Michel Klompmaker
Toevallig of niet maar op dezelfde dag te weten 16 juni 2022, dag van het Risk & Compliance Jaarcongres 2022, met als thema «De rol van de poortwachter anno 2022; publieke versus private sector», kwam de Raad van State met het advies wetsvoorstel plan van aanpak witwassen. De Raad van State had in januari 2021 al advies uitgebracht over het Wetsvoorstel plan van aanpak witwassen, maar het is op 16 juni jongstleden openbaar gemaakt en gepubliceerd naar aanleiding van een concreet verzoek op grond van de Wet open overheid. We vroegen uiteraard naar de reactie van enkele experts ter zake.
Het wetsvoorstel wijzigt de Wet ter voorkoming van witwassen en financieren van terrorisme en de Wet toezicht trustkantoren 2018. Het bevat onder andere de volgende maatregelen:
- gezamenlijk monitoren van betalingstransacties mogelijk maken voor banken;
- gegevensdeling mogelijk maken tussen instellingen voor onderzoek naar cliënten met een hoger risico op witwassen of terrorismefinanciering;
- verbod voor beroeps- of bedrijfsmatige handelaren in goederen om transacties vanaf € 3.000 in contanten te verrichten, en
- strengere regels voor trustkantoren.
Raad van State ziet een inbreuk op grondrechten van burgers en bedrijven
De Afdeling advisering onderschrijft het doel van het wetsvoorstel: het bestrijden van witwassen en financieren van terrorisme. Ze onderkent dat poortwachters bij financiële instellingen een belangrijke rol spelen om misbruik van het financiële stelsel te voorkomen. Twee van de voorgestelde maatregelen leiden echter tot vergaande inbreuken op grondrechten van burgers en bedrijven die vertrouwelijke gegevens en de persoonlijke levenssfeer beschermen. Hoe belangrijk de bestrijding van witwassen en van financiering van terrorisme ook is, bij deze maatregelen is de vraag of het doel de middelen wel heiligt. Deze middelen gaan in de opzet van het wetsvoorstel te ver. Het gaat daarbij om informatie-uitwisseling bij gezamenlijke monitoring van banktransacties en bij cliëntenonderzoek.
Transactiemonitoring door banken samen
Het wetsvoorstel maakt het mogelijk voor banken om hun transactiegegevens samen te brengen in een centrale database. Het maakt het vervolgens mogelijk deze gegevens onderling te delen om witwassen en financieren van terrorisme te bestrijden. Vijf Nederlandse banken hebben in 2019 het voornemen opgevat om bijna tien miljard transacties per jaar bij 35 miljoen cliënten samen te monitoren. Het voorstel regelt dit. Zo zullen er vertrouwelijke gegevens worden opgeslagen, geanalyseerd en bewerkt van vrijwel alle Nederlandse burgers en bedrijven. De massale schaal waarop banktransacties gezamenlijk zullen worden gemonitord is ongekend en betekent een vergaande inbreuk op de vertrouwelijkheid van gegevens van burgers en bedrijven. Daarbij gaat het niet alleen om het recht op privacy. Deze monitoring kan ook leiden tot uitsluiting en discriminatie. De Afdeling advisering is van oordeel dat het niet is aangetoond dat deze gezamenlijke transactiemonitoring noodzakelijk en proportioneel is. Daarbij komt dat het wetsvoorstel geen passende rechtsbescherming biedt; ook deze wordt als het ware uitbesteed aan de banken. Het advies is dan ook de grondslag voor de gezamenlijke transactiemonitoring uit het wetsvoorstel te schrappen.
Gegevensdeling bij onderzoek naar cliënten
Het voorstel houdt een verplichting in voor een instelling om bij onderzoek naar een (potentiële) cliënt met een hoog risico navraag te doen bij andere instellingen. De bevraagde instelling is dan verplicht om gegevens te delen. Deze gegevensdeling is een inbreuk op de bescherming van vertrouwelijke bedrijfs- en persoonsgegevens. Ook staat het voorstel op gespannen voet met het beroepsgeheim van notarissen en advocaten. Volgens het wetsvoorstel zijn zij niet gehouden aan hun geheimhoudingsplicht als zij de gegevens uitwisselen. De Afdeling adviseert de noodzaak en proportionaliteit van deze maatregel alsnog beter te motiveren.
Vanwege deze bezwaren adviseert de Afdeling om het wetsvoorstel niet bij de Tweede Kamer in te dienen, tenzij het is aangepast.
