Morgen eindigt de internetconsultatie inzake de Wet plan van aanpak witwassen. In het conceptwetsvoorstel wordt voorgesteld om:

• contante betalingen boven EUR 3000 door handelaren te verbieden,
• Wwft-plichtigen te verplichten bij hoog-risico-cliënten gegevens uit te wisselen met eerdere dienstverleners uit dezelfde categorie en
• gelegenheid te bieden voor gezamenlijke transactiemonitoring door Wwft-plichtigen.

Zelf deed ik mee aan de consultatie met onderstaand commentaar, dat ook als pdf kan worden gedownload, hier of via de internetconsultatiesite.

Kern van mijn commentaar:

• De databeschermingsregels inzake de Wwft dienen te worden verbeterd, zie hoofdstuk I.
• Beperking van contante betaling kan beter Europees worden geregeld. Nu kan het leiden tot discriminatie. Zie hoofdstuk II.
• Verplichte algemene gegevensuitwisseling bij ‘hoog-risico’ cliënten is ongewenst. De verplichting is veel te ruim. Alleen specifieke Wwft-plichtigen dienen daartoe in de gelegenheid te worden gesteld, omgeven met waarborgen. Zie hoofdstuk III.
• Het algemeen mogelijk maken van gezamenlijke transactiemonitoring door Wwft-plichtigen is ongewenst. Er dient te worden gestart met een beperkte groep en met sterke waarborgen. Zie hoofdstuk IV.

CONSULTATIEDEELNAME

Aan: Ministerie van Financiën, Ministerie van Justitie en Veiligheid
Van: Ellen Timmer, ellen.timmer@pellicaan.nl,
blog: https://ellentimmer.com/
(verbonden aan Pellicaan Advocaten)
Datum: 13 januari 2020
Onderwerp: consultatie Wet plan van aanpak witwassen, aangekondigd op https://www.internetconsultatie.nl/wetplanvanaanpakwitwassen

Mijne dames en heren,

Hierbij maak ik gebruik van de mogelijkheid om op persoonlijke titel deel te nemen aan deze consultatie. De consultatie betreft het voorstel voor een Wet plan van aanpak witwassen.

Het consultatievoorstel zal hierna ook als ‘het voorstel’ worden aangeduid.

Ik hoop dat u acht zult slaan op deze consultatiereactie.

Met vriendelijke groet,
Ellen Timmer

Inhoud:

I. Databescherming en Wwft
Inleiding
Voorbeeld consument
Surveillance door Wwft-plichtigen
AVG in de Wwft
Bewaartermijn
Naleving AVG-verplichtingen zoals informeren betrokkene
Uitzondering UAVG
Aanbevelingen

II. Verbod op contante betalingen voor beroeps- of bedrijfsmatige handelaren (artikel 1f nieuw)
Aanbeveling

III. Gegevensuitwisseling tussen Wwft-plichtigen bij verscherpt cliëntenonderzoek (artikel 9a nieuw)
Aanbevelingen

IV. Gegevensuitwisseling tussen Wwft-plichtigen (artikel 34b nieuw).
Geen generieke mogelijkheid
Samenwerking
Tekst artikel
Aanbevelingen

Bijlage – Consultatiedocument

I. Databescherming en Wwft

Graag verzoek ik u aandacht te besteden aan deze consultatiebijdrage inzake de internetconsultatie Wet plan van aanpak witwassen [1]. Het voorstel heeft betrekking op belangrijke wijzigingen in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en aanverwante regelgeving.

Inleiding
Het consultatievoorstel heeft belangrijke gevolgen voor databescherming en privacy van de cliënten van ondernemingen die de Wwft moeten naleven (Wwft-plichtigen). De Wwft is van toepassing op een grote groep ondernemingen, zoals banken, accountantskantoren, verzekeringsmaatschappijen, notarissen en garagehouders [2]. Die cliënten van Wwft-plichtigen kunnen natuurlijke personen zijn. Voorts zijn bij cliënten die geen natuurlijke persoon zijn (zoals besloten vennootschappen en stichtingen) allerlei natuurlijke personen betrokken, bijvoorbeeld als statutair bestuurder, vertegenwoordiger, certificaathouder, aandeelhouder en als uiteindelijk belanghebbende van een ander type dan directe of indirecte aandeelhouder/certificaathouder.

