DNB en digitalisering | Wwft, AVG, open finance

Geplaatst op 29 november 2023 door Ellen Timmer

De Nederlandsche Bank (DNB) houdt toezicht op de naleving door financiële instellingen van wet- en regelgeving, zo schrijft DNB in het toezichtverslag dat zij gisteren heeft bekend gemaakt [1]. Gisteren werd eveneens een document bekend gemaakt over het bancaire verdienmodel, onder de titel ‘Banken in beweging – Kansen en uitdagingen in tijden van hogere rente, digitalisering en verduurzaming‘ [2] (hierna: ‘verdienmodelrapport’).

Die naleving van wet- en regelgeving is ook aan de orde bij digitalisering in de financiële sector. Het speelt bij verschillende onderwerpen:

  • Digitale dienstverlening en de toegankelijkheid van de bancaire dienstverlening.
  • Criminaliteitsdetectie en -bestrijding door banken op grond van de Wwft en de sanctieregelgeving, ook aangeduid als ‘bestrijding van financieel-economische criminaliteit’ of als ‘FEC’. DNB verwacht dat daarbij digitale middelen worden ingezet zoals financiële surveillance (transactiemonitoring).
  • Cybersecurity bij de eigen processen en de communicatie met klanten, dit speelt in alle domeinen, zowel bij digitale dienstverlening als bij de bestrijding van FEC.
  • Gegevensbescherming (AVG) speelt eveneens in alle domeinen, voor zover persoonsgegevens worden verwerkt.

Het betekent dat DNB zich bezig dient te houden met de vraag of financiële instellingen de AVG correct naleven, ook al is de Autoriteit Persoonsgegevens (AP) de primaire toezichthouder.

Digitale onderwerpen

Digitale dienstverlening
Voor burgers is de digitale dienstverlening door banken en betaalinstellingen heel belangrijk. Dit type ondernemingen heeft nauwelijks kantoren meer, iets wat door DNB wordt toegejuicht [3]. Het lijkt er op dat DNB meer geïnteresseerd is in kostenefficiëntie, dan in een adequate en menselijke verlening van financiële diensten, al realiseert de toezichthouder zich dat door de digitalisering een grote groep mensen in de kou komen te staan [4]. Diezelfde groep mensen loopt grotere cybersecurity risico’s, vanwege het onoverzichtelijke en onbegrijpelijke digitale betalingslandschap.

Open finance
Zorgelijk is dat DNB nog steeds geen oog heeft voor de risico’s voor burgers van de Europese open finance voorstellen. Zo schrijft de toezichthouder [5]:

Financiële klantdata en de steeds geavanceerdere tools om deze te analyseren, bieden banken kansen om meer gepersonaliseerde diensten aan te bieden, het klantgemak te verhogen en risicobeoordelingen te verbeteren.

Er wordt gesuggereerd dat dat er toestemming van betrokkene (natuurlijke personen die in de transacties voorkomen) wordt gevraagd, zodat de privacy wordt gewaarborgd, terwijl dat niet waar is. Er wordt toestemming van de klant gevraagd, als die klant geen natuurlijke persoon is, deelt die klant de persoonsgegevens van de eigen wederpartijen-natuurlijke personen bij transacties. Als de klant wel een natuurlijke persoon is, kunnen in zijn transactiegegevens persoonsgegevens van derden zitten die geen toestemming hebben gegeven. Kortom: open finance gaat er voor zorgen dat zonder toestemming financiële persoonsgegevens over de aarde vliegen. DNB heeft geen idee.
Open finance is een verdienmodel voor bedrijven. Burgers fungeren alleen als gegevensleverancier, net zoals nu al in de advertentie industrie (Google, Facebook c.s.) gebeurt.

Criminaliteitsdetectie en -bestrijding door banken
Opvallend is dat DNB de suggestie wenst te wekken dat banken en betaalinstellingen in staat zouden zijn om FEC te voorkomen [6]. Politiek is dat misschien nodig om te verhullen dat deze financiële instellingen in werkelijkheid de verlengde arm van de opsporing en de Belastingdienst zijn geworden.

