Misdaadbestrijding is niet gediend met bancair sleepnet en navraagplicht

Recent waarschuwde Privacy First voor het kabinetsvoorstel Wet plan van aanpak witwassen waarmee een bancair sleepnet dreigt te worden ingevoerd. Vandaag stuurde Privacy First hierover een brief met bijbehorend memorandum naar de Tweede Kamer:  

Op 21 oktober jl. is door het kabinet het wetsvoorstel plan van aanpak witwassen ingediend. Op dezelfde dag waarschuwde de Autoriteit Persoonsgegevens in een nieuwsbericht “Nieuwe wet opent deur naar ongekende massasurveillance door banken”.

Stichting Privacy First is van mening dat het kabinet in het wetsvoorstel geen acht heeft geslagen op de eerdere kritiek van de Afdeling advisering van de Raad van State en de Autoriteit Persoonsgegevens. Het wetsvoorstel maakt een ongerechtvaardigde inbreuk op de grondrechten van Nederlandse burgers en dit voorstel hoort daarom geen wet te worden.

Het voorstel is onderdeel van regelgeving op het gebied van misdaadbestrijding (‘witwasbestrijding’) zoals opgenomen in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). De Wwft legt overheidstaken bij private ondernemingen zoals banken neer, zonder dat zorgvuldig is nagegaan of die private ondernemingen wel voor de beoogde taken geschikt zijn.

Het huidige voorstel voegt nieuwe onverstandige elementen aan de regelgeving toe:

  1. Het bancaire sleepnet.
  2. Een ‘navraagplicht’: de verplichting van Wwft-plichtige ondernemingen om bij hun concurrent navraag te doen naar criminaliteitsrisico’s bij ‘hoog risico’ klanten.
  3. Verwerking van strafrechtelijke en andere bijzondere persoonsgegevens door Wwft-plichtige ondernemingen.

Tegen al deze elementen heeft Privacy First grote bezwaren.

1. Bancair sleepnet

Volgens het voorstel van het kabinet zullen alle betalingstransacties die verlopen via Nederlandse banken (Aangenomen mag worden dat in de toekomst betaaldienstverleners zullen worden toegevoegd.) worden geanalyseerd door middel van een aparte entiteit ten behoeve van de opsporing van criminaliteit (het constateren van ‘ongebruikelijke transacties’). Dit betekent dat van iedere burger en organisatie in Nederland een profiel zal worden opgesteld, waarmee wordt voorspeld of de rekeninghouder mogelijk een crimineel is. Daarmee is de gezamenlijke transactiemonitoring door de banken een bancair sleepnet dat een inbreuk is op de grondrechten van burgers. Zo’n inbreuk hoort goed te worden onderbouwd, echter, die onderbouwing ontbreekt.

Het voorstel is symptomatisch voor een ‘datagedreven’ overheid die meent dat maatschappelijke problemen alleen kunnen worden opgelost door het ongelimiteerd volgen en analyseren van burgers en via vele wegen verzamelen van gegevens over iedere burger. Privacy First vindt dat de overheid te optimistische verwachtingen heeft van de mogelijkheden van IT en de schaduwkanten onderschat.

Opvallend is dat in de memorie van toelichting wordt erkend dat het huidige systeem van criminaliteitsbestrijding door banken op grond van de Wwft niet werkt. Dat zou aanleiding moeten zijn om het hele systeem te heroverwegen en de grote bedragen die de banken nu aan detecteren van ongebruikelijke transacties besteden anders te gaan besteden. Helaas gebeurt dat niet.

Ons standpunt

  1. Er is geen bewijs dat deze inbreuk op de financiële gegevensbeschermingsrechten van burgers gerechtvaardigd is en er voor zorgt dat de schade wordt verminderd die nu ontstaat door de criminaliteits­bestrijdingsactiviteiten door banken. Het bancaire sleepnet hoort er niet te komen. En voor zover het sleepnet er wel zou komen:
  2. Het sleepnet mag er alleen komen als de noodzaak is aangetoond en ook is aangetoond dat er geen alternatieven zijn en dat het sleepnet tot vermindering van de huidige criminaliteitsbestrijdingsschade leidt.
  3. Er mag geen gegevensanalyse en profilering van natuurlijke personen (zowel consumenten als zzp’ers) plaatsvinden. (Als het niet anders kan, dan alleen boven een bepaalde drempel.)
  4. Er dient volledige transparantie van overheid en banken te zijn inzake risico-indicatoren en de inzet van kunstmatige intelligentie. Ook de schade die wordt toegebracht door onnodige uitvragen moet worden gemeten. Er vindt onafhankelijke toetsing van de systemen en van de uitvoeringspraktijk plaats.
  5. Er wordt gezorgd voor een adequate governance: de entiteit die de analyses uitvoert is onafhankelijk van de banken, houdt zich aan de Wet Normering Topinkomens en de Europese aanbestedingsregelgeving en betrekt de IT uitsluitend van Europese leveranciers.
  6. De rechtsbescherming voor consumenten en mkb moet worden verbeterd.