In het wetgevend proces is er tot op heden weinig aandacht geweest voor privacy en databescherming rondom de Wwft. Dat onderwerp speelt zowel bij Wwft-plichtigen als bij de overheidsinstanties die op grond van de Wwft gegevens verkrijgen.

Alle Wwft-plichtigen zijn verplicht tot het doen van een uitvoerig cliëntenonderzoek bij het aangaan en de continuering van de relatie met hun cliënten. Voorts zijn zij verplicht tot een permanente monitoring van alle transacties die cliënten tijdens de relatie aangaan. Deze surveillance activiteiten strekken zich uit tot zowel ondernemingen en organisaties als alle consumenten.

Voorbeeld consument
Zo zag ik dat onlangs een consument, een gepensioneerde Nederlander, van zijn bank onder meer de volgende vragen kreeg:

en

Deze consument was een jaar geleden klant geworden bij deze bank, toch vraagt de bank:

Het is hoogst merkwaardig dat een bank vragen stelt over geldverkeer met een notaris, die zelf onder de Wwft valt. Om aan een gepensioneerde consument vragen te stellen over ‘geldstromen’ in de toekomst, is al helemaal vreemd. Als een bank een jaar na het aangaan vragen stelt als hierboven vermeld, geeft de bank daarmee aan het inleidend cliëntenonderzoek niet goed te hebben verricht.

Het cliëntenonderzoek door banken hoort zich te richten op vermoedelijk ongebruikelijke transacties, niet op incidentele financiële gebeurtenissen bij een cliënt, zoals in het geval hierboven.

Door nette burgers lastig te vallen met vragen over transactiemonitoring, zal de banksector zich nog verder van de maatschappij vervreemden.

Surveillance door Wwft-plichtigen
De surveillance-verplichtingen op grond van de Wwft zijn bij het Nederlandse publiek onvoldoende bekend. In de Wwft staat dat Wwft-plichtigen verplicht zijn om alle transacties waarvan deze Wwft-plichtigen kennis nemen te monitoren [3]. Daarnaast dienen deze ondernemingen te monitoren op grond van de sanctieregelgeving, die deels andere definities kent dan de Wwft. De Wwft-plichtigen worden verondersteld te kunnen waarnemen of de transacties verband kunnen houden met witwassen of terrorismefinanciering; als de Wwft-plichtige vermoedt dat dit het geval is, moeten de desbetreffende transacties worden gemeld als ‘ongebruikelijke transacties’ bij FIU-Nederland. Een gering deel van de gemelde ongebruikelijke transacties leidt in de praktijk tot strafvervolging.

Zowel witwassen als terrorismefinanciering zijn zeer ruim gedefinieerde begrippen. Ieder vermogensvoordeel en geldbedrag dat mogelijk afkomstig is van criminele handelen, is witwasvoordeel respectievelijk witwasgeld. Terrorismefinanciering is iedere ontvangst door een mogelijke terrorist, wat betekent dat het zowel legale bronnen (salaris, geldlening) als illegale bronnen (criminele opbrengsten, die derhalve ook onder de definities van witwasssen vallen) omvat.

Persoonsgegevens
De Wwft-verplichtingen brengen voor betrokken ondernemingen met zich mee dat zij vertrouwelijke gegevens moeten verzamelen en analyseren. Tot die gegevens behoren grote hoeveelheden persoonsgegevens, waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Dat brengt onder meer met zich mee dat niet meer persoonsgegevens mogen worden verzameld dan nodig is voor het doel en dat alle Wwft-plichtigen voldoende cybersecurity maatregelen moeten nemen.

De persoonsgegevens betreffen de natuurlijke personen die klanten zijn van de Wwft-plichtigen, zoals consumenten en zzp’ers. Verder verzamelen Wwft-plichtigen persoonsgegevens inzake natuurlijke personen die betrokken zijn bij hun overige klanten (zoals rechtspersonen, personenvennootschappen en andere entiteiten). Dat kunnen (in)directe aandeelhouders zijn, maar ook statutair bestuurders en andere relaties.

