De AMLA heeft weer nieuwe consultaties over de EU uitgestort | witwasbestrijding

De nieuwe Europese antiwitwasautoriteit, de Authority for Countering Money Laundering and Financing of Terrorism (AMLA), heeft nieuwe consultaties over door hen opgestelde nadere regelgeving uitgeschreven. Dat draagt bij aan onoverzichtelijkheid en aan de eindeloze versnippering die de nieuwe witwasbestrijdingsregelgeving kenmerkt en die het zelfs voor de grootbanken met hun grote juridische afdelingen en compliance afdelingen moeilijk maakt om te overzien wat er aan de hand is [1]. Het dubbele werk dat kenmerkend is voor de witwasbestrijding zal verder toenemen.

De meest recent bekend gemaakte consultaties hebben betrekking op

  • de internationale uitwisseling van gegevens tussen de FIU’s [2] (in Nederland is FIU onderdeel van de politie),
  • de beoordeling van het risicoprofiel van witwasbestrijdingsplichtigen van buiten de financiële sector, zoals boekhouders en notarissen [3] en
  • het sjabloon voor het melden van misdaadvermoedens [4].

Deze consultaties zijn vooral voor witwasbestrijdingsplichtigen van belang, al kunnen er indirect gevolgen zijn voor iedere burger van de EU.

Aanval op de ‘niet-financiële sector’
Interessant is dat met de nieuwe Europese antiwitwasregels de aanval op de niet-financiële sector (‘non-financial sector’) wordt geopend. Dat zijn hoofdzakelijk mkb-ondernemingen die weinig begrijpen van de nieuwe regels en straks net als de banken in de paniekstand gaan vanwege de vrees voor boetes en andere draconische sancties.

De compliance industrie wrijft zich in de handen
Of de maatschappij gebaat is met de nieuwe Europese regels is de vraag. Maar in ieder geval is de compliance industrie (inclusief IT-leveranciers op het gebied van de criminaliteitsbestrijding) blij. Zij kunnen klanten winnen door hen bang te maken voor de sancties bij niet-naleving van de antiwitwasregels.

 

 

Noten:

[1] Er zal veel werk moeten worden verzet om de regels te doorzien, er kritiek op te leveren en (te zijner tijd) om ze na te leven (wat veel geld kost!), terwijl het effect op de misdaadbestrijding onbekend is.
[2] Consultation on the draft RTS on cross-border information exchange between Financial Intelligence Units, sluiting op 6 oktober a.s.
[3] Consultation on the draft RTS on the assessment of the inherent and residual risk profile of obliged entities in the non-financial sector, sluiting op 27 september a.s.
[4] Consultation on the draft ITS on the format for reporting suspicions and providing transaction records, sluiting op 20 september a.s.

Geplaatst in Bankrekening krijgen en behouden, Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , | Plaats een reactie

Unmasking the chilling effects of the digital surveillance ecosystem: the erosion of assembly and association rights | OHCHR

A thematic report was announced [1] by the UN Human Rights Office of the High Commissioner (OHCHR) on the threats to the rights to freedom of peaceful assembly and of association caused by digital surveillance. The report was made by a special rapporteur [2].

It highlights the risks that digitalisation poses to people and society.

 

Notes:

[1] Unmasking the chilling effects of the digital surveillance ecosystem: the erosion of assembly and association rights (A/HRC/62/45), 21 April 2026. The English version of the report is here. There are versions in other languages.
[2] The Special Rapporteur on the rights to freedom of peaceful assembly and of association, appointed by the Human Rights Council of the UN.

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Not-for-profit | Tags: , , , , , | Plaats een reactie

De opsporing leest naar hartenlust Whatsapp berichten

Uit de hoek van de opsporing (onder meer Europol) is men al een hele tijd bezig om gedaan te krijgen dat men toegang krijgt tot geëncrypte communicatie, zoals communicatie met Whatsapp en Signal. Dit onderwerp wordt ook wel als het ‘going dark’ thema aangeduid, een Europese werkgroep is bezig om te kijken hoe die toegang verkregen kan worden.

Veiligheid burger speelt geen rol
De vraag hoe een burger vertrouwelijk moet communiceren, zonder te worden afgeluisterd door criminelen, advertentiebedrijven (Google, Meta c.s. [1]) en andere ongure types, wordt nooit door de opsporingsmensen beantwoord.

