Voice-over: Welkom bij de Leaders in Finance Compliance Podcast. Met experts, adviseurs, bestuurders en de business bespreken we risk en compliance binnen de financiële wereld en alle uitdagingen en dilemma’s die daarbij horen. Want voor het juiste en rechte pad bestaat geen navigatiesysteem.
Deze podcast wordt mede mogelijk gemaakt door Deloitte, Rabobank, Sense en Osborne Clarke. Je host is Jeroen Broekema.
Jeroen: Welkom luisteraars bij een nieuwe aflevering van de Leaders in Finance Compliance Podcast. Heel erg leuk dat je luistert. Vandaag weer een boeiende gast bij mij aan tafel, en dat is Marta Borrat Frigola. Welkom Marta.
Marta: Dank je wel, dank je wel dat ik hier mag zijn.
Jeroen: Ja, hartstikke. Ik vind het een grote eer dat jij hier bent. Ik zal kort iets zeggen over jouw achtergrond. Dat kan ik eigenlijk niet eens zo kort zeggen, want het zijn best veel dingen die jij doet. Primair ben je Senior Legal Counsel bij ABN AMRO.
Daarnaast ben je voorzitter van de werkgroep Privacy van de NVB, de Nederlandse Vereniging van Banken. Je bent Chair van de Expert Group on Privacy and Data Protection van de EBF, de European Banking Federation. Je bent ook docent aan de Open Universiteit en bestuurslid en medeoprichter van de Vereniging Privacy en Recht. Ik hoop dat de luisteraars het allemaal kunnen volgen, maar dat is een heleboel. Ik vind het leuk om daar even met jou langs te lopen.
Allereerst vind ik jouw naam prachtig. Wat betekent Borrat Frigola eigenlijk? Waar komt die vandaan?
Marta: Ik heb voor Nederlandse begrippen een exotische naam. Ik kom uit Catalonië, dus vandaar dat exotische klinken. Maar het is eigenlijk een doodnormale achternaam.
Borrat betekent eigenlijk niets bijzonders. Het komt uit Zuid-Frankrijk, Noord-Catalonië. En Frigola is anders dan mensen denken. Het is een kruid, een soort tijm. Het is geen fragola, zoals in het Italiaans. Mensen denken daardoor vaak dat ik Italiaans ben, maar dat is niet het geval. Dus ja, het is gewoon Borrat en een kruid, tijm. Dat is het.
Jeroen: Wel mooi. Voor jou een hele normale achternaam, maar hier klinkt het heel bijzonder. En zoals je zelf zegt: exotisch, mooi verwoord. Voordat we op de inhoud van privacy en de juridische kant ingaan, waar ongelooflijk veel over te zeggen is, zou ik het leuk vinden iets meer te horen over alle dingen die je doet die ik net als introductie oplas. Allereerst: Senior Legal Counsel. Werk je al lang voor ABN AMRO? En zat je altijd al in de juridische hoek?
Marta: Ja, tot mijn grootste verbazing zag ik dat ik in april alweer twintig jaar bij de bank werk. Ik dacht eigenlijk niet dat ik langer dan drie jaar bij ABN AMRO zou blijven. Maar het is heel erg boeiend. Het is een omgeving die voortdurend verandert. Ook de juridische vragen die je krijgt als jurist veranderen steeds. Het zijn echt heel leuke juridische vraagstukken. Dat heeft mij, denk ik, overtuigd om toch te blijven zitten.
Jeroen: Ja, want je hebt de bank in allerlei fases meegemaakt. Je begon volgens mij net vóór de overname door het bankenconsortium. Daarna werd de bank weer heel anders, en vervolgens nog een paar keer anders. Maakt dat voor jou uit, dat het juridisch zo veranderd is? Of is het werk eigenlijk altijd hetzelfde gebleven?
Marta: Toen ik de overstap maakte van de advocatuur naar de bank dacht ik: ik ga naar een grote bank. Ik ben daar begonnen met privacy. Op dat moment ging het vooral over doorgifte van gegevens. Met de overname zijn we iets kleiner geworden. De privacyvragen veranderden. Maar ook de wettelijke kaders veranderden. Daardoor veranderden de vragen die op ons afkwamen eveneens.
Jeroen: Was je al met privacy bezig vóór de opkomst van de GDPR?
Marta: Ja, absoluut.
Jeroen: Voelde je dat toen al aankomen, of is dat toevallig zo gelopen? Want daarna werd het natuurlijk steeds groter.