Wwft-plichtigen betrokken bij transacties
De bekendste groep Wwft-plichtigen is die van de banken. Doordat een groot deel van het betalingsverkeer via banken verloopt, beschikken zij over een schat aan gegevens. Banken handelen door de ruime definitie van witwassen en terrorismefinanciering zeer snel in strijd met de wet, aangezien zij zelf bij transacties betrokken zijn. Datzelfde geldt voor notarissen, die het betalingsverkeer bij onder andere aandelentransacties en vastgoedtransacties verzorgen. Andere Wwft-plichtigen doen niet zelf transacties, maar zijn zijdelings bij transacties betrokken (zoals de advocaat [4] die een overname van aandelen begeleid) en de ondernemingen die zijn betrokken bij de administraties waarin transacties voorkomen (zoals administratiekantoren en accountants).

AVG in de Wwft
Hierna worden een aantal AVG-aandachtspunten besproken.

Bewaartermijn
In paragraaf 5.2 van de Wwft is een summiere tekst over gegevensbescherming opgenomen, waarin is opgenomen dat persoonsgegevens, verzameld op grond van de Wwft, door Wwft-plichtigen alleen worden verwerkt met het oog op het voorkomen van witwassen en financieren van terrorisme en niet verder worden verwerkt voor commerciële doeleinden of andere doeleinden die niet verenigbaar zijn met dat doel (artikel 34a lid 1 Wwft). Artikel 34a lid 3 van de Wwft bepaalt dat de Wwft-plichtige na afloop van de wettelijke bewaartermijn op grond van de Wwft [5] de persoonsgegevens vernietigd. Daar zit een belangrijk probleem in: bij Wwft-plichtigen met langdurige klantrelaties, zoals banken, eindigt de bewaartermijn nooit.

Naleving AVG-verplichtingen zoals informeren betrokkene
In artikel 34a lid 2 Wwft is opgenomen dat de Wwft-plichtige informatie aan de cliënt (de zakelijke relatie) verstrekt over de verwerking van persoonsgegevens op grond van de Wwft. Die cliënt zal in veel gevallen niet de betrokkene zijn (de persoon wiens persoonsgegevens het betreft in de zin van de AVG). Deze bepaling laat onverlet dat de Wwft-plichtige op grond van de AVG alle betrokkenen moet informeren over de verwerking van persoonsgegevens. Dit onderwerp ontbreekt in de voorlichting die onder andere het Ministerie van Financiën en DNB aan de Wwft-plichtigen verschaffen. Ons is bekend dat Wwft-plichtigen de betrokkenen niet of niet adequaat informeren over de verwerking van persoonsgegevens.

Onveilige digitale communicatie
Bij communicatie met cliënten met het oog op het Wwft-cliëntenonderzoek door Wwft-plichtigen worden persoonsgegevens en andere vertrouwelijke gegevens uitgewisseld. Ons is bekend dat die uitwisseling veelal per e-mail plaats vindt terwijl van algemene bekendheid is dat e-mail een volstrekt onveilige communicatievorm is, die ruime mogelijkheden biedt voor ongewenste personen om gegevens te onderscheppen. Hoewel dit bekend is, weten wij dat de meeste banken geen beveiligd communicatiekanaal aanbieden. Ook notarissen – die onderling beveiligd communiceren – sturen concepten van notariële akten met daarin gegevens inzake het identiteitsbewijs en andere persoonsgegevens per e-mail aan hun contactpersonen. Dit is een ongewenst en gevaarlijke situatie voor betrokkenen.

AVG-toezicht
Nu Wwft-plichtigen op grond van de Wwft zeer veel en gevoelige persoonlijke informatie over cliënten-natuurlijke personen en bij de overige cliënten betrokken natuurlijke personen verzamelen, dient streng AVG-toezicht op de Wwft-plichtigen plaats te vinden. Voor zover ons bekend is dat momenteel niet het geval.

