Steun voor annuleringsverzoek EU Verordening 2023/1113: export van klantdata is onnodig

Privacy First steunt de annuleringsprocedure van de stichting Human Rights in Finance.EU tegen de Europese Regulation 2023/1113: de Funds Travel Rule. Deze Verordening is klakkeloos uit internationale aanbevelingen overgenomen en in Europa onvoldoende getoetst op grondrechten tijdens het regelgevend proces. Het gevolg is een onnodige en ongebreidelde data-export van klantgegevens in betalingsverkeer en bij overdracht van crypto-assets. Privacy First acht dit in strijd met Europees privacyrecht.

Hoe zat het ook alweer?

In mei 2019 lag het plan internationaal al op tafel. Privacy First riep toenmalig Minister Hoekstra direct per brief op om geen data-export te eisen in het nieuwe digitale crypto-asset verkeer. Het plan was namelijk om ook bij crypto-assets (digitaal te verhandelen waren zoals bitcoins, vastgoed maar in potentie ook aankopen in computerspelletjes) de naam, woonadres en paspoortnummer toe te voegen aan elke transactie.

Het antwoord van het Ministerie van Financiën destijds was ontwijkend. De voorgestelde regels zouden maar ‘aanbevelingen’ zijn en in Europa zou er echt goed naar worden gekeken, met alle juridische veiligheidskleppen van dien. Inmiddels bleek op 9 juni 2023 dat dit niet het geval was. De regel was feitelijk nog aangescherpt en versneld ingevoerd, zonder gedegen inhoudelijke analyse van de European Data Protection Supervisor.

Dit motiveerde de nieuwe stichting Human Rights in Finance.EU (HRIF.EU) om een annuleringsprocedure te starten bij het Europees Hof van Justitie in Luxemburg. Privacy First steunde deze nieuwe stichting hierbij. Het betreft hier een beroep tot nietigverklaring onder art. 263 EU-Werkingsverdrag. Als het verzoek van stichting Human Rights in Finance.EU wordt toegewezen, treedt de aangevochten Europese Verordening meteen buiten werking en worden de onnodige privacy-inbreuken dus per direct beëindigd. Dit betekent ook dat de Europese Commissie bij toekomstige regels veel minder ver zal kunnen gaan en een veel betere privacy-toets vooraf zal moeten doen.

De eerste stap in de procedure is op 4 september 2023 gezet en het is nu afwachten of de stichting wordt toegelaten tot de procedure.

Waar gaat de procedure over?

Het eerste sleutelargument in de zaak is dat een ongebreidelde data-export een onnodige en disproportionele inbreuk is op het recht op privacy, omdat op verzoek diezelfde data eenvoudig op case-by-case basis ter beschikking aan de politie moet worden gesteld:

‘Logic dictates that a generic mass personal data distribution obligation for all customers and transactions is not necessary when focused information for suspected citizens is readily available at request of law enforcement.’

Het tweede argument is dat overheden allerlei dingen internationaal kunnen afspreken, maar dit hen niet ontslaat van de plicht om zelf goed na te denken over legitimiteit, noodzaak en proportionaliteit. In 2008 oordeelde het Hof van Justitie namelijk als volgt:

“The obligations imposed by an international agreement cannot have the effect of prejudicing the constitutional principles of the EC Treaty, which include the principle that all Community acts must respect fundamental rights, that respect constituting a condition of their lawfulness which it is for the Court to review in the framework of the complete system of legal remedies established by the Treaty.”

Hoe nu verder?

Naar verwachting wordt over ongeveer 3 à 6 maanden duidelijk of de nieuwe stichting Human Rights in Finance.EU toegelaten wordt tot de behandeling van de zaak. Privacy First hoopt dat dit zo zal zijn, en dat de zaak een veel bredere uitstraling gaat hebben. Er zijn namelijk meer nationale en internationale anti-witwasbepalingen die op gespannen voet staan met de mensenrechten en het is belangrijk dat die grondrechten hoger op de agenda komen bij de regelgever.