AMLC analyseert e-mail en chatberichten
In dat licht is het bijzonder dat het kenniscentrum bij de FIOD op het gebied van witwasbestrijding en aanverwant, het AMLC [2], vrolijk in het artikel De AMLC Browser in de opsporing vertelt dat men met behulp van kunstmatige intelligentie e-mail en chatberichten binnen netwerken analyseert.

De tooling van de AMLC Suite biedt de mogelijkheid om opsporingsbronnen, zoals e-mails of chatgesprekken uit in beslag genomen gegevensdragers, in te laden en beschikbaar te maken voor verder onderzoek. Daarbij biedt de AMLC Suite uitgebreidere analysemogelijkheden dan andere veelgebruikte forensische tools én blijft de data binnen de afgeschermde omgeving van het onderzoek.

Deze analyses worden onder meer ingezet om BPM-fraude aan te pakken, zo blijkt uit het artikel. Dat zal niet altijd de zware georganiseerde misdaad zijn, het lijkt me veel belangrijker om daar actief mee bezig zijn.

Het lijkt er op dat als de opsporing computers, tablets en smartphones in beslag neemt, het niet moeilijk is om de chatberichten leesbaar te maken. Dus ik begrijp niet waarom men zich in Europa zo druk maakt over geëncrypte communicatie.

 

Noten:

[1] Uiteraard is het op zijn minst nodig om daar geen accounts te hebben en ook andere maatregelen te nemen, die overigens maar deels werken. Het beveiligen tegen advertentiebedrijven is buitengewoon moeilijk.

[2] Anti Money Laundering Centre.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , , , , , | Plaats een reactie

Kritiek Ybo Buruma op het antiwitwassysteem

Hij is een expert op het gebied van het strafrecht en weet veel van de strafrechtpraktijk: Ybo Buruma, voormalig raadsheer HR en oud-hoogleraar strafrecht. Daarom is zijn kritiek op de privatisering van de misdaadbestrijding naar onder meer banken (‘witwasbestrijding’ en bestrijding terrorismefinanciering) opmerkelijk.

In het interview met het tijdschrift Mr. over de podcast Goliath waar hij aan meewerkt, wordt hem gevraagd welke zaken op hem indruk hebben gemaakt.

Welke zaak in Goliath heeft het meeste indruk op u gemaakt?
“Ik noem er twee. De eerste is een zaak over discriminatie door een bank. Vanwege een Arabische naam werd overgegaan tot ongerechtvaardigde blokkering van betalingen. Dat is een pervers effect van de bijzonder kwalijke – ook door de Nederlandse Juristenvereniging tijdens het jaarcongres afgelopen week besproken – antiwitwasregelgeving.”

Intussen gaan de ministeries van Veiligheid en Financiën vrolijk door met deze ‘kwalijke’ regelgeving en doen of er niets aan de hand is. Alleen maar ‘doorgeschoten’ en de banken hebben het fout gedaan.

 

NB Het congres van de Nederlandse Juristenvereniging heb ik hier aangekondigd. De witwasbestrijding werd besproken naar aanleiding van het preadvies van Doorenbos.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie

Datagedreven marketing door goede doelen krijgt kritiek

In het FD verscheen het artikel Slimme fondsenwerving of privacyschending? De onzichtbare technologie achter donaties door Jeroen Piersma.
Uit het artikel blijkt dat er goede doelen zijn die aan de hand van informatie van datahandelaren gedetailleerde profielen van Nederlandse huishoudens (laten) maken. Uit de introductie:

  • Goededoelenorganisaties werken met data-analyse om donateurs zo gericht mogelijk te benaderen.
  • Databrokers leveren een gedetailleerd beeld van samenstelling en leefstijl van huishoudens.
  • Volgens privacyadvocaten opereren de goede doelen in het grensgebied van wat de AVG toestaat.

Goededoelenorganisaties doen hetzelfde als commerciële bedrijven: datatechnologie inzetten om hun donateurs zo gericht mogelijk te benaderen. De ‘return on investment’ kan zomaar procentpunten omhoog.

Hoogst opmerkelijk is dat een goed doel, de internationale organisatie Save the Children, die heeft geïnvesteerd in een digitaal marketingbedrijf, dat goede doelen (ook Save the Children) bijstaat bij de fondsenwerving door middel van donateursprofilering [*]. Ook Nederlandse goede doelen zijn bezig met profilering, maar maken niet aan hun donateurs duidelijk dat zij dat doen.
In het artikel wordt Jordan van Bergen van de stichting Donateursbelangen geciteerd, die kritisch is over deze profileringspraktijken.

