Wet plan van aanpak witwassen.


Volledige tekst

Bij Kabinetsmissive van 5 oktober 2020, no.2020002033, heeft Uwe Majesteit, op voordracht van de Minister van Financiën, mede namens de Minister van Justitie en Veiligheid, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet tot wijziging van de Wet ter voorkoming van witwassen en financieren van terrorisme en de Wet toezicht trustkantoren 2018 in verband met het verbod op contante betalingen voor goederen vanaf 3.000 euro, het uitbreiden van de mogelijkheden voor informatie-uitwisseling ten behoeve van de poortwachtersfunctie en de aanscherping van de regels voor trustkantoren (Wet plan van aanpak witwassen), met memorie van toelichting.

Het wetsvoorstel vloeit voort uit een plan van aanpak van de regering om witwassen en financiering van terrorisme tegen te gaan. De maatregelen strekken onder andere tot een inperking van contante betaling voor goederen, verruiming van gegevensdeling tussen instellingen die een poortwachtersfunctie vervullen ter voorkoming van witwassen en financieren van terrorisme en strengere regels voor trustkantoren.

De Afdeling advisering van de Raad van State onderschrijft het doel van het wetsvoorstel om witwassen en financiering van terrorisme te bestrijden. Daarbij spelen banken en andere poortwachters een belangrijke rol om misbruik van het financiële stelsel te voorkomen en ongebruikelijke transacties te melden aan de overheid. Twee van de voorgestelde maatregelen om dit doel beter te realiseren leiden evenwel tot vergaande inbreuken op grondrechten van burgers en bedrijven tot bescherming van vertrouwelijke gegevens en van de persoonlijke levenssfeer. Hoe belangrijk de bestrijding van witwassen en van financiering van terrorisme ook is, bij deze maatregelen is de vraag of het doel de middelen die worden voorgesteld, wel heiligt. Deze middelen gaan in de huidige opzet van het wetsvoorstel te ver. Het gaat daarbij om informatie-uitwisseling bij gezamenlijke monitoring van banktransacties en bij cliëntenonderzoek.

De massale schaal waarop banktransacties gezamenlijk zullen worden gemonitord, is ongekend en betekent een vergaande inbreuk op de vertrouwelijkheid van zakelijke en particuliere cliëntgegevens. Daarbij gaat het niet alleen om een vergaande inbreuk op het recht op privacy, deze monitoring kan ook leiden tot uitsluiting en discriminatie. De noodzaak en proportionaliteit van de gezamenlijke transactiemonitoring is niet aangetoond. Daarbij komt dat de rechtsbescherming in het geding is. Het wetsvoorstel voorziet niet in passende maatregelen ter bescherming van de rechten en vrijheden van burgers en bedrijven maar laat het regelen daarvan over aan de banken. De Afdeling adviseert daarom de grondslag voor de gezamenlijke transactiemonitoring te schrappen en van gezamenlijke transactiemonitoring af te zien.

Ook de voorgestelde gegevensdeling bij de onderzoeksplicht in het kader van het cliëntonderzoek vormt een inbreuk op de bescherming van vertrouwelijke bedrijfs- en persoonsgegevens. De noodzaak en proportionaliteit van deze onderzoeksplicht en gegevensdeling zijn onvoldoende gemotiveerd. De Afdeling adviseert alsnog in een dragende motivering te voorzien.

In verband met deze bezwaren dient het wetsvoorstel nader te worden overwogen.

1. Inleiding

Het wetsvoorstel wijzigt de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de Wet toezicht trustkantoren 2018 en bevat de volgende maatregelen:

- gezamenlijk monitoren van transacties mogelijk maken voor banken (zie punt 3 en 4);
- gegevensdeling mogelijk maken tussen instellingen behorend tot dezelfde categorie in het kader van het cliëntenonderzoek bij een hoger risico op witwassen of terrorismefinanciering (zie punt 5);
- verduidelijking van het gebruik van bijzondere categorieën persoonsgegevens en persoonsgegevens van strafrechtelijke aard in het kader van verplichtingen op grond van de Wwft;
- een verbod voor beroeps- of bedrijfsmatige handelaren in goederen om transacties vanaf € 3.000 in contanten te verrichten, en
- een verbod op doorstroomvennootschappen en trustdienstverlening met betrokkenheid van hoog-risicolanden of van landen die op de lijst van non-coöperatieve landen op belastinggebied staan.

De Afdeling gaat in dit advies in op de gezamenlijke transactiemonitoring en de gegevensdeling tussen instellingen in het kader van het cliëntenonderzoek. De Afdeling schetst hiertoe eerst in punt 2 een breder kader waartegen deze maatregelen vervolgens worden beoordeeld.

2. Uitgangspunten

De Afdeling stelt voorop dat het doel van het wetsvoorstel onomstreden is, namelijk de bestrijding van witwassen en van financiering van terrorisme te verbeteren. Dit doel is niet alleen van belang voor de integriteit van het financiële stelsel, maar ook om allerlei vormen van criminaliteit tegen te gaan. De vraag is echter of de voorgestelde middelen proportioneel zijn in het licht van de doelstellingen van het voorstel.

Meer algemeen beschouwd ziet de Afdeling een risico dat maatregelen ter bescherming van de maatschappelijke orde afbreuk doen aan diezelfde orde door te vergaande beperking van de fundamentele rechten en vrijheden die in het geding zijn. In het geval van de bestrijding van witwassen en de financiering van terrorisme is de vraag gerechtvaardigd of hierin de juiste balans is getroffen.

In het wetsvoorstel valt op dat veel aan marktpartijen wordt overgelaten. Niet alleen de bestrijding van witwassen en de financiering van terrorisme zelf, maar ook de noodzakelijke waarborgen ter bescherming van de grondrechten waarop de bestrijding inbreuk maakt. De overheidsinspanning lijkt zich te beperken tot het creëren van wettelijke grondslagen. Ter waarborging van de inbreuken die op grondrechten worden gemaakt en in het licht van een adequate rechtsbescherming heeft ook de overheid een eigen verantwoordelijkheid om de rechten van burgers en bedrijven te beschermen.