2. Navraagplicht

Het voorstel inzake de navraagplicht geldt voor alle ondernemingen die zich aan de Wwft moeten houden, dus van makelaar en boekhoudkantoor tot en met de banken en van eenmanszaak tot en met grootbedrijf. Bedoeling van het voorstel is dat in ‘hoog risico’ situaties navraag wordt gedaan bij collega’s uit dezelfde sector.

Privacy First is daar tegenstander van:

  1. De categorie ‘hoog risico’ is veel te ruim, zodat daarvan vrijwel altijd sprake is. Veilig­heidshalve en uit angst voor boetes zullen Wwft-plichtigen zeer snel tot navraag overgaan.
  2. Er ontbreekt een onderbouwing dat deze navraagplicht nuttig zou zijn voor alle soorten Wwft-plichtigen en alle soorten diensten.
  3. Alternatieven zijn niet onderzocht.
  4. In sommige sectoren zijn zoveel Wwft-plichtigen dat het doen van navraag onuitvoerbaar is.
  5. In de financiële sector zal de navraagplicht leiden tot nog verdere beperking van de mededinging (die er nu al nauwelijks meer is, behalve voor sommige producten voor consumenten).
    en in het onverhoopte geval dat de navraagplicht er komt:
  1. De navraag dient beperkt te worden tot specifiek omschreven diensten, tot specifiek omschreven vermeende hoge risico’s en tot specifiek aangewezen Wwft-plichtigen. De afbakening wordt zorgvuldig getoetst.
  2. Er dient een tijdsbepaling te worden opgenomen voor het navragen, aangezien sommige Wwft-plichtigen langdurige relaties met hun klanten hebben.
  3. Het regelen van de uitwisseling tussen verschillende soorten Wwft-plichtigen (artikel 3b lid 6 voorstel) hoort niet in een algemene maatregel van bestuur maar in de wet thuis.
  4. Zowel de cliënt als de betrokkenen dienen vooraf over de navraag te worden geïnfor­meerd alsmede over het vermeende risicoprofiel.
  5. De rechtsbescherming voor consumenten en mkb moet worden verbeterd.

3. Verwerking strafrechtelijke en andere persoonsgegevens

Privacy First acht het ongewenst dat alle soorten Wwft-plichtigen strafrechtelijke en andere persoons­gegevens mogen verwerken. Ons standpunt:

  1. De verwerkingsnoodzaak voor ieder type Wwft-plichtigen moet worden onderbouwd en aangetoond.
  2. Het dient alleen te worden toegestaan aan Wwft-plichtigen die gereguleerd zijn, een integriteitstoezicht kennen en aantoonbaar aan alle verplichtingen van de AVG voldoen.
  3. Nadere gegevensbeschermingsregels horen niet thuis in een algemene maatregel van bestuur (zoals wordt voorgesteld) maar in de UAVG.
  4. De rechtsbescherming voor consumenten en mkb moet worden verbeterd.

4. Verbeterde rechtsbescherming voor consumenten en mkb

Op dit moment is de rechtsbescherming van cliënten van financiële instellingen – met name consumenten en mkb – onvoldoende. Privacy First is van mening dat Wwft-plichtigen aan hun cliënten en de betrokkenen (in de zin van de AVG) verantwoording dienen af te leggen over het toegekende risicoprofiel en de wijze waarop zij het Wwft-cliëntenonderzoek uitvoeren.

Onafhankelijke rechter en financiële ombudsman

Het is gewenst dat geschillen­beslechting via de onafhankelijke rechter tot stand komt ten behoeve van consumenten en mkb, met bevoegdheid op het gebied van witwasbestrijding, kredietregistratie, zwarte lijsten en overige geschillen met financiële instellingen.

Verder is gewenst dat een onafhankelijke financiële ombudsman wordt ingesteld die op laagdrempelige wijze klachten over financiële instellingen en witwasbestrijdingsplichtigen kan ontvangen en onderzoeken kan instellen naar de praktijk van witwasbestrijding, kredietregistratie, zwarte lijsten en dergelijke.

Kifid

Kifid kan ons inziens worden opgeheven, omdat daar de kwaliteit en de onafhankelijkheid ontbreekt. Dat blijkt onder andere uit de ernstige misslag in de zaak van de Accidental American, die door de geschillencommissie van Kifid werd veroordeeld voor valsheid in geschrifte (uitspraak van 27 mei 2019). Dit oordeel werd door de kort geding rechter meteen van tafel geveegd (ECLI:NL:RBMNE:2020:5647). De bodemrechter kwam daarna tot een ander oordeel en laat zien dat Kifid diepgang mist.

Tot slot

Zie voor een meer uitvoerige toelichting ons memorandum (pdf) (pdf) als bijlage bij onze brief( pdf). Natuurlijk zijn wij graag bereid om ons standpunt nader toe te lichten.