Uitzondering UAVG
Ik acht het hoogst ongewenst dat in artikel 42 Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), een uitzondering op de verplichting op grond van de AVG om datalekken te melden aan Autoriteit Persoonsgegevens is opgenomen voor alle financiële ondernemingen, te weten:

* de afwikkelonderneming;
* de bank;
* de beheerder van een beleggingsinstelling;
* de beheerder van een icbe;
* de beleggingsinstelling;
* de beleggingsonderneming;
* de betaaldienstverlener;
* de bewaarder;
* en clearinginstelling;
* en entiteit voor risico-acceptatie;
* de financiëledienstverlener –> degene die een ander financieel product dan een financieel instrument aanbiedt, die adviseert over een ander financieel product dan een financieel instrument of die bemiddelt, herverzekeringsbemiddelt, optreedt als gevolmachtigd agent of optreedt als ondergevolmachtigde agent;
* de financiële instelling –> degene die, geen bank zijnde, in hoofdzaak zijn bedrijf maakt van het verrichten van een of meer van de werkzaamheden, bedoeld onder 2 tot en met 12 en 15 in bijlage I bij de richtlijn kapitaalvereisten, of van het verwerven of houden van deelnemingen;
* de icbe;
* de kredietunie;
* de pensioenbewaarder;
* de premiepensioeninstelling;
* de verzekeraar; of
* de wisselinstelling.

Ik ben van mening dat deze ruime groep ondernemingen ten onrechte is uitgezonderd.

Aanbevelingen

* Voeg in artikel 32 lid 3 Wwft toe dat indien de zakelijke relatie langer dan tien jaar heeft geduurd, de gegevens die ouder zijn dan tien jaar worden verwijderd.

* Voeg in de Wwft een bepaling toe dat de Wwft-plichtige uitsluitend via beveiligde kanalen met cliënten en betrokkenen gegevens uitwisselt inzake het Wwft-cliëntenonderzoek.

* Draag aan de Wwft-toezichthouders op om de Wwft-plichtigen uitvoerig te informeren over hun AVG-verplichtingen.

* Breng wijziging in artikel 42 Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), waarin een uitzondering op de verplichting op grond van de AVG om datalekken te melden aan Autoriteit Persoonsgegevens is opgenomen.

* Draag er zorg voor dat de Autoriteit Persoonsgegevens extra personeel in dienst kan nemen zodat deze autoriteit adequaat toezicht kan houden op de Wwft-plichtigen.

II. Verbod op contante betalingen voor beroeps- of bedrijfsmatige handelaren (artikel 1f nieuw)

In artikel 1f wordt voorgesteld te verbieden dat natuurlijke personen, rechtspersonen of vennootschappen, die beroeps- of bedrijfsmatig handelen als koper of verkoper van goederen, betaling van goederen in contanten voor een bedrag van € 3.000 of meer verrichten of accepteren, ongeacht of de transactie plaatsvindt in een handeling of door middel van meer handelingen waartussen een verband bestaat.

Hoewel ik begrijp dat contanten een grote rol spelen bij criminaliteit, vraag ik me af of het voorgestelde artikel 1f nieuw wel voldoende rekening houdt met het feit dat mensen uit andere EU-landen niet over zulke geavanceerde betalingsmogelijkheden beschikken als de inwoners van Nederland. Het beperken van de mogelijkheid om contant te betalen kan discriminatie van burgers uit andere EU-landen tot gevolg hebben, wat in strijd met de Europese regelgeving is.

Aanbeveling

* Zie af van artikel 1f nieuw en dring in Europa aan op Europese regelgeving, die rekening houdt met de verschillen tussen EU-landen in de betalingsmogelijkheden.

III. Gegevensuitwisseling tussen Wwft-plichtigen bij verscherpt cliëntenonderzoek (artikel 9a nieuw)

Voorgesteld wordt om alle Wwft-plichtigen te verplichten om bij verscherpt cliëntenonderzoek na te gaan of een andere Wwft-plichtige van dezelfde categorie diensten verleent, heeft verleend of heeft geweigerd aan de cliënt en om gegevens inzake die cliënt met andere Wwft-plichtigen uit te wisselen (artikel 9a nieuw) (‘terugzoekplicht’). Dit voorstel acht ik ongewenst, aangezien het kan leiden tot onnodige en riskante verspreiding van persoonsgegevens en andere vertrouwelijke gegevens.

