Wijzigingswet verwijzingsportaal bankgegevens.

Bij Kabinetsmissive van 14 juli 2022, no.2022001572, heeft Uwe Majesteit, op voordracht van de Minister van Financiën, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van wet tot wijziging van de Wet op het financieel toezicht in verband met de uitbreiding van het verwijzingsportaal bankgegevens alsmede enkele andere wijzigingen (Wijzigingswet verwijzingsportaal bankgegevens), met memorie van toelichting.

Het wetsvoorstel strekt tot wijziging van de Wet verwijzingsportaal bankgegevens. Onderhavig voorstel bevat een uitbreiding van het verwijzingsportaal bankgegevens (VB). De voorgestelde uitbreiding beoogt een aanvulling van de wettelijke grondslagen op grond waarvan identificerende gegevens kunnen worden gevorderd of verzocht uit het VB. Tevens wordt voorgesteld om op basis van deze wettelijke grondslagen ook saldo- en transactiegegevens te kunnen verstrekken uit het VB.

De Afdeling advisering van de Raad van State onderkent de voordelen van digitalisering van de gegevensverstrekking. Niettemin kleven hieraan ook risico’s. Daarom is het van belang dat inzichtelijk wordt in hoeverre de voorgestelde waarborgen voor rechtmatige gegevensverstrekking in de praktijk effectief zullen (blijken te) zijn. De Afdeling adviseert de uitkomsten van de voorgenomen audit ten aanzien van de huidige gegevensverwerking in het VB te betrekken bij (het moment van inwerkingtreding van) de voorgestelde uitbreiding. Voorts roept de doorontwikkeling van het VB de vraag op hoe het voorstel zich verhoudt tot Europese ontwikkelingen op dit gebied. In verband daarmee is aanpassing van de toelichting wenselijk.

1. Inleiding

Op 10 september 2020 trad de Wet verwijzingsportaal bankgegevens in werking met als doel het proces van het verstrekken van bepaalde identificerende gegevens door banken en andere betaaldienstverleners aan bepaalde overheidsinstanties efficiënter te laten verlopen. (zie noot 1) Met deze wet is ook de verplichting geïmplementeerd voor elke lidstaat van de Europese Unie om te voorzien in een centraal elektronisch systeem ter identificatie van cliënten van banken en andere betaaldienstverleners. (zie noot 2)

Het VB is een digitale voorziening voor de geautomatiseerde verstrekking van identificerende gegevens, die opgevraagd kunnen worden door de daartoe bevoegde opsporingsdiensten en de Belastingdienst. Deze overheidsinstanties hebben de wettelijke bevoegdheid om identificerende gegevens te vorderen of te verzoeken bij banken dan wel betaaldienstverleners en mogen het VB gebruiken op basis van de genoemde wettelijke grondslagen in de Wet verwijzingsportaal bankgegevens. Het VB maakt het mogelijk om bijna real-time identificerende gegevens te vorderen of op te vragen. Het gaat onder andere om de naam, het bankrekeningnummer en de status van de bankrekening. Het Besluit verwijzingsportaal bankgegevens stelt onder meer regels over het VB, zoals het beheer van het VB, de instanties en functionarissen die het VB gebruiken en de gegevens die door middel van het VB worden ontsloten. (zie noot 3)

Het wetsvoorstel strekt ertoe het gebruik van het VB uit te breiden. Dit betreft zowel een uitbreiding van de soort gegevens die via het VB kunnen worden opgevraagd en verstrekt, als een uitbreiding van de wettelijke grondslagen. De uitbreiding van gegevens ziet op de geautomatiseerde verstrekking van saldo- en transactiegegevens door Nederlandse banken met meer dan tweeëneenhalf miljoen rekeninghouders. Er wordt een wettelijke grondslag toegevoegd, zodat via het VB gegevens gevorderd en verstrekt kunnen worden van vermiste personen die zich hebben onttrokken aan de tenuitvoerlegging van verplichte zorg. Ook vindt er een verruiming plaats van de wettelijke grondslagen voor de Belastingdienst en wordt er een wettelijke grondslag opgenomen ten behoeve van het Centraal Justitieel Incassobureau.

2. Risico’s en maatregelen

De noodzaak van de voorgestelde wijzigingen is volgens de toelichting mede gelegen in het feit dat het betalingsverkeer in toenemende mate digitaal is geworden. (zie noot 4) De snelheid die het VB biedt door het digitaal vorderen of verzoeken van gegevens is van groot belang voor de taakuitvoering van overheidsdiensten.