Het is tijd voor normering van de marketing praktijken van goede doelen
Van Bergen publiceerde in het FD de opinie De donateur als dataset: hoe algoritmes het vertrouwen schaden, dat ook op de site van Donateursbelangen is te vinden.
Daarin is Van Bergen kritisch over het door Save the Children investeren in het marketingbedrijf Dataro dat burgers profileert:

Een goed doel dat investeert in het technologiebedrijf dat zijn eigen donateurs analyseert, is tegelijk opdrachtgever, gebruiker én aandeelhouder. Daarmee komen verschillende logica’s in één organisatie samen: de maatschappelijke logica van hulpverlening en de financiële logica van rendement. Dat schept een perverse prikkel. Het succes van de missie, hulp aan kinderen, raakt onvermijdelijk verweven met het rendement op de investering. Wie de schaduwkanten van voorspellende AI in de fondsenwerving serieus wil onderzoeken, kijkt daarmee niet alleen naar een externe leverancier, maar ook naar de eigen aandelenportefeuille.

Hij schrijft ook:

Geen enkele dankpagina vermeldt: ‘Bedankt voor uw tientje. We gebruiken uw gegevens om u te profileren met software van een bedrijf waarin we zelf ook aandelen bezitten, om te voorspellen wanneer u overlijdt en wat u zult nalaten.‘ Ook privacyverklaringen blijven vaag over hoe voorspellende segmentatie werkt. Daardoor weet de gever niet dat hij of zij wordt beoordeeld op ‘nalatenschapsbereidheid’.

In het artikel pleit hij voor heldere normering van deze profileringspraktijken, via de Commissie Normstelling van het CBF, die een systeem van erkenning van goede doelen heeft. Hij besluit met:

Innovatie in de fondsenwerving is geen luxe, maar noodzaak. Particuliere giften lopen al jaren terug en de donateur vergrijst. Tegelijk neemt de druk toe om efficiënter en gerichter te werven. Maar zodra die innovatie de relatie met de gever beschadigt, slaat het rendement om in verlies, hoe geavanceerd het algoritme ook is. Uiteindelijk draait het om vertrouwen, niet om optimalisatie. De gever is geen bezit en geen databron. Het is tijd dat de goededoelensector zijn donateurs weer behandelt als mensen, niet als datasets.

 

Noot:
[*] Lees dit Australische artikel: I’m a data scientist. Even I was surprised about how charities are using AI to ‘predict’ how Australians will act, december 2025.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Rijksoverheid: FIU-Nederland kan verdachte transacties tijdelijk laten stilleggen

In het overzicht van nieuwe regels laat de rijksoverheid weten dat FIU-Nederland er met ingang van 1 juli een nieuwe bevoegdheid bij heeft gekregen:

FIU-Nederland kan verdachte transacties tijdelijk laten stilleggen
De Financiële inlichtingen eenheid (FIU-Nederland) krijgt vanaf 1 juli 2026 de bevoegdheid om instellingen zoals banken te verzoeken een transactie maximaal 5 werkdagen niet uit te voeren. Zo voorkomt de FIU dat mogelijk crimineel geld wordt weggesluisd voordat zij heeft kunnen beoordelen of een transactie verband houdt met witwassen of terrorismefinanciering. Ziet de FIU dat verband, dan verstrekt zij de verdachte transactie aan de opsporingsdiensten, die vervolgens onderzoek kunnen doen en zo nodig tot vervolging kunnen overgaan. Met deze maatregel wil het kabinet de bredere aanpak van ondermijnende criminaliteit versterken.