Financiële instellingen zoals banken vervullen een poortwachtersfunctie in het kader van de Wwft. Zij moeten voorkomen dat het betalingssysteem opzettelijk wordt gebruikt voor een ander doel dan waar het voor dient, namelijk witwassen of financiering van terrorisme. Deze instellingen moeten daartoe voortdurend onderzoek doen naar (potentiële en bestaande) cliënten en transacties monitoren. Zij zijn verplicht om ongebruikelijke transacties te melden. Deze verplichtingen vloeien voort uit Europese regelgeving die in Nederland is verwerkt in de Wwft. (zie noot 1) Het huidige wetsvoorstel is nationaal en additioneel aan de Europese regulering.

De toelichting meldt dat het delen van gegevens wordt gezien als de meest effectieve manier om het gebruik van het financiële stelsel voor witwassen en het financieren van terrorisme te voorkomen. Volgens de toelichting wordt met het voorstel de kennis en capaciteit van instellingen effectiever gebundeld en hun informatiepositie verbeterd, zodat de instellingen hun poortwachtersfunctie adequater kunnen invullen. (zie noot 2)

Bij de vormgeving van de regelgeving ter bestrijding van witwassen en van financiering van terrorisme dient de proportionaliteit van de voor te stellen middelen uitgangspunt te zijn. Het doel heiligt niet alle middelen, zeker niet als die middelen vergaande inbreuken op grondrechten impliceren. De uitwisseling en verwerking van vertrouwelijke gegevens van cliënten waarmee de voorgestelde uitbreiding van de onderzoeksplicht en de gezamenlijke transactiemonitoring gepaard gaan, betekenen een inbreuk op het recht op respect voor het privéleven en op het recht op gegevensbescherming. (zie noot 3) Een dergelijke inbreuk dient te worden gerechtvaardigd: de inbreuk moet voorzien zijn bij wet, noodzakelijk zijn in een democratische samenleving, en een legitiem doel dienen. (zie noot 4) De gegevensverwerking dient verder te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). (zie noot 5)

In dit verband merkt de Afdeling op dat de gevolgen van cliëntenonderzoek en transactiemonitoring voor de cliënt zeer groot zijn als deze wordt uitgesloten van financiële dienstverlening. (zie noot 6) Adequate rechtsbescherming is daarom van groot belang. Ook kan de meer principiële vraag gesteld worden of het wel aan private partijen overgelaten moet worden om op deze manier cliëntinformatie te gaan delen en onderzoeken.

Tegen het hiervoor geschetste kader roept het wetvoorstel een aantal vragen op vanuit het oogpunt van de gegevensbescherming en privacy van burgers en bedrijven. Over beide maatregelen uit het wetsvoorstel maakt de Afdeling in dat kader de volgende opmerkingen.

3. Gezamenlijke transactiemonitoring banken: wettelijke grondslag

a. Gezamenlijke transactiemonitoring
Het wetsvoorstel creëert de mogelijkheid voor banken om transactiegegevens samen te brengen in een gezamenlijke database en deze gegevens vervolgens onderling te delen voor de bestrijding van witwassen en van de financiering van terrorisme. (zie noot 7) Volgens de toelichting wil een vijftal banken deze gezamenlijke voorziening opzetten. Daarbij worden bijna 10 miljard transacties per jaar bij 35 miljoen cliënten gemonitord. (zie noot 8) Het voorstel neemt twee wettelijke belemmeringen weg door zowel het delen van transacties als de uitbesteding van de monitoring toe te staan. (zie noot 9)

Gegevens die kunnen worden gedeeld, betreffen vertrouwelijke gegevens van particuliere en zakelijke cliënten. Hieronder vallen ook persoonsgegevens, waaronder het BSN. (zie noot 10) De verwerking van persoonsgegevens wordt beëindigd indien deze niet langer noodzakelijk is voor het melden van ongebruikelijke transacties. (zie noot 11) Daarbij geldt een bewaartermijn van vijf jaar. (zie noot 12) Ook is geregeld dat instellingen die een gezamenlijke voorziening opzetten, jaarlijks een verslag uitbrengen over naleving van de Wwft, de effectiviteit van de voorziening en over het filteren van onterecht als risico aangemerkte informatie. (zie noot 13) Tot slot is bepaald dat een onafhankelijke audit moet worden verricht naar de vraag of voldaan wordt aan de eisen voor uitbesteding en gegevensbescherming. (zie noot 14)

Een gezamenlijke voorziening waarvoor de wettelijke basis nu wordt voorgesteld, is al in 2019 aangekondigd en momenteel in voorbereiding. (zie noot 15) Het gaat om Transactie Monitoring Nederland (TMNL), een samenwerkingsverband tussen ABN AMRO, ING, Rabobank, Triodos en de Volksbank. Door het grote gezamenlijke marktaandeel van de deelnemende banken zullen er vertrouwelijke gegevens worden opgeslagen, geanalyseerd en bewerkt van vrijwel alle Nederlandse burgers en bedrijven. Onder deze gegevens zullen ook bijzondere persoonsgegevens zijn, zoals (betaling van) medische facturen en strafrechtelijke boetes, lidmaatschap van politieke partijen en vakbonden en bezoek aan seksclubs, casino’s en coffeeshops. (zie noot 16)

