Wijzigingsvoorstel UAVG maakt mogelijk dat banken betalingstransacties opschorten en blokkeren

Geplaatst op 26 november 2024 door Ellen Timmer

Op 4 december a.s. vindt het ‘Rondetafelgesprek Verzamelwet gegevensbescherming‘ plaats van 14 tot 16:30 uur (aankondiging). Het is een initiatief van de commissie Digitale Zaken van de Tweede Kamer. Over het programma staat momenteel in de aankondiging:

Blok 1: Toezicht & kennis (14 – 14.45 uur)
Blok 2: Overheid & maantschappij (van 14.45 – 15.40 uur)
Blok 3: Publiek & Privaat (vaa 15.40 – 16.30 uur)

De namen van de genodigden worden z.s.m. bekend gemaakt.

De aanleiding voor het gesprek kon ik niet achterhalen.

Wetsvoorstel tot wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) en andere wetten

Het onderwerp van het gesprek is een wetsvoorstel waarmee wijzigingen in onder meer de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) worden aangebracht. Het wetgevingsdossier is op overheid.nl, de site van de Eerste Kamer en de site van de Tweede Kamer te vinden.

UAVG in het financiële recht: blokkeren en opschorten van betalingstransacties

Het voorstel is ook relevant voor het financiële recht, aangezien de tekst van artikel 3:17 van de Wet op het financieel toezicht wordt aangevuld met twee leden die het mogelijk maken bij “afwijkende individuele transactiepatronen” betalingstransacties te blokkeren of op te schorten:

Aan artikel 3:17 van de Wet op het financieel toezicht worden twee leden toegevoegd, luidende:

9. Ter uitvoering van het bepaalde in het eerste lid beschikt een bank of betaalinstelling als bedoeld in dat lid over procedures en maatregelen met betrekking tot het monitoren en analyseren van betalingstransacties van cliënten. Een bank of betaalinstelling kan in dat kader geautomatiseerd besluiten om betalingstransacties die zijn gekoppeld aan een financieel product te blokkeren of op te schorten, indien:

a. het blokkeren of opschorten plaatsvindt op basis van afwijkende individuele transactiepatronen ten opzichte van het gebruik van het individuele financieel product van cliënten;
b. de bank of betaalinstelling de betalingstransacties na het blokkeren of opschorten onverwijld door menselijke tussenkomst onderzoekt; en
c. cliënten hun standpunt omtrent het blokkeren of opschorten van de betalingstransactie kenbaar kunnen maken.

10. Bij algemene maatregel van bestuur worden nadere regels gesteld over passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van cliënten in geval van het blokkeren of opschorten van betalingstransacties, bedoeld in het negende lid, die in ieder geval betrekking hebben op:

a. gegevensanalyse
b. beveiliging en integriteit.

In de memorie van toelichting wordt dit voorstel als volgt toegelicht:

ARTIKEL X. Wet op het financieel toezicht
Enig onderdeel (artikel 3:17)

Een bank of betaalinstelling met zetel in Nederland is op grond van artikel 3:17, eerste lid, van de Wet op het financieel toezicht (Wft) verplicht tot het uitvoeren van transactiemonitoring met het oog op het tegengaan van fraude teneinde een integere bedrijfsvoering te waarborgen [67]. In dat kader kan een bank of betaalinstelling in voorkomende gevallen, en voor zover mogelijk, overgaan tot het geautomatiseerd blokkeren of opschorten van de transactie. Dit kan bijvoorbeeld als er ten aanzien van een cliënt sprake is van een afwijkend transactiepatroon ten opzichte van het gebruik van het individuele financieel product, bijvoorbeeld door de aanwezigheid van (fraude)indicatoren. Dit is een reeds lang bestaande praktijk. Daarbij kan gedacht worden aan gevallen waarin met de bankpas van een cliënt in het buitenland een bedrag wordt gepind, terwijl met dezelfde bankpas enkele minuten eerder nog is gepind bij een pinautomaat in de woonplaats van de cliënt. Dit is een sterke aanwijzing voor fraude. Aangezien het geautomatiseerd, dat wil zeggen zonder menselijke tussenkomst, stoppen van een transactie de betrokken cliënt in aanmerkelijke mate kan treffen, is het geautomatiseerd blokkeren of opschorten van een transactie door een bank of betaalinstelling aan te merken als geautomatiseerde individuele besluitvorming in de zin van artikel 22 AVG. Op grond van artikel 22, tweede lid, AVG is dit slechts in een aantal gevallen toegestaan, onder meer als de betreffende geautomatiseerde individuele besluitvorming is toegestaan bij een lidstatelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene.

Met de voorgestelde bepalingen wordt verduidelijkt dat een bank of betaalinstelling in het kader van het uitvoeren van transactiemonitoring zo nodig ook geautomatiseerd transacties kan blokkeren of opschorten als hiervoor aanleiding is.

