Onlangs was ik bij de bijeenkomst van NJCM over big data. De inleidingen van de diverse sprekers waren heel interessant. Het Twitterverslag is hier te vinden.
Opvallend afwezig tijdens de bijeenkomst: big data in de financiële sector. De gegevens die in de financiële sector aanwezig zijn, met name bij banken en bij accountants- en administratiekantoren, worden in toenemende mate door middel van ICT onderzocht.
Grote gegevensverzamelingen
De gegevens van banken zijn buitengewoon interessant, omdat zij nauwkeurig zijn en locatiegegevens en allerlei andere interessante informatie bevatten. Als gevolg daarvan zijn banken in staat om hun cliënten en degenen met wie hun cliënten transacties doen zeer nauwkeurig te profileren. Als deze informatie wordt gecombineerd met de informatie van databrokers, zoals kredietbeoordelaars, de leveranciers van know-your-customer informatie en de leveranciers van informatie over uiteindelijk belanghebbenden (ubo’s) en Politically Exposed Persons (PEP’s), kan de hele wereld nauwkeurig in beeld worden gebracht.
Aangezien banken hun gegevens sowieso al uitgebreid analyseren, is het maar een kleine stap naar het vercommercialiseren van de gegevens, zoals ING niet al te lang geleden van plan was. Dat is niet doorgegaan, het stuitte op bezwaren van de toezichthouder (DNB) en het publiek. Maar dat wil niet zeggen dat er niets meer gebeurt.
In de sector van accountants en administratiekantoren groeien de gegevensverzamelingen en worden financiële transactiegegevens steeds vaker geautomatiseerd verwerkt. Te verwachten valt dat daar gegevensverzamelingen zullen ontstaan die net zo interessant zijn als bij banken.
Criminaliteitsbestrijding
Banken zijn al heel ver mee met big data; zij monitoren het complete betalingsverkeer van alle rekeninghouders en kunnen zo zien met wie en met welke landen ondernemingen zaken doen. Die informatie wordt gebruikt om de kredietwaardigheid van de cliënten te beoordelen. Verder hebben banken op grond van de Wet op het financieel toezicht (Wft) en de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) de verplichting om hun cliënten te kennen en degenen te kennen met wie die cliënten financiële relaties onderhouden; banken zijn verplicht na te gaan of hun cliënten zich met illegale praktijken bezig houden. Dat betekent dat banken door middel van datamining systemen alle financiële transactiegegevens onderzoeken.
Artikel 2a van de Wwft bevat de verplichting voor onder meer banken tot het verrichten van cliëntenonderzoek, waarbij nieuwe technologieën extra aandacht behoeven:
1 Ter voorkoming van witwassen en financieren van terrorisme verricht een instelling cliëntenonderzoek en meldt zij verrichte of voorgenomen ongebruikelijke transacties overeenkomstig de bij of krachtens de hoofdstukken 2 en 3 gestelde regels. Daarbij besteedt een instelling bijzondere aandacht aan ongebruikelijke transactiepatronen en aan transacties die naar hun aard een hoger risico op witwassen of financieren van terrorisme met zich brengen.
2 Een instelling treft adequate maatregelen ter voorkoming van risico’s op witwassen en financieren van terrorisme die kunnen ontstaan door het gebruik van nieuwe technologieën in het economisch verkeer.
Van die nieuwe technologieën maken banken zelf bij hun datamining activiteiten ook gebruik. Artikel 3 van de Wwft verplicht banken er toe:
een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen, teneinde te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel, met zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden.
In de financiële sector worden de datamining activiteiten als ‘know your customer” (KYC) en “transactiemonitoring” aangeduid. Interessant is dat de meeste leveranciers van diensten en software op dit terrein in de Verenigde Staten zijn gevestigd.
Europa
Dankzij allerlei ontwikkelingen nemen de big data activiteiten in de financiële sector alleen maar toe. Genoemd kan worden de campagne tegen belastingontwijking en -ontduiking (‘Panama’) die leidt tot een toename in de internationale gegevensuitwisseling over belastingbetalers (wij allemaal, dus).
Europa heeft diverse regelgeving op stapel staan op het gebied van criminaliteitsbestrijding. Belangrijk is de Vierde Europese Antiwitwasrichtlijn (‘AMLD4’). Daarbij kan worden aangetekend dat ‘witwassen‘ gaat over alle voordelen verkregen door handelen in strijd met de wet en ten nadele van de overheid (het woord ‘witwassen’ is een verhullende aanduiding). De richtlijn gaat over bestrijding van alle vormen van criminaliteit, behalve criminaliteit die geen voordeel voor de dader oplevert. Op grond van de AMLD4 dienen een groot aantal soorten ondernemingen, onder meer banken, hun cliënten te monitoren. Het cliëntenonderzoek, zoals hiervoor genoemd bij banken, wordt in de AMLD4 verder uitgebreid.
Nieuw is dat AMLD4 de lidstaten verplicht een zogenaam ‘ubo-register‘ aan te leggen, waarin gegevens over alle personen die uiteindelijk belanghebbende (ubo) van een rechtspersoon zijn moeten worden vastgelegd. Hoewel het register bedoeld is ter bestrijding van fraude, zal het grootste deel van de geregistreerde ubo’s eerzame burgers zijn. Alle ondernemingen en organisatie, groot en klein, worden in het register opgenomen. Dat betekent dat ook de gewone Nederlandse besloten vennootschap met enkele aandeelhouders in dat register komt.
Opmerkelijk is dat het er op lijkt dat er op grond van AMLD4 altijd een ubo moet zijn, ook bij bijvoorbeeld stichtingen die een ziekenhuis exploiteren; daar is de statutair bestuurder de ubo. Of de bestuurders van ziekenhuizen blij zullen zijn als ondernemingen waar het ziekenhuis zaken mee doet, de wens te kennen geven de herkomst van het vermogen van de bestuurder te willen onderzoeken, kan worden betwijfeld.
Al deze ontwikkelingen leveren enorme verzamelingen persoonsgegevens op, die zorgvuldig beveiligd dienen te worden om te voorkomen dat criminelen en data hongerige bedrijven er misbruik van maken. Aangezien die beveiliging nu al niet op orde is, ben ik benieuwd wat er zal gaan gebeuren.
Monitoring
Een algemeen zichtbare trend is dat bestrijding van criminaliteit wordt gebruikt als reden om big data activiteiten te rechtvaardigen. De problemen die tijdens de NJCM bijeenkomst werden gesignaleerd, zoals stigmatisering en function creep, zullen alleen maar toenemen. Dus of het nog wat zal worden met ‘privacy by design’ is de vraag.
Het thema van de NJCM bijeenkomst blijft actueel: “Big Data – Big Responsibility”.
Meer informatie
- De onstilbare datahonger van Edith Schippers, Jeffrey Stevens op Follow the money, 31 mei 2016
- Op zoek naar de risicoburger, artikel Kristel van Teeffelen in Trouw, 27 mei 2016
- WRR rapport ‘Big Data in een vrije en veilige samenleving’ over big data in de opsporing
- Mooi boek van Tijmen Schep over privacy by design
Aanvulling 16 mei 2017
Aangrenzend aan finance is een bedrijf als Oracle, dat zich op het terrein van de adtech heeft begeven, aldus een artikel in CIO.
Ellen Timmer - juridische artikelen en berichten 