Private misdaadbestrijding mag niet tot excessen leiden

Recente activiteiten van Privacy First op het gebied van risicoprofilering en witwasbestrijding 

Binnen ons aandachtsgebied financiële privacy besteedt Privacy First als één van de weinige Nederlandse burgerrechtenorganisaties aandacht aan de privatisering van overheidstaken naar onder meer banken. Dit betreft onder meer de regels die als ‘witwasbestrijding’ worden aangemerkt en die een groot aantal bedrijven (‘witwasbestrijdingsplichtigen’), waaronder banken, verplichten om te onderzoeken of hun klanten crimineel zijn en of hun transacties met crimineel geld worden uitgevoerd. Dat gaat niet altijd goed.

Achtergrond: financiële privacy en bedrijven met overheidstaken

Inmiddels is gebleken dat private misdaadbestrijdingsactiviteiten tot onjuiste behandeling van klanten kan leiden.

Het schadelijke optreden kan iedereen betreffen, zoals de uitspraak in de zaak van een ICT-expert wiens rekeningen zonder goede reden werden geblokkeerd door betaaldienstverlener bunq. Vreemdgenoeg hoefde bunq volgens deze uitspraak geen verantwoording af te leggen voor haar onjuiste optreden.

In de praktijk zijn het met name bepaalde groepen die geraakt worden door onjuist optreden van witwasbestrijdingsplichtigen, zoals mensen uit minderheidsgroepen en mensen die contante betalingen doen.

Hoewel de banken en de minister van Financiën hebben beloofd dat de hinder voor onschuldige burgers zal worden verminderd, leert de praktijk dat witwasbestrijdingsplichtigen nog steeds hinder veroorzaken. Een voorbeeld is een bank die een beginnende ondernemer indringende vragen stelt over het verdienmodel van zijn eenmanszaak en om gedetailleerde informatie over klanten en relaties vraagt. Dat zijn vragen die je van een belastinginspecteur zou verwachten en die veel verder gaan dan verwacht mag worden van een bank (bijvoorbeeld omdat persoonsgegevens van derden worden opgevraagd). Dergelijke vragen worden door banken gesteld onder dreiging van blokkering van de bankrekening en beëindiging van de relatie; voor de betrokken klant is dit angstaanjagend. Vaak is ook een probleem dat de vragen niet goed worden begrepen en daardoor onjuist beantwoord.

Privacy First is van mening dat de grondrechten van burgers ook in de geprivatiseerde misdaadbestrijding gerespecteerd moeten worden. Er moet zorgvuldig worden omgegaan met financiële persoonsgegevens.

Geautomatiseerde risicoprofilering

Onderdeel van de witwasbestrijding is dat van grote witwasbestrijdingsplichtigen wordt verwacht dat zij hun klanten met digitale middelen volgen en hun transacties en andere handelingen voortdurend analyseren, om te zien of de klant crimineel is. Op dit gebied worden in het geheim analysesystemen ontwikkeld. Naar verwachting zullen die systemen door de grootbanken gezamenlijk worden ingezet, wellicht zelfs op Europees niveau. Nieuwe Europese regels op het gebied van witwasbestrijding en financiële dienstverlening bieden nieuwe mogelijkheden voor financiële instellingen en overheden om het complete betalingsverkeer te analyseren op zoek naar crimineel geld (‘bancair sleepnet’). Dit beschouwt Privacy First als een gevaarlijke ontwikkeling aangezien niet is gewaarborgd dat zorgvuldig met de financiële persoonsgegevens van mensen wordt omgegaan.

Onze activiteiten

Onze aandacht voor financiële privacy in de criminaliteitsbestrijding was reden voor de hierna genoemde activiteiten van Privacy First.

Deelname aan NEN-consultatie over voorkoming van discriminatie bij risicoprofilering

Sinds enkele jaren is Privacy First in toenemende mate (op meerdere terreinen) actief bij het Nederlands Normalisatie Instituut (NEN). Op 17 april jl. heeft Privacy First deelgenomen aan de NEN-consultatie over de ‘Nederlandse Technische Afspraak over profileringsalgoritmes‘ (NTA). In de consultatie hebben wij er onder meer op gewezen dat de ontwerp-NTA niet geschikt is voor risicoprofilering in de misdaadbestrijding. Wij steunen de kritiek van burgerrechtenorganisaties die deel uitmaakten van de voorbereidingscommissie, dat een indirect onderscheid op grond van ‘ras’, nationaliteit en andere discriminatiegronden bij profilering in de context van handhaving of toezicht door de overheid of bedrijven die overheidstaken uitvoeren nooit is toegestaan.

