in wordt gegaan.
§3. Hoofdlijnen van het voorstel
Het onderhavige voorstel beoogt de in artikel 3:17, zesde lid, Wft opgenomen wettelijke grondslag voor het gebruik van het BSN door banken aan te passen om voldoende houvast te bieden voor het opvragen, vastleggen en verwerken van het BSN van wettelijke vertegenwoordigers van depositohouders door banken, met name voor wettelijke vertegenwoordigers die geen klant zijn van de bank in kwestie. Hun BSN is echter noodzakelijk om vast te leggen en te koppelen aan de depositohouders die zij vertegenwoordigen. De reden hiervoor is dat wettelijke vertegenwoordigers zich moeten melden om uitkering te bewerkstelligen voor de depositohouders die zij vertegenwoordigen. De wettelijke vertegenwoordigers loggen daarvoor in op een portal. Om vast te kunnen stellen dat de wettelijke vertegenwoordiger daadwerkelijk is als wie hij of zij zich voordoet (authenticatie) wordt DigID gebruikt. Dit is bij onderzoek het enige geschikte authenticatiemiddel gebleken. Om DigID te kunnen inzetten is vereist dat DNB beschikt over het BSN van degene die inlogt. Het voorliggende wetsvoorstel vult daarom de bestaande grondslag in dit opzicht aan.
Daarnaast wordt voorgesteld de doelstelling scherper te formuleren. De implementatie van de herziene richtlijn depositogarantiestelsels heeft ingrijpende wijzigingen met zich gebracht voor de uitvoering van het Nederlands depositogarantiestelsel. Een van de meest in het oog springende is de overgang van ex post financiering naar ex ante financiering van het stelsel. Dat houdt in dat banken periodieke bijdragen betalen aan het Depositogarantiefonds, zodat een fonds wordt opgebouwd dat uiteindelijk een bedrag ter grootte van 0,8% van de gegarandeerde deposito's van de deelnemende banken zal bevatten.
De huidige grondslag bestemt het BSN-gebruik door banken voor het halen van de wettelijke uitkeringstermijn in geval van toepassing van het depositogarantiestelsel. Deze benadering is achterhaald omdat de noodzaak tot het gebruik van het BSN bij de uitvoering van het depositogarantiestelsel inmiddels meer omvat dan het gebruik bij het moment van inwerkingstelling van het depositogarantiestelsel. Zo dient niet enkel bij inwerkingstelling van het depositogarantiestelsel te blijken wat de omvang is van het bedrag aan gegarandeerde deposito's die worden aangehouden bij een bank. De totale hoeveelheid van gegarandeerde deposito's van alle deelnemende banken gezamenlijk is namelijk ook bepalend voor de doelomvang van het Depositogarantiefonds van 0,8% van de gegarandeerde deposito's. Inzicht in de totale hoeveelheid door het Nederlandse depositogarantiestelsel gegarandeerde deposito's is dus tevens van belang voor het bepalen van de periodieke bijdragen die banken betalen aan het fonds. Bovendien vergt artikel 13, eerste lid, van de richtlijn depositogarantiestelsels dat de periodieke bijdragen van banken mede worden gebaseerd op het bedrag aan gegarandeerde deposito's dat wordt aangehouden bij een bank. In het voorgaande is uiteengezet dat om te kunnen bepalen welk deel van deposito's gegarandeerd wordt door het depositogarantiestelsel, het noodzakelijk is dat IKB's worden gemaakt. Immers, de depositogarantie geldt per depositohouder.
Bij het maken van de IKB's moeten banken het BSN verwerken. Dit vindt dan echter niet plaats om uitkeringstermijn te halen, maar wel degelijk in het belang van de goede uitvoering van het depositogarantiestelsel, wat weer in het belang van depositohouders is. De huidige doelstelling is daarom te beperkt geformuleerd. Voorgesteld wordt dit beter tot uitdrukking te brengen. Daarmee sluit artikel 3:17, zesde lid, beter aan bij artikel 26a Bpr, dat in het eerste lid bepaalt dat banken de voor de uitvoering van het depositogarantiestelsel noodzakelijke gegevens voortdurend actueel bijhouden en adequaat vastleggen. De informatie uit de IKB's wordt geaggregeerd samengebracht in een IKB-bestand. Het totaalbedrag aan gegarandeerde deposito's dat daaruit volgt kan worden gebruikt als basis voor de premieberekeningen. Banken zijn ingevolge artikel 26a Bpr gehouden deze gegevens op verzoek aan DNB te verstrekken op een door DNB te bepalen wijze.
