GDPR zorgt mogelijk voor tsunami dataverzoeken bankklanten
De invoering van de GDPR zal zorgen voor een aanzienlijke Compliance-uitdaging voor banken. Als klanten, in lijn met de nieuwe wetgeving, besluiten om massaal op te vragen welke gegevens de bank van hen heeft, dan zullen de banken hun handen vol hebben aan het afhandelen van deze aanvragen. Als ze hun processen en data governance niet voor de invoering op orde hebben, kunnen banken die niet opgewassen zijn tegen de tsunami aan dataverzoeken van klanten aanzienlijke boetes verwachten.
De General Data Protection Regulation (GDPR) en de Algemene Verordening Gegevensbescherming (AVG; Nederlandse adaptie van de GDPR) worden in mei 2018 van kracht. Deze nieuwe Europese wetgeving heeft ten doel inwoners van EU-landen te beschermen tegen misbruik en onveilige verwerking van hun persoonsgegevens. Bedrijven en organisaties moeten hun systemen en procedures aanzienlijk verbeteren om de verplichte beveiliging te bieden.
Als zij dat niet doen, kunnen ze aanzienlijke boetes verwachten. Bedrijven die niet voldoen aan de nieuwe eisen, lopen het risico boetes te krijgen tot wel €20 miljoen, of 4% van de wereldwijde omzet, afhankelijk van de grootte van de organisatie. Uit recent onderzoek van Oliver Wyman blijkt dat de wetgeving verstrekkende gevolgen kan hebben voor bedrijven die er niet in slagen deze na te leven. Zo zouden bedrijven die onderdeel uitmaken van de Britse FTSE 100 Index volgens het onderzoek ieder jaar te maken krijgen met $5 miljard aan boetes, omdat zij nog onvoldoende volwassen zijn in hun databeveiliging en datagebruik.
De hoogte van deze inschatting heeft voor een belangrijk deel verband met de mogelijkheden van een datalek in de bankensector. Maar niet alleen de financiële sector krijgt te maken met de strenge sancties. Recentelijk kreeg de Hilton Hotels-keten een boete van $700.000 voor een datalek in de Verenigde Staten. Onder de GDPR, die ook geldt voor bedrijven buiten de EU die gegevens van Europeanen verwerken, had deze boete echter $420 miljoen kunnen zijn. In dit geval vertaalt dat zich tot $2 dollar boete per gelekt dossier (huidige situatie) ten opzichte van $1.200 boete per gelekt dossier (onder de GDPR).
Data in eigen hand
De invoering van de GDPR heeft voor een deel ook ten doel om consumenten in staat te stellen de controle te nemen over hun persoonsgegevens. Onder de nieuwe wet kunnen EU-inwoners bij bedrijven opvragen welke gegevens van hen bekend zijn bij die bedrijven en vervolgens verzoeken indienen om (delen van) deze data te verwijderen. Uit recent onderzoek van consultancybureau Baringa Partners onder Britse consumenten blijkt dat een meerderheid van hen wil weten welke gegevens de bank van hen heeft. Maar liefst 72% geeft aan een aanvraag te zullen indienen om overzicht te krijgen van hun persoonlijke data bij de bank, als de bank verplicht is dit overzicht aan te leveren.
De GDPR geeft personen het recht om antwoord te krijgen op de vraag of er persoonlijke gegevens van hen worden verwerkt, waar en voor welk doel. De bank moet binnen een maand een digitale kopie aanleveren van alle persoonlijke data en mag hiervoor geen kosten in rekening brengen. Als de bank er niet in slaagt de kopie binnen een maand aan te leveren, wordt dit beschouwd als een eerstegraads overtreding, met een mogelijke boete ten gevolg.
Banken zullen zeer waarschijnlijk een groot aantal van deze verzoeken moeten afhandelen. Als zelfs maar de helft van de 72% uit het onderzoek daadwerkelijk overgaat tot het opvragen van hun gegevens bij de bank, zullen de Britse banken te maken krijgen met een golf van ruim 18 miljoen klantverzoeken. Dit vooruitzicht dwingt banken om hun digitale processen en data governance in de backoffice te optimaliseren, zodat banken zelf inzicht hebben in waar welke data van welke klant staat opgeslagen.
Volgens Daniel Golding, Director bij Baringa, moeten banken in hun voorbereiding op GDPR overwegen te investeren in nieuwe, verbeterde IT-systemen zodat zij eenvoudig persoonlijke gegevens kunnen opsporen en verwijderen als een klant hier het verzoek toe indient. Golding sluit af: “Vanaf komende mei wordt data governance een cruciaal vraagstuk, dat risico’s met zich meebrengt op het gebied van klantbehoud, maar ook op gigantische boetes als dataverzoeken niet op tijd worden afgehandeld.”
