Verwijzingsportaal Bankgegevens

In de onlangs bekend gemaakte brief over wijziging van de regels inzake de witwasbestrijding, is opgenomen dat ook transactiegegevens zullen worden opgenomen in het Verwijzingsportaal Bankgegevens. Daarmee wordt de inhoud van het portaal aanmerkelijk groter.

IT-project
Dit portaal is één van de grote IT-projecten van de rijksoverheid en wordt beschreven in dit overzicht. Ten aanzien van de kosten wordt opgemerkt: “De kosten die worden gemaakt bij de opsporingsinstanties en de banken worden door deze organisaties zelf gedragen“. In de beschrijving van het project staat het volgende vermeld (peildatum 31 december 2018):

Het doel van het project Verwijzingsportaal Banken is het versterken van financieel rechercheren en het voorkomen van fraude. Meer specifiek door het verder verbeteren van het proces voor het vorderen, opvragen en verstrekken van identificerende gegevens van banken en betaalinstellingen. Hiermee wordt voldaan aan de aanstaande wijziging van de EU Richtlijn 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering en tot wijziging van Richtlijn 2009/101/EG.

 

Het project is op 1 juli 2016 gestart. Als betrokken marktpartijen worden Between, Headfirst en Atos vermeld.

BIT toets | noodzakelijke beveiligingsmaatregelen ontbreken
Er heeft een BIT toets plaats gevonden, het definitief advies is in december 2018 uitgebracht, waarin wordt geconcludeerd:

Wij hebben geen twijfel over het nut en de noodzaak van het VB. Het VB zoals het nu is ontworpen is echter nog geen robuuste oplossing om het huidige proces goed te vervangen. Belangrijkste redenen hiervoor zijn het ontbreken van inzicht voor opsporingsambtenaren of de door banken aangeleverde gegevens compleet zijn, en het ontbreken van noodzakelijke beveiligingsmaatregelen. Daarnaast kan de gewenste beschikbaarheid van het VB nog niet worden gegarandeerd. Ook is het VB niet direct te gebruiken voor opvragingen bij alle banken, omdat banken waarschijnlijk niet allemaal op 1 juli 2019 zijn aangesloten.

Om het VB tot een succes te maken adviseren wij u om vóór grootschalige inzet een aantal verbeteringen door te voeren ten aanzien van het ontwerp, de beveiliging, de beschikbaarheid en de bruikbaarheid van het VB.

 

Ook merkt het Bureau ICT-toetsing op dat noodzakelijke beveiligingsmaatregelen ontbreken.  Schokkend is dat er zelfs niet eens twee-factor authenticatie was geïmplementeerd:

Anders dan gesteld in de documentatie en geëist door de Baseline Informatiebeveiliging Rijksdienst wordt toegang tot het VB vanuit opsporingsdiensten niet verleend op basis van ‘twee-factor authenticatie’. Het project heeft ervoor gekozen om toegang tot het VB te verlenen op basis van een gebruikersnaam en wachtwoord, in combinatie met beperking van de netwerkadressen vanaf waar het VB te benaderen is. Deze combinatie voldoet niet aan de gestelde eis. Een netwerkadres kan niet gebruikt worden als tweede factor omdat dit niet gekoppeld is aan een persoon, zoals dat wel geldt voor een bezits- of biometrisch kenmerk.

Er is geen sprake van volledige (end-to-end) versleuteling van het berichtenverkeer van het VB tot aan de bank. In het voorgestelde ontwerp wordt de versleuteling onderbroken bij de tussenliggende berichtenmakelaar3 binnen JenV. Reden hiervoor is dat JenV eerder heeft gekozen om berichten van applicaties bij de berichtenmakelaar te controleren op mogelijke schadelijke software. Ook zijn geen aanvullende maatregelen getroffen waardoor een bank kan vaststellen dat de vraag daadwerkelijk van het VB afkomstig is. Hierdoor bestaan onnodige risico’s dat iemand met toegang tot de berichtenmakelaar inzage krijgt in de opvragingen van opsporingsdiensten of zelfstandig informatie opvraagt. Het ontbreken van volledige berichtenversleuteling is bovendien niet in lijn met gangbare beveiligingsnormen en het uitgangspunt van minimale gegevensverwerking vanuit de Algemene Verordening Gegevensbescherming.

Beoogd beheerder IBO heeft nog niet de middelen om de beveiliging van het VB goed te kunnen monitoren. Zo voorziet het IBO niet in Security Information en Event Management (SIEM)–software om direct mogelijke beveiligingsincidenten te constateren en maatregelen te treffen.

 

De Tweede Kamer is in februari 2019 geïnformeerd over het rapport door het Bureacu ICT-toetsing. Daarin wordende problemen rondom de beveiliging gebagatelliseerd, “het ontbreken van enkele noodzakelijke beveiligingsmaatregelen“. Volgens de Minister van Jusititie en Veiligheid zijn de noodzakelijke maatregelen inmiddels doorgevoerd.

Tot slot
Het Verwijzingsportaal Bankgegevens zal de overheid uitstekende mogelijkheden bieden om de handel en wandel van alle burgers en organisaties in detail te volgen. Het is een ‘hotspot’, die grote interesse van nieuwsgierige overheden en anderen zal krijgen.

Het kan uitgroeien tot een hulpmiddel voor overheidssurveillance, als de uitvoering niet juist plaats vindt.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce, Verwijzingsportaal Bankgegevens en getagged met , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s