De spagaat tussen volledigheid en zorgvuldigheid
Het voelt soms als een spagaat: de WWFT vraagt om zoveel mogelijk informatie, terwijl de AVG je juist remt. Voor veel kantoren lijkt het alsof die twee regels haaks op elkaar staan. Zo zegt de AVG: verwerk zo min mogelijk persoonsgegevens. Terwijl de WWFT zegt: verzamel alles wat nodig is om je cliëntenonderzoek goed te doen.
In de praktijk roept dat vragen op:
- Verzamel je alleen wat echt nodig is, of ook meer “voor de zekerheid”?
- Hoe lang mag of moet je gegevens bewaren?
- En hoe zorg je dat je zorgvuldig omgaat met de data die je opslaat?
Het voelt soms alsof je moet kiezen tussen twee kwaden: óf te weinig informatie voor je WWFT-dossier, óf te veel om nog AVG-proof te zijn.
Wat de Wwft en AVG van je vragen
De Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT) verplicht instellingen om cliëntenonderzoek te doen, de identiteit vast te leggen en ongebruikelijke transacties te melden. Een verplichting, die bedoeld is om criminaliteit te voorkomen en de integriteit van het financiële systeem te beschermen.
De Algemene verordening gegevensbescherming (AVG) stelt juist grenzen aan hoe organisaties met persoonsgegevens omgaan. Denk aan beginselen als doelbinding, dataminimalisatie en beperkte bewaartermijnen.
De spanning ontstaat dus doordat beide wetten hetzelfde onderwerp raken, persoonsgegevens, maar met een ander doel. Waar de WWFT zegt “verzamel”, zegt de AVG “beperk”.
Welke gaat voor: de WWFT of de AVG?
Juridisch gezien is de WWFT een bijzondere wet en de AVG een algemene wet. Dat betekent dat de WWFT de grondslag biedt om persoonsgegevens te verwerken. Maar de AVG blijft gelden voor hoe je dat doet.
Oftewel: de WWFT geeft je het recht om gegevens te verzamelen, maar de AVG bepaalt de spelregels. Samen zorgen ze ervoor dat je cliëntenonderzoek volledig én zorgvuldig uitgevoerd wordt.
Ook de Financial Intelligence Unit (FIU-Nederland) benadrukt dit: de WWFT vormt de wettelijke basis voor het verwerken van persoonsgegevens, maar de AVG blijft volledig van toepassing op de manier waarop dat gebeurt.
Laat het me gerust weten als je hierover vragen hebt of wilt sparren over jullie huidige aanpak.
Hoe breng je WWFT en AVG in balans?
De oplossing zit dus niet in kiezen voor de één of de ander, maar in zorgen dat ze elkaar aanvullen. Hieronder een aantal praktische handvatten:
- Beperk wat je vastlegt
Gebruik een vaste checklist voor cliëntenonderzoek. Leg alleen vast wat echt nodig is volgens de WWFT. Dat voorkomt dat je “voor de zekerheid” te veel bewaart. - Wees transparant naar cliënten
Leg in je privacyverklaring uit waarom je gegevens verzamelt en dat dit wettelijk verplicht is. Dat voorkomt misverstanden aan de balie of in de mailbox. - Respecteer bewaartermijnen
Volgens de WWFT moet je cliënt- en onderzoeksgegevens vijf jaar bewaren na het beëindigen van de cliëntrelatie. Daarna is het de AVG die bepaalt dat je gegevens moet verwijderen of anonimiseren. - Beveilig bewust
Denk aan veilige opslag, beperkte toegang en versleuteling van ID-documenten. Een kopie ID hoort niet op een gedeelde schijf of in een onbeveiligde map. - Documenteer keuzes
Leg intern vast waarom je bepaalde gegevens verwerkt of bewaart. Dat helpt bij audits en toont dat je bewust omgaat met je verplichtingen.
Wie de AVG ziet als kwaliteitskader in plaats van belemmering, maakt zijn WWFT-dossiers sterker. De WWFT en AVG hoeven elkaar niet in de weg te zitten: samen zorgen ze voor een evenwicht tussen volledigheid en zorgvuldigheid.
Uiteindelijk gaat het niet om méér gegevens, maar om betere verantwoording.
Hoe pakt jouw kantoor dit aan? Herken je de spagaat, of heb je juist een duidelijke werkwijze gevonden om beide wetten in balans te houden?`