Marta: Even terug naar het begin. Ik heb altijd iets gehad met mensenrechten. Ik heb stage gelopen bij de Verenigde Naties. Dat gevoel voor rechtvaardigheid, en de vraag hoe het zit met de rechten van mensen, heeft mij altijd aangesproken. Daarna begon ik bij advocatenkantoor Simmons & Simmons. Toen kwamen er vragen van grote ondernemingen: we willen hier starten, hoe zit het met privacy in Nederland? Mijn eerste reactie was: privacy, dat is toch een mensenrecht of zoiets? Op dat moment werd gekeken wie dat zou oppakken. Nou, de stagiaire dan maar. Ik sprak toen echt nog geen Nederlands. Dus ik ben begonnen met een nogal gebrekkige vertaling van de Wet bescherming persoonsgegevens. Ik heb onderzoek gedaan en een advies geschreven. Toen dacht ik: dit is eigenlijk best interessant. Daarna kwam er weer een vraag. Wie had hier eerder iets over geschreven? Ja, die stagiaire had dat gedaan. Dus ik mocht er opnieuw naar kijken. Zo is het gaan groeien. Toen dacht ik: jeetje, dit gaat over informatie. Het gaat over gegevens van mensen. Daar zit echt iets in. Ik zag digitalisering steeds belangrijker worden. Toen dacht ik: dit wordt mijn niche.
Jeroen: Dat is een goed gekozen niche. Je had eigenlijk bijna niet beter kunnen kiezen als rechtsgebied. Maar we komen zo op de inhoud. Nog even over je andere rollen. Je bent voorzitter van de werkgroep Privacy van de NVB en actief binnen de EBF. Doe je dat namens ABN AMRO of op persoonlijke titel? Hoe werkt zoiets?
Marta: Eigenlijk namens ABN AMRO. Toen ik begon bij de bank had ik af en toe discussies met het hoofd Juridische Zaken, Hanneke Doorman. Zij vertelde mij dat er een groep bestond die in gesprek was met verschillende stakeholders. Soms werd commentaar gevraagd op juridische stukken en wetgeving. Mijn mening werd daar ook gevraagd. Dat vond ik heel interessant. Ik vroeg haar: met wie moet ik praten? Want ik zie bijvoorbeeld dat bepaalde wetgeving niet duidelijk is. Wie houdt zich hiermee bezig? Toen zei Hanneke: praat eens met dat clubje. Kijk of je het leuk vindt. Zo is het een beetje gaan rollen.
Ik heb een aantal bijeenkomsten bijgewoond van de expertpool Privacy van de NVB. Ik vond het heel interessant om te zien hoe privacy-experts van verschillende banken samen naar juridische vraagstukken binnen dit opkomende rechtsgebied keken. Uiteraard binnen de kaders van het mededingingsrecht, maar wel echt inhoudelijk juridisch. Dat vond ik ontzettend leuk om te zien en om aan bij te dragen. Met betrekking tot mijn rol bij de European Banking Federation ging het ongeveer hetzelfde. Toen werd besloten om de Privacyrichtlijn, de voorloper van de GDPR en de AVG, grondig te herzien. Ik was toen al actief binnen die groep. Uiteindelijk werd mij gevraagd: “Wil jij dit voorzitten?” Zo is dat eigenlijk gegaan.
Jeroen: Maar is het uiteindelijk niet zo dat de NVB en de EBF er primair zijn om ook de lobby te voeren richting de overheid? Ben je daar ook echt mee bezig, of zit je daar wat verder vanaf en lever je vooral inhoudelijke input?
Marta: Ja, ik ben veel meer bezig met de inhoud. Dus als er nieuwe wetgeving komt, kijken we daar echt als juristen naar. Op een heel klinische manier. Je krijgt een tekst, je leest die en vervolgens stel je jezelf de vraag: wat betekent dit voor mijn sector? Dan ga je analyseren en input geven. Op basis daarvan wordt uiteindelijk ook bepaald welke lobbylijn wordt gevolgd.
Jeroen: En is jouw persoonlijke, privémening altijd in lijn met de mening van de banken? Daarom ook die vraag: zit je daar namens de bank of namens jezelf?
Marta: In mijn geval wel. Anders was ik al gestopt. Wat ik heel mooi vind aan werken in de bancaire sector en aan het privacyrecht, is juist het zoeken naar de balans tussen groei enerzijds en anderzijds het beschermen van de rechten van klanten en van mensen in het algemeen. Hoe zorg je ervoor dat hun rechten zo goed mogelijk worden gerespecteerd? Dat moet echt hand in hand gaan.
Jeroen: Dat is mooi wat je zegt. Dus als het niet in lijn zou zijn met waar je privé voor staat, dan zou je het eigenlijk ook niet kunnen doen.
Marta: Nee, dat zou ik echt niet kunnen.
Jeroen: Dat is mooi. Laten we hopen dat dat nooit gebeurt.
Marta: Als dat gebeurt, dan heb ik echt een moreel dilemma.
Jeroen: Tot slot: je bent ook docent. Je vindt het dus blijkbaar leuk om kennis over te dragen. Daarnaast ben je medeoprichter en bestuurslid van de Vereniging Privacyrecht. Waarom doe je die twee dingen? Gaat het echt om kennisoverdracht, of zit er nog een andere motivatie achter?
Marta: Ik kan geen nee zeggen.
Jeroen: Dat is wel een heel eerlijk antwoord.