De inzet van ICT bij de uitvoering van wet- en regelgeving kan grote voordelen bieden, zoals een hogere uitvoeringssnelheid, meer zekerheid op autorisatie en verificatie van gebruik van het portaal en meer zekerheid op gebruik van correcte data. Niettemin brengt het ook risico’s met zich mee. De drempel voor onnodige gegevensverstrekking wordt immers lager. Bovendien verschilt de reikwijdte van de vorderingsgrondslagen voor het VB en de voorwaarden waaraan moet zijn voldaan wil er sprake zijn van een rechtmatige gegevensverstrekking. (zie noot 5) Ook de waarborgen voor opsporingsambtenaren dan wel heffings- en invorderingsambtenaren tot aan de inlog in het VB verschillen van elkaar en worden uit de toelichting niet altijd duidelijk. (zie noot 6)

Ter voorbereiding van het wetsvoorstel is een gegevensbeschermingseffectbeoordeling (hierna: DPIA) gemaakt. (zie noot 7) Uit de risicoanalyse blijkt onder meer dat er risico’s zijn bij het gebruik van het VB voor de betrokken rekeninghouders en de medewerkers van overheidsdiensten op oneigenlijk gebruik van gegevens bij het gebruik van het VB. Dit kan onder meer leiden tot identiteitsfraude, chantage, afpersing of het innen van bedragen bij verkeerde personen. (zie noot 8)

In de toelichting wordt nader ingegaan op welke waarborgen er voor (een rechtmatige) gegevensverwerking gelden voor het reeds bestaande VB en welke waarborgen er aanvullend komen naar aanleiding van de voorgestelde uitbreiding van het VB. (zie noot 9) Zo moeten interne procedures bij de overheidsinstanties waarborgen dat een dergelijk verzoek bevoegd wordt gedaan en aan alle overige (wettelijke) voorwaarden wordt voldaan. Daarnaast worden door technische en procedurele procedures waarborgen gecreëerd, zoals authenticatie, autorisatie en logging. Specifiek voor de uitbreiding betreffende het opvragen en verstrekken van saldo- en transactiegegevens via het VB is de extra waarborg ‘dataminimalisatie’ opgenomen. Dit houdt in dat expliciet moet worden aangegeven of alleen saldogegevens dan wel saldo- en transactiegegevens opgevraagd worden en over welke periode. Daarnaast kunnen alleen saldogegevens dan wel saldo- en transactiegegevens worden opgevraagd van één IBAN-rekening. (zie noot 10)

Gelet op de eerder genoemde risico’s acht de Afdeling het daarom van belang dat inzichtelijk wordt in hoeverre de voorgestelde waarborgen in de praktijk effectief zullen (blijken te) zijn.

De Minister van Justitie en Veiligheid is al verplicht om periodiek verslag uit te brengen over de werking van het VB en een audit uit te voeren. (zie noot 11) Bij de totstandkoming van het Besluit verwijzingsportaal bankgegevens is toegelicht dat middels een periodieke audit controle op het VB zal plaatsvinden om zo nodig bij te sturen, gelet op de omvang van de gegevensverwerking. (zie noot 12) De eerste audit van het VB had al afgerond moeten zijn, maar is vertraagd. (zie noot 13) De eerste resultaten worden nu in het najaar verwacht en de volledige audit zal naar verwachting in 2023 plaatsvinden.

Nu het wetsvoorstel een uitbreiding bevat van zowel de aard van de persoonsgegevens die via het VB kunnen worden opgevraagd als de overheidsinstanties die bevoegd zijn om die gegevens op te vragen, is het des te meer van belang dat de gegevensverwerking op een veilige en verantwoorde manier is geregeld. Omdat de audit nog niet is afgerond kan nog onvoldoende worden beoordeeld of voor de huidige gegevensverstrekking via het VB aan de benodigde waarborgen daarvoor wordt voldaan.

De Afdeling adviseert in de toelichting op het voorgaande in te gaan en de uitkomsten van de audit te betrekken bij (het moment van inwerkingtreding van) de voorgestelde uitbreiding van de gegevensverstrekking van het VB.