Artikel 17a Wwft
Het nieuwe artikel 17a Wet ter voorkoming van witwassen en financieren van terrorisme dat geldt voor alle witwasbestrijdingsplichtigen luidt als volgt [*]:

Artikel 17a
1. De Financiële inlichtingen eenheid kan ten behoeve van de uitvoering van de taak, bedoeld in artikel 13, aanhef en onderdelen a en b, een instelling verzoeken het uitvoeren van een transactie of meerdere transacties gedurende een periode van ten hoogste vijf werkdagen aan te houden ingeval de Financiële inlichtingen eenheid aanwijzingen heeft dat deze transactie of transacties verband kan of kunnen houden met witwassen of financieren van terrorisme, of indien een financiële inlichtingen eenheid uit een andere staat hierom verzoekt.
2. De in het eerste lid genoemde periode kan met een termijn van ten hoogste vijf werkdagen worden verlengd indien de Financiële inlichtingen eenheid het in het eerste lid bedoelde verzoek doet op verzoek van een financiële inlichtingen eenheid van een andere staat.
3. De Financiële inlichtingen eenheid trekt het verzoek, bedoeld in het eerste lid, voor het aflopen van de termijn, genoemd in het eerste en tweede lid, in zodra zulks mogelijk is.
4. De instelling waaraan overeenkomstig het eerste lid een verzoek is gedaan, geeft hieraan onverwijld gevolg.
5. Een instelling beschikt over gedragslijnen, procedures en maatregelen die haar in staat stellen te voldoen aan het vierde lid.
6. Een instelling informeert een cliënt terstond over toepassing van het vierde lid.

 

Bredere blokkeringsregeling op grond van het nieuwe antiwitwasrecht
Hiermee wordt vooruitgelopen op de antiwitwasrichtlijn (AMLD6) die in juli volgend jaar in werking treedt en die de lidstaten in artikel 24 voorschrijft een brede blokkeringsbepaling in het nationale recht op te nemen:

Dat betekent dat FIU-Nederland straks ook de bevoegdheid krijgt om een witwasbestrijdingsplichtige op te dragen dat rekeningen wordt geblokkeerd (‘het gebruik van die rekening … op te schorten‘) en/of dat de zakelijke relatie wordt opgeschort. De vraag is wat opschorting van de zakelijke relatie betekent als de witwasbestrijdingsplichtige geen transacties doet.

 

Noot:

[*] Wijzigingswet, artikel V sub B.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , | Plaats een reactie

Databemiddeling en data-altruïstisme | DGA

De EU heeft een verordening die zich richt op het delen van private data. Die verordening heeft de onduidelijke naam Data Governance Act (‘DGA’) [1], maar gaat eigenlijk over data delen.

Ik begrijp niet goed wat men met die verordening wil. Het lijkt een variant op ‘open overheid’ [2] te zijn, zo valt uit de inleiding [3] op de website van de Commissie af te leiden, met de bekende marketingverhalen over de te verwachten voordelen [4]. De bedoeling is dat het een manier is om buiten de grote IT-bedrijven van buiten de EU aan data te komen [5].

Databemiddeling
In de DGA wordt een nieuwe activiteit gereguleerd, nl. databemiddeling, wat gebeurt door de databemiddelingsdienstverlener (databemiddelaar), in het Engels wordt het een ‘data intermediary’ genoemd. De databemiddelaar zit tussen degene die de data heeft (de datahouder) en aan de andere kant de datagebruiker, degene die denkt leuke dingen te kunnen doen met de data.
Waarom databemiddeling een interessant verdienmodel zou zijn, wordt mij uit de informatie van de Commissie niet duidelijk.

De enige eis waaraan de databemiddelaar moet voldoen is aanmelding bij de nationale overheid (artikel 10 en 11 DGA), in Nederland gebeurt dat bij de Autoriteit Consument & Markt (ACM). De onderneming komt dan op een door de Commissie gehouden lijst terecht. Er gelden wel voorschriften (artikel 12 DGA), maar de DGA voorziet niet in controle (bijvoorbeeld beveiligingsaudits).

De datahouder
De datahouders kunnen natuurlijke personen zijn, maar de vraag is dan wel waarom zij hun persoonsgegevens zouden willen delen. Wat worden zij er beter van? Het ligt meer voor de hand dat de datahouders bedrijven zijn, waarbij aan de orde is dat sommige bedrijven beschikken over heel veel persoonsgegevens van klanten. Willen en mogen zij die klantgegevens wel delen? In ieder geval is daar toestemming van iedere klant voor nodig [6].
Als de datahouders hun data gratis afgeven, wordt dat door de Commissie ‘data altruïsme’ genoemd. Ook hier is de vraag waarom datahouders dit zouden willen doen. Als ik het goed begrijp worden die altruïstische data afgegeven aan data altruïsme organisaties [7].