Marta: Nee, nee, nee. De vereniging is ontstaan samen met een goede vriendin van mij. We werkten toen samen bij Simmons & Simmons. Zij had ook een mooi netwerk van mensen met veel kennis en een goede reputatie op het gebied van privacy. Op een gegeven moment zaten we samen met Nynke Wistband, die ook bestuurslid is, en toen zeiden we: zullen we een vereniging beginnen? “Ja, hartstikke leuk, laten we dat doen.” Zo is het eigenlijk ontstaan. Maar we hadden nooit verwacht dat het zo groot zou worden. Eerst hadden we twintig, misschien dertig leden. Inmiddels zijn het er bijna duizend.
Jeroen: Ongelooflijk. Het is eigenlijk net als de sector zelf. Dat brengt me meteen bij een eerste inhoudelijke vraag. De rol van privacy is binnen het juridische domein, en daarmee in de samenleving, enorm gegroeid. Kun je ons in vogelvlucht meenemen in die twintig jaar waarin jij ermee bezig bent geweest? Hoe heeft dat zich ontwikkeld?
Marta: Jazeker. De interesse in en het belang van het privacyrecht zijn eigenlijk exponentieel gegroeid, parallel aan de groei van digitalisering. Alles draait tegenwoordig om data, om informatie over jou. Als klant van een bank weet je dat alles uiteindelijk bestaat uit nulletjes en enen. Geld is in feite ook data. En als het over jouw geld gaat, gaat het ook over jouw informatie. Binnen de bancaire sector waren persoonsgegevens aanvankelijk een beetje een bijzaak, maar dat is allang niet meer zo. Toen ik begon verwachtte ik dat de privacyvragen vrij beperkt zouden zijn. Maar de vragen bleken veel interessanter. Bijvoorbeeld: ik wil een nieuw product ontwikkelen, welke informatie mag ik daarvoor gebruiken? Dan ontstaat het mooie gesprek over de balans tussen enerzijds het belang van een commerciële partij, een bank of een dienstverlener, en anderzijds het respecteren en beschermen van de gegevens van de betrokken persoon. Dus het begon als een bijzaak, maar wat ik ook moet zeggen is dat de bescherming van bancaire informatie altijd al heel belangrijk is geweest. Banken gaan van nature zorgvuldig om met informatie. Het beschermen van gegevens zit eigenlijk in het DNA van de sector. Dus het is niet zo dat de AVG ineens kwam en dat privacy opeens iets nieuws werd. Nee, dat speelt al veel langer.
Jeroen: Het is natuurlijk een van de kerndingen van bankieren: vertrouwen. En vertrouwen heb je alleen als je niet zomaar gegevens op straat gooit.
Marta: Absoluut. Je vertelt ook niet zomaar aan je buurman wat je salaris is. Dat blijft iets privés. Dat is ook kenmerkend voor een bank: dat je zorgvuldig omgaat met de gegevens van je klanten.
Jeroen: Is er een soort doorbraakmoment aan te wijzen? De suggestie die ik misschien zou doen, is dat dat de AVG was. De introductie daarvan en de aanloop ernaartoe. Is dat echt het moment geweest waarop privacy grootschalig op de agenda kwam? Of gebeurde dat al eerder?
Marta: Toen ik begon bij de bank vond ik het al verrassend interessant. Ik dacht inderdaad dat de vragen vrij basaal zouden zijn, maar ik zag juist heel veel kennis en diepgaande discussies. De voorganger van de AVG was de Wet bescherming persoonsgegevens. Die wet was weer gebaseerd op een Europese richtlijn uit 1995. Zo nieuw is het onderwerp dus eigenlijk niet. Maar je hebt wel gelijk: met de inwerkingtreding van de AVG heeft privacy een enorme impuls gekregen. Ineens begonnen klanten zich actief af te vragen: wat gebeurt er met mijn gegevens? Hoe zit het met mijn privacy? Die bewustwording vanuit de klant is vanaf dat moment enorm toegenomen.
Jeroen: Dat is een mooi bruggetje. Hebben klanten überhaupt wel een idee waar hun data allemaal rondzwerft? Of het nu bij een bank is, een socialmediaplatform of ergens anders op internet.
Marta: Wat je nu aansnijdt is wat wij vaak een tegenstrijdigheid noemen. Enerzijds zetten mensen hun hele leven op Instagram of Facebook. Tegelijkertijd zeggen ze: mijn privacy is heel belangrijk. Het is interessant hoe wij als mensen functioneren. Maar uiteindelijk draait het om balans. Je hebt klanten die heel privacybewust zijn en veel vragen stellen. En je hebt klanten die zeggen: ik heb niets te verbergen. Je ziet eigenlijk het hele spectrum. Maar de tijd waarin mensen zeiden: privacy interesseert me niet, ik heb toch niets te verbergen, die ligt wel achter ons.