Daarbij vestig ik er de aandacht op dat het verscherpt cliëntenonderzoek ook plaats vindt bij nette burgers, zoals bij ‘politiek prominente personen’ (‘PEP’s’) [6], die door de wetgever tot ‘hoog risico’ zijn bestempeld, terwijl de meesten van hen nette burgers zijn, bijvoorbeeld leden van het bestuur van een politieke partij en ambassadeurs.

Bovendien bevat de voorgestelde tekst voor de terugzoekplicht geen tijdsbepaling. Dat betekent dat een Wwft-plichtige vragen zou moeten stellen over gelijksoortige ondernemingen waarmee een cliënt tien jaar geleden zaken deed.

Wwft-plichtigen vormen een rijk geschakeerde groep van ondernemingen, groot en klein en met verschillende vormen van toezicht, soms beperkt tot alleen Wwft-toezicht. Een opsomming is bij FIU-Nederland te vinden [7]. Wij zijn van mening dat een dergelijke uitwisseling van gegevens slechts behoort plaats te vinden tussen gereguleerde ondernemingen, van een type waarvoor de gegevensuitwisseling relevant is.

Verder vindt ik het niet verstandig dat Wwft-plichtigen zelf moeten bedenken wat “gebleken integriteitrisico’s” zijn (artikel 9a nieuw lid 2). Daar kan veel mee mis gaan en dat gebeurt ook. Regelmatig worden mensen op zwarte lijsten geplaatst, zonder deugdelijke onderbouwing, bijvoorbeeld in de Extern Verwijzingsregister (EVR) en/of het Intern Verwijzingsregister (IVR) van banken en verzekeringsmaatschappijen. Dat is in strijd met de toepasselijke regelgeving, zoals AVG, de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen.

Lees over dit onderwerp het artikel “Op de zwarte lijst van banken: in de financiële gevangenis” [8], dat in oktober 2019 in NRC verscheen.

Het is hoog tijd dat de rechtsbescherming rondom de categorisering door Wwft-plichtigen van hun cliënten en de bij de cliënten betrokken natuurlijke personen sterk wordt verbeterd.

Aanbevelingen

* Verplicht de Wwft-plichtige die de terugzoekplicht wenst te toe te passen de (toekomstige) cliënt te informeren over het feit dat hij als hoog-risico wordt aangemerkt en zorg voor passende rechtsbescherming voor de cliënten, zodat de (toekomstige) cliënten de risicocategorisering kunnen aanvechten bij een onafhankelijke rechterlijke instantie.

* Beperk de terugzoekplicht tot bij algemene maatregel van bestuur aangewezen groepen Wwft-plichtigen die een adequaat integriteits- en AVG-toezicht kennen. Als test zou kunnen worden gekeken hoe een en ander bij banken werkt.

* Beperk de terugzoekplicht tot bij algemene maatregel van bestuur aangewezen groepen cliënten, waarbij het is aan te bevelen in Nederland wonende PEP’s integraal uit te zonderen.

* Beperk de terugzoekplicht in tijd, bijvoorbeeld tot vijf jaar voorafgaand aan het eerste contact met de hoog risico cliënt.

* Voer strenge monitoring uit op de wijze waarop Wwft-plichtigen uitvoering aan de terugzoekplicht geven (met name naleving AVG, inclusief cybersecurity en PIA).

* Verbeter de regelgeving rondom zwarte lijsten, inclusief rechtsbescherming en verbetering van het toezicht door de Autoriteit Persoonsgegevens.

IV. Gegevensuitwisseling tussen Wwft-plichtigen (artikel 34b nieuw).

Een generieke mogelijkheid voor alle Wwft-plichtigen om transacties te “delen”, zoals in het nieuwe artikel 34b voorgesteld, acht ik zeer ongewenst. Net als bij artikel 9a nieuw vermeld kan een dergelijke ongeclausuleerde gegevensuitwisseling leiden tot onnodige en riskante verspreiding van persoonsgegevens en andere vertrouwelijke gegevens.

Geen generieke mogelijkheid
Ook hier is van belang dat Wwft-plichtigen een rijk geschakeerde groep van ondernemingen vormen, groot en klein en met verschillende vormen van toezicht, soms beperkt tot alleen Wwft-toezicht. Wwft-plichtige ondernemingen hebben geen deskundigheid op het gebied van opsporing van strafbare feiten, zodat voorzichtigheid is geboden met betrekking tot de uitwisseling van vertrouwelijke gegevens.