Databemiddelaars in Nederland
Er is een Europees register van databemiddelaars [8]. Er zijn de volgende Nederlandse organisaties aangemeld, hierna volgen de namen, aanmeldingsgegevens en een toelichting:

  • Datakeeper B.V, de voormalige dochter-bv van de Rabobank, die een digitaal inlogmiddel + digitale kaartenbak aanbiedt [9].
  • Dexes, “Dexes provides partner registry, identification, clearing, authorisation and catalogue services“.
  • Fairsfair.io, “fairsfair.io provides a decentralised ‘transaction broker’. This is a plug-and-play API, establishing interoperability and compliance. Multiple organisations can collaborate on value adding services offered to natural persons and amongst legal entities“.
  • Future Insight Group B.V., biedt het Open Urban Platform (Clearly.Hub) aan, “an Open Urban Platform that supports governments with data-driven decision-making and brings together 3D, GIS, BIM and sensor data into one digital ecosystem“.
  • Luminis Technologies, “Trusted Data Sharing (…) Federated Data Spaces“.
  • Stichting Health-RI, “Health-RI aims to create a national health data infrastructure for research, policy and innovation“.
  • Stichting Ontwikkeling Schluss, model is niet geheel duidelijk, het lijkt op het bieden aan natuurlijke personen bieden van een datacollectie afkomstig van bijvoorbeeld de bank (transactiegegevens) en de werkgever (salarisstroken). Die gegevens kunnen dan worden geleverd aan bedrijven die persoonsgegevens willen hebben zoals banken, verhuurders en verzekeringsmaatschappijen [10].
  • Poort8, “NoodleBar, developed by Poort8, is a cutting-edge dataspace solution designed to facilitate secure, controlled, and efficient data sharing among businesses (…) Data intermediation services provided: NoodleBar dataspace components, iSHARE compliant Authorization Register, HeyWim Container Tracking and more“.
  • WeCity, “supporting and developing tools for smart city managers (…) An open platform offers companies the opportunity to offer their solutions in new markets, and that helps cities to solve spatial, environmental and social issues. WeCity brings together suppliers and buyers in a reliable, open ecosystem for data, sensors and solutions“.
  • Yivi, bekend van het digitale inlogmiddel + digitale kaartenbak voor burgers, wat een EUDI-wallet zal worden.

Data altruïsten
Via de Europese Commissie is te zien wie zich als erkende data altruïstische organisaties hebben aangemeld [10]. Het betreft momenteel twee Belgische organisaties op het gebied van gezondheid, één Oostenrijkse, één Spaanse en één Ierse organisatie.

Tot slot
De grote vraag bij al dit data delen is of je als datahouder er wel zeker van kunt zijn dat de databemiddelaar respectievelijk de data altruïstische organisatie wel veilig is en zorgvuldig omgaat met de data. Anders gebeurt er hetzelfde als wat we al bij de internationale advertentiebedrijven zien: gegevens vliegen ongecontroleerd de wereld over en kunnen naar hartenlust misbruikt worden. De EU is goed in mooie concepten (zoals de AVG) maar blijft achter als het om handhaving gaat. Zou dit bij de DGA ook aan de orde zijn?

 

 

Noten:

[1] Nederlandstalige versie van de DGA.
[2] Geregeld in de Open Data Richtlijn.
[3] De pagina Data Governance Act explained: “The Data Governance Act provides a framework to enhance trust in voluntary data sharing for the benefit of businesses and citizens.
[4] “The economic and societal potential of data is enormous: it can enable new products and services based on novel technologies, make production more efficient, and provide tools for combatting societal challenges.“.
[5] “The framework offers an alternative model to the data-handling practices of the Big Tech platforms which have a high degree of market power because they control large amounts of data.“, aldus de in [3] genoemde pagina.
[6] Zie het Proximus arrest van het Europese hof.
[7] “Entities that make available relevant data based on data altruism will be able to register as ‘data altruism organisations recognised in the Union’. These entities must have a not-for-profit character and meet transparency requirements as well as offer specific safeguards to protect the rights and interests of citizens and companies who share their data.“, aldus de in [3] genoemde pagina.
[8] Hier te vinden.
[9] Je zou verwachten dat men zich richt op witwasbestrijding en financiële sector, maar dat blijkt niet uit de beschrijving.
[10] Valt af te leiden uit “Schluss’ data intermediation service is primarily aimed at individuals (…) Data requesters (service providers) – Organizations, businesses, or individuals that require access to specific personal data to deliver a service. This includes situations like opening a bank account, applying for rental support, or purchasing insurance.“.
[11] Commissie: EU register of recognised data altruism organisations.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Als grootbanken met hun grote compliance afdelingen er niet in slagen de antiwitwasregels na te leven…