Jeroen: Wat jij beschrijft herken ik ook. Mensen kunnen bijvoorbeeld heel moeilijk doen over het delen van informatie met een bank. Denk aan vragen die voortkomen uit antiwitwaswetgeving. Dan zeggen ze: ik ga echt mijn belastingaangifte niet opsturen. Maar een half uur later klikken ze zonder nadenken de algemene voorwaarden van Instagram, LinkedIn of een ander platform weg en geven ze misschien nog veel meer informatie prijs.
Marta: Dat is ergens ook begrijpelijk. Wat je van die platforms terugkrijgt, levert vaak gemak of plezier op. Maar ik snap heel goed wat je bedoelt. Je raakt hiermee ook een belangrijk thema: de antiwitwaswetgeving. Dat is een van de dilemma’s waar wij in de praktijk vaak mee te maken hebben. Enerzijds is die wetgeving bedoeld om een groot maatschappelijk probleem, namelijk witwassen, tegen te gaan. Daarvoor heb je informatie nodig. Tegelijkertijd zegt de AVG dat mensen recht hebben op bescherming van hun persoonsgegevens. Een belangrijk onderdeel van de AVG is artikel 5. Dat vormt echt de kern van de wet. Daarin staat onder meer het behoorlijkheidsbeginsel, fairness. Wat betekent dat? Dat betekent dat persoonsgegevens op een eerlijke en behoorlijke manier moeten worden verwerkt. Tegelijkertijd is het gegevensbeschermingsrecht niet absoluut. Dat staat ook expliciet in de AVG. Wanneer grote maatschappelijke belangen moeten worden afgewogen, moet er een balans worden gevonden. Je kunt dan zeggen: er is hier een groter maatschappelijk doel, en daarbij hoort misschien ook dat een bank bepaalde gegevens van mij moet verwerken.
Jeroen: Dat het altijd een balanceeract is.
Marta: Altijd.
Jeroen: Maar is dat niet eigenlijk het kernwoord überhaupt bij privacy, dat het altijd balanceren is? Want ja, wat is fair? Wat voor de één fair is, is voor de ander niet fair. Dat klinkt ook als een enorme open norm. Het klinkt niet als heel erg rule-based wetgeving.
Marta: Nee, en je zegt het ook heel mooi. Het gaat om open normen en inderdaad om principes.
Jeroen: Sorry, ik zeg rule-based. Excuus, ik haal ze door elkaar, maar je begrijpt wat ik bedoel.
Marta: Zeker, zeker. Het is meer principle-based en niet heel erg rule-based. Ik moet wel zeggen dat de AVG ook iets meer rule-based is, in die zin dat je bijvoorbeeld een functionaris gegevensbescherming moet hebben. Je moet een DPIA doen, dat zijn wel regels. Maar de kernprincipes…
Jeroen: Even voor mensen die niet weten wat een DPIA is?
Marta: Dat is iets wat je moet doen. Je moet risico’s in kaart brengen voor de klant, voor de natuurlijke persoon, als je gegevens gaat gebruiken. Wanneer er sprake is van hogere risico’s, dan doe je een impact assessment. De sector is heel volwassen als het gaat om het inventariseren van risico’s en het mitigeren daarvan. Dat ligt ook een beetje in het verlengde daarvan, maar dan heb je niet zozeer een risico voor de bank. Dit keer kijk je echt vanuit het perspectief van de klant, van de natuurlijke persoon.
Maar goed, we hadden het net over principle-based versus rule-based. En dat is het interessante voor een jurist in deze wereld. Je hebt de sectorale regels, dus denk ook aan AML, de antiwitwaswetgeving. Maar ook regels over kredieten. Het is ook allemaal principle-based. En de AVG ook. Het is echt een lawyers paradise. Misschien een nachtmerrie voor compliance-mensen, maar het is wel hoe het werkt.
Jeroen: Je weet dat dit dé podcast is voor compliance-mensen.
Marta: We zijn echt heel dankbaar dat wij in ieder geval ook in mijn organisatie een hele mooie compliance-afdeling hebben. Die moet ons opzoeken, ook de juristen, om echt goed te begrijpen: wat staat er in deze principle-based normen? Hoe gaan we dit met elkaar laten werken? En hoe maak ik dit als compliance zo concreet mogelijk in processen?
Het gaat altijd eerst over het balanceren. Ik geef je een voorbeeld. Een van de belangrijkste principes in de AVG is proportionaliteit en subsidiariteit. Dat vertaalt zich in dataminimalisatie. Wat betekent dat? Niet dat ik absoluut geen gegevens mag verwerken. Nee, dat betekent dat je bedenkt wat je wilt doen. Dus je moet altijd kiezen: wat heb ik precies nodig? Niet meer en niet minder. Maar dat is wel het dingetje: het juiste balans weten te vinden.
Jeroen: Deels is het een science, gewoon de wetten goed kennen. Maar deels is het ook wel art. Dat je toch aanvoelt waar we het echt nodig hebben en waar het niet echt nodig is om extra data te verzamelen bijvoorbeeld.