Het gaat om een afwijking van het transactiepatroon van de betreffende individuele cliënt. Het betreft hier dan ook geen profilering in de zin van de AVG, waarbij sprake is van vergelijking van bepaalde persoonlijke kenmerken met kenmerken van een groep. In dit geval is er sprake van vergelijking met kenmerken van betalingsgedrag van de betrokken persoon zelf. Verder moet een bank of betaalinstelling zo snel als redelijkerwijs mogelijk is na het blokkeren of opschorten van de transactie contact opnemen met de cliënt, dat wil zeggen door menselijke tussenkomst, om te onderzoeken of al dan niet sprake is van fraude. In dat kader moet de betrokken cliënt de mogelijkheid hebben om zijn standpunt over het blokkeren of opschorten van de transactie kenbaar te maken. Als naar het oordeel van de bank of betaalinstelling sprake is van fraude dan zal de transactie definitief worden geblokkeerd. Als dat niet het geval is, zal de transactie vervolgens alsnog worden uitgevoerd. Het geautomatiseerde besluit van een bank of betaalinstelling om een transactie te blokkeren of op te schorten kan worden aangevochten via de interne klachtenprocedure van de betreffende onderneming en zo nodig via de klachtenprocedure bij de stichting Klachteninstituut financiële dienstverlening (Kifid) en via de rechter. Op grond van de voorgestelde bepalingen worden bij algemene maatregel van bestuur nadere regels gesteld over passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van cliënten in het geval van het blokkeren of opschorten van betalingstransacties. Deze maatregelen die zijn voorzien zijn:

a. bij geautomatiseerde gegevensanalyse worden geen algoritmes gehanteerd waarvan de uitkomsten niet navolgbaar en controleerbaar zijn;
b. de middelen op basis waarvan afwijkende individuele transactiepatronen worden gedetecteerd worden periodiek geëvalueerd;
c. in de privacyverklaring, de overeenkomst of voorwaarden van de bank of betaalinstelling wordt de betrokkene geïnformeerd over de mogelijkheid van geautomatiseerd blokkeren of opschorten van transacties ten behoeve van een integere bedrijfsvoering als bedoeld in het eerste lid;
d. persoonsgegevens worden uitsluitend verwerkt in systemen waarvoor een adequaat beveiligingsniveau geldt;
e. uitsluitend geautoriseerde personen hebben toegang tot de systemen waarin persoonsgegevens worden verwerkt;
f. er zijn organisatorische maatregelen om te zorgen dat gegevens alleen ten behoeve van een integere bedrijfsvoering als bedoeld in het eerste lid worden verwerkt;
g. de verwerking van gegevens in geautomatiseerde systemen wordt via elektronische weg vastgelegd;
h. de verwerking van de gegevens wordt beëindigd indien deze niet langer noodzakelijk is om te kunnen voldoen aan het waarborgen van een integere bedrijfsvoering als bedoeld in het eerste lid.

Nu de mogelijkheid om bij de uitvoering van transactiemonitoring in voorkomende gevallen transacties geautomatiseerd te blokkeren of op te schorten is geregeld in de Wft, ligt het – met het oog op de samenhang en begrijpelijkheid van de regeling – voor de hand om ook de verplichting tot het uitvoeren van transactiemonitoring zelf in de Wft op te nemen. De voorgestelde bepalingen voorzien hierin.

 

[67] Banken, levensverzekeraars, premiepensioeninstellingen of bijkantoren van deze instellingen ook op grond van artikel 14, vierde lid, van het Besluit prudentieel toezicht Wft (Bpr).

 

Commentaar

Het is een belangrijk voorstel, ten eerste omdat hier expliciet wordt toegestaan dat financiële instellingen geautomatiseerde besluitvorming toepassen. Lees over dat onderwerp het advies dat de Autoriteit Persoonsgegevens uitbracht en onlangs bekend werd. Lees mijn eerdere artikel over het geheime risicoprofiel dat een bank aan iedere klant toekent en waarvan zij geen verantwoording hoeven af te leggen.

Ten tweede is het voorstel voor rekeninghouders van belang omdat de in de bepaling beschreven blokkeringen en opschortingen voor zover ik weet al plaats vinden  (ik weet niet op welke schaal) en in sommige gevallen ingekomen betalingen zeer langdurig worden vastgehouden zonder dat de rekeninghouder wordt geïnformeerd.

Povere rechtsbescherming
De rechtsbescherming van rekeninghouders is pover, omdat de gang naar de burgerlijke rechter voor veel rekeninghouders onhaalbaar is en de rekeninghouder de relatie met de bank wil behouden, aangezien overstappen voor velen lastig is.
Het is hoog tijd dat er een onafhankelijke financiële ombudsman komt, die signalen kan ontvangen, diepgaande onderzoeken bij financiële instellingen kan doen en ongevraagde adviezen kan uitbrengen.

De stichting Klachteninstituut financiële dienstverlening (Kifid) biedt onvoldoende rechtsbescherming, ten eerste omdat hun activiteiten beperkt zijn tot consumenten (met enkele beperkte aanvullingen), ten tweede omdat zij een te beperkt aantal onderwerpen bestrijkt (het is gewenst dat de rechtsbescherming wordt versterkt in de hele witwasbestrijding en ten aanzien van alle vormen van financiële dienstverlening, voor zowel consument als mkb), ten derde omdat zij gefinancierd worden door de financiële instellingen en niet werkelijk onafhankelijk is en ten vierde omdat zij geen ombudsfunctie hebben, die is te vergelijken met wat de Nationale Ombudsman doet. Hoewel Kifid op krachtige wijze bezig is het werkveld te verbreden en daarmee succes heeft, ben ik van mening dat vanwege de vele overheidstaken die door financiële instellingen en andere witwasbestrijdingsplichtigen worden uitgevoerd, er betere en onafhankelijke rechtsbescherming moet worden opgetuigd.

Het is te hopen dat er tijdens het rondetafelgesprek ook mensen zijn die de zwakten in dit voorstel aanwijzen.

Onbekend's avatar

About Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten en getagd met , , , , , , , . Maak de permalink favoriet.

Plaats een reactie