3. Europese regelgeving

Op 20 juli 2021 heeft de Europese Commissie meerdere voorstellen uitgebracht, (zie noot 14) ten behoeve van de bestrijding van witwassen en terrorismefinanciering. Volgens één van de voorstellen zal het centraal elektronisch systeem voor gegevensontsluiting, het systeem dat eerder is geïmplementeerd door middel van het VB, worden behouden en tevens uitgebreid met een grensoverschrijdende koppeling. (zie noot 15) De Europese Commissie zal uitvoeringshandelingen ontwikkelen inzake de technische specificaties en procedures voor die koppeling. Van de lidstaten wordt verlangd dat zij ervoor zorgen dat gegevens in het nationale systeem actueel en toegankelijk zijn voor de koppeling. In een ander voorstel wordt de toegang van bevoegde autoriteiten tot het centraal elektronisch systeem voor gegevensontsluiting vergroot. (zie noot 16) De lidstaten dienen ervoor te zorgen dat bevoegde autoriteiten van de verschillende lidstaten rechtstreeks en onmiddellijk toegang hebben tot bankrekeninginformatie in het aanwezige systeem van een lidstaat. (zie noot 17)

Gelet op het voorgaande valt te verwachten dat op termijn het VB moeten worden aangepast. Dit kan betekenen dat banken en andere betaaldienstverleners meerdere keren, voor onderhavig voorstel maar dus ook met het oog op Europese ontwikkelingen, voor kosten te komen staan door deze aanpassingen. (zie noot 18) Het is daarnaast de vraag of de beheerder van het VB, de Justitiële Informatiedienst, meerdere aanpassingen op termijn kan bewerkstelligen. Uit de uitvoeringstoets blijkt dat met de huidige formatie de voorgestelde uitbreiding van taken wellicht al niet kan plaatsvinden zonder de prioritering van werk.

De Afdeling adviseert om in de toelichting nader in te gaan op de genoemde Europese ontwikkelingen en de gevolgen hiervan voor de praktijk.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.

De vice-president van de Raad van State

Voetnoten

(1) Stb. 2020, 151.
(2) Artikel 32bis van Richtlijn (EU) 2018/843 van het Europees Parlement en de Raad van 30 mei 2018 tot wijziging van Richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, en tot wijziging van de Richtlijnen 2009/138/EG en 2013/36/EU (PbEU 2018, L 156/43).
(3) Stb. 2020, 264.
(4) Memorie van Toelichting, paragraaf 4.2
(5) Zie ook het eerdere advies van de Afdeling, punt 2 (Kamerstukken II 2018/19, 35238, nr. 4).
(6) Zie bijvoorbeeld de verschillen tussen voorafgaande goedkeuring door een (hulp)officier van justitie, rechter-commissaris dan wel de wettelijke grondslagen zonder een dergelijke toelichting. Memorie van Toelichting, paragraaf 3.
(7) Data Protection Impact Assessment VB2, 9 december 2021.
(8) DPIA, p. 61-62.
(9) Memorie van Toelichting, paragraaf 2.4.
(10) Het gaat hier om IBAN als bedoeld in artikel 2 Verordening (EU) nr. 260/2012 van het Europees Parlement en de Raad van 14 maart 2012 tot vaststelling van technische en bedrijfsmatige vereisten voor overmakingen en automatische afschrijvingen in euro en tot wijziging van Verordening (EG) nr. 924/2009 (PbEU 2012, L 94/22). Het betreft kort gezegd een identificatienummer van een internationale betaalrekening, dat een individuele betaalrekening ondubbelzinnig identificeert in een lidstaat.
(11) Zie artikel 3:267i, vierde lid, Wet op het financieel toezicht juncto artikel 5 Besluit verwijzingsportaal bankgegevens.
(12) Stb. 2020, 264. Nota van Toelichting, artikelsgewijze toelichting, artikel 5.
(13) Kamerstukken II 2021/22, 35238, nr. 7.
(14) Zie https://ec.europa.eu/commission/presscorner/detail/nl/ip_21_3690: (COM(2021)420, 421, 422, 423, 429)
(15) COM(2021) 423, p. 9.
(16) COM (2021) 429. Het voorstel strekt tot wijziging van Richtlijn (EU) 2019/1153 van het Europees Parlement en de Raad wat betreft de toegang van bevoegde autoriteiten tot centrale registers van bankrekeningen via het centrale toegangspunt dat ook middels het VB geïmplementeerd is (Stb. 2022, 240).
(17) Artikel 1 Voorstel voor een Richtlijn van het Europees Parlement en de Raad tot wijziging van Richtlijn (EU) 2019/1153 van het Europees Parlement en de Raad wat betreft de toegang van bevoegde autoriteiten tot centrale registers van bankrekeningen via het centrale toegangspunt
(18) Marktpartijen dragen zelf de investerings-, exploitatie- en onderhoudskosten voor de aansluiting op de centrale voorziening. Zie ook de Memorie van Toelichting bij de Wet verwijzingsportaal bankgegevens, Kamerstukken II 2018/19, 35238, nr. 3.