Al eerder schreef ik over de te grote verwachtingen van de overheid ten aanzien van de mogelijkheden van private partijen, met name banken, om criminaliteit op te sporen. Officieel wordt dit ‘witwasbestrijding’ genoemd, in Nederland gebaseerd op de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).

Tony de Bree: Wwft-naleving kan alleen met goede IT
Inmiddels zag ik een bericht van Tony de Bree, een compliance expert die onder meer bij ABN Amro heeft gewerkt. Hij geeft aan dat de uitvoering van deze private opsporingstaak alleen mogelijk is met hoogwaardige IT waarmee alle transacties van alle rekeninghouders (dus zowel u en ik als bedrijven, organisaties, enzovoorts) intensief gemonitord kunnen worden.

In privacy taal heet dat ‘surveillance’. Surveillance is een algemene trend, bij private partijen wordt het alleen bestreden als het om marketing en commercieel uitbaten van persoonsgegevens gaat. De overheid is op allerlei terreinen bezig om surveillance-mogelijkheden te benutten en te vergroten, onder meer via de Wwft.

Monitoring door banken
Ook een artikel in het FD van 27 november jl. gaat over surveillance door de banken, oftewel het opsporen van criminaliteit.

In dat artikel wordt ten onrechte gezegd dat de privacy regels een belemmering zouden zijn; Wwft-plichtigen hebben op grond van de Wwft een zeer ruime grondslag om persoonsgegevens te verzamelen en te analyseren. Als er op privacy gebied iets zou belemmeren, maakt het ministerie van financiën morgen een wet dat het probleem oplost.

Uit het artikel blijkt dat de opsporing van criminaliteit is als het zoeken naar een speld in een hooiberg. Volgens het FD-artikel is slechts 1 à 2 procent van hetgeen intern wordt gesignaleerd iets wat tot de melding van een ‘ongebruikelijke transactie’ aan FIU-Nederland moet leiden. Het geeft aan hoeveel werk de opsporingsactiviteiten van banken met zich mee brengen.

Risicoprofilering mag wel! | AVG
Vreemd is dat in het artikel staat dat risicoprofilering van klanten door DNB wordt gestimuleerd terwijl dat volgens de privacy toezichthouder (Autoriteit Persoonsgegevens) niet zo mogen. Voor zover ik weet biedt de Wwft wel degelijk een wettelijke grondslag voor risicoprofilering.

Echter, daar zit wel aan vast dat de klanten door de bank worden geïnformeerd over de profileringsactiviteiten (artikelen 13 en 14 AVG) en dat de klant in het kader van het inzagerecht (artikel 15 AVG) moet worden geïnformeerd over profilering. Voorts hoort daarbij dat de klanten worden geïnformeerd over de onderliggende logica van de profilering en het belang en de verwachte gevolgen van die verwerking voor die klant. Als de klant geen natuurlijke persoon is maar een rechtspersoon, zoals een bv, zullen de natuurlijke personen betrokken bij de bv door de bank moeten worden geïnformeerd over de profilering.

Verder schrijft de AVG voor dat de bank zijn beslissingen niet uitsluitend op IT mag baseren, tenzij dat is toegestaan op grond van Europees en Nederlands recht en is voorzien in een passende rechtsbescherming voor betrokken natuurlijke personen (artikel 22 AVG).