§4. Juridisch kader: grondrechtelijke toets en relatie tot de Algemene verordening gegevensbescherming (AVG)
Bij de invoering van artikel 3:17, zesde lid, is rekenschap gegeven van hoe de bepaling zich verhoudt tot - kort gezegd - het recht op privacy en bescherming van de persoonlijke levenssfeer dat is neergelegd in artikel 10 Grondwet, dat is uitgewerkt in de Wet bescherming persoonsgegevens. Hieruit volgt dat er sprake moet zijn van een welbepaald doel dat tevens gerechtvaardigd dient te zijn en dat de gegevens (vervolgens) niet mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Aan deze voorwaarden is voldaan doordat de gegevens (het BSN) worden verwerkt voor de uitvoering van het DGS. De snelle, correcte en betrouwbare uitvoering van het DGS indien een bank failleert is in het belang van depositohouders want alleen dan kunnen zij binnen korte tijd weer beschikken over hun spaartegoeden. Daarnaast is het in het belang van de stabiliteit van het financieel stelsel, zoals hiervoor uiteengezet. Vanuit het oogpunt van proportionaliteit en subsidiariteit zijn alternatieven overwogen. Gebleken is echter dat het zonder het gebruik van het BSN niet mogelijk is de wettelijke termijn van 20 werkdagen te halen. Dit geldt te meer bij de verdere verkorting van de uitkeringstermijn die in het verschiet ligt. Ook voor het gebruik van het BSN van wettelijke vertegenwoordigers zijn alternatieven overwogen, in de vorm van andere authenticatiemiddelen. Daarbij is gebleken dat DigID het enige geschikte en voldoende veilige authenticatiemiddel is. Voor het gebruik van DigID is vereist dat de partij die authenticatie vraagt over het BSN beschikt van degene die inlogt.
Het recht op privacy en bescherming van de persoonlijke levenssfeer is tevens neergelegd in diverse internationale verdragen. Bij de invoering van artikel 3:17, zesde lid, is overwogen dat de bepaling voldoet aan drie cumulatieve voorwaarden die volgen uit artikel 8 EVRM, de artikelen 7, 8 en 52 van het EU Handvest voor de Grondrechten: de maatregel (i) steunt op een wettelijke grondslag en (ii) streeft een legitiem doel na, namelijk het economisch welzijn van het land, en (iii) is noodzakelijk in een democratische samenleving, waarbij om het beoogde doel te bereiken er niet verder wordt gegaan dan noodzakelijk (proportionaliteit) en er geen minder ingrijpende alternatieven beschikbaar zijn (subsidiariteit).
Sindsdien is de Algemene verordening gegevensbescherming (AVG) tot stand gekomen, die zal worden uitgevoerd door middel van de invoering van de Uitvoeringswet Algemene verordening gegevensbescherming. Het daartoe strekkende wetsvoorstel is op 14 december 2017 ingediend bij de Tweede Kamer.
De AVG en de Uitvoeringswet zullen de Wbp vervangen. In materieel opzicht zullen de normen waaraan de verwerking van persoonsgegevens moet voldoen echter in grote lijnen gelijk blijven aan de Wbp. Dat betekent dat hetgeen is overwogen bij de invoering van artikel 3:17, zesde lid, Wft omtrent het grondrechtelijk kader en de verhouding tot de Wbp nog steeds toereikend is. Rechtsgrond voor de verwerking van het BSN door banken is een wettelijke verplichting in de zin van artikel 6, eerste lid, onderdeel c, AVG. Zoals voorgeschreven is het doel van deze verplichting, het uitvoeren van het depositogarantiestelsel, daarbij bepaald.
