Gisteren schreef ik over het rapport van Tax Justice Network (TJN) met de titel ‘Comparative report on SWIFT data in the EU27‘, waarin wordt aanbevolen van het internationale SWIFT-berichtensysteem een transactiemonitoringsysteem te maken, al heeft men geen idee of het wel zinvol is [1]. Het rapport werd door de EU gefinancierd.

NB Europese regelgeving schrijft al voor dat bepaalde gegevens bij iedere transactie worden gevoegd en is er een wijzigingsvoorstel aanhangig [2].

In het rapport van TJN staan veronderstellingen over feiten en omstandigheden die volgens TJN verdacht zijn, respectievelijk relevant zijn voor misdaadbestrijding, die ik hierna zal bespreken.

Verwerking persoonsgegevens

Verwerkingsdoel persoonsgegevens
Opvallend is dat TJN noemt dat het opnemen in de SWIFT-berichten van de persoonsgegevens van rekeninghouders en ‘uiteindelijk belanghebbenden’ (ubo’s) nodig zou zijn voor het detecteren van de kleine groep personen die op Europese sanctielijsten staan, terwijl die taak ook al bij betaaldienstverleners is belegd.
Doel van de verwerking is verder na te gaan of de persoon anderszins verdacht is, te weten als de betrokkene genoemd wordt als betrokken bij witwassen of financiële misdaad in een strafonderzoek of rechtszaak, of in een bericht van de media. Van ‘betrokkenheid’ is zeer snel sprake (zonder dat de persoon het hoeft te weten). Ook die taak ligt op grond van witwasbestrijdingsregels al bij financiële instellingen.
TJN wil de gegevens van ubo’s gebruiken om het betalingsverkeer van alle entiteiten waarbij ubo’s zijn betrokken te analyseren. Een zeer klein deel van de ubo’s is crimineel, zodat de analyse grotendeels zal gaan over gewone burgers en de entiteiten waarbij ze (soms voor een beperkt economisch belang) betrokken zijn. Met andere woorden: dit is een financieel sleepnet over ubo’s en de entiteiten waarbij ze betrokken zijn, om een kleine groep criminelen te pakken. Het is onbegrijpelijk dat dit nodig is.

Persoonsgegevens betaler en ontvanger
TJN vindt dat bij iedere betalingstransactie de geboortedatum en geboorteplaats van zowel betaler als ontvanger moeten worden gevoegd, wat grote cybersecurityrisico’s voor betrokkenen kan opleveren. Immers, financiële instellingen zijn een belangrijk doelwit van criminelen die bij die instelling persoonsgegevens kunnen oogsten en het oogsten van persoonsgegevens door geheime diensten is evenmin zonder risico.

In de Europese verordening staat overigens als hoofdregel dat er diverse persoonsgegevens moeten worden vermeld, soms ook geboortedatum en -plaats [3].

Persoonsgegevens uiteindelijk belanghebbende
TJN meent dat de personalia van de ‘uiteindelijk belanghebbende’ (ubo) relevant zijn voor iedere betalingstransactie van een entiteit. Opvallend is dat entiteiten met tien of meer ubo’s per definitie crimineel zijn (pagina 39), geen idee waar dat op gebaseerd is nu er de nodige entiteiten zijn met veel ubo’s (zoals trusts en fondsen voor gemene rekening).
Dat de ubo relevant is voor alle transacties is een merkwaardige veronderstelling nu het begrip ‘ubo’ zeer ruim is gedefinieerd en niet alleen mensen met een economisch belang omvat. In 2019 schreef ik twee artikelen (deel 1, deel 2) over de veel te ruime definitie van dat begrip, met onder meer statutair bestuurders die tot ubo worden gebombardeerd als er geen economische ubo is.
Voor de grondrechten van de ubo heeft TJN geen enkele interesse, terwijl het excessief verspreiden van persoonsgegevens enorme risico’s met zich mee brengt. In het rapport is geen onderbouwing te vinden waarom bij betalingen van entiteiten altijd de gegevens van de ubo’s moeten worden mee gestuurd.