Marta: Ja, en daar komen dus ook de privacyjuristen die soms echt moeilijke vragen gaan stellen. Ook aan de business of aan degenen die de wet intern moeten gaan uitrollen. Absoluut.
Voice-over: Je luistert naar de Leaders in Finance Compliance Podcast.
Jeroen: Hoe kijkt die business naar iemand zoals jij? Zien ze jou vooral als iemand die zegt: dit kan niet, dit kan niet, dit kan niet? Of zien ze jou ook meer als een enabler? Dit valt eigenlijk wel mee, dit kan best. De reden dat ik het vraag is omdat mijn gevoel altijd is dat mensen in financiële instellingen, daarbuiten ook natuurlijk, maar die ken ik minder goed, soms denken dat heel veel dingen niet mogen. Terwijl eigenlijk best veel mag. Dat ze bij voorbaat al zeggen: ja, maar dat mag niet van de privacywetgeving. Herken je dat?
Marta: Deels. Het klopt dat wij als juristen soms het verkeerde imago hebben, dat als je naar de juristen gaat, je gelijk een nee krijgt. Of dat als wij zeggen: let op, de privacywetgeving is van toepassing, de business meteen denkt: oh, dan mag ik niets meer doen. Nee. Wat wil je gaan doen en waarom? Als ik het gevoel heb of zie dat ze echt alles willen gebruiken, dan zeg ik: nee jongens, misschien moet je nog eens nadenken. Weet je zeker dat je het op deze manier wilt doen? Het woord enabler zou je kunnen gebruiken, maar we zijn meer businesspartners. Uiteraard, als ik iets hoor waarvan ik denk: dit mag echt niet, dan ben ik streng. Maar als ik zie dat iets op deze manier misschien niet kan, dan denk ik mee. Wat als we het samen anders gaan doen? Wat als we bepaalde gegevens niet opvragen? Of dit stukje bijvoorbeeld pseudonimiseren? Dan is er vaak veel meer mogelijk. Kijk, een van mijn favoriete overwegingen uit de AVG, de considerans dus, is nummer 4. Dat zijn de passages vóór de artikelen. Daarin staat dat het gegevensbeschermingsrecht niet absoluut is.
Jeroen: Jij haalde net het woord sectorale wetgeving aan. Want ik kan me voorstellen: er is eigenlijk geen enkel wet- en regelgevingsgebied waar privacy niet bij komt kijken. Met andere woorden, eigenlijk zit je er altijd bij. Is het nou zo dat privacy vaak clashed met sectorale wetgeving? Bijvoorbeeld in de AML-wereld, maar kies welk ander domein dan ook. Botst het vaak of valt dat wel mee?
Marta: Kijk, als je er heel zwart-wit naar kijkt, zou je kunnen zeggen: ja, het botst. Maar ik zeg liever dat het gaat om uitdagingen. Hoe gaan we ervoor zorgen dat de doelen van deze wet en de bescherming van de privacy van klanten hand in hand kunnen gaan? Bijvoorbeeld de nieuwe AML Package, dus het antiwitwaspakket dat binnenkort, op 10 juli 2027, van toepassing zal zijn. Als je kijkt naar de AMLR zie je zo vaak verwijzingen naar de AVG. Dat was bij de voorgangers, de AML-richtlijnen, veel minder het geval. Misschien één of twee verwijzingen, maar hier zie je echt dat er gezocht wordt naar de juiste balans. Je moet transacties monitoren, maar let op: kijk naar de risk-based approach en houd ook rekening met de AVG. Dat staat er echt meerdere keren. Wat heb je ook nog meer? Je hebt de Payment Services Regulation, waarvoor net een politiek akkoord is bereikt. Die PSR is mede aangepast om een groot risico aan te pakken: fraude in het betalingsverkeer. En wat zie je in de PSR? Een bepaling die zegt dat het mogelijk is, of eigenlijk verplicht is, om fraudegerelateerde gegevens te delen met andere PSP’s. Een PSP is een Payment Service Provider, bijvoorbeeld een andere bank. Dan komen meteen de privacyvragen. Is dat een blacklist of niet? Gaat dat werken of niet? Let wel op dat wij in de Nederlandse bankensector al een waarschuwingssysteem hebben op basis van een protocol dat recent ook is goedgekeurd door de Autoriteit Persoonsgegevens.
Jeroen: Uiteindelijk kun je het dus zelfs door de AP laten toetsen?