Mijn mening is dat een dergelijke uitwisseling van gegevens slechts behoort plaats te vinden tussen ondernemingen waarop een passend juridisch kader van toepassing is, te verwachten is dat de gegevensuitwisseling van belang kan zijn voor de opsporing, waarbij er goede rechtsbescherming is voor cliënten en betrokken natuurlijke personen en strak toezicht.

In dat verband attendeer ik u er op dat bij veel ondernemingen cybersecurity en zorgvuldige omgang met persoonsgegevens op onvoldoende niveau plaats vindt. Het is niet genoeg om in de Wwft te bepalen (zoals in artikel 34b lid 3 gebeurt) dat de AVG-norm moet worden nageleefd [9]; er is toezicht op de naleving nodig nu het bij de verwerking van gegevens van het Wwft-cliëntenonderzoek gaat om grote hoeveelheden vertrouwelijke gegevens en andere persoonsgegevens.

Als het uitwisselen van gegevens, als bedoeld in artikel 34b leden 1 en 2, nut zou opleveren, ben ik van mening dat dit uitsluitend moet gebeuren door bepaalde typen Wwft-plichtigen, aangewezen in een algemene maatregel van bestuur, onder streng toezicht van een competente toezichthouder en de Autoriteit Persoonsgegevens. Te denken valt om te starten met de banken, nu op banken de Wet op het financieel toezicht van toepassing is en de witwasbestrijdingsregels van oorsprong voor hen zijn ontwikkeld.

Samenwerking
Uiteraard is het belang van belang dat ondernemingen meewerken aan de bestrijding van criminaliteit. Mijn indruk is dat de Minister van Financiën veel te optimistisch is over de mogelijkheden van Wwft-plichtigen, zoals banken, om die criminaliteit in hun poortwachtersrol op te sporen (te monitoren en ongebruikelijke transacties te melden), bijvoorbeeld waar staat “Zij zijn daarmee bij uitstek in staat om te beoordelen wanneer een transactie niet past binnen het profiel van een klant en om die reden als ongebruikelijk moet worden aangemerkt”. Dat de banken de afgelopen jaren gefaald hebben (althans in de ogen van de ministeries), geeft aanleiding te vermoeden dat de regelgeving niet uitvoerbaar is.

De vraag is of die regelgeving wel uitvoerbaar zal zijn als Wwft-plichtigen kennis en capaciteit bundelen, zoals in paragraaf 2.2 aanhef van de toelichting staat. Dat valt te betwijfelen. Bovendien spreekt de toelichting in paragraaf 2.2. over bundeling van transactiemonitoring,

Daarnaast bestaat er een wettelijke belemmering voor effectieve samenwerking bij de transactiemonitoring. Hierin wordt met dit wetsvoorstel voorzien. Het betreft allereerst de verplichting om geconstateerde integriteitrisico’s bij cliënten waarbij een hoog risico op witwassen of financieren van terrorisme bestaat, tussen Wwft-instellingen te delen. Daarnaast betreft het de mogelijkheid om transactiemonitoring uit te besteden aan een derde partij en om transacties te kunnen delen tussen Wwft-instellingen.

Dat de gegevens zullen worden uitgewisseld met het oog op transactiemonitoring, vind ik niet terug in het voorgestelde artikel 34b. Daar staat slechts dat gegevens mogen worden uitgewisseld om ongebruikelijke transacties te kunnen melden. Ook het nieuwe artikel 9a heeft hier niet op betrekking, want dit gaat alleen over gegevensuitwisseling bij hoog-risico-cliënten.

Toestemming als bedoeld in de AVG
Uit paragraaf 2.2.1 van de toelichting blijkt dat de opstellers veronderstellen dat persoonsgegevens mogen worden verwerkt en uitgewisseld op grond van toestemming van de cliënt, waarbij kennelijk de veronderstelling is dat de cliënten alleen natuurlijke personen zijn:

De privacywetgeving staat toe, en de Wwft staat er niet aan in de weg, dat banken of andere Wwft-instellingen op basis van toestemming van de cliënt de informatie van het cliëntendossier uitwisselen met andere Wwft-instellingen. Omdat deze informatie-uitwisseling geschiedt op basis van toestemming van de cliënt, kan deze informatie-uitwisseling niet plaatsvinden als de cliënt niet meewerkt. Om te voorkomen dat diensten worden verleend aan een cliënt waarvan eerder is overwogen dat daaraan onbeheersbare integriteitrisico’s zijn verbonden, is het noodzakelijk dat de informatie over de integriteitrisico’s die een cliënt met zich brengt, wordt uitgewisseld.