Het woord ‘voorkomen’ zal worden gebruikt, omdat de overheid van mening is dat als er crimineel geld (criminele opbrengsten) door een bank stroomt, de bank zich zelf schuldig maakt aan ‘witwassen’, ook is de bank niet betrokken bij de criminele feiten (oplichting, fraude, enzovoorts) die criminele opbrengsten hebben gegenereerd. Dat heeft te maken met de ruime definitie van witwassen, iedereen die crimineel geld onder zich heeft is een ‘witwasser’ ook al weet hij het niet en is hij niet bij de misdaad betrokken. Voorbeeld: als een crimineel met crimineel geld een biertje koopt, is de horecaonderneming die de betaling ontvangt een witwasser ook al weet de onderneming niet dat crimineel geld wordt ontvangen (gelukkig valt de horecaonderneming nog niet onder de Wwft). Het is een geniaal concept, bedacht door de Amerikanen.

De teksten in de documenten van DNB zijn onjuist, nu financiële instellingen FEC niet kunnen voorkomen.

Hun taak op grond van de Wwft is om onderzoek naar de klant te doen en te weten te komen of het een crimineel is en verder om alle transacties van klanten doorlopend te monitoren (financiële surveillance [7]) op de mogelijkheid dat die transacties worden gedaan met crimineel geld (opbrengsten van criminaliteit). Als financiële instellingen vermoeden dat een transactie plaats vindt met crimineel geld, moeten zij hun vermoeden als ‘ongebruikelijke transactie’ melden aan een onderdeel van de politie, FIU-Nederland. Het klantenonderzoek en de transactiemonitoring zijn gericht op het detecteren van ongebruikelijke transacties. Dit is een voorstadium van de opsporing. Met voorkomen van oplichting, fraude en dergelijke, heeft het helemaal niets te maken.
Het grote geheim van de privatisering van de criminaliteitsbestrijding naar het bedrijfsleven is dat wordt verkocht met het verhaal over ‘voorkomen’. Bizar dat de bedenkers hiermee weg komen.

Financiële surveillance
Financiële instellingen zijn verplicht tot financiële surveillance van hun klanten, iets wat zeer duur is en weinig opbrengt. Toch blijft DNB in dit systeem geloven en ondersteunt plannen om die surveillance te intensiveren. Het wetsvoorstel inzake het bancaire sleepnet, dat het kabinet vorig jaar indiende en dat tot doel heeft dat banken de financiële surveillance van de transactiegegevens samen uitvoeren, is door de Tweede Kamer in de koelkast gezet [8]. Maar niet getreurd, de Europese wetgever gaat zorgen dat gegevensuitwisseling tussen financiële instellingen alsnog mogelijk wordt, zo constateert DNB monter [9], markering door mij:

Een deel van de innovaties is ook gericht op efficiëntere processen voor het bestrijden van financieel-economische criminaliteit. Het gebruik van machine learning kan transactiemonitoring efficiënter maken en daarmee ook de last voor bedrijven en particuliere klanten verminderen. Met innovatieve know-your-customer (KYC) processen kan sneller, goedkoper en preciezer een risicoinschatting van klanten worden gemaakt op basis van kwalitatief goede data. Vaak wordt deze data nog handmatig opgevraagd bij de klant, maar aankomende Europese wet- en regelgeving maken het mogelijk om financiële data eenvoudiger te delen

Hoewel de Europese en Nederlandse privacytoezichthouders zich kritisch hebben uitgelaten over ongebreideld en generiek gegevensdelen door ondernemingen in het kader van de geprivatiseerde misdaadbestrijding [10], lijkt het er op dat zowel de Europese als de Nederlandse wetgever vrolijk verder gaan op de ingeslagen weg.