Marta: Nou, dit is een klein beetje technisch. We hebben het hier over persoonsgegevens die kwalificeren als strafrechtelijke persoonsgegevens. De AVG zegt in principe dat de verwerking daarvan verboden is. Tenzij Europese wetgeving of nationale wetgeving zegt dat het mag. In Nederland hebben wij de UAVG, de Uitvoeringswet Algemene verordening gegevensbescherming. Daarin staat dat als je strafrechtelijke persoonsgegevens ten behoeve van derden wilt verwerken of delen, dat alleen mag als de Autoriteit Persoonsgegevens daarvoor een vergunning geeft. Je mag ze ook verwerken voor je eigen doeleinden, bijvoorbeeld om fraude te detecteren. Maar voor het delen van die gegevens heeft Nederland gekozen voor een extra waarborg: de AP moet daar een toets op doen. Wij hebben dus al jaren zo’n waarschuwingssysteem. Maar het grappige is dat dit in andere landen niet zo geregeld is. Juist over de verwerking van strafrechtelijke persoonsgegevens konden de lidstaten het niet goed eens worden. Daarom heeft ieder land dat net iets anders geregeld. Daar zitten dus verschillen.
Jeroen: Het moet verder geharmoniseerd worden. Want Nederland liep natuurlijk best voorop met Transactie Monitoring Nederland, TMNL. Ik weet niet of het waar is, maar wat ik hoor is dat het vanuit privacy-oogpunt lastig werd om dat echt verder van de grond te krijgen. Toen is dat gestopt. Maar nu zijn er weer veel mensen die zeggen dat er onder artikel 75 van de AMLR wel weer mogelijkheden bestaan om dat in Europa op te zetten.
Marta: Ja kijk, wat bij TMNL werd onderzocht was of het mogelijk was om binnen de privacykaders gegevens te delen om witwassen en terrorismefinanciering te bestrijden. Dat was het uitgangspunt. Tegelijkertijd werd op Europees niveau nagedacht over hoe gegevensdeling mogelijk gemaakt kon worden. Uiteindelijk is in Europa consensus bereikt over artikel 75 van de AMLR. Dat artikel biedt de mogelijkheid om ten aanzien van bepaalde klanten, dus klanten met een verhoogd risico, bepaalde gegevens uit te wisselen. Maar dat artikel is heel lang, bijna twee pagina’s, met allerlei waarborgen. Dus daar draait het om. De discussie is inderdaad ontstaan rondom TMNL. Maar op dit moment wordt ook verder onderzoek gedaan. De EDPB, de European Data Protection Board, dus de privacytoezichthouders in Europa, willen hier ook guidance over gaan schrijven. Samen met AMLA, de Europese AML-autoriteit. We weten nog niet precies van welke kant die guidance zal komen. Maar ik weet dat ze hierover echt in gesprek zijn.
Jeroen: Maar kan er een soort TMEU komen? Een Transaction Monitoring European Union? Vanuit juridisch perspectief zou dat mogelijk moeten zijn, denk je?
Marta: Kijk, de mogelijkheid staat gewoon in de wet. Dus als het lukt om een partnership voor informatiedeling te ontwikkelen dat voldoet aan alle vereisten van artikel 75, dan kan het. Je moet wel een hele goede businesscase hebben. En uiteraard moet je de Autoriteit Persoonsgegevens, of zelfs meerdere toezichthouders als het grensoverschrijdend wordt, echt aan boord hebben. Anders gaat het niet vliegen.
Jeroen:
Een thema dat natuurlijk overal besproken wordt, van de boardrooms tot in de samenleving, is artificiële intelligentie, AI. Hoe kijk jij naar AI en privacy? Dat is al een podcast op zich natuurlijk, daar kunnen we uren over praten. Maar misschien kun jij mij en de luisteraars een paar gedachten meegeven over hoe je naar de hele ontwikkeling van AI moet kijken ten opzichte van privacy.
Marta: Ja, zeker. En het is ook weer een van de aspecten die het zo boeiend maken om op dit gebied te werken. Kijk, vanaf het moment dat je AI-systemen gaat ontwikkelen, die kwalificeren als AI-systemen in de zin van de AI Act, en je gaat die toepassen op informatie over personen, verwerk je gewoon persoonsgegevens. Wat betekent dat? Dan heb je gewoon twee wetten die van toepassing zijn: de AI Act en de AVG. Het verschil tussen de AVG en de AI Act is dat de AI Act kijkt naar risico’s. Daar is besloten om te zeggen: bepaalde AI-systemen gaan we verbieden, die mag je niet gebruiken. Andere systemen worden als hoog risico bestempeld. Dat is niet verboden, maar je moet je wel aan een aantal regels houden. Voor de bankensector kan ik me voorstellen dat luisteraars zich afvragen of er processen zijn die onder die categorie van hoog-risicosystemen vallen. Jazeker, die zijn er. AI-systemen die bedoeld zijn om de kredietwaardigheid van klanten te beoordelen, worden gezien als hoog risico. Nogmaals, dat is niet verboden, maar je moet wel heel goed volgen wat er in de AI Act staat. En als het gaat over privacy, dan kom je ook weer uit bij die mooie principes waar ik het eerder over had. Artikel 5, de kern: transparantie, behoorlijkheid en rechtmatigheid. Dus als je gegevens gaat verwerken met behulp van AI-systemen, bijvoorbeeld voor kredietwaardigheidsbeoordelingen, zorg er dan voor dat je fair bent. Dat betekent dat je de privacyregels ook bij het ontwikkelen van dit soort modellen goed in acht neemt.