Deze passage is onjuist, omdat veel cliënten geen natuurlijke persoon zijn en de cliënt die geen natuurlijke persoon is, geen toestemming voor derden (nl. bij de rechtspersoon of andere entiteit betrokken natuurlijke personen) kan geven.

Voorbeeld: een bank heeft een besloten vennootschap (bv) als klant. Dat betekent dat de bv de cliënt is van de bank. Bij de bv zijn natuurlijke personen betrokken, bijvoorbeeld de statutair directeuren, gevolmachtigden en de aandeelhouders. Deze natuurlijke personen zijn ‘betrokkenen’ in de zin van de AVG. De bank is verplicht ten opzichte van hen de AVG na te leven, wat onder meer betekent dat de bank deze betrokkenen dient te infomeren over de gegevensverwerkering (inclusief de risicocategorie waarin zij zijn ingedeeld), hen gelegenheid voor correctie dient te bieden en zorgvuldig dient te handelen bij het plaatsen van een betrokkene op een zwarte lijst of in een hoge risicocategorie.

Geen transactiemonitoring
In paragraaf 2.2.2 van de toelichting lijkt artikel 34b onder het kopje “Uitbesteding van transactiemonitoring en uitwisselen van transactiegegevens” te worden besproken. Echter, zoals al eerder opgemerkt: dit volgt niet uit de tekst van artikel 34b, eerste en tweede lid. Daarin wordt gesproken over het ‘delen’ van transacties, ‘Voor zover noodzakelijk om te kunnen voldoen aan het melden van ongebruikelijke transacties’, wat uitsluitend betrekking heeft op voorgenomen melding van ongebruikelijke transacties en niet op transactiemonitoring in het algemeen.

In dezelfde paragraaf van de toelichting komt aan de orde dat er Wwft-plichtigen zijn die samen transacties willen monitoren en worden de banken genoemd. Ik begrijp niet waarom in het consultatievoorstel wordt voorgesteld om alle Wwft-plichtigen in staat te stellen transacties gezamenlijk te gaan monitoren, terwijl het alleen om de banken gaat.

Technisch optimisme | indicatoren en alerts
Uit de toelichting blijkt een groot optimisme over de mogelijkheden van de techniek, er wordt gesproken over verbetering van de ‘indicatoren’ en het instellen van ‘uniforme alerts’. In dat verband wordt gesproken over medische kosten, contributie van een vakbond en betaling van boetes [10], waarbij mij ontgaat welke betekenis dergelijke kosten hebben voor het opsporen van criminaliteit. Is het betalen van vakbondscontributie een indicator voor witwassen?

Ik maak mij grote zorgen over de manier waarop Wwft-plichtigen gezamenlijk hun cliënten gaan profileren en ben van mening dat het hoogst riskant is als private partijen een dergelijk systeem opzetten. Een generieke mogelijkheid om gegevens uit te wisselen is ongewenst; een specifieke uitwisseling zal onder strenge waarborgen moeten worden getest.

Andere mogelijkheden
In de toelichting mis ik behandeling van alternatieven voor gezamenlijke transactiemonitoring door banken. Verder is de vraag waarom niet wordt gekeken naar samenwerking tussen verschillende soorten Wwft-plichtigen die veel transacties doen, zoals bijvoorbeeld samenwerking tussen banken en het notariaat.
Recent heeft de Autoriteit Persoonsgegevens advies uitgebracht inzake kredietregistratie [11]. De bevindingen uit dit rapport kunnen ook relevant zijn voor de samenwerking tussen Wwft-plichtigen inzake het cliëntenonderzoek.

Tekst artikel
Dan volgt nog een bespreking van de onderdelen van artikel 34b.

