De Nederlandse banken willen toezicht op de burger gaan houden via een organisatie die “Transactie Monitoring Nederland” (TMNL) heet en een grote financiële database zal exploiteren. Via dit digitale knooppunt wil men de handel en wandel van iedere burger en organisatie in de gaten houden door analyse van alle betalingstransacties die in Nederland plaats vinden, dat alles in opdracht van de overheid en onder het mom van criminaliteitsbestrijding. Hoewel het doel van TMNL nobel is, is het zorgwekkend dat de banken hiermee als een soort pseudo-overheid gaan functioneren.

Gelet op de grote risico’s die deze data-analyse met zich mee brengen, is een democratische inbreng gewenst en dient een scherp toezicht plaats te vinden op de inhoudelijke en technische kwaliteit van de activiteiten. Daarom ben ik van mening dat deze activiteit niet bij private ondernemingen thuis hoort maar bij een overheidsinstantie.

Nuttig is om te kijken hoe dit project handen en voeten krijgt. Inmiddels is de website van TMNL life gegaan. De informatie op die site is uiterst summier, zo wordt over de rechtspersoon en governance niets vermeld.

Transactie Monitoring Nederland B.V.
Een bv met de naam Transactie Monitoring Nederland B.V. werd al op 10 juli jl. opgericht, dus het is merkwaardig dat er op de site niets over wordt gezegd. De bv is volgens het handelsregister ingedeeld in de categorie ‘Opsporing’ (SBI-code 8030) en kent één bestuurder, de heer J.V.M. Rijpkema.

De bv heeft als eerste doelstelling transactiemonitoring, aldus artikel 3.1 van de statuten:

De vennootschap verricht transactiemonitoring-activiteiten in het betalingsverkeer met als doel het tegengaan van witwassen en terrorismefinanciering. De vennootschap bewerkstelligt haar doel door:
(a) het sneller, beter en vollediger identificeren van witwassen en financiering van terrorisme, en het bijdragen aan het voorkomen daarvan;
(b) de bruikbaarheid van aangeleverde meldingen van ongebruikelijke transacties door gebruikers aan opsporingsdiensten vergroten, zodat identificatie vaker en sneller kan leiden tot opsporing, vervolging en veroordeling; en
(c) het bijdragen aan het optimaliseren van de inzet tussen private en publieke middelen in de bestrijding van witwassen en financiering van terrorisme.

Daartoe is het niet beperkt, want de bv kan volgens artikel 3.2 ook participeren in andere ondernemingen, kan andere ondernemingen financieren, kan garanties verstrekken, intellectuele eigendomsrechten exploiteren en verhandelen en alle soorten industriële, financiële en commerciële activiteiten verrichten. De doelstelling omvat ook het geven van adviezen geven en verlenen van diensten aan ondernemingen en vennootschappen waarmee TMNL in een groep is verbonden alsmede aan derden.

Dat is een opmerkelijke doelstelling voor een bv die handelt voor het nut van het algemeen. Ik zou de oprichters van TMNL het artikel 3.2 van de statuten in deze vorm hebben afgeraden.

Uit de slotbepaling van de statuten blijkt dat de aandelen bij oprichting zijn verdeeld tussen de Rabobank (30 aandelen), ING Bank (30 aandelen), de Volksbank (7 aandelen) en Triodos Bank (3 aandelen).

Het mag nog niet…
De vraag is of TMNL al kan monitoren op de manier als op de site is beschreven. Kern daarvan is dat transactiegegevens van verschillende banken worden gecombineerd, wat betekent dat persoonsgegevens en organisatiegegevens van de klanten aan TMNL worden verstrekt. Anonimisering of pseudonimisering heeft geen zin, want dan is het combineren niet mogelijk.

Het kan juist zijn dat de banken onderling geen gegevens uitwisselen, maar om het werk te kunnen doen moet TMNL wel alle gegevens hebben (onder meer NAW rekeninghouders en rekeningnummers). Daar is wetswijziging voor nodig, zoals hier wordt vermeld onder het kopje ‘Welke ruimte biedt de wet in Nederland voor TMNL?‘. Het is simpel: wat de banken willen mag niet. De banken verwachten dat de benodigde wetswijzigingen er snel doorkomen, want op deze pagina staat:

Begin september 2020 is TMNL daadwerkelijk gestart met de opbouw van de activiteiten vanuit een kantoorlocatie in Purmerend, uiteraard met inachtname van de RIVM-voorschriften inzake covid-19. Naar verwachting zullen de eerste transactiemonitoringsresultaten in de eerste helft van 2021 aan de oprichtende banken kunnen worden teruggemeld.

Dus kennelijk hebben de banken de Tweede Kamer en Eerste Kamer al ingepakt. Oude tijden lijken te herleven waarin het parlement en kabinet deden wat de banken vroegen.

En als het dan mag…
Als het dan mag is de vraag of het gaat werken. Zal TMNL in staat zijn om ongebruikelijke patronen te herkennen en zal de organisatie dat beter doen dan de individuele banken? Lastig daarbij is dat veel criminele activiteiten net zo gestructureerd zijn als legitieme ondernemingen. De terminologie ‘ongebruikelijk’ veronderstelt dat criminelen het anders doen dan gewone mensen.

Voorbeeld: een drugshandelaar die aan consumenten verkoopt heeft een opslagplaats voor zijn product, heeft koeriers die de producten rondbrengen en ontvangt betalingen, net als de verkoper van pizza’s.

Anders gezegd: als het systeem alleen niet vaak voorkomende patronen of transacties herkent, schiet je daar niet mee op, want niet vaak voorkomende patronen of transacties kunnen volledig legitiem zijn. Het gaat er om patronen en transacties te vinden, die verband houden met criminaliteit.

Een van de problemen waar de compliance-afdelingen van banken nu al mee te maken hebben, is dat de medewerkers te weinig verstand van ondernemingen hebben, onvoldoende weten van fiscaal recht en rechtspersonenrecht en van allerlei andere onderwerpen die van belang zijn voor een goede beoordeling van klanten en transacties. De vraag is of dat met een gezamenlijke monitoring beter wordt. Het is gevaarlijk om te denken dat ‘de nieuwste technologieën’ iets wel kunnen wat mensen eerder niet konden. Het wordt steeds duidelijker dat in nieuwe technologieën vooroordelen en discriminatie zijn ingebouwd.

TMNL schrijft dat zij ongebruikelijke transacties signaleren die zij aan de desbetreffende bank melden, zodat die bank nader onderzoek kan doen. Heeft dat onderzoek wel zin zonder dat de bank beschikt over de gegevens van andere banken, dus zonder context? Als men uitsluitend op basis van de eigen data niet tot het oordeel ongebruikelijk komt maar TMNL geeft feitelijk het signaal af dat er wat mis is, hoe ga je daar als bank mee om? Toch maar melden voor de zekerheid? “Omdat we de transactie hebben teruggekregen“. Ik denk dat het zo zal gaan werken.

Ook interessant: worden de meldingen aan FIU-Nederland beter? De meldende bank kan tenslotte niet de overige informatie (die wel bij TMNL aanwezig is) verschaffen en weet ook niet welke andere banken nuttig informatie hebben.

Of de bruikbaarheid van de meldingen groter wordt (zoals op deze pagina wordt beweerd, “vergroten van de bruikbaarheid van meldingen van ongebruikelijke transacties“) mag worden betwijfeld.

Nieuwe technologieën
De banken hebben aan ethiek gedacht, want ze schrijven:

Ethiek is een belangrijk onderwerp voor de banken in TMNL. Met de data willen we het goede doen, op een goede manier. Daarom is een TMNL Comité Ethiek in oprichting, dat zich zal richten op (operationele) ethische vraagstukken rondom TMNL, zoals de inzet van artificiële intelligentie en machine learning.

Vreemd dat het comité nog in oprichting is: juist bij het ontwerp van de systemen moet al worden gezorgd dat de discriminatie niet wordt ingebouwd.

Aangezien TMNL op grote schaal persoonsgegevens verwerkt, moet de organisatie zich aan de AVG houden, die niet alleen beperkingen oplegt aan het uitwisselen van gegevens tussen de banken onderling. De AVG stelt een groot aantal eisen, onder meer aan geautomatiseerde besluitvorming en profilering. Het lijkt me dat deze organisatie een pittige Privacy Impact Assessment (PIA) moet uitvoeren vóór van start te kunnen gaan. Verder ligt voor de hand dat de organisatie in hoge frequentie IT-audits ondergaat, ik ben benieuwd of er al IT-auditors zijn die deze klus aan kunnen.

Tot slot
TMNL zal een interessante hot spot kunnen worden voor landen en andere derden met belangstelling voor het Nederlandse betalingsverkeer. Niet valt uit te sluiten dat hackers met politieke belangen interessante gegevens uit deze database gaan halen om deze via onderzoeksjournalisten te lekken en daarmee hun politieke doelen van hun sponsors (zoals de bekende Amerikaanse fondsen) na te streven. Er zijn ook vele anderen die hun voordeel met de gegevens kunnen doen.

Voorlopig ben ik niet overtuigd van het nut van TMNL. Dat witwassen en terrorismefinanciering sneller, beter en vollediger kunnen worden geïdentificeerd (zoals ze schrijven) geloof ik niet. De bruikbaarheid van de meldingen zal naar mijn idee ook niet worden vergroot.

Er moet iets heel anders gebeuren: de criminaliteitsbestrijding (‘witwasbestrijding’) moet volledig anders worden aangepakt. De huidige witwasbestrijdingsmaatregelen zijn ongericht en onuitvoerbaar voor witwasbestrijdingsplichtigen zoals banken.  Voor een betere aanpak is veel denkkracht nodig, die op dit moment bij onze nationale overheid lijkt te ontbreken. Ook van Europa en FATF gaat geen inspiratie uit.

Jammer. En triest voor de mensen die schade ondervinden van onzorgvuldig handelende banken en andere witwasbestrijdingsplichtigen.

Aanvulling 2 oktober 2020
In Trouw is er over TMNL geschreven.

#BigBrother van de banken in @Trouw :
TMNL heeft een heilig geloof in algoritmen, over onafhankelijk toezicht wordt niet gerept en ook niet over een #privacy impact assessment #AVG https://t.co/HgcmhFrBLy

— Ellen Timmer (@Ellen_Timmer) September 30, 2020

Aanvulling 18 december 2020
Het slechte Nederlandse voorbeeld wordt in België gevolgd: Belgian banks plot platform to share anti-money laundering data, The Banker.com, 25 november 2020.