Gisteren schreef ik dat terrorismefinanciering niet bestaat zodat onderzoek naar de inkomsten weinig zin heeft. Praktisch betekent dit dat het fenomeen alleen ontdekt kan worden, door persoonsgegevens van vermoedelijke terroristen aan bedrijven te geven, zoals met banken is gebeurd (lees dit artikel). Dat is riskant, omdat er onschuldige burgers tussen kunnen zitten die ten onrechte aandacht van de amateur-opsporingsbeamten van de banken krijgen.

Daarom wekte het artikel dat Marieke de Goede in januari 2021 samen met Maja Dehouck schreef, ‘Public-Private Financial Information-Sharing Partnerships in the Fight Against Terrorism Financing. Mapping the Legal and Ethical Stakes‘, mijn aandacht.

In het artikel ontbreekt focus op het feit dat opsporing van terrorismefinanciering door private partijen (zoals banken) praktisch betekent dat je hen persoonsgegevens van vermoedelijke terroristen geeft. Dat er een democratische en juridische basis moet zijn voor het door de overheid met de banken uitwisselen van gegevens, spreekt voor zich, evenals afleggen van verantwoording (accountability).

Veel interessanter is de vraag welke persoonsgegevens van vermoedelijke terroristen door de overheid aan de banken worden verschaft. Dus: hoe wordt de selectie gemaakt, wat zijn de gevolgen voor betrokkene en hoe worden fouten gecorrigeerd. De door De Goede en Dehouck gestelde vragen inzake privacy en proportionaliteit (pagina 21) zijn valide, waarbij ik aandacht mis voor de vraag of de partijen bij de gegevensuitwisseling (overheid en banken) hun IT technisch en qua cybersecurity wel op orde hebben en of de betrokken medewerkers wel voldoende denkniveau hebben. Anders gezegd: als de IT onbetrouwbaar is kan je niet verwachten dat fouten worden voorkomen.

Voorbeeld is de flater die ING beging bij oudheidkundige Jona Lendering, die een betaling ontving voor “nine photos of several Persia related themes“. De transactiemonitorings-IT legde het verband tussen ‘Persia’ en schurkenstaat Iran. Vervolgens kreeg Lendering van de compliance afdeling van de bank allerlei vragen, zoals: “Wie de onderliggende initiator en de uiteindelijke begunstigde van de gelden“.

Heel goed is de aandacht in het artikel voor vergissingen en misbruik. In de misdaadbestrijding is daar weinig aandacht voor, wat de de affaires inzake de politieregisters ons hebben geleerd. Dat betekent dat er ook rechtsbescherming moet zijn. De auteurs stellen daar de volgende vragen over:

Slotopmerking
Het is goed dat aan dit onderwerp aandacht is besteed en de hoofdlijnen lijken mij juist. De vraag is echter of gegevensuitwisseling met private partijen wel verantwoord kan plaats vinden nu de rechtsbescherming in Nederland in de praktijk onvoldoende is. Zo heeft de Autoriteit Persoonsgegevens onvoldoende capaciteit om tegen inbreuken op te treden en is de rechtsbescherming in de financiële sector slecht geregeld.

Vindplaats:
het artikel is gepubliceerd bij CRAAFT, rechtstreekse link naar het rapport (pdf).

NB In dit artikel beperk ik me tot banken. Er zijn meer private bedrijven die geacht worden terrorismefinanciering op te sporen op grond van de Wwft.