Lid 1
In lid 1 is sprake van het delen transacties “om te kunnen voldoen aan het melden van ongebruikelijke transacties”. Ik zie niet in waarom transacties gedeeld zouden moeten worden, om te kunnen voldoen aan het melden van ongebruikelijke transacties. Transacties kunnen altijd ‘ongedeeld’ worden gemeld. Voorts biedt dit lid – zoals eerder al gemeld – geen grondslag voor het het gezamenlijk monitoren van transacties.
Het uitwisselen van persoonsgegevens mag uitsluitend plaats vinden op grond van een wettelijke grondslag en als wordt voldaan aan de door de AVG vereiste proportionaliteitstoets. Ik meen dat in de huidige tekst niet aan de laatste toets wordt voldaan.

Lid 2
Kenmerk van het melden van ongebruikelijke transacties op grond van de Wwft, is dat daarbij allerlei soorten persoonsgegevens betrokken kunnen zijn, die uiteraard ook strafrechtelijk kunnen zijn. Ik begrijp echter niet hoe die persoonsgegevens “onderdeel (kunnen) uitmaken van die transacties”, zoals in lid 2 van artikel 34b is vermeld. Ik begrijp al helemaal niet waarom al die persoonsgegevens in verband met het melden van ongebruikelijke transacties tussen Wwft-plichtige ondernemingen zouden moeten worden uitgewisseld.

Leden 3 en 4
Deze leden hebben betrekking op het algemene databeschermingskader. Zoals in onderdeel I. al is opgemerkt, is een vernieuwings- en verbeteringsslag gewenst, om te voorkomen dat burgers risico’s lopen in verband met het cliëntenonderzoek dat naar hen dan wel naar entiteiten waarbij zij betrokken zijn plaats vindt.

Aanbevelingen

1. Schrap artikel 34b compleet.

2. Test gezamenlijke transactiemonitoring en/of cliëntenonderzoek eerst bij specifieke Wwft-plichtigen, bijvoorbeeld banken en notarissen, en breng daarvoor specifieke regelgeving tot stand (Wet op het financieel toezicht, Wet op het notarisambt, of een wet die losstaat van de Wwft). Creer alsdan een passend wettelijk regime, met onafhankelijke controle (met voldoende capaciteit) op de gezamenlijke entiteit, inclusief een goed systeem van rechtsbescherming voor cliënten en (AVG-)betrokkenen, die ook plaatsing op zwarte lijsten en indeling in risicocategorieen omvat. Creer laagdrempelige rechtsbescherming voor cliënten en betrokkenen.

Toets of de gezamenlijke transactiemonitoring en/of cliëntenonderzoek daadwerkelijk tot verbeterde criminaliteitsbestrijding leidt en neem daarbij de kosten mee. Bezie of er alternatieven zijn die minder geld kosten en meer opleveren.

Bijlage – Consultatiedocument

• Concept regeling
• Concept toelichting

Noten

[1] https://www.internetconsultatie.nl/wetplanvanaanpakwitwassen
[2] Zie voor een overzicht van de huidige Wwft-plichtigen https://www.fiu-nederland.nl/nl/Meldergroepen.
[3] Artikel 3 lid 2, sub d. Wwft: “een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen, teneinde te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel, met zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden”.
[4] Advocaten en andere juridische beroepsbeoefenaren zijn alleen Wwft-plichtig met betrekking tot specifieke diensten.
[5] Artikel 33, derde lid en artikel 34 Wwft.
[6] Zie https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2019/09/18/politiek-prominente-personen/pep-in-nederland.pdf.
[7] https://www.fiu-nederland.nl/nl/Meldergroepen
[8] https://www.nrc.nl/nieuws/2019/10/18/op-de-zwarte-lijst-van-banken-in-de-financiele-gevangenis-a3977315
[9] In lid 3 staat “Bij het delen van transacties dragen instellingen zorg voor passende waarborgen dat deze gegevens niet voor een ander doel worden gebruikt en zorgen zij dat de verwerking van de gegevens direct wordt beëindigd indien deze niet langer noodzakelijk is”.
[10] Paragraaf 2.2.2.
[11] Aankondiging: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-bepleit-wettelijke-waarborgen-voor-kredietregistratie, advies: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/advies_kredietregistratie.pdf.