Van belang is nog op te merken dat artikel 87 AVG op het punt van de verwerking van een nationaal identificatienummer ruimte laat om bij lidstatelijk recht specifieke voorwaarden te stellen. In dat kader regelt artikel 46 Uitvoeringwet AVG dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Dit is een kapstokbepaling, waaraan in andere wetten invulling kan worden gegeven. Het BSN is geen algemeen persoonsnummer buiten het publieke domein. Voor de overheid is het gebruik van een uniek persoonsnummer, het BSN, geregeld in artikel 10 Wet algemene bepalingen burgerservicenummer (Wabb). Op die grond kan DNB het BSN verwerken in het kader van haar taken bij de uitvoering van het depositogarantiestelsel. Echter, voor instellingen, zoals banken, die geen beroep kunnen doen op artikel 10 Wabb dient het gebruik te zijn voorgeschreven in sectorale wetgeving, zoals het geval is in artikel 3:17, zesde lid, Wft. Verdere verwerking van het BSN voor andere doelen dan ter uitvoering van artikel 3:17, zesde lid, oftewel de uitvoering van het depositogarantiestelsel, is niet toegestaan.
Het voorgaande neemt overigens niet weg dat banken op grond van andere wettelijke verplichtingen gehouden zijn gebruik te maken van het BSN. Zo hebben banken de wettelijke plicht om bepaalde persoonsgegevens te verzamelen in het kader van cliëntenonderzoek ter bestrijding van witwassen en financiering van terrorisme ingevolge artikel 3 en 33 van de Wet ter voorkoming van witwassen en financieren van terrorisme. In dit kader wordt ook het BSN verzameld. Ook in de belastingwetgeving zijn rechtsgronden te vinden voor het verzamelen van persoonsgegevens, waaronder het BSN, door banken. Het gaat om artikel 53, derde lid, Algemene wet inzake rijksbelastingen en artikel 38 Algemene wet inkomensafhankelijke regelingen. Artikel 3:17, zesde lid, Wft en het onderhavige wetsvoorstel moeten daar echter los van worden gezien, nu het om verwerking ten behoeve van verschillende doeleinden gaat, hetgeen verschillende eisen stelt aan de verwerkingen.
§5. Verslag gegevensbeschermingseffectbeoordeling
Omdat het voorliggende voorstel betrekking heeft op de verwerking van persoonsgegevens is er een gegevensbeschermingseffectbeoordeling of privacy impact assessment (PIA) gemaakt. Met behulp hiervan zijn op gestructureerde wijze de gevolgen van de voorgestelde wijzigingen op de gegevensbescherming in kaart gebracht.
Ten opzichte van de bestaande situatie zullen als gevolg van de wijziging maar weinig nieuwe gegevens worden verwerkt. Ook nu al worden in het kader van de uitvoering van het depositogarantiestelsel persoonsgegevens verwerkt door banken en DNB. Als gevolg van de wijzigingen komt daar het BSN bij van wettelijk vertegenwoordigers die zelf geen klant zijn bij de betreffende bank. Daarnaast - hoewel dit geen direct gevolg is van het onderhavige wetsvoorstel, maar van de verkorting van de uitkeringstermijn van twintig naar uiteindelijk zeven werkdagen - zullen gegevens die ook nu al verwerkt worden vaker worden verwerkt ten opzichte van de huidige situatie. Banken leveren de gegevens in de huidige situatie nog ongeordend aan DNB. Zoals in het voorgaande uiteengezet, betekent de verkorting van de uitkeringstermijn echter dat banken zelf de verwerkingen zullen moeten doen om de gegevens te ordenen in IKB's, die per bank worden samengevoegd in het IKB-bestand. In het kader van het toezicht op de systemen die banken hiervoor inrichten, op de kwaliteit van de IKB's en het IKB-bestand en op de aansluiting van deze systemen op de systemen van DNB, zullen banken periodiek (ongeveer eenmaal per jaar) een IKB-bestand aan DNB leveren. Om de premiebasis aan DNB te kunnen verstrekken zullen banken in elk geval vier keer per jaar (ieder kwartaal) een IKB-bestand opstellen, waaraan de geaggregeerde hoeveelheid gegarandeerde deposito's kan worden ontleend en aan DNB worden gerapporteerd. Om een compleet beeld te krijgen, zijn al deze verwerkingen in de PIA getoetst aan de beginselen van doelbegrenzing, noodzaak en evenredigheid, die ook zijn opgenomen in artikel 5 van de Algemene verordening gegevensbescherming en in die verordening verder worden uitgewerkt.
