U bent hier

Onderneming & Administratie
WWFT5. Naar welke gegevens mag je vragen?5.3 Documenten die persoonsgegevens bevatten
Voor Onderneming & Administratie

5.3 Documenten die persoonsgegevens bevatten

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: december 2025

Voor documenten en gegevens die je opvraagt bij derden of cliënten en waar persoonsgegevens van cliënten in staan, gelden volgens de Wwft specifieke regels (zie paragraaf 2.7).

bewaartermijn

Zo moet je jouw cliënt van tevoren informeren over het verwerken van zijn persoonsgegevens en de doeleinden voor het verwerken van persoonsgegevens (voor de Wwft en niet voor andere doeleinden). Houd ook rekening met de maximale bewaartermijn van maximaal vijf jaar na beëindigen van de zakelijke relatie of uitvoeren van de incidentele transactie.

Houd ook rekening met AVG-rechten van je cliënt

rectificatie

wissen

beperking

overdraagbaar

bezwaar

Jouw klanten – maar bijvoorbeeld ook je medewerkers en zakenrelaties – hebben op grond van de Algemene verordening gegevensbescherming (AVG) deze rechten:

  • Je moet ze informeren dat je hun persoonsgegevens verwerkt, en met welk doel.
  • Ze mogen onjuiste persoonsgegevens laten rectificeren. De rectificatie moet meteen plaatsvinden!
  • Ze mogen weten hoe hun persoonsgegevens worden verwerkt.
  • Je moet hun persoonsgegevens wissen als:
    • de persoonsgegevens niet langer nodig zijn voor de doelen waarvoor zij zijn verzameld of op een andere manier zijn verwerkt dan de bedoeling was;
    • de toestemming is ingetrokken;
    • bezwaar wordt gemaakt tegen de verwerking;
    • de persoonsgegevens onrechtmatig zijn verwerkt.
  • De verzamelde persoonsgegevens mogen soms (tijdelijk) niet verwerkt en niet gewijzigd worden.
  • De betrokkene moet zijn gegevens kunnen opvragen in ‘gestructureerde, gangbare en machineleesbare vorm’.
  • Ze mogen bezwaar maken tegen de verwerking van zijn persoonsgegevens.

Persoonsgegevens

identificator

Persoonsgegevens zijn in artikel 1 van de Wwft en artikel 4, lid 1 van de AVG (Verordening (EU) 2016/679) gedefinieerd. Het gaat om alle informatie over:

  • een geïdentificeerde of identificeerbare natuurlijk persoon;
  • een natuurlijk persoon die direct of indirect kan worden geïdentificeerd;
  • met name aan de hand van een identificator zoals:
    • een naam, een identificatienummer, locatiegegevens, een online identificator;
    • een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon.