Een van de opvallende kenmerken van de privatisering van de criminaliteitsbestrijding naar bedrijven (‘witwasbestrijding’) en de sanctieregelgeving is dat bedrijven er door de overheid toe bewogen worden enorme hoeveelheden persoonsgegevens van en in verband met hun klanten te verzamelen. Die bedrijven zijn op zoek zijn naar de criminele speld in de hooiberg, wat grote gegevensbeschermingsrisico’s voor nette mensen oplevert.
Bij financiële instellingen (FI’s), zoals banken en verzekeraars, zijn de risico’s voor mensen nog groter omdat zij datalekken niet aan betrokkenen hoeven te melden (artikel).
Zeer zorgelijk is dat De Nederlandsche Bank (DNB) financiële instellingen er in de Leidraad Wwft en Sw [1] toe aanmoedigt om zich niet te houden aan de verplichting tot dataminimalisatie in de AVG, zoals hierna wordt toegelicht.
Leidraad DNB
In die leidraad worden twee verschillende juridische regimes besproken die leiden tot het verzamelen van persoonsgegevens door onder meer financiële instellingen:
- Wwft (Nederlandse wet): een groot aantal bedrijven is verplicht om criminaliteit op te sporen en ‘ongebruikelijke transacties’ [2] te melden op grond van anti-witwaswet Wwft [3], hierna ook ‘Wwft-plichtigen’. Onder meer banken, notarissen en accountants hebben een dergelijke overheidstaak. Bij deze overheidstaak hoort een uitvoerig klantenonderzoek dat ook onderzoek naar de ‘uiteindelijk belanghebbenden’ (ubo’s) van rechtspersonen omvat.
- Sanctieregelgeving: de sanctieregelgeving, gebaseerd op rechtstreeks werkend Europees recht, richt zich zowel tot Wwft-plichtigen als tot overige bedrijven, maar kent andere begrippen en andere regels. Één van de belangrijkste verplichtingen op grond van deze regelgeving is dat ‘relaties’ van de klanten moeten worden vastgesteld en moet worden nagegaan of die relaties op een Europese of Nederlandse sanctielijst staan [4]. Het begrip ‘relatie’ omvat de eigenaar van rechtspersonen, wat iets anders is dan de ‘uiteindelijk belanghebbende’ van rechtspersonen van de Wwft.
Schadeverzekeraars
Schadeverzekeraars vallen niet onder de Wwft, dus hoeven geen Wwft-klantenonderzoek te doen. Zij moeten echter wel de ‘relaties’ van hun klanten vaststellen en nagaan of die relaties op een relevante sanctielijst staan.
Voor hen is de wettelijke grondslag om persoonsgegevens te verzamelen ten behoeve van het onderzoek naar gesanctioneerde personen uitsluitend de Europese regelgeving.
Eigendom of zeggenschap geliste personen
In de Europese regelgeving is opgenomen dat alle tegoeden en economische middelen die “toebehoren aan, eigendom zijn, in het bezit zijn of onder zeggenschap staan” van op de sanctielijsten geplaatste natuurlijke personen en organisaties (‘geliste personen’) worden ‘bevroren’. De bevriezingsplicht geldt ook voor tegoeden en economische middelen van natuurlijke personen en organisaties die met geliste personen ‘verbonden’ zijn.
In de EU Best Practices for the effective implementation of restrictive measures [5] wordt uitgelegd wat wordt verstaan onder “toebehoren aan, eigendom zijn, in het bezit zijn of onder zeggenschap staan“. Bij toebehoren aan/eigendom is vermeld:
The criterion to be taken into account when assessing whether a legal person or entity is owned by another person or entity is the possession of more than 50% of the proprietary rights of an entity or having majority interest in it
In de Best Practices is verder een uitleg over zeggenschap (‘control’) te vinden. Het is een uitleg die los staat van de witwasbestrijdingsregels.
Opvallend is dat DNB de onder haar toezicht staande FI’s adviseert om meer persoonsgegevens op te vragen dan voor de screening aan de sanctielijsten nodig is en dat DNB adviseert af te wijken van de Europese juridische grondslag.
Uitleg DNB
DNB volgt in de leidraad niet de Europese regelgeving. Lees in dat verband paragraaf 7.3 van de Leidraad van DNB [6]. Daarin wordt uitgelegd dat er sprake is van indirect ter beschikking stellen van financiële middelen of diensten in het geval dat er 50% of meer eigendomsrechten zijn van een persoon in een structuur, wat onjuist is, want in de Best Practices spreekt over meer dan 50% eigendomsrecht.
Verder wijkt de passage in de leidraad over ‘zeggenschap’ af van wat er in de Best Practices van de Commissie staat.
Merkwaardig is dat DNB in paragraaf 7.3 het begrip ‘uiteindelijk belanghebbende’ (ubo) gebruikt, wat suggereert dat het ubo-begrip van de Wwft relevant zou zijn, terwijl het begrip ubo in de Europese sanctieregelgeving niet voorkomt.
Er is een aparte factsheet van DNB voor schadeverzekeraars, waaraan opvalt dat de terminologie van de Europese regelgeving evenmin wordt gevolgd. Het lijkt er op alsof DNB het begrip ‘relaties’ uit de sanctieregelgeving heeft vervangen door ‘ubo’s’, wat juridisch onjuist is.
Gevolg van de uitleg van DNB is dat een te grote groep mensen als relatie wordt aangemerkt.
Persoonsgegevens verzamelen van te veel personen ‘voor de veiligheid’
Nog erger is dat DNB de FI’s adviseert zonder grondslag in de Europese regelgeving nog meer persoonsgegevens te verzamelen:
In de praktijk kunnen instellingen ook bij eigendomspercentages onder 50% de UBO in kaart brengen. Zo is het aan te raden dat instellingen gebruik maken van de definitie van UBO in de Wwft en derhalve alle UBO’s die 25% of meer eigendomsrechten hebben, kennen. Immers, het is ook verboden om tegoeden ter beschikking te stellen aan personen of entiteiten, waarover een gesanctioneerde persoon zeggenschap heeft.
DNB schrijft “kunnen ook bij eigendomspercentages onder 50% de UBO in kaart brengen” terwijl de wettelijke Europese grondslag ontbreekt. Dus dit mag niet! Natuurlijk is juist dat het mogelijk is dat er zeggenschap is ook al heeft iemand niet (in)direct meer dan 50% van de aandelen, maar ‘veiligheidshalve’ maar allerlei persoonsgegevens opvragen zonder noodzaak, is in strijd met het principe van dataminimalisatie van de AVG.
Een FI kan natuurlijk wel gegevens over de structuur vragen om er achter te komen wie de ‘relaties’ zijn, maar dat betekent nog niet dat er persoonsgegevens mogen worden verwerkt van mensen die dat niet zijn.
Vreemd genoeg denkt DNB dat er een uitzondering is voor beursgenoteerde ondernemingen [7].
Welke persoonsgegevens?
De volgende stap is de vraag welke gegevens dan mogen worden opgevraagd door de FI. Vertrekpunt is dat het om identificerende gegevens gaat, dat zijn voornamen, achternaam en geboortedatum. Het woonadres is niet relevant, aangezien in de sanctielijsten weinig adressen voorkomen en deze meestal niet zullen kloppen. In de Europese sanctielijst van 17 mei 2023 kwam ik maar twee keer een adres in Nederland voor [8].
Schadeverzekeraars en de sanctieregelgeving, mijn standpunt
Schadeverzekeraars dienen de ‘relaties’ in de zijn van de Europese sanctieregels in kaart te brengen. Dat maakt het logisch dat bij cliënten en prospects wordt gekeken naar vertegenwoordigers en gemachtigden (kan uit het KvK-uittreksel worden gehaald zoals DNB ook aangeeft) en dat naar de structuur wordt gevraagd. Dat betekent echter niet dat er persoonsgegevens mogen worden verwerkt van mensen die geen relatie zijn volgens de Europese definitie.
Voorbeeld:
bv X heeft vier aandeelhouders (natuurlijke personen) A, B, C en D die ieder 25% houden. Alleen C en D zijn statutair bestuurder van bv X. Er zijn volgens de Europese definitie geen personen die kwalificeren als eigenaar want er is niemand die meer dan 50% van de aandelen heeft. Vanwege de ruime betekenis van ‘zeggenschap’ zijn de statutair bestuurders C en D van bv X ‘relatie’, wat betekent dat de schadeverzekeraar hun persoonsgegevens mag opvragen.
De gegevensverstrekking door C en D kan beperkt blijven tot voornamen, achternaam en geboortedatum, nu op de sanctielijsten weinig adressen voorkomen en al helemaal niet uit Nederland.
DNB doet er goed aan de teksten die zij openbaar maakt over de sanctieregelgeving volledig te herschrijven en te laten aansluiten bij de Europese juridische grondslag, zodat FI’s er niet toe worden bewogen om het begrip relatie onjuist te gebruiken en ten onrechte persoonsgegevens te verwerken van mensen die geen relatie zijn in de zin van de sanctieregelgeving.
Gevolgen van het verzamelen van teveel persoonsgegevens
Als bedrijven in het verleden ten onrechte persoonsgegevens verzameld hebben, zullen zij die zo spoedig mogelijk moeten verwijderen.
Het is mij bekend dat Wwft-plichtigen soms ook van een te ruime groep mensen persoonsgegevens verwerken, vanwege een eigen te ruime en angstige interpretatie van de regels. Het zou goed zijn als de Autoriteit Persoonsgegevens onderzoek zou instellen naar de praktijk van het onderzoek op grond van Wwft en sanctieregelgeving.