Cybersecurity
In de digitale financiële dienstverlening speelt cybersecurity een centrale rol, wat ook in beide DNB-documenten tot uitdrukking komt. Het onderwerp speelt een belangrijke rol in de AVG. Financiële instellingen krijgen verder te maken met de Europese Digital Operational Resilience Act (DORA), die in 2025 in werking treedt. Vanwege DORA zal DNB extra bevoegdheden krijgen.

Ik blijf het vreemd vinden dat DNB geen enkele aandacht heeft voor veilige communicatie tussen financiële instellingen en hun cliënten, zeker als het om vertrouwelijke bedrijfs- of persoonsgegevens gaat. Er zijn nog veel banken die over het Wwft klantenonderzoek communiceren via e-mail, zodat de inhoud en bijlagen van de e-mail onderweg gelezen kunnen worden, niet alleen door nette geheime diensten die zich aan de wet houden. Ik schreef er meerdere keren over [11].

Gegevensbescherming AVG
DNB signaleert in de documenten dat financiële instellingen de AVG moeten naleven. De risico’s van het delen van data worden wel gesignaleerd [12], maar gezien het ongegronde enthousiasme voor open finance moet worden betwijfeld of DNB zich gaat inzetten voor de belangen van de burgers.

Tot slot

Zijpaadje: de ‘resultaten’ van DNB
Het is niet digitaal maar wel opmerkelijk: wat DNB onder de resultaten van haar werkzaamheden verstaat.
In het toezichtverslag beschrijft DNB de ‘Resultaten 2023 – bestrijden van financieel-economische criminaliteit‘ als:

We organiseerden verschillende ronde tafels om met stakeholders te verkennen hoe de risicogebaseerde aanpak van financieel-economische criminaliteit nog effectiever en efficiënter kan worden vormgegeven, hoe onnodige de-risking beperkt kan worden en hoe banken op een verantwoorde manier gebruik kunnen maken van machine learning technieken. Dit heeft geleid tot meer duidelijkheid over hoe banken sommige bepalingen uit de Wwft risicogebaseerd kunnen invullen.

Het organiseren van ronde tafels is natuurlijk geen resultaat van bestrijding van FEC. Wel een resultaat is als er meer boeven zijn gevangen of meer nuttige meldingen aan FIU-Nederland zijn gedaan.

Het lijkt er op dat de mensen van DNB met de verkeerde dingen bezig zijn (net als de financiële instellingen die geld over de balk gooien met ineffectieve Wwft-activiteiten en het zich indekken tegen de toezichthouder).

Op de verkeerde weg
Hoewel DNB met de mond belijdt aandacht te hebben voor de klant, inclusief de consument, is de werkelijkheid anders.
Het toezichtverslag en het verdienmodelrapport maken duidelijk dat DNB voornamelijk bezig is met de thema’s die de incrowd van de financiële sector interessant vindt. Dat constateerde ik al eerder in mijn artikel over de DNB-consultatie van de nieuwe aanpak van de witwasbestrijding, die zich alleen richt tot financiële instellingen en de compliance industrie [13].

 

Noten

[1] Het verslag heet ‘Toezicht in beeld 2023 – 2024’ in werd aangekondigd door middel van het persbericht Weerbare banken hebben ruimte voor stevige impuls aan ambities, het document is hier (pdf) te vinden. Er wordt naar verwezen in het nieuwsbericht Vijf vragen over de rente en dienstverlening van banken. Zie over het toezicht op naleving van wet- en regelgeving pagina 4 van het verslag: “Naleving van wet- en regelgeving en behoud van publiek vertrouwen is allereerst een taak van financiële instellingen zelf. Als toezichthouder ziet DNB erop toe dat instellingen voldoen aan wet- en regelgeving, dat risico’s in kaart worden gebracht en dat deze adequaat en tijdig worden beheerst. Dat is de basis van goed toezicht.

[2] Te downloaden op deze locatie (pdf). Het is aangekondigd in het onder [1] genoemde persbericht.