We vroegen enkele betrokken partijen naar hun reacties op dit advies. Allereerst uiteraard de Nederlandse Vereniging van Banken, afgekort NVB, waarvan de voorzitter Medy van der Laan nog sprak op ons Congres in Baarn op 16 juni. De reactie van de NVB op het advies van de Raad van State was als volgt: «Het stelt ons teleur dat de Raad van State adviseert van gezamenlijke transactiemonitoring af te zien. De Raad van State stelt in haar advies de vraag of gegevensdeling met TMNL op deze schaal noodzakelijk is. Wij hebben begrip voor de zorgen die de Raad heeft over de inbreuk op het recht op privacy. Banken realiseren zich dat het delen van gegevens grote verantwoordelijkheid met zich meebrengt. Daarom gelden voor TMNL de allerhoogste privacy- en beveiligingsstandaarden. Transactiegegevens worden gepseudonimiseerd gedeeld met TMNL. Onderliggende privacygevoelige gegevens zijn daarmee niet inzichtelijk voor TMNL en de gegevens worden niet gedeeld tussen banken onderling – het zijn patronen waar TMNL zich op richt, met als doel de kans vergroten op het blootleggen van mogelijke criminele activiteiten. Het is onze stellige overtuiging dat gezamenlijke transactiemonitoring een belangrijk wapen is in de strijd tegen crimineel geld. Ook zijn binnen TMNL alle mogelijke waarborgen ingebouwd om de veiligheid van gegevens en de privacy van klanten te waarborgen. Het is uiteindelijk aan de politiek om een goede balans te vinden tussen het effectief tegengaan van witwassen en het waarborgen van de privacy. Wij hebben er alle vertrouwen in dat de ministers van Justitie en Veiligheid en Financiën in hun uiteindelijke wetsvoorstel recht doen aan deze beide publieke belangen.»
Vervolgens gingen we te rade bij Geert Vermeulen, die nauw betrokken was bij het Risk & Compliance Jaarcongres, als dagvoorzitter: «Privacy is een mensenrecht. Veiligheid is ook een mensenrecht. Ze zijn allebei belangrijk. Volgens de Raad van State dient de overheid beter te onderbouwen waarom het belangrijk is dat banken gegevens willen delen om witwassen en terrorismefinanciering te voorkomen. En beter aan te geven welke waarborgen er worden getroffen om daarbij de privacy te beschermen. Dat lijkt me geen onmogelijke opgave. De Wwft heet risico-gebaseerd te zijn. Maar onder druk van de autoriteiten vindt er nu een 100% controle plaats op het gebied van KYC/CDD. Sommige banken kozen er voor om bepaalde klantgroepen uit te sluiten, omdat deze buiten de risk appetite vielen. Maar worden vervolgens nog wel eens teruggefloten door de rechter. Er blijkt namelijk ook een recht op een bankrekening te bestaan. In de praktijk valt het nog niet mee om een risico-gebaseerde aanpak te hanteren. Ook met betrekking tot de transactiemonitoring is er weinig tolerantie voor een gemiste transactie. Terwijl het voor een individuele bank vaak moeilijk te zien is wat er mis mee is. Daarom is TMNL opgezet. Overigens ben ik van mening dat TMNL in de huidige opzet voldoet aan de privacy wetgeving. Maar als er meer gegevens gedeeld kunnen worden, dan zullen banken beter in staat zijn om ongebruikelijke transacties te identificeren. De Raad van State vraagt zich terecht af of dit aan private partijen overgelaten moet worden. Het is duidelijk dat een goede publiek-private samenwerking onontbeerlijk is. Maar er mag nog wel eens gekeken worden naar de balans tussen de inspanningen in de publieke en de private sector. En naar de kosten die daarmee gemoeid zijn. Dan denk ik niet alleen aan de investeringen in mensen en systemen, maar ook aan het ondernemingsklimaat, de ‘ease of doing business’. Het moet efficiënter en effectiever. Het huidige stelsel is meer dan 30 jaar geleden ontworpen en vervolgens periodiek aangepast en uitgebouwd. Inmiddels staat er een tochtig gedrocht, dat piept en kraakt en gevaarlijk overhelt. Het is tijd is om het bouwwerk opnieuw te ontwerpen, gebruik makende van de nieuwste inzichten en technieken. Ik sta te popelen.»
J van Walsem Reageren
Ik vind het een gevaarlijke ontwikkeling, de overheid heeft lak aan privacy en legt de rekening en verantwoordelijkheid nu bij de banken, maar eist straks natuurlijk onvoordelige inzicht in de data van burgers.
We gaan ( al lang) een griezelige kant op.