De afgelopen jaren zijn enorme boetes aan de grootbanken uitgedeeld omdat zij onvoldoende zouden doen aan de aan hen toebedeelde overheidstaak op het gebied van de criminaliteitsbestrijding (‘witwasbestrijding’ en het bestrijden van terrorismefinanciering). In het kader van dezelfde criminaliteitsbestrijdingstaken maakten banken zich op grote schaal schuldig aan discriminatie en uitsluiting, waarvoor nog nooit een boete is uitgedeeld [1].

Boete DNB voor ABN Amro
Vandaag maakte De Nederlandsche Bank (DNB) de nieuwste antiwitwasboete bekend: Boete voor ABN AMRO Bank N.V. voor onvoldoende cliëntenonderzoek bij hoogrisicoklanten (zie ook het boetebesluit). In het bericht is het bekende poortwachtersproza te lezen, met de hoge verwachtingen richting banken en andere witwasbestrijdingsplichtigen, met fraaie teksten als “Daarom is het van belang dat zij effectieve anti-witwascontroles uitvoeren om de financiële sector schoon te houden.“. Volgens DNB zou de bank belangrijke signalen hebben genegeerd:

In de vijf dossiers die in het boetebesluit zijn uitgewerkt was sprake van concrete risicosignalen, zoals grote contante geldopnames door privépersonen, transacties met hoog‑ of verhoogd-risicolanden, omvangrijke en frequente commissiebetalingen, mogelijke betrokkenheid bij “dual use”-goederen en signalen die konden duiden op het omzeilen van sancties tegen Rusland door cliënten van ABN AMRO door onder andere het gebruik van tussenhandelaren. ABN AMRO heeft deze signalen onvoldoende diepgaand onderzocht en heeft daarbij onvoldoende doortastend opgetreden om de risico’s voldoende te beheersen. Juist bij dergelijke signalen mag op grond van een risicogebaseerde aanpak een verdiepend en kritisch onderzoek worden verwacht. ABN AMRO heeft in belangrijke mate vertrouwd op verklaringen van cliënten zonder deze voldoende te verifiëren aan de hand van objectieve en verifieerbare gegevens. Ook wanneer essentiële informatie ontbrak of cliënten niet (volledig) aan informatieverzoeken voldeden, werden onderzoeken ondanks de hogere risico’s regelmatig afgesloten zonder passend vervolgonderzoek of adequate maatregelen. Daarnaast heeft ABN AMRO relevante risico‑indicatoren niet steeds kenbaar en in onderlinge samenhang betrokken bij haar beoordeling.

Dit is opmerkelijk, aangezien ABN Amro zich in Nederland presenteerde als voorloper op het gebied van de bancaire criminaliteitsbestrijding en grote groepen klanten de deur heeft gewezen vanwege vermeend hoog risico op criminaliteit (‘de-risking’), die vervolgens moesten gaan zoeken naar een van de weinige banken die nog brede groepen klanten accepteren [2]. De grootbanken hebben enorme klantenonderzoeksafdelingen die heel veel geld kosten, terwijl niet is gebleken dat het klantenonderzoek voldoende oplevert.

Welke les kunnen we hier uit leren?
De vraag is hoe het komt dat deze ijverige grootbank er niet in slaagt om het klantenonderzoek goed uit te voeren.
Ligt dat aan verouderde IT waardoor criminaliteitssignalen onvoldoende worden gedetecteerd? Komt het omdat de compliance medewerkers van de bank niet het denkniveau van een hoogleraar antiwitwaskunde hebben, terwijl dat denkniveau wel nodig is? Komt het omdat de regelgeving onuitvoerbaar is?

In plaats van boetes aan grootbanken te geven, zou het goed zijn dat onafhankelijk [3] wetenschappelijk wordt onderzocht waarom deze grootbanken er niet in slagen om hun overheidstaak goed uit te voeren. Als dat onderzoek wordt gestart, zou het goed zijn als de onderzoekers ook onderzoek doen naar de vraag hoe zinvol het is om van de grote groep witwasbestrijdingsplichtigen (kijk hier voor de huidige lijst) iets te verwachten wat de grootbanken, met hun grote compliance afdelingen en juridische afdelingen niet lukt.

