Bancair sleepnet is nog niet van de baan

In december 2022 stuurde Privacy First een kritische brief en memo aan de Tweede Kamer, over het wetsvoorstel dat het onder meer mogelijk moet maken dat banken de financiële transacties van hun klanten gezamenlijk gaan analyseren. Wij denken dat dit bancaire sleepnet een ongekende massasurveillance met zich mee zal brengen en dat de grondrechten van burgers onvoldoende zijn gewaarborgd.

Witwassen

Hoe het met het wetsvoorstel verder zal gaan, is op dit moment nog niet bekend. Leden van de Tweede Kamer hebben op 23 februari jongstleden een groot aantal vragen over het wetsvoorstel gesteld. Die vragen zijn nog niet door de verantwoordelijke ministers van Financiën en van Veiligheid beantwoord.

Internationale trend: meer datadelen en integrale analyse

Wij zijn niet gerust op een goede uitkomst van het Nederlandse wetgevende proces. De reden daarvoor is dat er internationaal allerlei groeperingen zijn – zowel uit de hoek van de overheid als daarbuiten – die gezamenlijke analyse van financiële transactiegegevens van iedere rekeninghouder bepleiten. Vaak wordt daarbij als argument gebruikt dat gegevens van iedereen nodig zijn om daarmee de computers ‘op te leiden’. Financiële instellingen willen graag gezamenlijk transacties analyseren om minder kosten te maken. In de praktijk komt het erop neer dat iedere rekeninghouder van een profiel wordt voorzien, zonder dat er zicht is op de manier waarop dat gebeurt en zonder adequate bescherming tegen fouten.

Eén van de organisaties die bezig is met een onderzoek naar gezamenlijke transactiemonitoring, is de Bank for International Settlements (BIS) door middel van het project ‘Aurora’. In de uitleg over het project stelt BIS dat het huidige systeem van criminaliteitsbestrijding is mislukt, onder meer door ‘overrapportage’. Banken rapporteren nu te veel transacties als ‘verdacht’, vanwege de hoge boetes die zij eerder opgelegd kregen.

Verder nemen banken snel afscheid van bepaalde groepen klanten, vanwege de hoge kosten van hun misdaadbestrijdingstaken (‘de-risking’). Ook sommige landen worden uitgesloten van het financiële systeem, als er een hoog risico op criminaliteit aanwezig wordt verondersteld. BIS meent de effectiviteit van criminaliteitsbestrijding door banken te kunnen verbeteren door middel van gezamenlijke data-analyse van transacties bij meerdere banken en in meerdere landen. De gedachte is dat men door middel van machine learning criminele patronen en typologieën kan detecteren, waarbij de grondrechten van burgers gerespecteerd zouden worden.

Een ander voorstel is om de SWIFT-transactiegegevens te analyseren. SWIFT is de internationale organisatie die verantwoordelijk is voor een groot deel van het wereldwijde betalingsverkeer. Dit idee komt van het door Europa gefinancierde project ‘TRACE’, waar ook private partijen aan deelnemen (zoals bedrijven die diensten voor criminaliteitsbestrijding leveren).

In maart van dit jaar publiceerde TRACE een rapport over SWIFT, geschreven door vier medewerkers van de lobbyorganisatie Tax Justice Network (in opdracht van TRACE). Daarin wordt bepleit om het SWIFT berichtensysteem – waarmee banken onderling gegevens uitwisselen – zodanig aan te passen dat integrale analyse van alle transacties mogelijk wordt. De auteurs bepleiten dat bij iedere betalingstransactie een veelheid van gegevens wordt vermeld in het SWIFT-bericht. Niet alleen de namen en rekeningnummers van betaler en ontvanger, maar ook hun geboortedatum en geboorteplaats, en bij niet-natuurlijke personen het identificatienummer van de entiteit (legal entity identifyer) en de namen van de uiteindelijk belanghebbenden (ubo’s). Zo kan het betalingsverkeer van alle entiteiten en personen worden geanalyseerd, zowel om criminaliteit te kunnen voorspellen (predictive policing) als om strafbare feiten op te kunnen sporen. Daarbij zou meteen moeten worden nagegaan of rekeninghouders veroordeeld zijn, of van iets verdacht worden. Het rapport besteedt geen aandacht aan de problemen die de huidige systemen nu al opleveren voor burgers, en ook niet aan de risico’s van predictive policing.

Kritiek van databeschermingstoezichthouders

In het kader van ‘witwasbestrijding’ is de Europese wetgever bezig met een complete herziening van de regelgeving voor criminaliteitsbestrijdingstaken van private bedrijven, zoals banken. Er wordt met name voorgesteld om veel meer gegevensuitwisseling mogelijk te maken. Op dat voorstel is kritiek gekomen van de databeschermingstoezichthouders in de EU-landen, die samenwerken in de European Data Protection Board (EDPB).

Op 28 maart zond de EDPB een brief aan het Europees Parlement, de Raad en de Commissie. Daarin levert EDPB kritiek op het voorstel om gegevensuitwisseling tussen bedrijven over criminaliteitsbestrijding mogelijk te maken, terwijl de proportionaliteit en de noodzaak niet zijn aangetoond, en waarborgen ter bescherming van de grondrechten van burgers ontbreken. In de praktijk zal de verregaande gegevensuitwisseling vooral voor banken en andere financiële instellingen relevant zijn.

Geen financiële surveillance

Privacy First vindt dat misdaadbestrijding een overheidstaak is. Uitbesteden van dergelijke taken is alleen verstandig als de bedrijven er geschikt voor zijn, als het effectief is, en als de naleving geen disproportionele kosten met zich mee brengt. De effectiviteit van het huidige systeem is al niet aangetoond, terwijl de regels veel problemen opleveren, zoals discriminatie en uitsluiting.

Natuurlijk willen IT-bedrijven graag aan de slag met de goudmijn aan financiële transactiegegevens. Wij denken echter dat het zal leiden tot financiële massasurveillance en dat moeten we niet willen.