Jeroen: Kredietverstrekking is een prachtig onderwerp, denk ik. Je zegt: het is hoog risico onder de AI Act. Tegelijkertijd kun je denk ik heel goed controleren wat je zelf in die modellen stopt. Bijvoorbeeld al het betalingsverkeer van een klant. Dat hebben jullie allemaal. Dat geeft natuurlijk enorm veel inzicht in het betaalgedrag van een klant. Als je al die data hebt, weet je heel veel.
Marta: Kijk, over het gebruik van transactiegegevens ligt het wel heel gevoelig. Het is niet zo dat alles kan. Een bank heeft die gegevens wel, maar het is niet de bedoeling dat alles wordt gebruikt. Straks krijgen we de implementatie van CCD2, de Consumer Credit Directive 2. Die verplicht tot het uitvoeren van een kredietwaardigheidstoets. Uiteraard om klanten te beschermen tegen overkreditering. In de implementatie van deze wet komt er wel een grondslag om transactiegegevens te gebruiken. Maar let op: als je die gegevens gebruikt, is het wel de bedoeling dat je bijvoorbeeld betalingen die iets zeggen over iemands gezondheid – wat wij bijzondere persoonsgegevens noemen – buiten beschouwing laat. Dus let op: het feit dat de bank gegevens heeft, betekent niet dat alles gebruikt mag worden. Dat is echt niet het geval.
Jeroen: Je kunt natuurlijk ongelooflijk veel uit die betalingsgegevens halen. Dan kun je een heel beeld van iemand krijgen. Als iemand bijvoorbeeld iedere week tien pakjes sigaretten koopt, zegt dat best veel. Of iemand doet veel mee aan loterijen. Of iemand geeft elke maand meer uit dan er binnenkomt. Je kunt eindeloos doorgaan. Betaalgegevens zijn natuurlijk heel waardevolle informatie om een beeld van iemand te krijgen. En als je dat combineert met social media, dan weet je misschien al wat iemands politieke voorkeur is, seksuele voorkeur, hoe het met zijn gezondheid gaat, enzovoort. Je kunt er ontzettend veel uit halen. Dat vind ik als consument soms best eng. Wat er allemaal bekend zou kunnen zijn.
Marta: En daarom moeten wij als samenleving ook dankbaar zijn voor de AVG. Dat is ook precies de reden waarom banken juristen hebben met deze expertise. Die zeggen: hier ga je echt niet op in. Dat mag je niet doen. Je hebt het doelbindingsbeginsel. Je hebt het transparantiebeginsel. Je hebt beperkingen op het gebruik van bijzondere persoonsgegevens. Dat mag alleen wanneer de wet dat toestaat. Dus dat is in principe hoe het systeem zou moeten werken.
Jeroen: Ik bankier deels bij jouw bank, dus ik voel me redelijk veilig op dit moment. Ik ben helemaal gerustgesteld. We hebben het gehad over waar de AVG botst met andere sectorale wetgeving. Dat kun je natuurlijk ook op een ander niveau bekijken, namelijk op het niveau van toezichthouders. Hoe kijk jij daarnaar? Hoeveel afstemming is er volgens jou tussen DNB, AFM, het Bureau Financieel Toezicht of andere toezichthouders enerzijds, en de Autoriteit Persoonsgegevens anderzijds?
Marta: Ik moet zeggen dat mijn recente ervaringen heel positief zijn. Het is duidelijk dat toezichthouders steeds vaker met elkaar moeten praten. En ik zie ook een verandering in de houding van de Autoriteit Persoonsgegevens. Ze zijn veel transparanter geworden en zoeken ook de dialoog met andere toezichthouders. Dat is heel fijn.
Jeroen: Alleen maar positief? Want ik hoorde informeel best veel geklaag. Kijk, jij zit nu in een podcast, dus ik weet niet wat je daar allemaal over wilt zeggen. Maar ik hoor wel eens dat de ene toezichthouder vindt dat de andere meer aandacht zou moeten hebben voor privacy. En dat de privacytoezichthouder op haar beurt zegt: het gaat niet alleen om de onderwerpen waar jullie mee bezig zijn. Merk jij dat niet?
Marta: Ik merk vooral dat de dialoog echt op gang begint te komen.
Jeroen: Dus positiever dan voorheen in ieder geval?
Marta: Ja, dat is in ieder geval mijn beleving op dit moment.