De uitdagingen in de criminaliteitsbestrijding zijn groot, zo valt in diverse overheidspublicaties te lezen, “Het onderscheid tussen legale en illegale geldstromen is hierbij lastig te maken” [4]. Dergelijke overheidstaken horen niet thuis bij amateurs, maar bij gespecialiseerde organisaties, die voldoende niveau hebben en zich bewust zijn van hun maatschappelijke rol en het belang van naleving van grondrechten (anders dan de Nationaal Coördinator Terrorisme en Veiligheid (NCTV) in deze zaak).

 

 

Noten:

[1] Het is gebleven bij kritiek van het College voor de Rechten van de Mens. ING Bank kwam weg met excuses (lees dit bericht van mei 2025) en de Nederlandse Vereniging van Banken (NVB) beloofde beterschap.
[2] Hoewel er in Nederland veel banken zijn, zijn er maar enkele die vele soorten klanten accepteren. Zo kunnen verenigingen van eigenaars (VvE’s) niet terecht bij Triodos en moeten een rekening openen bij een van de grootbanken, terwijl het risico op criminaliteit door een VvE zeer laag is. Er zijn veel meer voorbeelden te noemen, die aangeven dat de bancaire markt niet meer functioneert. De Tweede Kamer nam enige tijd geleden een wetsvoorstel aan waarin het recht voor niet-natuurlijke personen op een zakelijke bankrekening is opgenomen.
[3] Dus geen onderzoek door wetenschappers die op het gebied van de criminaliteitsbestrijding al als hofleveranciers van de overheid optreden en er geen belang bij hebben aan het licht te brengen dat het systeem niet klopt.
[4] Bijvoorbeeld in de brief van het minister van Veiligheid over internationale politiesamenwerking van 3 juli jl., met onder meer: “Criminele netwerken opereren allang niet meer als geïsoleerde entiteiten binnen landsgrenzen. Ze zijn uitgegroeid tot mondiale structuren die in toenemende mate met elkaar verbonden zijn. Er is sprake van samenwerking tussen kartels, cybercriminelen, maffia -en terroristische groeperingen waarbij samenwerking gebaseerd is op eigen belangen, zoals het witwassen van geld via gedeelde netwerken of het inzetten van elkaars expertise voor het smokkelen van illegale goederen. De criminele netwerken van nu functioneren op een multidimensionaal niveau. De activiteiten beperken zich zelden tot één vorm van misdaad. De opbrengst van cocaïnesmokkel alleen al is goed voor miljarden euro’s per jaar. Deze opbrengsten moeten worden witgewassen waarvoor o.a. vastgoed, schijnbedrijven en financiële instellingen in meerdere landen gebruikt worden. Het onderscheid tussen legale en illegale geldstromen is hierbij lastig te maken.“. Let op het laatste zinnetje.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Consultatie DPIA-uitzonderingen

De Autoriteit Persoonsgegevens consulteert tot en met 10 augustus a.s. een lijst van soorten verwerkingen waarvoor geen ‘data protection impact assessment’ (DPIA) nodig is. Lees de aankondiging en het consultatiedocument (pdf).

Onder meer staan op de lijst:

2. Verwerking van klantgegevens in verband met zakelijke activiteiten
Verwerkingen van persoonsgegevens van bestaande klanten in verband met zakelijke activiteiten, zoals facturering of het aanbieden of verlenen van diensten zoals klantenacties of wedstrijden en het versturen van nieuwsbrieven. Mits de persoonsgegeven worden gebruikt in overeenstemming met de doeleinden waarvoor de persoonsgegevens zijn verkregen of klanten hebben ingestemd met de ontvangst ervan, en de verwerkingen niet op grote schaal plaatsvinden, en geen evaluatie, scoring of systematische monitoring van klanten plaatsvindt.
Dergelijke verwerkingen omvatten niet de verwerking van categorieën persoonsgegevens als bedoeld in artikel 9 en 10 van de AVG (zie punt 4 van pagina 9 van de Richtsnoeren7 ) of verwerking gericht op kwetsbare betrokkenen als doelgroep.

