U bent hier

Onderneming & Administratie
WWFT2. Wwft-verplichtingen voor de adviseur2.7 Gegevensbescherming
Voor Onderneming & Administratie

2.7 Gegevensbescherming

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: december 2025

persoons-gegevens

AVG

De persoonsgegevens die je op grond van artikel 34a van de Wwft hebt verzameld, mogen alleen worden verwerkt met het oog op het voorkomen van witwassen en financieren van terrorisme. Het verder verwerken voor commerciële doeleinden of andere doeleinden is ook op grond van de Algemene verordening gegevensbescherming (AVG) dus niet toegestaan. Als adviseur ben je verplicht om voorafgaand aan het aangaan van de zakelijke relatie of het uitvoeren van een incidentele transactie voor jouw cliënt informatie te verstrekken aan je cliënt voor het verwerken van die persoonsgegevens.

Van ondernemingen mag verwacht worden dat de AVG geïmplementeerd is in de operationele processen. Toch gaat het in de praktijk niet altijd goed. De toolbox op rendement.nl/fadossier bevat de belangrijkste tools en uitleg om te zorgen dat jouw kantoor wel voldoet aan de AVG.

Bewaartermijn

De persoonsgegevens die je uit hoofde van de Wwft hebt verkregen moet je na vijf jaar na het beëindigen van de zakelijke relatie, het uitvoeren van de desbetreffende transactie of het melden van de transactie bij de FIU-NL vernietigen.

Datalekken en de AVG: Bescherm de gegevens!

cyberincident

Van elk individu zijn er al een keer persoonlijke gegevens gelekt of gaat dit nog gebeuren, stelt de Autoriteit Persoonsgegevens (AP). Het is daarom van groot belang om de persoonsgegevens van jouw cliënten goed te beschermen. Uit een recent verschenen jaarlijkse datalekkenrapportage van de AP blijkt dat het aantal datalekken in 2024, vooral door cyberincidenten, is toegenomen. Voorbeelden van datalekken zijn:

  • het kwijtraken van een USB-stick met niet-versleutelde persoonsgegevens;
  • een e-mail met gevoelige bedrijfsinformatie die bij buitenstaanders terechtkomt;
  • een cyberaanval waarbij hackers persoonsgegevens stelen;
  • een ransomware-besmetting waarbij jouw kantoor geen toegang meer heeft tot persoonsgegevens.

Reputatieschade

imago

boete

Een datalek kan schadelijk zijn voor je cliënten als hun persoonsgegevens op straat komen te liggen, maar het kan ook schadelijk zijn voor het imago van je kantoor. En als je niet kunt aantonen dat jij er alles aan hebt gedaan om het datalek te voorkomen, kan de AP een boete opleggen. Op rendement.nl/fadossier lees je alles wat je moet weten over datalekken, hoe je ze moet voorkomen, en vooral hoe te handelen als een datalek toch plaatsvindt.