Aandachtspunt: datalekken hoeven door financiële instellingen niet gemeld te worden aan betrokkenen
Aandachtspunt in dit verband is dat financiële instellingen geen datalekken aan hun klanten hoeven te melden. Zo werd vorig jaar een flink datalek bij ING Bank bekend (blog) waarover de betrokkenen niet zijn geïnformeerd.
Het is de vraag of het wel wenselijk is als andere persoonsgegevens van natuurlijke personen bij een transactie moeten worden vermeld dan naam en rekeningnummer. Voor geboortedatum en -plaats en adres geldt al dat het niet verstandig is als die gegevens in handen van criminelen of andere figuren of organisaties met slechte bedoelingen komen.

Verdachte omstandigheden

De rapporteurs denken dat het mogelijk is om alle financiële transacties in de hele wereld te voorzien van een risicoscore op basis van de transactiegegevens die in het SWIFT-berichtensysteem zijn opgenomen. Deze door TJN ontworpen risicoscore zou geschikt zijn voor het selecteren van transacties die nader onderzocht moeten worden en zou zorgen voor een beter beeld van de onderliggende risico’s verbonden aan transacties en belanghebbenden (pagina 34 onderaan). Men hoopt predictive policing mogelijk te maken [4].

Voorgesteld wordt dat een nationale entiteit alle financiële transacties zal gaan analyseren (machinevertaling van een passage op pagina 40):

Centraliseren van gegevens over alle transacties in een rechtsgebied via een binnenlandse instelling. Op dit moment worden de gegevens over het financiële SWIFT-berichtenverkeer van alle banken van een land door geen enkele toezichthoudende instelling gecentraliseerd of verzameld. Gezien de dreiging die uitgaat van ernstige financiële criminaliteit, waaronder georganiseerde misdaad, grootschalige corruptie en witwasnetwerken, en de centrale rol die analyses op transactieniveau spelen bij het opsporen van deze misdrijven, moet een nationale instantie, zoals een FIU of een centrale bank, toegang krijgen tot alle transactieberichten voor het voorkomen en onderzoeken van specifieke ernstige misdrijven, teneinde geavanceerde analyses en risicoalertering mogelijk te maken.

Als er volgens de systemen van TJN een verdenking (‘rode vlag’) is, betekent dit overlast voor de  betrokkenen bij de transactie: de transactie kan worden geblokkeerd en betrokkenen kunnen vragen krijgen, bewijs van onschuld moeten leveren en kosten moeten maken.

Geheimhouding is verdacht
TJN laat in het rapport blijken geheimhouding per definitie verdacht te vinden, terwijl er legitieme gegevensbeschermings- en cybersecurity-redenen kunnen zijn om niet alle persoonsgegevens of andere vertrouwelijke gegevens bij iedereen over de schutting te gooien. Zo wordt op pagina 34 gesproken over “Ranking the riskiest transactions and stakeholders by weighted secrecy risk“. Voor TJN is ‘geheimhouding’ een vies woord.

Genoemd worden in de media als ‘betrokken’ bij misdaad
Hoewel de media niet gecontroleerd worden op integriteit en juistheid van hun berichtgeving, wordt er door TJN veel waarde gehecht aan de media-berichtgeving en is een negatief bericht in de media een ‘rode vlag’, een reden voor nader onderzoek naar de transactie, met de nodige overlast voor de rekeninghouder tot gevolg (die vaak bewijs van onschuld moet leveren).

Verdachte financiële instellingen
Onderdeel van de SWIFT-berichten zal volgens TJN moeten zijn welke financiële instellingen bij iedere transactie betrokken zijn, om te kunnen nagaan of sprake is van verdachte instellingen. Van zo’n verdenking is sprake als de instelling op een sanctielijst staat, genoemd wordt in een strafonderzoek of rechtszaak of in een bericht van de media wordt genoemd als betrokken bij witwassen of financiële misdaad. Van ‘betrokkenheid’ kan zeer snel sprake zijn, wat betekent dat instellingen al snel verdacht zijn. Verder is een instelling verdacht als men is gevestigd in een een land op de zwarte lijst van witwaszondaren of in een land met bankgeheim [5].
Welke financiële instellingen op deze manier verdacht zijn, wordt niet bekend gemaakt, zodat rekeninghouders hier niet van weten en niet in de gelegenheid zijn maatregelen te nemen (zoals het sluiten van de rekening en het openen van een rekening elders).

Afwijkende transactiepatronen (pagina 35)
Incidentele grote transacties en transacties met een hoge frequentie en een lage of verdachte waarde (bijvoorbeeld rond de meldingsdrempels) zijn volgens TJN per definitie verdacht. Iedere grote transactie die plaats vindt kort na het openen van een rekening wijst op criminaliteit. Het SWIFT-berichtensysteem biedt de mogelijkheid om alle transacties van alle rekeninghouders permanent te analyseren.
Als je eigen transactiepatroon lijkt op dat wat de overheid in het verleden is tegen gekomen bij criminelen, heb je vette pech.

Verdachte landen van betaler en begunstigde
Ook de betaler en begunstigde kunnen wonen of gevestigd zijn in een verdacht land, door mij ook ‘schurkenstaat’ genoemd. TJN spreekt in dat verband over landen met een hoog niveau van financiële geheimhouding, wat aangeeft dat geheimhouding en voorzichtigheid van hen niet meer is toegestaan, een vreemde opvatting. Mij lijkt relevanter of een land een volwassen rechtssysteem heeft waarin criminelen niet worden gefaciliteerd en waarin de overheid als er aanleiding voor is de gegevens inzake de betrokkenen bij entiteiten kan verkrijgen.
Onder het kopje ‘The country of the ordering and beneficiary customer‘ maakt TJN ook melding van specifieke rechtsvormen en situaties, genoemd worden “account holding legal structures like shell companies, trustees or foundations“, transparantie van bedrijfseigendom en verder vastgoed en vrijhavens (freeports). Bij al deze fenomenen en begrippen is de vraag wat er precies bedoeld wordt en of de hele categorie verdacht is. Voorbeeld: mij lijkt dat de aanwezigheid van stichtingen als rechtsvorm in een land niet betekent dat het land als zodanig verdacht is. Hier worden landenkwalificaties door elkaar gehusseld met iets anders.

Ongezonde gevolgen van het op zwarte lijsten plaatsen
Het aanwijzen van schurkenstaten is een hoogst merkwaardig fenomeen in de misdaadbestrijding, die er toe leidt dat niet meer wordt gekeken naar de betaler en begunstigde maar naar een omstandigheid waar zij geen invloed op hebben (het etiket dat de misdaadbestrijders geven aan het land waarin zij gevestigd zijn dan wel waarin betrokken financiële instellingen gevestigd zijn). Het leidt ook tot criminalisering van landen en verslechtering van het banksysteem in dergelijke landen. Het effect is precies tegenovergesteld aan wat beoogd is.

Rekening in een ander land dan de vestigings- of woonstaat van de rekeninghouder
TJN veronderstelt dat iedereen die een rekening heeft in een ander land dan de woon- of vestigingsstaat verdacht is. Dit fenomeen kwam ik ook al tegen bij de Duitse vastgoedmeldplicht (blog).

Alle transacties van entiteiten met dezelfde ubo’s zijn verdacht
TJN acht het nodig dat alle transacties door entiteiten met dezelfde ubo’s worden geanalyseerd om op die manier criminelen op te sporen (pagina 35).

Tot slot

Het rapport van TJN maakt duidelijk dat Europa afstevent op financiële surveillance. Hopelijk zijn de gegevensbeschermingstoezichthouders en burgerrechtenorganisaties op hun hoede. In ieder geval is Fair Trials bezig met een campagne om predictive policing te verbannen [6].

Noten

[1] In het rapport wordt erkend dat men het niet weet, zie bijvoorbeeld pagina 21 van het rapport, waar men schrijft “The answers indicate that there is still limited to no experience in using bulk transaction data to conduct preventive and reactive money laundering investigations.“.

[2] Het betreft de ‘travel rule’ die Europa in 2015 heeft vastgelegd in verordening (EU) 2015/847, ook wel de EU Wire Transfer Regulation (WTR) genoemd. Sinds juli 2021 is een wijziging van de WTR in behandeling bij de Europese instanties, waarbij ook crypto transacties onder de reikwijdte worden gebracht, zie het concept van de Europese Commissie COM/2021/422 voor de ‘Verordening van het Europees Parlement en de Raad betreffende bij geldovermakingen van geld en van bepaalde cryptoactiva te voegen informatie en tot intrekking van Verordening (EG) nr. 1781/2006 (herschikking)‘. Inmiddels is er een compromisversie van oktober 2022, die deze maand in het Europese parlement is/wordt behandeld. In dit artikel laat ik de gevolgen voor crypto transacties buiten beschouwing.

[3] Volgens het voorstel COM/2021/422 dat in noot [1] wordt genoemd gaat het om de volgende gegevens die de betalingsdienstaanbieder van de betaler toevoegt (artikel 4 leden 1 en 2 voorstel oktober 2022):

a) de naam van de betaler,
b) het betaalrekeningnummer van de begunstigde, en
c) het adres van de betaler, het nummer van zijn officieel persoonlijk document, zijn cliëntenidentificatienummer of plaats en datum van zijn geboorte
d) op voorwaarde dat het benodigde veld bestaat in het formaat voor betalingsberichten, en in de gevallen waarin de betaler deze informatie aan zijn betalingsdienstaanbieder verstrekt, de huidige LEI van de betaler. (…)

a) de naam van de begunstigde, en
b) het betaalrekeningnummer van de begunstigde;
c) op voorwaarde dat het benodigde veld bestaat in het formaat voor betalingsberichten, en in de gevallen waarin de betaler deze informatie aan zijn betalingsdienstaanbieder verstrekt, de huidige LEI van de begunstige.

Binnen de EU mag dit bij betalingen tot 1000 euro worden beperkt tot de namen van betaler en begunstigde en de nummers van hun betaalrekeningen (artikel 5 voorstel oktober 2022). Ook de tussenschakels in het betalingsverkeer (de zgn. ‘intermediaire betalingsdienstaanbieders’, gedefinieerd als “een betalingsdienstaanbieder die niet de betalingsdienstaanbieder van de betaler of van de begunstigde is en die een geldovermaking ontvangt en overmaakt namens de betalingsdienstaanbieder van de betaler of van de begunstigde of namens een andere intermediaire betalingsdienstaanbieder“) heeft verplichtingen, zie artikel 10 en verder van het voorstel van oktober 2022. Dat betekent dat een grote groep betalingsdienstverleners persoonsgegevens opslaat. Uiteraard rusten op de dienstverleners allerlei zorgplichten, ook op het gebied van gegevensbescherming. Maar papier is geduldig als men schrijft in overweging (17):

De aanbieders van cryptoactivadiensten van de initiator en van de begunstigde, de betalingsdienstaanbieders van de betaler en van de begunstigde en de intermediaire betalingsdienstaanbieders moeten daarnaast beschikken over passende technische en organisatorische maatregelen voor de bescherming van persoonsgegevens tegen incidenteel verlies, wijziging, ongeoorloofde verspreiding of toegang.

[4] Over predictive policing schrijft TJN (pagina 10):

The million-dollar question would be how to use financial data not just to trace the money of suspected or accused persons, but to identify red flags regarding unusual transactions before a suspicion about any natural person had even arisen and no natural person was targeted.

Intussen is er internationaal kritiek op de gedachte dat je met IT-systemen criminaliteit kunt voorspellen en opsporen. Zie noot [6].

[5] TJN spreekt op pagina 24 over ‘banking secrecy’, terwijl  het bankgeheim een gezond beginsel is ter bescherming van de rekeninghouder.

[6] Fair Trials riep deze maand op ‘Tell your MEP: Ban predictive policing in the AI Act‘, bekijk deze pagina. Scroll op deze pagina naar beneden naar:

en vul je land in. Je krijgt dan een lijst van europarlementariërs en een concepttekst om aan hen te schrijven.
Op 1 maart 2022 schreef Fair Trials AI Act: EU must ban predictive AI systems in policing and criminal justice. In september 2021 publiceerden zij het rapport ‘Automating Injustice’.