Twee toezichthouders, een regelboek

Voor het eerst schrijven het Europees Comité voor gegevensbescherming en de pas operationele Autoriteit voor de bestrijding van witwassen samen een enkele set regels. Hun aankondiging van 1 juli 2026 verbindt beide organen aan gezamenlijke richtsnoeren over hoe bedrijven inlichtingen kunnen bundelen om witwassen en terrorismefinanciering te bestrijden en tegelijk de Algemene verordening gegevensbescherming te respecteren. Een redactieteam uit beide autoriteiten leidt het werk, en de twee toezichthouders zeggen als gelijken bij te dragen.

Het belang voor eigenaren en operators is structureel. Tot nu toe stond een bank die verdachte signalen met een concurrent wilde delen, tegenover twee toezichthouders die verschillende conclusies over dezelfde overdracht konden trekken. Een gecoördineerde tekst verwijdert die tweesprong. Het is het duidelijkste signaal tot nu toe dat Brussel het toezicht op financiële criminaliteit en gegevensbescherming als een verweven regime wil voeren, niet als twee diensten die langs elkaar heen praten.

Wat artikel 75 werkelijk toestaat

De juridische motor is artikel 75 van de Antiwitwasverordening. Het machtigt meldingsplichtige entiteiten - banken, betaalinstellingen, aanbieders van cryptoactiva en andere gereguleerde beroepen - om informatie met elkaar en met overheidsinstanties uit te wisselen waar dat de strijd tegen financiële criminaliteit dient. Dat is een aanzienlijke verbreding van de kanalen waarlangs klantgegevens rechtmatig tussen concurrenten kunnen stromen.

Het addertje is dat elke zulke uitwisseling ook een verwerking van persoonsgegevens is en dus onder de AVG valt. De gezamenlijke richtsnoeren bestaan om die spanning op te lossen: uitleggen hoe een deelpartnerschap zo kan worden opgebouwd dat het onder beide regimes tegelijk houdbaar is. Eigenaren moeten dit lezen als de nalevingsblauwdruk die zal bepalen hoe een juridisch schoon deelpartnerschap er in de hele unie uitziet.

De klok van 10 juli 2027

Het mechanisme voor informatie-uitwisseling van de verordening wordt van kracht op 10 juli 2027. Dat is geen zacht doel. Banken en financiële instellingen die de nieuwe deelbevoegdheden willen gebruiken - of die door partners wordt gevraagd gedeelde gegevens te ontvangen - hebben governance, contracten en gegevensbeschermingseffectbeoordelingen nodig voor die datum.

De volgorde is krap. De toezichthouders plannen later in 2026 een stakeholderbijeenkomst om de punten die het meest verduidelijking behoeven aan het licht te brengen, en openen daarna in de eerste helft van 2027 een openbare raadpleging over het ontwerp. Dat laat een smal venster tussen de definitieve tekst en de ingangsdatum, zodat bedrijven niet op de voltooide richtsnoeren kunnen wachten voordat zij aan het ontwerp beginnen.

De zet van de eigenaar

De praktische instructie voor besturen is dit te behandelen als een gezamenlijk AML- en privacyprogramma, niet als een klus van een enkele afdeling. Juridische, financiële-criminaliteits- en gegevensbeschermingsfuncties die historisch apart draaiden, moeten nu antwoorden aan een gecoördineerde standaard, wat betekent dat zij nu samen moeten plannen in plaats van posities achteraf te verzoenen nadat de richtsnoeren landen.

Er is ook een strategisch voordeel. Bedrijven die zich mengen in de bijeenkomst en de raadpleging van 2027 kunnen het regelboek waaronder zij leven mee vormgeven, en koplopers kunnen een schoon deelkader omzetten in een concurrentievoordeel in vertrouwen en snelheid. De prijs van wachten is een gejaagde inhaalslag in de tweede helft van 2027 tegen een deadline die niet zal verschuiven.