Noten
[1] Te vinden via de DNB-pagina over de leidraad.
[2] Transacties waarvan vermoed wordt dat daarmee crimineel geld wordt uitgegeven (‘witwassen’) of waarmee terrorisme wordt gefinancierd.
[3] Wet ter voorkoming van witwassen en financieren van terrorisme.
[4] Bedrijven waarop recht van buiten de EU van toepassing is, moeten ook checken aan de hand van de sanctielijsten van de niet-EU landen. Een voorbeeld zijn de Amerikaanse sanctielijsten.
[5] Hier te vinden.
[6] Te vinden via de DNB-pagina over de leidraad.
[7] DNB schrijft “Voor cliënten die slechts gedeeltelijk beursgenoteerd zijn is het, in het kader van de naleving van de sanctieregelgeving, van belang dat voor het niet-beursgenoteerde gedeelte de UBO bekend te zijn.“, terwijl een dergelijke uitzondering voor zover mij bekend niet in de Europese sanctieregelgeving staat. FI’s zullen ook bij beursvennootschappen moeten nagaan wie de eigenaar is en wie zeggenschap heeft, ook bij het wel beursgenoteerde gedeelte.
[8] De actuele lijst is op deze locatie te vinden. Een Nederlands adres komt in de Europese sanctielijst van 17 mei 2023 maar twee keer voor: bij één natuurlijke persoon staat bij adres alleen ‘Nederland’ en bij de andere persoon (rechtspersoon) staat het adres op de datum van listing vermeld.
Aanvulling 23 mei 2023, 21:28 uur
Zie ook de reactie van Bökkerink onder dit bericht.
Ellen Timmer - juridische artikelen en berichten 
Misschien nog nuttig om toe te voegen dat m.b.t. “meer dan 50%” of ‘50% of meer’, de Best Practices in voetnoot 20 verwijzen naar Council Regulation (EC) No 2580/2001 of 27 December 2001 on specific restrictive measures directed against certain persons and entities with a view to combating terrorism. En in die Verordening staat 50% of meer, in meerdere talen:
EN: Owning a legal person, group or entity means being in possession of 50% or more of the proprietary rights of a legal person, group or entity, or having a majority interest therein
NL: in het bezit zijn van 50% of meer van de eigendomsrechten van een rechtspersoon, groep of entiteit, of daarin een meerderheidsbelang hebben.
ES: la posesión del 50% o más de los derechos de propiedad de una persona jurídica, grupo o entidad, o la participación mayoritaria en la misma.
DE: der Besitz von mindestens 50% der Eigentumsrechte oder eine Mehrheitsbeteiligung an der juristischen Person, Vereinigung oder Körperschaft
FR: être en possession de 50% ou plus des droits de propriété d’une personne morale, d’un groupe ou d’une entité ou détenir une participation majoritaire en son sein
IT: possedere almeno il 50% dei diritti di proprietà di una persona giuridica, di un gruppo o un’entità o detenere una partecipazione maggioritaria.
Verder heeft de EC in haar FAQ m.b.t. de Rusland sancties toegelicht dat als er meerdere aandeelhouders van een entiteit op een sanctielijst staan, de percentages moeten worden opgeteld. Dus vanuit dat oogpunt is het belangrijk om ook aandeelhouders met percentages aandelen onder 50% te weten.
“Aggregate ownership: If two or more listed persons are each minority shareholders of a non-listed entity, but their aggregate ownership amounts to more than 50% of that entity, should that entity be considered as owned by listed persons?
One should take into account the aggregated ownership of the entity. For example, if one listed person owns 30% of the entity and another listed person owns 25% of the entity, the entity should be considered as owned by listed persons.”
Klik om toegang te krijgen tot faqs-sanctions-russia-consolidated_en.pdf
Verder zegt par. 7.3 van de Leidraad m.b.t. tot zeggenschap alleen “waarbij zeggenschap in de Richtsnoeren zeer ruim gedefinieerd is”. De 8 voorbeelden uit de Best Practices worden niet vermeld, dus hoe kan het dan afwijken?
Tenslotte, ook de FAQ’s van de EC verwijzen regelmatig naar “(ultimate) beneficial owner”, dus zo vreemd is het niet dat de Leidraad “UBO” gebruikt.
Dank voor de aanvulling!
Ik had inderdaad gezien dat de Commissie niet vormvast is, echter in de FAQ inzake de sanctieregels verwijst de Commissie naar de Best Practices, zodat redelijkerwijs van die Best Practices moet worden uitgegaan.
Juridisch correct is als DNB in zowel de leidraad Wwft/Sw als in de factsheet voor verzekeraars zich strikt houdt aan de sanctieregelgeving, zodat verwarring met de andere opzet van Wwft c.a. wordt voorkomen. Het advies om in het kader van de sanctieregels de gegevens van alle ubo’s volgens de Wwft te verzamelen is n.m.m. gewoon onjuist.