7 https://ec.europa.eu/newsroom/just/document.cfm?doc_id=47711

en

9. Verwerkingen door verenigingen en stichtingen
Verwerkingen die worden uitgevoerd door verenigingen en stichtingen, met betrekking tot de gegevens van hun donateurs en leden in het kader van de ledenadministratie, op voorwaarde dat de verwerking geen bijzondere persoonsgegevens omvatten zoals bedoeld in artikel 9, eerste lid, AVG en dat artikel 9, tweede lid, sub d, AVG niet van toepassing is.

Geplaatst in ICT, privacy, e-commerce | Tags: , | Plaats een reactie

Open banking in het MOB-jaarrapport 2025

In de jaarrapportage 2025 van het Maatschappelijk Overleg Betalingsverkeer (MOB) [1] wordt gesproken over het open banking voorstel van de Europese Commissie, zie paragraaf 5.5 “Wettelijk impasse voor ‘open finance’“:

De Europese Commissie publiceerde in juni 2023, tegelijk met het PSR/ PSD3­voorstel, een voorstel voor een verordening voor het delen van financiële klantdata: het Financial Data Access Framework (FiDA). Dit biedt klanten een wettelijk kader om hun (financiële) data gecontroleerd te delen en beoogt concurrentie en innovatie in de financiële dienstverlening te stimuleren, met waarborgen voor privacy en consumentenbescherming.

De triloogonderhandelingen tussen het Europees Parlement, de Raad en de Commissie gingen in april 2025 van start, maar zijn vervolgens geschorst en tot nader order uitgesteld. Daarvoor zijn meerdere redenen. Zo overwoog de Commissie eerder FiDA in te trekken vanwege kosten en complexiteit, was er aanzienlijke lobbydruk vanuit de sector en bestond er politieke verdeeldheid tussen lidstaten. De Raad gaf aan een ingrijpend vereenvoudigd voorstel te willen zien, dat eerst moet worden uitgewerkt voordat de triloog kan worden hervat.

De beweging richting ‘open finance’ en het FiDA­voorstel vormden voor de EPC aanleiding om enkele jaren geleden het SEPA Payment Account Access (SPAA) scheme te ontwikkelen. Dit afsprakenstelsel maakt het, aanvullend op de PSD2 (en straks de PSR/PSD3), mogelijk dat consumenten, bedrijven en instellingen gebruikmaken van extra (‘premium’) diensten van rekeninginformatie­ en/of betaalinitiatiedienstverleners, zoals het initiëren van variabele periodieke betalingen of toegang tot spaarrekeningen.

Het SPAA­-scheme beoogt meerwaarde te bieden voor consumenten, betaalrekeningaanbieders die klantdata delen en gereguleerde derde partijen die deze data gebruiken voor hun diensten.

Sinds eind 2023 kunnen partijen zich bij de EPC aanmelden voor toetreding tot het SPAA­-scheme. Momenteel zijn vijf partijen aangesloten, allemaal gereguleerde derde partijen die klantdata nodig hebben voor hun dienstverlening. Voor daadwerkelijke werking is echter ook deelname van klantdata­leverende betaalrekeningaanbieders nodig. Dat is op het moment van schrijven nog niet het geval, waardoor het nog onzeker is of het SPAA-­scheme van de grond komt. De EPC onderzoekt welke knelpunten hieraan ten grondslag liggen.

 

Anders dan in bovenstaande passage wordt gemeld, ontbreken in het Europese voorstel adequate waarborgen voor privacy en consumentenbescherming.

Op dit moment worden Europese burgers al gedwongen om toegang te verlenen tot hun bankrekening [2], dat zal met het open finance voorstel alleen maar riskanter worden. Daarnaast kunnen ook bedrijven (bijvoorbeeld supermarkten) toegang tot hun bankrekening verlenen met daarin betaalgegevens van hun klanten, die van niets weten.

Het is een zeer gevaarlijk voorstel.

 

Noten:

[1] Het rapport kan hier worden gedownload en is via deze pagina te vinden. Ook besproken in het vorige artikel vandaag.

[2] Voorbeelden zijn verhuurders die toegang tot de bankrekening van toekomstige huurders willen, mensen die gokken die aan de gokaanbieder toegang tot hun bankrekening moeten bieden (artikel), Buy Now Pay Later aanbieders zoals Klarna met ongezonde interesse voor de  bankrekening (artikel Radar).

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie