Klacht van stichting over ubo-onderzoek door bank | Wwft

Geplaatst op 13 februari 2022 door Ellen Timmer

Uit beantwoording door de minister van Financiën van een brief van een stichting over het cliëntenonderzoek op grond van de Wwft door een bank, kan worden opgemaakt waar not-for-profit organisaties tegen aan lopen.

Een stichting (Stichting Kwaliteitsteam Buytenpark) beklaagde zich bij de vaste commissie van Financiën van de Tweede Kamer over de handelswijze van haar bank (Triodos). De stichting liet weten dat zij:

vindt dat de maatregelen die haar bank Triodos neemt ter uitvoering van de Wet ter voorkoming van witwassen en het financieren van terrorisme (Wwft), onredelijk zijn en niet overeenkomstig regelgeving.
De stichting geeft aan dat Triodos van de stichting verlangt om alle afzonderlijke burgerservicenummers te verstrekken van haar bestuurders, alsmede duidelijke kopieën van persoonlijke identiteitsbewijzen, waarbij het verboden is de foto op dat identiteitsbewijs onherkenbaar te maken. Dit dient per e-mail en persoonlijk verzonden te worden via een eigen e-mailadres. Tevens dient ter verificatie een betaling van € 0,01 gedaan te worden vanaf een op eigen naam gestelde particuliere rekening door de eigenaar van die rekening.

Hoewel het uit voorgaande passage niet blijkt, lijkt het er op dat de bank het voorgaande heeft gevraagd in het kader naar het onderzoek van de uiteindelijk belanghebbende (ubo) van de stichting, waarbij vaak wordt uitgekomen bij de statutair bestuurders, die ook wel als pseudo-ubo’s worden aangeduid en die natuurlijk al lang als statutair bestuurders bekend zijn bij het handelsregister. Die bestuurders zijn door de witwasbestrijdingswetgeving tot ‘uiteindelijk belanghebbende’ (‘ubo’) gebombardeerd als er geen ‘echte’ ubo (bijvoorbeeld iemand met eigendomsbelang) is.

Geduldig spreekt de minister van Financiën naar aanleiding van de brief van de stichting het witwasbestrijdingsmantra uit. De minister herhaalt op welke manier de ubo van een stichting wordt bepaald [1], zonder uit te leggen waar het goed voor is dat statutair bestuurders van rechtspersonen tot ubo worden bestempeld.

Vervolgens legt de minister uit dat de Wwft-plichtige, hier de bank, zelf onderzoek naar de ubo’s van een stichting moet instellen, waarbij de minister opmerkt dat stichtingen een ondoorzichtige eigendomsstructuur zouden hebben (hetgeen juridische lariekoek is) en een verhoogd risico op witwassen of terrorismefinanciering zouden vormen (ook niet juist) [2]. Dan volgt:

Dit kan er in de praktijk toe leiden dat instellingen grondige procedures hanteren om te verzekeren dat een stichting niet wordt misbruikt voor illegale doeleinden.

terwijl ik aan de hiervoor in de eerste citaat beschreven procedure niets grondigs kan ontdekken.

Onveilige e-mail
Nog erger: de bank vraagt aan de bestuurders van de stichting via zeer onveilige weg (e-mail) een kopie van een identiteitsbewijs op te sturen, waarop de foto niet mag zijn weg gelakt [3]. Het staat niet in het citaat maar waarschijnlijk mag op en in de kopie ook geen tekst worden aangebracht waaruit blijkt wat het doel van de kopie is.

Verificatie van de ubo
Banken hebben geen wettelijk recht om een kopie van het identiteitsbewijs van de ubo te eisen, in de Wwft staat dat zij redelijke maatregelen moeten nemen om de identiteit van de ubo te verifiëren. In het geval van statutair bestuurders kan de bank het ubo-zijn en de identiteit al vaststellen door middel van een gewoon uittreksel uit het handelsregister. Een kopie van het identiteitsbewijs is in het kader van de Wwft helemaal niet nodig.

De regels inzake de verificatie van de identiteit van de ubo zijn anders dan die inzake de verificatie van de identiteit van de cliënt en diens vertegenwoordiger. Bij laatstgenoemden moet het originele identiteitsbewijs worden ingezien en de essentiële gegevens genoteerd en mag de bank een kopie opslaan.

De bank mag niet om het burgerservicenummer (bsn) van de ubo vragen omdat een wettelijke grondslag in de Wwft ontbreekt.

De door de stichting beschreven procedure (kopieën van de identiteitsbewijzen met foto, vanaf het eigen e-mail adres en betaling van 1 eurocent vanaf de eigen rekening) is een door de bank zelf verzonnen procedure, die in het geval van statutair bestuurders die ubo zijn nergens op slaat. Verder zie ik niet in welke zekerheid een e-mail adres en een foto bieden.

Banken hebben vaak geen beveiligd kanaal voor uitwisseling vertrouwelijke gegevens
Dit voorbeeld geeft aan dat banken digitaal nog in de vorige eeuw leven. Als er vertrouwelijke gegevens moeten worden uitgewisseld dient dat hetzij via een volwassen en veilige app te gebeuren (bij sommige banken kan dat), dan wel via een beveiligde portal. Mij is bekend dat veel banken dat soort portal niet aanbieden en verwachten dat vertrouwelijke gegevens per e-mail worden verzonden, wat riskant is.

Tot slot
De stichting heeft de relatie met de bank beëindigd, zo blijkt uit de brief van de minister, die uitspreekt dat het signaal serieus wordt genomen.
Het signaal en de berichtgeving over de moeite voor vrijwilligersorganisaties om bankrekeningen te openen, wordt serieus genomen en zal worden betrokken in de gesprekken met De Nederlandsche Bank en de Nederlandse Vereniging van Banken over de mogelijk onbedoelde gevolgen van de Wwft, aldus de minister.

Het zou goed zijn als de Autoriteit Persoonsgegevens de manier waarop Wwft-plichtige instellingen omgaan met het cliëntenonderzoek eens zou gaan onderzoeken, waarbij met name financiële instellingen extra aandacht verdienen.

 

Noten

[1] Aldus:

Een UBO is elke natuurlijk persoon die de uiteindelijke eigenaar is of zeggenschap heeft over de cliënt of de natuurlijk persoon voor wiens rekening een transactie of activiteit wordt verricht. In het geval van een stichting is de UBO, indien er geen sprake is van een eigenaar via meer dan 25% van het eigendomsbelang of stemrecht, het statutair bestuur.

[2] De minister verwijst naar de National Risk Assessment witwassen als bron. In die NRA wordt echter niet uitgelegd waarop gebaseerd is dat de eigendomsstructuur van stichtingen ondoorzichtiger zou zijn dan van besloten vennootschappen, naamloze vennootschappen, coöperaties en andere rechtsvormen.

[3] Uit de tekst van de brief blijkt dat de bank alleen aan de eigen zekerheid denkt,

Omdat Triodos geen beschikking heeft over lokale bankkantoren waar men zich in persoon kan identificeren, dient de verificatie geheel online plaats te vinden. Het verstrekken van de afschriften van de bestuurders via één emailadres en zonder additionele verificatie is volgens Triodos onvoldoende betrouwbaar en levert bovendien privacyrisico’s op.

Kennelijk wordt hier bedoeld dat de bank onvoldoende zekerheid heeft. Dat de bestuurders cybersecurity risico’s lopen lijkt de bank niet te deren.

Over Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Not-for-profit, Stichting en vereniging en getagged met , , , , , , , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

Gravatar
WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Annuleren

Verbinden met %s