[3] Zo wordt op pagina 19 van het verdienmodelrapport geconstateerd dat de vermindering van de dienstverlening door banken heeft geleid tot daling van de kosten:
Naast de stijging van de inkomsten, heeft ook digitalisering van de dienstverlening en het sluiten van fysieke bankfilialen, geld- en afstortautomaten bijgedragen aan een hogere kostenefficiëntie.“.

[4] Op pagina 19 van het verdienmodelrapport wordt gemeld:
Hoewel digitalisering van bancaire dienstverlening heeft bijgedragen aan een hogere kostenefficiëntie, leidt het ook tot zorgen over de toegankelijkheid van de bancaire dienstverlening. Nederland behoort tot de koplopers van landen waarin bankzaken digitaal geregeld worden en Nederlandse banken maken werk van hun digitale transformatie (zie ook kader 1.5). Tegelijkertijd is er een omvangrijke groep Nederlanders die moeite heeft om digitaal haar bankzaken te regelen. In 2021 was één op de zes volwassenen namelijk niet in staat om zelfstandig alle basisbetaaldiensten, zoals geldopnames, betalingen in fysieke winkels en in webshops en het omgaan met een mobiel bankieren app, uit te voeren. Het is voor hen echter lastiger geworden om hulp te vragen aan bankmedewerkers, vanwege de sluiting van bankfilialen en beperkte telefonische bereikbaarheid van bankmedewerkers (DNB, 2022). Ook zakelijke klanten ervaren hier problemen mee (MOB, 2022). Het Maatschappelijk Overleg Betalingsverkeer (MOB) 15 heeft banken opgeroepen om meer prioriteit te geven aan de verbetering van de toegankelijkheid van betaaldiensten. Banken hebben gehoor gegeven aan deze oproep en aangegeven dat niet-digitale klanten gebruik kunnen blijven maken van niet-digitale basisbankdiensten, zo lang als dat nodig is. Ook geven zij prioriteit aan het verbeteren van de toegankelijkheid van betaaldiensten (NVB, 2023).“.
Ik vraag me af of hiervan in de praktijk veel terecht komt.

[5] Zie pagina 5 van het verdienmodelrapport.

[6] Zie bijvoorbeeld in  het toezichtverslag pagina 3: “Deze twee thema’s vormen samen met het voorkomen van financieel-economische criminaliteit de drie speerpunten van ons toezicht“, pagina 4: “Ook toetsen we of instellingen zich voldoende inspannen om betrokkenheid bij financieel-economische criminaliteit te voorkomen” en op pagina 5 “Banken spelen als poortwachters een sleutelrol bij het voorkomen van financieel-economische criminaliteit“.

[7] Ook als ‘voortdurende controle (ongoing due diligence)’ aangeduid, pagina 19 toezichtverslag.

[8] Het bancair sleepnet is onderdeel van het wetsvoorstel plan van aanpak witwassen en is in oktober jl. controversieel verklaard (blog).

[9] Pagina 20 van het verdienmodelrapport.

[10] Lees bijvoorbeeld de kritiek van de Autoriteit Persoonsgegevens (brief), waarover ik heb geblogd.

[11] Onder meer Cybersecurity in de financiële sector en de blinde vlak van AFM en DNB. Zie ook de berichten over cybersecurity in de financiële sector.

[12] zie bijvoorbeeld pagina 5 van het verdienmodelrapport over de ‘uitdagingen’: “Toegang tot data, waaronder niet-financiële data van bijvoorbeeld grote online platforms, is steeds vaker een belangrijk onderdeel van financiële dienstverlening. Potentiële risico’s zoals het verlies van privacy en financiële uitsluiting dienen daarbij ondervangen te worden. Dit vereist extra aandacht door het groeiende gebruik van kunstmatige intelligentie“.

[13] DNB legt nieuwe aanpak witwassen voor aan financiële sector, 20 oktober 2023.

Over Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Sanctieregels, Ubo-register, Verwijzingsportaal Bankgegevens, Virtuele valuta en getagged met , , , , , , , , , , , , , , , . Maak dit favoriet permalink.

Plaats een reactie