De schaal waarop wordt voorgenomen om dit te organiseren is tot op heden ongekend in Nederland. De voorgenomen monitoring betekent een vergaande inbreuk op de vertrouwelijkheid van zakelijke en particuliere cliëntgegevens. In het bijzonder is het recht op bescherming van persoonsgegevens en van het recht op privacy in bredere zin op fundamentele wijze aan de orde . (zie noot 17) Daarnaast zijn andere fundamentele belangen in het geding, zoals rechtsbescherming. (zie noot 18) Ook de regering onderkent dat deze vorm van uitbesteding en gegevensdeling ‘bijzonder gevoelig’ is. (zie noot 19)

b. Noodzaak en proportionaliteit
De publiekrechtelijke grondslag die het voorstel creëert voor een dergelijke massale en vergaande gegevensverwerking, met inbegrip van profilering, dient te worden getoetst aan het recht op respect voor het privéleven en het recht op gegevensbescherming. (zie noot 20) Buiten kijf staat dat de gezamenlijke transactiemonitoring een vergaande inbreuk is op het privéleven. Transacties zijn immers persoonsgegevens die een gedetailleerd inzicht geven in het leven van de betrokkene, overigens ongeacht of dit bijzondere persoonsgegevens zijn. (zie noot 21) De Afdeling wijst erop dat dit eveneens geldt voor zakelijke gegevens. (zie noot 22) Voor de beoordeling is voorts van belang dat het gaat om een bundeling van persoonsgegevens van bijna alle Nederlanders.

Een dergelijk vergaande inbreuk dient te worden gerechtvaardigd aan de hand van de vraag of deze maatregel noodzakelijk en proportioneel is. (zie noot 23) De memorie van toelichting laat de afweging of gezamenlijke monitoring noodzakelijk is over aan de banken "aangezien zij hun cliëntenbestand het beste kennen". (zie noot 24) Over de proportionaliteit wordt slechts gemeld dat de monitoring beperkt is tot Nederlandse banken en in Nederland gevestigde bijkantoren van buitenlandse banken. (zie noot 25)

De Afdeling merkt op dat de regering geen eigen afweging maakt of er een noodzaak bestaat tot gezamenlijke transactiemonitoring maar dit oordeel overlaat aan de banken. Daarmee wordt ook de waarborging van de fundamentele rechten die hier in het geding zijn, uitbesteed aan diezelfde banken. De Afdeling wijst erop dat dit de overheid niet ontslaat van de verplichting zelfstandig af te wegen of het creëren van de mogelijkheid van een dergelijke voorziening niet alleen gewenst maar ook noodzakelijk is gelet op de fundamentele rechten die in het geding zijn. Dat banken zelf kunnen afwegen of zij van een voorziening gebruik maken, doet daar niet aan af.

Daarnaast merkt de Afdeling op dat de gezamenlijke transactiemonitoring leidt tot het verwerken van de gegevens van alle cliënten, ook van cliënten zonder ongebruikelijke transacties. Deze ongedifferentieerde verzameling en verwerking gaat de grenzen van het strikt noodzakelijke te buiten; (zie noot 26) de maatregel is daarmee niet proportioneel. (zie noot 27)

Het is daarbij de vraag of banken als poortwachters de reeds bestaande (wettelijke) mogelijkheden wel ten volle hebben benut om te voldoen aan de wettelijke onderzoeks- en meldplicht. Banken hebben de laatste jaren een noodzakelijke inhaalslag gemaakt en geïnvesteerd in personeel en technologie. Tegelijk tonen de signalen uit het DNB-toezicht en de opsporing aan dat er ruimte is voor verbetering in de monitoring en melding van ongebruikelijke transacties. DNB constateerde begin 2020 onder andere verouderde ICT, databeheer dat niet op orde is en onvoldoende (gekwalificeerd) personeel. (zie noot 28)

De noodzaak tot gezamenlijke monitoring moet ook worden bekeken in het licht van de al zeer uitgebreide en fijnmazige Europese wetgeving. Nog maar recent zijn het UBO-register (zie noot 29) en het bankenportaal (zie noot 30) in werking getreden. De praktische implementatie van deze instrumenten is nog niet voltooid, en evenmin is bekend wat de effecten ervan zijn. Het is in dat licht bezien op zijn minst voorbarig om, bovenop de al bestaande Europese verplichtingen, een zodanig vergaande maatregel te introduceren.

Tot slot moet de noodzaak ook bezien worden in het licht van de te verwachten effectiviteit. Aan de kant van potentiële witwassers zal het betrekkelijk eenvoudig zijn de gezamenlijke voorziening te omzeilen door gebruik te maken van niet-deelnemende banken in Nederland of daarbuiten. Aan de kant van de banken wordt aanzienlijk geïnvesteerd. Dit stelt echter ook eisen aan de rest van de ‘anti-witwas-keten’. Dan gaat het onder andere om FIU Nederland (de instantie waar alle meldingen samenkomen), de opsporingsdiensten en de inlichtingendiensten. FIU Nederland kampt nu reeds met een tekort aan capaciteit (zowel personeel en financieel als technologisch) om de stroom meldingen te verwerken. (zie noot 31)

Uit het voorgaande blijkt dat de noodzaak en proportionaliteit van de vergaande inbreuk op de gegevensbescherming van burgers en bedrijven en op de privacy die hiervan het gevolg zal zijn, niet aangetoond zijn. De Afdeling adviseert de voorgestelde grondslag voor gezamenlijke monitoring van banktransacties daarom te schrappen.

Onverminderd het advies om de grondslag voor gezamenlijke transactiemonitoring te schrappen, adviseert de Afdeling, indien de regering toch vasthoudt aan dit onderdeel van het wetsvoorstel, in ieder geval met de volgende aspecten rekening te houden.

4. Gezamenlijke transactiemonitoring: overige aspecten

a. Automatische besluitvorming en rechtsbescherming
Volledig geautomatiseerde besluitvorming (inclusief profilering), zonder menselijke tussenkomst, is in beginsel niet toegestaan. (zie noot 32) Deze is wel mogelijk als dit is toegestaan op grond van nationaal recht. Daarbij dient te worden voorzien in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkenen. (zie noot 33) De toelichting gaat in op een aantal waarborgen, maar laat het regelen daarvan over aan de banken. (zie noot 34)

De Afdeling wijst erop dat de hoeveelheid informatie die in de gezamenlijke transactiemonitoring wordt verwerkt, dusdanig groot is, dat de monitoring in de praktijk alleen geautomatiseerd mogelijk zal zijn. De hierop gebaseerde besluitvorming door banken kan voor individuele cliënten (zakelijk of particulier) verstrekkende gevolgen hebben. Als zij op basis van een ‘alert’ uiteindelijk geen toegang tot het reguliere bankwezen hebben (of op een zwarte lijst komen), kunnen zij feitelijk niet deelnemen aan het maatschappelijk verkeer (werken, zaken doen, belasting betalen).

Deze gevolgen klemmen temeer, als op basis van ongebruikelijke transactiepatronen (profilering) bepaalde categorieën cliënten onterecht worden uitgesloten. Dit creëert, naast de inbreuk van de transactiemonitoring op het recht op privéleven en het recht op gegevensbescherming, ook risico’s op stigmatisering of zelfs discriminatie. (zie noot 35) Zorgvuldige en goed gemotiveerde besluitvorming door de banken is daarom cruciaal. Daarbij moet helder zijn op basis van welke data en beslisregels een besluit is genomen; of deze data juist en volledig zijn en gewijzigd kunnen worden; en hoe het uiteindelijke besluit precies wordt gemotiveerd.

De Afdeling wijst erop dat blijkens de toelichting wordt beoogd dat de alerts die voortkomen uit de gezamenlijke transactiemonitoring wel door menselijke tussenkomst moeten worden onderzocht. Deze menselijke tussenkomst dient betekenisvol te zijn. (zie noot 36) Op voorhand is niet duidelijk hoe betekenisvolle tussenkomst wordt gegarandeerd, nu het juist de geautomatiseerde transactiemonitoring is die ongebruikelijke transacties in kaart zal brengen en het bovendien gaat om zeer grote hoeveelheden gegevens. Het is niet ondenkbaar dat aan de alerts of signalen die hieruit voortkomen veel gewicht wordt toegekend.

Het wetsvoorstel bevat weinig waarborgen voor betekenisvolle menselijke tussenkomst en ter voorkoming van uitsluiting en discriminatie. In het bijzonder bij geautomatiseerde besluitvorming is het noodzakelijk dat in het wetsvoorstel zelf waarborgen worden opgenomen ter bescherming van de rechten en vrijheden van cliënten. Dit is ook vereist als bijzondere en strafrechtelijke gegevens worden verwerkt. (zie noot 37) Het volstaat dan ook niet in de toelichting slechts te wijzen op de afweging die de individuele banken zelf moeten maken. (zie noot 38)

Bovendien zijn zinvolle mogelijkheden om in verzet te komen tegen een besluit van een bank, waaronder een besluit tot plaatsing op een ‘zwarte lijst’, onmisbaar in het kader van een effectieve rechtsbescherming. De toelichting gaat echter niet in op de uitoefening van de rechten van betrokkenen in relatie tot de gezamenlijke voorziening (TMNL). Blijkens de toelichting zijn de banken verwerkingsverantwoordelijke jegens wie betrokkenen hun rechten kunnen uitoefenen.

De Afdeling acht dat onvoldoende. Zij benadrukt dat voorkomen moet worden dat verantwoordelijkheid voor de uiteindelijke beslissing in de praktijk verschuift tussen de verschillende instellingen en TMNL. Van belang is daarom dat de bank onder meer de betrokkene informeert, en deze ook kan informeren over de onderliggende logica als sprake is van geautomatiseerde besluitvorming. (zie noot 39) Ook zal de betrokkene zijn overige rechten op een effectieve wijze jegens de bank moeten kunnen uitoefenen.

Gelet op het belang van de rechtspositie en de daarmee samenhangende rechtsbescherming van de betrokkene acht de Afdeling het daarom in elk geval gewenst in het voorstel subdelegatie uit te sluiten voor onderwerpen die hieraan raken, zoals de uitoefening van de rechten van betrokkenen. (zie noot 40) Op ten minste het niveau van een algemene maatregel van bestuur (amvb) dient de regering helder te maken hoe de burger op effectieve wijze in zijn rechten wordt beschermd.

Gelet op het voorgaande dient het wetsvoorstel te worden aangepast. De Afdeling adviseert in het wetsvoorstel de nodige waarborgen op te nemen met betrekking tot de gegevensverwerking, de geautomatiseerde besluitvorming en de rechtsbescherming, en subdelegatie ten aanzien van onderwerpen die de rechtsbescherming raken uit te sluiten.

b. Verdeling verantwoordelijkheden
De gezamenlijke voorziening TMNL gaat voor de banken hun betalingstransacties in samenhang monitoren op signalen die kunnen duiden op witwassen of terrorismefinanciering. (zie noot 41) Blijkens de website blijven de banken de eigen transacties monitoren, naast de gezamenlijke monitoring. De voorgestelde wetstekst sluit niet uit dat ook de eigen monitoring per bank wordt uitbesteed.

De Afdeling merkt op dat de voorgenomen vormgeving vragen oproept over de verdeling van verantwoordelijkheden. De deelnemende banken blijven verantwoordelijk om te voldoen aan hun wettelijke verplichtingen onder de Wwft. (zie noot 42) De toelichting meldt dat zij daarnaast verwerkingsverantwoordelijke blijven zoals bedoeld in de AVG. De vraag is evenwel hoe dit in de praktijk zal uitwerken: hoe zijn verantwoordelijkheid en aansprakelijkheid geregeld tussen TMNL en de afzonderlijke banken? Dit dient duidelijk te zijn voor het geval er iets misgaat. Bijvoorbeeld als een cliënt vindt dat een bank ten onrechte consequenties verbindt aan een signaal, of als een transactie ten onrechte wel of niet wordt gesignaleerd, of in geval van een gegevenslek of een inbraak (hack) bij de gezamenlijke voorziening TMNL. Uit de toelichting begrijpt de Afdeling dat het de bedoeling is dat het toezicht indirect via de aangesloten banken loopt. In de toelichting wordt echter niet ingegaan op de effectiviteit van dit indirecte toezicht en de mogelijkheden corrigerend op te treden als er zaken misgaan.

De vraag is tot slot, meer fundamenteel, hoever de verantwoordelijkheid gaat van private instellingen (zoals banken, in welke samenwerkingsvorm dan ook) ten opzichte van de verantwoordelijkheid van de overheid. Deze vraag wordt pregnanter indien (vrijwel) alle banken in één gezamenlijke voorziening hun transacties laten monitoren.

Gelet op het voorgaande dient het wetsvoorstel te worden aangepast. De Afdeling adviseert de verantwoordelijkheden en de inrichting van het toezicht daarin te expliciteren.

c. Cybersecurity
De Afdeling wijst er verder op dat het samenbrengen van zoveel (bijzondere) persoonsgegevens en andere vertrouwelijke zakelijke en particuliere gegevens in één systeem ten behoeve van de transactiemonitoring op een veilige en verantwoorde manier moet zijn geregeld.

De informatiebeveiliging in de financiële sector kent de nodige kwetsbaarheden. (zie noot 43) DNB waarschuwt dat financiële instellingen mogelijk kwetsbaar zijn via dienstverleners waaraan werkzaamheden zijn uitbesteed en die toegang hebben tot hun data-infrastructuur. (zie noot 44) Van belang is verder het zogenoemde concentratierisico doordat met één hack toegang kan worden verkregen tot de data van meerdere financiële instellingen tegelijk. De beoogde concentratie van gegevens in TMNL vormt een mogelijk aantrekkelijk doelwit voor cyberaanvallen. Daarmee zijn de beveiligingsrisico’s (kans én impact) aanzienlijk. Ook indien de beveiliging bij de individuele banken en TMNL op termijn wel goed is geregeld, is het een gegeven dat deze nooit 100% te garanderen valt. Dit vormt niet alleen een risico vanuit de AVG bezien maar ook voor de integriteit van het financiële systeem en het vertrouwen van burgers in het bankwezen.

De Afdeling adviseert in de toelichting diepgaand in te gaan op de waarborgen ten aanzien van de cybersecurity en op de wijze waarop het toezicht hierop wordt georganiseerd.

5. Onderzoeksplicht en gegevensdeling tussen instellingen bij cliëntenonderzoek

Om ‘shopgedrag’ van cliënten te voorkomen, introduceert het voorstel de regeling dat als een zakelijke relatie of transactie naar haar aard indicaties van een hoger risico op witwassen of financiering van terrorisme met zich brengt, de instelling redelijke maatregelen neemt om te onderzoeken of een andere instelling van dezelfde categorie aan de cliënt diensten verleent, heeft verleend of heeft geweigerd. (zie noot 45) De instelling moet vervolgens navraag doen bij die andere instelling naar gebleken risico’s op witwassen of financieren van terrorisme. (zie noot 46) Het is niet redelijk te verlangen van instellingen om ‘op goed geluk’ bij alle andere instellingen navraag te doen naar gebleken risico’s, aldus de toelichting. (zie noot 47) Redelijke maatregelen zijn onder meer het raadplegen van openbare bronnen of andere bronnen die instellingen tot hun beschikking hebben, (zie noot 48) en eveneens het raadplegen van een zwarte lijst met personen bij wie ‘risico’s op witwassen of het financieren van terrorisme zijn vastgesteld’. (zie noot 49)

Het wetsvoorstel maakt verder mogelijk dat bij amvb bepaald kan worden dat het onderzoek zich kan uitstrekken tot instellingen van een andere categorie. (zie noot 50) Ook regelt het voorstel dat advocaten en notarissen ten behoeve van de naleving van de in dit artikel opgenomen verplichtingen niet gehouden zijn aan hun wettelijke geheimhoudingsplicht. (zie noot 51)

a. Noodzaak en proportionaliteit van gegevensdeling
Bij de onderzoeksplicht is sprake van verwerking van gegevens van cliënten waarbij het recht op respect voor het privéleven en het recht op gegevensbescherming in het geding zijn. Inbreuken hierop dienen te worden gerechtvaardigd aan de hand van de vereisten van noodzakelijkheid en proportionaliteit, zoals hiervoor ook al aan de orde is gekomen met betrekking tot de gezamenlijke monitoring.

Volgens de toelichting is de maatregel noodzakelijk omdat instellingen nog niet altijd goed in staat zijn om een juist risicoprofiel van de cliënt op te stellen. Het delen van gegevens zou de effectiviteit ten goede komen omdat zo een juist risicoprofiel van de cliënt kan worden opgesteld en ‘shopgedrag’ wordt voorkomen, aldus de toelichting. (zie noot 52) Het voorstel zou volgens de toelichting ook proportioneel zijn, omdat gegevensuitwisseling wordt beperkt tot die cliënten die een hoger risico met zich brengen, en er bovendien alleen gegevens worden uitgewisseld tussen instellingen van dezelfde categorie. (zie noot 53)

De Afdeling wijst er op dat in het kader van het noodzakelijkheidsvereiste de omvang van het probleem - in welke mate problematisch ‘shopgedrag’ voorkomt - niet is toegelicht. Ook is niet duidelijk of dit niet op andere manieren kan worden opgelost. (zie noot 54) In samenhang met de vraag naar de noodzaak van deze maatregel, merkt de Afdeling op dat als informatie wordt gedeeld tussen instellingen over (de uitkomsten van) cliëntenonderzoek en gebleken risico’s, vervolgens de vraag rijst wat de ontvangende instelling met die informatie kan. De toelichting stelt immers dat het delen van informatie de vragende instelling niet van de plicht ontslaat om zelf onderzoek te doen.

De vraag is of dit in de praktijk goed kan worden geborgd, omdat het voor een instelling uit het oogpunt van doelmatigheid (wat de reden voor deze wijziging is) voor de hand ligt het eigen onderzoek te beperken als er signalen zijn van een andere instelling. Tegelijkertijd zal een instelling haar beslissing niet (uitsluitend) kunnen motiveren op basis van de informatie ontvangen van een andere instelling. De instelling is immers verplicht een eigen afweging te maken, zoals de toelichting aangeeft. De verstrekte gegevens kunnen slechts als hulpmiddel dienen bij deze afweging en kunnen daarvoor niet in de plaats komen. (zie noot 55)

Een instelling dient redelijke maatregelen te nemen als een cliënt "naar haar aard indicaties van een hoger risico op witwassen of financieren van terrorisme met zich brengt". (zie noot 56) Deze open norm (wanneer een cliënt een hoger risico is) wordt in de toelichting niet geconcretiseerd. Dit kan ertoe leiden dat de drempel voor het delen van gegevens erg laag wordt. Ook is niet gespecificeerd welke gegevens een andere instelling moet delen. Voor de client kan dit ingrijpende gevolgen hebben. Zo is het bijvoorbeeld goed denkbaar dat het aangaan van een bankrelatie in de praktijk moeilijk of onmogelijk wordt. Dat is ook het geval wanneer gebruik gemaakt wordt van zwarte lijsten, waarop in de volgende subparagraaf nader wordt ingegaan.

Gelet op de ingrijpende gevolgen is het wetsvoorstel niet proportioneel als niet nader wordt gespecificeerd wanneer en welke gegevens kunnen worden uitgewisseld. De Afdeling adviseert daarom de noodzaak en proportionaliteit dragend te motiveren, en zo nodig het wetsvoorstel aan te passen.

b. Strafrechtelijke gegevens en zwarte lijsten
Het ligt in de rede dat instellingen van de hier gecreëerde mogelijkheid gebruik zullen maken om een gezamenlijk register te maken van verricht cliëntenonderzoek om dubbel werk te voorkomen. Het wetsvoorstel maakt zo een stelsel van zwarte lijsten mogelijk. De Afdeling merkt op dat er reeds zwarte lijsten bestaan, zoals het Incidentenwaarschuwingssysteem Financiële Instellingen, In het licht daarvan is de noodzaak, proportionaliteit en toegevoegde waarde van nog meer zwarte lijsten onduidelijk. (zie noot 57) Ook merkt de Afdeling op dat een stelsel van zwarte lijsten een stigmatiserend karakter kan hebben.

Met een dergelijk stelsel van (extern werkende) zwarte lijsten is niet uitgesloten dat ook strafrechtelijke gegevens worden verwerkt. (zie noot 58) Strafrechtelijke gegevens omvatten niet alleen strafrechtelijke veroordelingen en strafbare feiten, (zie noot 59) maar ook ‘min of meer gegronde verdenkingen’. (zie noot 60) Strafrechtelijke gegevens kunnen alleen onder strikte voorwaarden worden verwerkt. Ze mogen slechts worden verwerkt onder toezicht van de overheid, of als de verwerking is toegestaan bij een lidstaatrechtelijke bepaling die passende waarborgen biedt voor de rechten en vrijheden van de betrokkenen. (zie noot 61) Met andere woorden, een zwarte lijst is mogelijk, maar bij de uitvoering moet worden voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. (zie noot 62)

De toelichting ziet in de beoogde gegevensdeling meer mogelijkheden dan in het enkele gebruik van zwarte lijsten. (zie noot 63) Tegelijkertijd sluit de toelichting niet uit dat gezamenlijke gegevensdeling juist leidt tot een verhoging van het gebruik van zwarte lijsten. (zie noot 64) De Afdeling wijst er op dat het voorstel een grondslag creëert voor het verwerken van persoonsgegevens van strafrechtelijke aard, (zie noot 65) onder meer voor het nemen van ‘redelijke maatregelen’, (zie noot 66) waaronder een mogelijk stelsel van zwarte lijsten.

De Afdeling constateert dat buiten de primaire vraag naar de noodzaak en proportionaliteit (zie hiervoor) ook de vraag rijst naar passende waarborgen. De grondslag voor het verwerken van persoonsgegevens van strafrechtelijke aard is geformuleerd in algemene bewoordingen, (zie noot 67) en waarborgen als de beveiliging van persoonsgegevens en de uitoefening van de rechten van betrokkenen worden niet verder geconcretiseerd. (zie noot 68) De Afdeling merkt op dat nu een grondslag voor het verwerken van strafrechtelijke gegevens wordt gecreëerd, in het voorstel concrete passende waarborgen moeten worden geboden, zoals de AVG vereist. (zie noot 69) Dit klemt temeer vanwege het stigmatiserende karakter van een mogelijk stelsel van zwarte lijsten.

De Afdeling adviseert de passende waarborgen te concretiseren en op te nemen in het wetsvoorstel.

c. Geheimhoudingsplicht
Het voorstel creëert een grondslag om bij amvb uitwisseling tussen verschillende categorieën van instellingen mogelijk te maken. (zie noot 70) Naast de vraag hoe omgegaan moet worden met de vertrouwelijkheidsregimes van banken, (zie noot 71) roept dit de vraag op hoe omgegaan moet worden met de vertrouwelijkheidsregimes van bijvoorbeeld advocaten en notarissen. Het wetsvoorstel regelt dat advocaten en notarissen niet gehouden zijn aan hun geheimhoudingsplicht. Zolang zij met elkaar uitwisselen is dat geen probleem. Dat ligt echter anders op het moment dat moet worden uitgewisseld met een instelling die onder een lichter of zelfs geen vertrouwelijkheidsregime valt.

De Afdeling merkt op dat de geheimhoudingsplicht van advocaten en notarissen een publiek belang dient. Eenieder moet zich vrijelijk en zonder vrees voor openbaarmaking tot een advocaat of notaris kunnen wenden voor bijstand en advies. (zie noot 72) De geheimhoudingsplicht is van groot belang voor het functioneren van de rechtsstaat en gaat om die reden vergezeld van een verschoningsrecht. De Afdeling wijst er daarom op dat een beperking van de geheimhoudingsplicht nader gemotiveerd dient te worden en duidelijk dient te worden afgebakend. Bij voorkeur wordt dit op geregeld bij wet, zodat het parlement daar ook expliciet mee kan instemmen.

