MiFID II en privacy, een lastige cocktail

Gebruikt u één mobiele telefoon voor privé en zakelijk verkeer? Wellicht heeft u een telefoon van de zaak die u ook privé kunt gebruiken. In 2018 zou het beleid van uw werkgever op dat vlak behoorlijk kunnen veranderen want toegang tot uw privé communicatie kan hen duur komen te staan, schrijft FN Kennisexpert Iris van de Looij.

‘Beleggingsbedrijven staan voor een uitdaging om in 2018 te voldoen aan een cocktail van Europese regelgeving die impact heeft op het vastleggen en bewaren van communicatie.  Doordat deze regelgeving elkaar op sommige gebieden tegenspreekt, leidt dit bij bedrijven tot verwarring en frustratie.

Zo stelt MiFID II dat beleggingsbedrijven alle telefoongesprekken en elektronische communicatie die mogelijk leiden tot een transactie, moeten opnemen en voor vijf jaar bewaren. De nieuwe Europese privacywetgeving, de General Data Protection Regulation (GDPR), zegt juist dat data niet langer bewaard mag worden dan nodig. De GDPR gaat er ook vanuit dat alleen communicatie bewaard wordt die specifiek met een transactie te maken heeft. Hoe kan je als organisatie voldoen aan beide?

Om te voldoen aan MiFID II wil je als bedrijf alle communicatie van je medewerkers met klanten opnemen en vastleggen. Dat gaat om telefoongesprekken, e-mail en alle andere mogelijke elektronische communicatie zoals WhatsApp en Messenger.

Omdat door de dag heen zakelijke- en privécommunicatie vaak door elkaar heen loopt, nemen veel bedrijven voor het gemak alle communicatie op. Er zijn ook allerlei aanbieders in de markt actief die oplossingen aanbieden hiervoor.

Hoge boetes

Maar volgens de GDPR mag je de gesprekken die niet met een transactie te maken hebben, niet onnodig bewaren. Dat betekent dat je ook geen privé-gesprekken van je medewerkers mag bewaren, laat staan beluisteren. De organisatie loopt hierbij ook een groot financieel risico. De boetes bij overtreding van de GDPR zijn niet mis. Bij een overtreding van de GDPR geldt een boete van 4 procent van de jaarlijkse omzet.

Een eerste stap die dus moet worden gezet, is het splitsen van de zakelijke- en privé-communicatie. Daarmee is een groot deel van onnodig bewaren van privégegevens van medewerkers opgelost. Met IOS en Android toestellen kan je tegenwoordig makkelijk twee nummers gebruiken op hetzelfde toestel.

Het onnodig bewaren van klantcommunicatie is moeilijker op te lossen. Daar zou het bedrijf een splitsing moeten maken tussen de gesprekken waar wordt gesproken over transacties en gesprekken over andere onderwerpen.

Gesprekken over transacties worden voornamelijk gevoerd bij beleggingsadvies en execution only. Dat betekent dat bij een beheeroplossing het risico van opslaan van de verkeerde gesprekken een stuk lager is. Tot nu toe is dat nog niet echt op de agenda gekomen maar dit maakt de kosten en risico’s van beleggingsadvies ten opzichte van beheer nog wat groter.

De GDPR is een Europese verordening die niet in Nederlandse wetgeving hoeft te worden omgezet, maar direct van kracht is. De wet is momenteel in een overgangsfase en wordt definitief van kracht op 25 mei 2018. Door de grote tijdsdruk en uitdagingen die MiFID II met zich meebrengt, ligt de focus van veel beleggingsbedrijven nu vooral op implementatie van MiFID II per 3 januari 2018.

Niet vooruitschuiven

Ze schuiven daarmee de uitdaging van de GDPR voor zicht uit naar 2018. Maar nu veel beleggingsbedrijven een oplossing selecteren voor data-vastlegging, is dit een belangrijk punt om nu mee te nemen en niet verder vooruit te schuiven.’

Bijdrage aan FondsNieuws KennisExpert rubriek, 19 mei 2017

Deel gerust met anderen.....Email this to someoneTweet about this on TwitterShare on LinkedIn