De beschreven verwerkingen zijn noodzakelijk om te voldoen aan de richtlijn depositogarantiestelsels en om de met die richtlijn beoogde doelstellingen te behalen. Deze zijn tweeledig: zowel bescherming van depositohouders als het bewaren van de financiële stabiliteit. Wat betreft het gebruik van het BSN van wettelijke vertegenwoordigers zijn als alternatieven overwogen het gebruik van andere authenticatiemiddelen en het handmatig koppelen van de deposito's aan de wettelijk vertegenwoordiger. Beide alternatieven zijn ongeschikt.
Andere authenticatiemiddelen waren niet veilig genoeg of niet geschikt omdat zij ervan afhankelijk zijn van of een bank nog going concern functioneert, hetgeen bij inwerkingtreding van het depositogarantiestelsel nu juist in beginsel niet het geval zal zijn. Handmatige koppeling kost veel tijd; dergelijke vertraging zou betekenen dat uitkering binnen de voorgeschreven termijn onvoldoende zeker is. Wat betreft het gebruik van het BSN ten behoeve van het vaststellen van de premiebasis, is als alternatief overwogen om een schatting te geven. Een schatting kan echter leiden tot een onvoldoende nauwkeurige vaststelling van de premie. Dit draagt ook het risico in zich dat de doelomvang van het Depositogarantiefonds, dat immers uiteindelijk 0,8% van de door het Nederlandse depositogarantiestelsel gegarandeerde deposito's dient te bevatten, niet wordt gehaald. Wel zal bij de uitvoering gekozen moeten worden voor de minst ingrijpende variant, waarbij banken intern een IKB-bestand opstellen en daaruit geen persoonsgegevens, maar alleen de geaggregeerde gegevens, die niet herleidbaar zijn tot personen, verstrekken aan DNB.
Met het oog op de doelstellingen van het depositogarantiestelsel is de inperking van het recht op bescherming van persoonsgegevens van depositohouders en hun wettelijk vertegenwoordigers die met het voorstel is gemoeid proportioneel.
Als risico bij het opstellen van het IKB-bestand is gesignaleerd dat function creep kan optreden. Het begrip function creep duidt aan dat gegevens of bestanden die eenmaal beschikbaar zijn gemakkelijker gebruikt worden voor andere doeleinden dan waarvoor zij zijn verkregen. Met andere woorden: als gegevens of bestanden er eenmaal zijn, is de verleiding groot ze ook voor andere doelen te gaan gebruiken. Function creep treedt sneller op bij grote hoeveelheden gegevens en gegevens die geschikt zijn voor meerdere toepassingen. Het IKB-bestand is hiervan een voorbeeld.
Om het risico van function creep zoveel mogelijk te beperken worden risicobeperkende maatregelen genomen. Zo wordt in de wettekst het doel van de verwerking duidelijker omschreven. Ook zullen banken, gelet op de strikte doelbinding, IKB-bestanden die zij opstellen om de premiebasis vast te stellen of om DNB in staat te stellen toezicht te houden op de kwaliteit van de data, na gebruik moeten vernietigen. Tot slot blijft het IKB-bestand bij de banken en bij DNB afgescheiden van de rest van de administratie (chinese walls) en zullen alleen specifiek daartoe benoemde medewerkers bevoegd zijn om te werken met het IKB-bestand. Deze maatregelen kunnen het risico function creep niet helemaal wegnemen, maar wel dusdanig beperken dat het restrisico aanvaardbaar is.
De risico's van onvoldoende beveiliging naar buiten, onbevoegd gebruik en onvoldoende transparantie nemen door de wijzigingen maar weinig toe, omdat er maar weinig nieuwe gegevens worden verwerkt en er aan de kant van de banken en aan de kant van DNB nauwelijks meer betrokkenen zijn dan in de huidige situatie.
§6. Financiële gevolgen
Bij de implementatie van de richtlijn depositogarantiestelsels is ingegaan op de administratieve lasten en nalevingskosten. Daarbij is ook ingegaan op de impact van de gewijzigde rapportageverplichtingen voor banken in verband met het berekenen van de periodieke bijdragen die banken aan het DGS betalen. Verwezen wordt daarom naar paragraaf 6 van het algemeen deel van de nota van toelichting van het Implementatiebesluit depositogarantiestelsel.
§7. Advies en consultatie
PM
ARTIKELSGEWIJS
ARTIKEL I
Voorgesteld wordt artikel 3:17, zesde lid, Wft te wijzigen. Om redactionele redenen wordt voorgesteld het gehele zesde lid opnieuw vast te stellen. Materieel wordt de bepaling in drie opzichten gewijzigd.