In onze consultatiereactie waarschuwt Privacy First voor het gevaar dat gebruikers van profileringssystemen excessief persoonsgegevens oogsten om te gebruiken voor de ‘goede doelen’ die zij in gedachten hebben. In de ontwerp-NTA wordt onder meer gesproken over de bedoeling om aan de hand van een grote hoeveelheid persoonsgegevens de beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen van mensen te analyseren of te voorspellen. In de optiek van Privacy First is het ongewenst dat dit gebeurt.

Wij maakten diverse andere opmerkingen, onder andere over ‘betekenisvolle menselijke tussenkomst’, die in een aantal gevallen niet mogelijk zal zijn, bijvoorbeeld in de witwasbestrijding. Bovendien wordt in de witwasbestrijding niet voldaan aan het vereiste van uitlegbaarheid van geautomatiseerde besluiten.

In de ontwerp-NTA ontbreekt een volwassen regeling inzake het betrekken van degenen die geraakt worden door risicoprofilering, dus burgers en burgerrechtenorganisaties. Privacy First pleit voor een volwassen governance van profileringssystemen, met onder meer adequate feedback-mogelijkheden en een onafhankelijke ombudsmanfunctie.

Commentaar op het ECRI-rapport over Nederland

Op verzoek van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) gaven wij op 28 april jl. onze reactie op het rapport over Nederland dat is uitgebracht door de Europese Commissie tegen Racisme en Intolerantie (ECRI). Privacy First herkent zich in veel elementen van het rapport, maar attendeert BZK erop dat sommige aspecten te weinig aandacht krijgen. Dat betreft met name de systemische gebreken in de Europese antiwitwasregels, die leiden tot discriminerende gedragingen van overheidsinstanties en van bedrijven die op grond van die regels overheidstaken uitvoeren, onder andere banken. Onderdeel van die regels is dat iedereen met een relatie met een zogenaamd ‘hoog-risicoland’ op criminaliteit zelf ook als een verhoogd criminaliteitsrisico wordt beschouwd. Ook relaties met aangrenzende landen kunnen leiden tot extra aandacht. In de praktijk leidt dit tot discriminatie en disproportioneel klantenonderzoek, wat onder de nieuwe Europese antiwitwasverordening die volgend jaar in werking treedt alleen maar erger zal kunnen worden. Daar komt bij dat ECRI zich niet realiseert dat algoritmische discriminatie ook aan de orde is bij de bedrijven die de antiwitwasregels uitvoeren.

Privacy First roept ECRI op om meer aandacht aan de privatisering van overheidstaken naar bedrijven te besteden en de systemische gebreken van de antiwitwasregels in kaart te brengen. Verder dient de rechtsbescherming te worden verbeterd en is belangrijk dat bij algoritmische profilering door bedrijven sterkere waarborgen worden gecreëerd.

Deelname aan consultatie van de Europese antiwitwasautoriteit AMLA

Op 6 mei jl. nam Privacy First deel aan de consultatie van de nieuwe Europese antiwitwasautoriteit AMLA over hun ontwerp van nadere regels inzake klantenonderzoek (ontwerp-RTS). In onze reactie leverden we onder meer kritiek op het one-size-fits-all systeem, het voorstel van AMLA om de Europese Digitale Identiteit (EUDI-wallet) feitelijk verplicht te stellen en de financiële persoonsgegevens die volgens de ontwerp-RTS altijd moeten worden opgevraagd ook al is er geen goede reden voor.

Onze brieven naar aanleiding van het advies van de Staatscommissie tegen Discriminatie en Racisme

Begin mei jl. bracht de Staatscommissie tegen Discriminatie en Racisme (SDR) het adviesPrincipes voor profilering. Een kritisch perspectief op de toepassing van datagedreven profilering door de overheid‘ uit. In het begeleidende nieuwsbericht adviseert de SDR te stoppen met datagedreven profilering door de overheid vanwege discriminatie.

Dit advies was aanleiding voor Privacy First en het Nederlands Juristen Comité voor de Mensenrechten (NJCM) om op 15 mei jl. een gezamenlijke brief te sturen aan enkele commissies van de Tweede Kamer en relevante ministers. In deze brief geven Privacy First en NJCM aan dat het advies van SDR ook relevant is voor de geprivatiseerde criminaliteitsbestrijding (witwasbestrijding) en dat ook daar de datagedreven profilering moet worden stopgezet.

Privacy First heeft het advies van SDR tevens onder de aandacht van de Europese antiwitwasautoriteit AMLA gebracht en aangegeven dat de bevindingen in het rapport van toepassing zijn op datagedreven profilering op grond van de Europese antiwitwasregels.

Tot slot

Privacy First blijft de ontwikkelingen kritisch volgen en houdt zich aanbevolen voor ondersteuning door professionele vrijwilligers die kennis hebben van de hierboven genoemde onderwerpen. Ook tips en praktijkervaringen die nuttig kunnen zijn voor onze activiteiten zijn altijd van harte welkom.