Jeroen: Dat herken ik ook wel. Tegelijkertijd hoor ik ook wat andere geluiden. Maar bijvoorbeeld op onze evenementen, waar privacy regelmatig op gespannen voet staat met andere onderwerpen, zie ik inderdaad dat de AP vaker naar buiten treedt om daarover te vertellen. Vroeger wilden ze daar vaak geen tijd voor maken. Dus ik snap wel wat je zegt. Nog een paar laatste dingen. Want we kunnen hier natuurlijk nog uren over doorpraten. Dat moeten we misschien op een ander moment ook doen. Maar als je kijkt naar privacy binnen de financiële sector, hoe kijk je dan naar de toekomst? Kun je een paar ontwikkelingen meegeven waar we de komende jaren op moeten letten?
Marta: Ja, kijk. Privacy kun je eigenlijk niet meer los zien van de sectorale wetgeving. Wat ik zie, is dat er steeds meer regels bijkomen. Ondanks het Draghi-rapport en alle discussies over vereenvoudiging. Maar wat ik vooral zie, is dat de toekomst niet ligt bij specialisten die alleen kennis hebben van de AVG. De toekomst ligt bij specialisten die ook de sector kennen. Die de sectorale regels kennen. En die echt onderzoek doen naar de wisselwerking tussen verschillende soorten wetgeving. Waar we naartoe gaan, is het zoeken naar oplossingen samen met mensen uit verschillende disciplines. Hoe maak ik algoritmes uitlegbaar? Dat zijn vragen die we moeten durven stellen. Als een data-analist tegen mij zegt: dat kan ik niet uitleggen, dan is dat voor mij onvoldoende. Zoek alsjeblieft een manier waarop het wel kan. Het gaat niet meer om werken in silo’s. Niet alleen juristen en niet alleen de business. Maar multidisciplinaire teams waarin problemen samen worden besproken en opgelost. Een van de risico’s van het gebruik van data en AI is ook de perceptie van discriminatie. Maak daarom ook de groep mensen met wie je werkt divers. Dan krijg je andere perspectieven. Dan kun je toetsen hoe bepaalde toepassingen door verschillende mensen worden ervaren. Dat zijn zaken die wij ook steeds meer proberen mee te nemen in juridische discussies.
Jeroen: Een laatste vraag. Wij vragen onze gasten altijd: heb je tips voor compliance officers? Je haalde compliance al even aan. Jullie hebben recent een nieuwe Chief Compliance Officer gekregen, Angelique Keizers. Maar wat zijn jouw tips voor compliance officers in de financiële sector? Vanuit jouw perspectief.
Marta: Je moet hele goede vrienden worden met je lawyers.
Jeroen: Licht dat eens toe.
Marta: Dat betekent: ga samen op pad. Kijk samen naar problemen. Een jurist zorgt ervoor dat de mogelijkheden duidelijk worden. Compliance is de partner, de enabler van de business, om dingen goed te doen. Maar trek vooral samen op met je juristen. Dat is denk ik mijn belangrijkste advies. Luister goed naar elkaar.
Jeroen: Mooi. Word dus hele goede vrienden met Marta. Binnen ABN AMRO dan, of bij welke bank dan ook, met je Chief Compliance Officer en je Head of Legal. Tot slot de laatste vraag. Heb jij nog iets waarvan je zegt: Jeroen, we hebben een aantal onderwerpen aangestipt, maar ik mis nog echt iets dat we hadden moeten bespreken?
Marta: Ja, ik ben nooit uitgepraat. Maar nee, niet op dit moment.
Jeroen: Nee, maar ik zie dit soort gesprekken ook altijd als handvatten om de dialoog verder te voeren. Je kunt op ieder onderwerp dat we vandaag hebben aangestipt natuurlijk nog veel dieper ingaan. Maar dit geeft volgens mij al een heel mooi beeld. Dus heel veel dank voor je tijd. Ontzettend leuk om naar je te luisteren en heel interessant. Het is ook echt een complex vakgebied. En als ik jou zo hoor praten, begrijp ik goed waarom jij het zo boeiend vindt. Zoals ik al zei: het is niet zwart-wit. Er zijn veel grijstinten. Marta Borrat-Frigola, heel veel dank voor je tijd vandaag. En dank dat je met mij en met de Leaders in Finance Compliance Podcast in gesprek wilde. We gaan het volgen. We komen elkaar ongetwijfeld weer tegen. Ik heb hier nog een klein bedankje voor je liggen. En ook voor de twee toehoorders die vandaag aanwezig zijn. Dus nogmaals: dank je wel voor je tijd.
Marta: Heel graag gedaan. Dank je wel, Jeroen.
Voice-over: Je luisterde naar de Leaders in Finance Compliance Podcast. Deze podcast werd mede mogelijk gemaakt door Deloitte, Rabobank, Sense en Osborne Clarke. Meer weten of een reactie achterlaten? Dat kan via LinkedIn. Als je ons daar volgt, blijf je bovendien op de hoogte van nieuwe afleveringen. Natuurlijk zijn we je zeer dankbaar als je een review achterlaat en meer mensen vertelt over deze podcast. Vergeet ook niet te kijken naar de andere podcasts op ons kanaal. Er zit vast iets tussen dat je aanspreekt. Bedankt voor het luisteren.