Ten eerste wordt verduidelijkt dat indien een depositohouder wordt vertegenwoordigd door een wettelijk vertegenwoordiger, banken het BSN van deze wettelijke vertegenwoordiger vastleggen en verwerken. Minderjarige kinderen, rechtspersonen en onder curatele gestelden zijn voorbeelden van personen die ingevolge de wet vertegenwoordigd moeten worden. Door expliciet te bepalen dat ook gebruikgemaakt wordt van het BSN van wettelijk vertegenwoordigers, wordt onder meer aangesloten bij artikel 13 Wabb dat eveneens melding maakt van (de verplichtingen van) de wettelijke vertegenwoordiger in relatie tot het verstrekken van het BSN.
Ten tweede wordt voorgesteld de doelstelling ruimer op te schrijven, zoals uiteengezet in paragraaf 3 van het algemeen deel van de toelichting, zodat zal zijn bepaald dat het doel van het gebruikmaken van het BSN is een administratie die geen belemmering vormt of kan vormen bij de uitvoering van het depositogarantiestelsel, waaronder begrepen de uitbetaling van de vergoeding binnen de daarvoor bepaalde wettelijke termijn.
Ten derde wordt door de zinsnede "indien zij daarover beschikt" te laten vervallen tot uitdrukking gebracht dat op basis van deze bepaling banken daadwerkelijk verplicht zijn het BSN van depositohouders en, voor zover van toepassing, hun wettelijke vertegenwoordigers vast te leggen in hun administratie en vervolgens te verwerken. De toevoeging "indien zij daarover beschikt" wekt immers de suggestie dat enkel indien banken uit hoofde van andere wettelijke verplichtingen gehouden zijn het BSN vast te leggen en deswege daarover beschikken, banken gehouden zijn gebruik te maken van het BSN ten behoeve van de uitvoering van het depositogarantiestelsel. Uit de totstandkomingsgeschiedenis blijkt dat het deze zinsnede niet aldus is bedoeld door de wetgever. Bedoeld is tot uitdrukking te brengen dat slechts indien een depositohouder over een BSN beschikt, banken daarvan gebruikmaken in hun administratie. Bijvoorbeeld rechtspersonen of buitenlandse depositohouders zullen immers (in beginsel) niet over een BSN beschikken. Door de zinsnede te laten vervallen, is duidelijk dat artikel 3:17, zesde lid, een zelfstandige grondslag vormt voor vastlegging. Hoewel, zoals hiervoor opgemerkt, banken uit hoofde van andere wettelijke verplichtingen gehouden zijn het BSN van hun klanten vast te leggen, geldt dit immers niet voor wettelijke vertegenwoordigers van die klanten die zelf geen klant zijn van de bank, zodat artikel 3:17, zesde lid, hiervoor een zelfstandige grondslag dient te vormen. Daarnaast is het vanwege het belang van het BSN voor de tijdige en betrouwbare uitvoering van het depositogarantiestelsel ook logisch om vastlegging daarvan niet afhankelijk te maken van vanwege andere doelstellingen bepaalde grondslagen voor vastlegging. Dit past ook beter bij het criterium dat BSN-gebruik uitsluitend is toegestaan als het noodzakelijk is (en er geen alternatieven zijn). Discretionair of anderszins niet-verplicht voorgeschreven gebruik past derhalve niet bij de aard van de regelgeving over het gebruik van het BSN.
Een vierde redactionele wijziging betreft de toevoeging dat een bank gebruikmaakt van het burgerservicenummer "bij het verwerken van persoonsgegevens". Deze toevoeging behelst geen materiële wijziging, maar hiermee wordt beoogd de bepaling qua bewoordingen beter aan te laten sluiten bij soortgelijke bepalingen waarin het gebruikmaken van het burgerservicenummer wordt geregeld, zoals artikel 10 Wabb en artikel 3A:63 Wft.
De wijziging van artikel 3:17, zesde lid, betekent dat ook het tweede lid, onder d, van datzelfde artikel daarmee in overeenstemming moet worden gebracht. Het tweede lid vormt een grondslag om bij algemene maatregel van bestuur regels te stellen met betrekking tot het in artikel 3:17, zesde lid, bepaalde.
De Minister van Financiën,
11