Overmorgen sluit de Nederlandse consultatie over de toegang van overheidsinstanties tot het ubo-register [1]. Bij de meeste instanties is wel logisch dat zij toegang krijgen tot het register.

AFM
Er springen echter twee instanties uit, de ene is de Autoriteit Financiële Markten (AFM), die ongeveer voor alles het register mag raadplegen, zie §2 van de toelichting die in het document wordt gegeven:

§2.4. De Nederlandsche Bank en de Autoriteit Financiële Markten in verband met personentoetsingen
§2.5. De Autoriteit Financiële Markten in verband met het verrijken van signalen
§2.6. De Autoriteit Financiële Markten voor toezicht op verslaggeving en accountantsorganisaties
§2.7. De Autoriteit Financiële Markten voor toezicht prospectus

De AFM heeft al een uitstekende informatiepositie, wat in een consultatiereactie van Privacy First aan de orde is gesteld. Vorig jaar werd een bestuurder van de AFM door het FD in de gelegenheid gesteld om de microdata-behoefte van de AFM te promoten, zie Voor modern financieel toezicht zijn data onontbeerlijk (betaalmuur). AFM is een rupsjenooitgenoeg.

Gerechtsdeurwaarder
De andere nieuwe instantie die brede toegang tot het ubo-register moet krijgen is de gerechtsdeurwaarder. Voor mij is het raadselachtig waarom hij toegang tot het ubo-register zou moeten krijgen. De ambtshandelingen die de deurwaarder verricht hebben betrekking op partijen in een geschil, niet op hun directe of indirecte aandeelhouders.
Toch krijgt de deurwaarder volgens het voorstel toegang voor alle ambtshandelingen die hij verricht op grond van artikel 2 van de Gerechtsdeurwaarderswet. Daar hoort een zwakke toelichting bij dat dit nodig zou zijn om vast te stellen of een vennootschap of andere entiteit gelieerd is aan een schuldenaar voor wie hij beslag wil leggen. Daar heeft die deurwaarder andere wegen voor en de gelieerdheid zal meestal niet blijken uit de aanwezigheid van dezelfde ubo volgens het ubo-register.

Toegang tot de gegevens van de bedreigde ubo
Het artikel over de afscherming van de bedreigde ubo wordt aangevuld met een zeer groot aantal overheidsinstanties [2], waarvan gehoopt mag worden dat zij hun integriteit en cybersecurity op orde hebben [3].
Een gemiste kans is dat het artikel niet in overeenstemming is gebracht met het Europese recht, dat afscherming toestaat in alle gevallen dat de grondrechten van de ubo worden geschonden als zijn gegevens niet afgeschermd zouden worden [4].

Noten:

[1] Consultatie Wijzigingsbesluit toegang UBO-registers voor bestuursorganen en rechtspersonen met een overheidstaak, aankondiging, consultatiedocument.

[2] De nieuwe tekst van lid 1 van artikel 51b Handelsregisterbesluit 2008 (Hrb) is een mooi zoekplaatje, als overheidsinstanties worden genoemd:

a. de Financiële inlichtingen eenheid (dat is FIU-Nederland);
b. de bevoegde autoriteiten, bedoeld in artikel 51a Hrb;
c. bestuursorganen en rechtspersonen met een overheidstaak, als bedoeld in artikel 51aa Hrb;
d. personen, rechtspersonen of instellingen als bedoeld in artikel 28, tweede lid, sub b en c en e van de Handelsregisterwet 2007.

In het voorstel voor artikel 51b Handelsregisterbesluit 2008 over toegang tot de persoonsgegevens van een bedreigde ubo komen ook Wwft-plichtige (witwasbestrijdingsplichtige) ondernemingen voor, te weten de financiële instellingen van artikel 1a, tweede en derde lid Wwft en notarissen c.s. (artikel 1a, vierde lid, onderdeel d Wwft). Die worden in de huidige versie van artikel 51b ook al genoemd. Nieuw is dat een zeer groot aantal overheidsinstanties.

[3] Over gegevensbescherming wordt in de toelichting gezegd: “Gezien de aard van dit voorstel is een DPIA uitgevoerd. Met behulp hiervan is de noodzaak onderzocht van de verwerking van persoonsgegevens en zijn op gestructureerde wijze de gevolgen en risico’s van de maatregelen in kaart gebracht.
De aangewezen partijen moeten beschikken over passende technische en organisatorische maatregelen voor de bescherming van persoonsgegevens tegen incidenteel verlies, ongeoorloofde verspreiding of toegang. Zij dienen zelf een uitvoerings-dpia te maken waarin de gegevensverwerking wordt beschreven.“. Hopelijk helpt dat want er zijn ook criminele overheidsdienaren, gisteren publiceerde de NOS: Medewerker rechtbank die gegevens zou doorverkopen ook verdacht van afpersing.

[4] Zie de conclusie ten behoeve van het Europese hof door AG Pitruzzella van 20 januari 2022, die onder meer opmerkt in par. 248: “Deze beschermingsverplichting van de lidstaten beperkt zich derhalve niet tot enkel de onevenredige risico’s in de zeven gevallen die uitdrukkelijk worden gespecificeerd in genoemd artikel 30, lid 9, maar heeft betrekking op de onevenredige risico’s van schending van alle grondrechten van de uiteindelijk begunstigden.“