De Afdeling adviseert in het licht van voorgaande de geheimhoudingsplicht in relatie tot het wetsvoorstel nader toe te lichten, en in het voorstel op te nemen dat de geheimhoudingsplicht tussen verschillende categorieën instellingen niet kan worden doorbroken.

6. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State heeft een aantal bezwaren bij het voorstel en adviseert het voorstel niet bij de Tweede Kamer der Staten-Generaal in te dienen, tenzij het is aangepast.

De vice-president van de Raad van State

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W06.20.0354/III

- In de toelichting op artikel 10 expliciteren dat het gaat om omzetting van artikel 25 van Richtlijn (EU) 2015/849 en toelichten hoe wordt voldaan aan de uitbestedingseisen in artikel 25 tot en met 28 van deze richtlijn.


Voetnoten

(1) Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad van 20 mei 2015 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, PbEU 2015, L 141 (Vierde anti-witwasrichtlijn).
(2) Memorie van toelichting, paragraaf 2.2.
(3) Artikel 8 EVRM, artikel 7 en 8 Handvest EU.
(4) Artikel 8, tweede lid, EVRM; artikel 7, 8 en 52, eerste lid, Handvest EU en artikel 6, eerste lid onder c, en derde lid, AVG. Zie ook memorie van toelichting, paragraaf 3.1, A.
(5) De AVG is onverkort van toepassing op maatregelen ter bestrijding van witwassen en van financiering van terrorisme (zie overweging 42, artikel 41 en 43 Richtlijn 2015/849/EU) en bijvoorbeeld ook op betalingsdiensten (zie artikel 94 Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, PbEU 2015, L 337 (PSD 2).
(6) Ook de Autoriteit Persoonsgegevens (AP) wijst hierop in haar consultatiereactie.
(7) Voorgesteld artikel 34b Wwft.
(8) Memorie van toelichting, paragraaf 2.2.2.
(9) Memorie van toelichting, paragraaf 2.2.2.
(10) Voorgesteld artikel 34b, derde lid.
(11) Voorgesteld artikel 34b, vierde lid.
(12) Artikel 33, derde lid, van de Wwft.
(13) Voorgesteld artikel 34b, vijfde lid.
(14) Voorgesteld artikel 34b, vijfde lid, sub b.
(15) "Nederlandse banken bundelen krachten tegen witwassen", persbericht NVB, 13 september 2019.
(16) Ook is het denkbaar dat uit de transactiemonitoring van transacties die op zichzelf geen bijzondere persoonsgegevens bevatten wel bijzondere persoonsgegevens kunnen worden afgeleid. Dit was anders in de zaak EHRM 22 december 2015, ECLI:CE:ECHR:2015:1222JUD002860111 (G.S.B./Zwitserland), ro. 93, waarin de gegevensuitwisseling enkel bankgegevens, oftewel uitsluitend financiële informatie, betrof die geen intieme details of gegevens gerelateerd aan de klagers identiteit onthulde die meer bescherming genieten.
(17) Artikel 8 EVRM, artikel 7 en 8 Handvest EU, artikel 10 Grondwet.
(18) Afdeling advisering van de Raad van State, Ongevraagd advies over de effecten van de digitalisering voor de rechtsstatelijke verhoudingen, 2018, Kamerstukken II 2017/18, 26643, nr. 557. Zie ook bijv. S. Kulk & S. van Deursen, Juridische aspecten van algoritmen die besluiten nemen. Een verkennend onderzoek, Den Haag: WODC 2020.
(19) Memorie van toelichting, artikelsgewijze toelichting op artikel 34b.
(20) Artikel 8, tweede lid, EVRM, artikel 7 en 8 Handvest EU, artikel 10 Grondwet.
(21) Zie EHRM 4 december 2008, ECLI:CE:ECHR:2008:1204JUD003056204 (S. en Marper/Verenigd Koninkrijk), ro. 66-67, en EHRM 7 juli 2015, ECLI:CE:ECHR:2015:0707JUD002800512 (M.N. e.a./San Marino), ro. 51; EHRM 16 februari 2000 (GK), ECLI:CE:ECHR:2000:0216JUD002779895 (Amann/Zwitserland), ro. 70.
(22) Zie EHRM 16 december 1992 (GK), ECLI:CE:ECHR:1992:1216JUD001371088 (Niemietz/Duitsland), ro. 29-31, EHRM 7 juli 2015, ECLI:CE:ECHR:2015:0707JUD002800512 (M.N. e.a./San Marino), ro. 51, en EHRM 16 februari 2000 (GK), ECLI:CE:ECHR:2000:0216JUD002779895 (Amann/Zwitserland), ro. 65.
(23) Artikel 8, tweede lid, EVRM, artikel 52, eerste lid, Handvest EU, en artikel 6, derde lid, AVG.
(24) Memorie van toelichting, paragraaf 3.2.
(25) Memorie van toelichting, paragraaf 3.2.
(26) Vergelijk in deze zin HvJ EU 8 april 2014, C‑293/12 en C‑594/12, ECLI:EU:C:2014:238 (Digital Rights Ireland), punt 52.
(27) Vergelijk in deze zin HvJ EU 6 oktober 2020,C‑623/17, ECLI:EU:C:2020:790 (Privacy International), punt 80, HvJ EU 8 april 2014, C‑293/12 en C‑594/12, ECLI:EU:C:2014:238 (Digital Rights Ireland), punt 58.
(28) "DNB: databeheer van banken nog te vaak niet op orde", in: FD, 22 januari 2020. Zie uitgebreider: DNB, Veranderen voor vertrouwen. Lenen, sparen en betalen in het datatijdperk, 2020.
(29) Op 27 september 2020 trad het UBO-register in werking en zijn ondernemingen verplicht om hun eigenaren of de personen die zeggenschap hebben, via de Kamer van Koophandel, in het UBO-register in te schrijven. De inschrijving voor bestaande organisaties moet plaatsvinden voor 27 maart 2022.
(30) Op 10 september 2020 trad de Wet verwijzingsportaal bankgegevens in werking. Het verwijzingsportaal bankgegevens is een digitale voorziening voor de geautomatiseerde verstrekking van identificerende gegevens die opgevraagd worden door de daartoe bevoegde opsporingsdiensten en de Belastingdienst.
(31) Investico, Tachtig procent van Nederlandse witwasmeldingen verdwijnt in de la, 23 september 2020.
(32) Artikel 22, eerste lid, AVG.
(33) Artikel 22, tweede lid, onder b, AVG.
(34) Zo zal een bank een gegevensbeschermingseffectbeoordeling moeten uitvoeren, en zo nodig de AP raadplegen. Ook moet de bank ingaan op de maatregelen die worden genomen om de rechten van betrokkenen te waarborgen. De alerts die voortkomen uit de gezamenlijke voorziening moeten daarnaast door menselijke tussenkomst worden onderzocht. Tot slot moet de bank zijn cliënten informeren over de verwerking van de persoonsgegevens. Daarnaast bevat het voorstel een grondslag om bij of krachtens amvb regels te stellen met betrekking tot de uitoefening van de rechten van betrokkenen.
(35) Vergelijk hier Rechtbank Den Haag, 5 februari 2020, ECLI:NL:RBDHA:2020:865 (SyRI).
(36) Vergelijk WP29, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, p. 21.
(37) Artikel 9, tweede lid, onder g, en artikel 10 AVG.
(38) Memorie van toelichting, paragraaf 3.2.
(39) Artikel 13, 14 en 15 AVG.
(40) Voorgesteld artikel 34a, vijfde lid. Zie ook het advies van de Afdeling advisering van de Raad van State van 26 maart 2020, W13.19.0425/III, Kamerstukken II 2019/20, 35515, nr.4, paragraaf 8.
(41) Zie https://tmnl.nl. De deelnemende banken zijn aandeelhouder in de besloten vennootschap TMNL. De samenwerking staat in beginsel open voor andere in Nederland gevestigde banken.
(42) Artikel 10 eerste en (voorgesteld) tweede lid Wwft.
(43) DNB, Jaarlijkse informatiebeveiligingsmonitor, april 2020. DNB wijst onder meer op het niet tijdig doorvoeren van ‘patches’ om kwetsbaarheden te minimaliseren, werkprocessen die draaien op verouderde software, onvoldoende inzicht in de life cycle van systemen en onvoldoende scheiding in het netwerk van banken (netwerksegmentatie).
(44) DNB, Jaarlijkse informatiebeveiligingsmonitor, april 2020.
(45) Voorgesteld artikel 3b, eerste lid. Memorie van toelichting, paragraaf 2.2.1
(46) Voorgesteld artikel 3b, tweede lid.
(47) Memorie van toelichting, paragraaf 2.2.1.2.
(48) Memorie van toelichting, paragraaf 2.2.1.2.
(49) Dat mogelijk fungeert naast het al bestaande externe verwijzingsregister. Memorie van toelichting, paragraaf 2.2.1.2.
(50) Voorgesteld artikel 3b, vijfde lid.
(51) Voorgesteld artikel 3b, zesde lid.
(52) Memorie van toelichting, paragraaf 3.1, B.
(53) Idem, paragraaf 2.2.1.1.
(54) De AP wijst in haar advies hieromtrent bijvoorbeeld op uitbreiding van de capaciteit voor cliëntenonderzoek of een goed gebruik van het bestaande stelsel van zwarte lijsten, als mogelijke alternatieven.
(55) Memorie van toelichting, paragraaf 2.2.1.4.
(56) Voorgesteld artikel 3b, eerste lid.
(57) https://www.nvb.nl/publicaties/protocollen-regelingen-richtlijnen/protocol-incidenten-waarschuwingssysteem-financi%C3%ABle-instellingen/. Overigens zou ook bij het externe verwijzingsregister, dat nu reeds als een zwarte lijst fungeert, navraag gedaan moeten worden bij de betreffende instelling die het incident heeft geregistreerd - en zou het dus op dezelfde manier functioneren als hier wordt beoogd.
(58) Vergelijk E. de Vries en L. Mourcous, "Privacyrechtelijke voorwaarden voor het gebruik van een zwarte lijst", Privacy & Informatie 2019-246.
(59) Artikel 10 AVG, artikel 32 en 33 UAVG.
(60) E. de Vries en L. Mourcous, "Privacyrechtelijke voorwaarden voor het gebruik van een zwarte lijst", Privacy & Informatie 2019-246, paragraaf 3. Zie ook het advies van de Afdeling advisering van de Raad van State van 26 maart 2020, W13.19.0425/III, Kamerstukken II 2019/20, 35515, nr. 4, paragraaf 3b.
(61) Artikel 10 AVG.
(62) Artikel 33, vijfde lid, UAVG.
(63) Memorie van toelichting, paragraaf 3.1, B.
(64) Memorie van toelichting, paragraaf 3.1, C.
(65) Voorgesteld artikel 34a, eerste lid.
(66) Voorgesteld artikel 3b, eerste lid.
(67) Voorgesteld artikel 34a, eerste lid.
(68) Voorgesteld artikel 34a, vijfde lid.
(69) Artikel 10 AVG. Zie ook het advies van de Afdeling advisering van de Raad van State van 26 maart 2020, W13.19.0425/III, Kamerstukken II 2019/20, 35515, nr. 4, paragraaf 3b.
(70) Voorgesteld artikel 3b, vijfde lid.
(71) Organisatorisch en technisch dienen banken voldoende maatregelen (‘Chinese walls’) te nemen om te voorkomen dat informatie van andere banken voor andere afdelingen toegankelijk wordt.
(72) HR 22 juni 1984, ECLI:NL:PHR:1984:AG4835; HR 1 maart 1985, ECLI:NL:PHR:1985:AC9066 (Maas II, Notaris Maas-beschikking).