Financiële privacy

Geactualiseerd in maart 2024 tenzij anders vermeld

Databescherming en privacy zijn van groot belang bij financiële gegevens. Het is in de privacywereld een onderbelicht thema.

Veel meer aandacht gaat uit naar de de praktijken van advertentiebedrijven zoals Google en Facebook en naar de activiteiten van geheime diensten en gelijksoortige instellingen zoals NCTV.

Op steeds grotere schaal worden financiële persoonsgegevens verzameld, uitgewisseld en geanalyseerd, zodat een aantal grote ondernemingen op basis van betaalgegevens burgers en organisaties in detail kan volgen. Het is een ontwikkeling die wordt aangemoedigd door de overheid en die zich door allerlei oorzaken verspreidt door de gehele samenleving, met grote databeschermingsrisico’s voor burgers.

Financiële privacy is het thema van deze pagina waarbij databescherming en cybersecurity een hoofdrol spelen. Het kan worden onderverdeeld in deelonderwerpen, die ik hierna bespreek.

Burgerrechtenorganisaties
Aan het slot volgen hoofdstukjes met overzicht van de activiteiten van respectievelijk Privacy First en Human Rights in Finance.EU inzake dit onderwerp.

 

Onderwerpen

Allereerst ga ik in op de belangrijkste onderwerpen.

 

Betalingsverkeer en gegevensbescherming | groeiende gegevensverzamelingen

• Er zijn steeds gedetailleerdere financiële persoonsgegevens aanwezig bij banken en andere grote partijen

Het betalingsverkeer vindt grotendeels digitaal plaats, contante betaling verdwijnt. Daardoor beschikken degenen die bij dat betalingsverkeer betrokken zijn (banken, betaaldienstverleners, rekeninginformatiedienstverleners) over gedetailleerde informatie over al hun klanten, zowel consumenten als bedrijven en organisaties. Dit betekent dat banken c.a. zeer veel weten over hun klanten. De financiële gegevens worden door allerlei oorzaken steeds gedetailleerder en steeds meer bedrijven kunnen er over beschikken. Zo zal IDEAL 2.0 naar verwachting zorgen voor verdere verspreiding van financiële persoonsgegevens.
In het verleden hebben banken geprobeerd de financiële gegevens van klanten te gelde te maken, op de manier waarop de Amerikaanse advertentiebedrijven dat doen, denk aan de ING-affaire. Daar is destijds een stokje voor gestoken maar dit kan terug komen.

• Open finance, open banking, FIDA (financial data access) en PSD2
  

De Europese regelgeving bekend onder de naam ‘PSD2’ moest mogelijk maken dat er nieuwe diensten worden ontwikkeld rondom de financiële gegevens van klanten van betaalinstellingen, onder andere rekeninginformatiediensten. Aan databescherming is onvoldoende gedacht, zodat burgers risico lopen. Privacy First is kritisch, bekijk de campagne PSD2-me-niet. Op dit blog heb ik er aandacht aan besteed: PSD2.

De nieuwste ontwikkeling is bekend onder de naam ‘open finance‘ of ‘open banking’. Recent zijn er in Europa voorstellen ingediend die het mogelijk maken dat rekeninghouders hun complete rekeninggegevens (met daarin persoonsgegevens) aan fintech bedrijven verschaffen, lees over ‘FIDA’ (‘financial data access’), zonder dat betrokkenen (wederpartijen bij de financiële transacties van de rekeninghouder) toestemming wordt gevraagd. Europa doet het voorkomen dat betrokkenen toestemming geven, maar dat is niet het geval.

• Contante betaling verdwijnt

Door de ontmoediging van contante betaling door banken en de overheid verdwijnt de laatste mogelijkheid om niet van uur tot uur gevolgd te worden door banken. Het digitale geld dat door Europa wordt voorbereid, zal waarschijnlijk niet volledig anoniem zijn om misdaadbestrijding mogelijk te maken.

Op dit blog: contante betaling.

Privatisering van de misdaadbestrijding (Wwft) en gegevenslevering aan de overheid | financiële surveillance

• Misdaadbestrijdingstaken van banken, overige financiële instellingen en diverse andere ondernemingen (‘witwasbestrijding’), in Nederland gebaseerd op de Wet ter voorkoming van witwassen en financieren van terrorisme (‘Wwft’). De kernactiviteit is dat alle financiële transacties van alle burgers en organisaties permanent gemonitord moeten worden door bedrijven om te zien of er crimineel geld mee gemoeid is (financiële surveillance). Europa heeft een wetgevingspakket bekend gemaakt dat naar verwachting vóór de Europese verkiezingen van 2024 definitief gemaakt zal worden.

Deze taken leiden er toe dat extra persoonsgegevens van burgers worden verzameld, dat betreft niet alleen het identificeren van natuurlijke personen (‘verificatie van de identiteit’), maar ook het verzamelen van gegevens over en van natuurlijke personen betrokken bij organisaties. Dit kan gaan over bestuurders en vertegenwoordigers van rechtspersonen en de ‘uiteindelijk belanghebbenden’. Er moeten vertrouwelijke gegevens door klanten met de financiële instellingen worden uitgewisseld, dit gebeurt vaak op onveilige manier.

Let op: het gaat hier niet alleen om misdaad die de klant of de financiële instelling kan benadelen. De instelling moet actief nagaan (‘monitoren’) of de eigen klant misdaadgeld onder zich heeft en moet vermoedens van misdaad (vermoedelijk financieel voordeel uit misdaad, ‘ongebruikelijke transacties’) melden bij een onderdeel van de politie, FIU-Nederland.

Grote ondernemingen zullen bij het analyseren van de financiële gegevens van hun klanten steeds vaker kunstmatige intelligentie gebruiken, lees over de risico’s van artificial intelligence de artikelen van Bits of Freedom.

Het hierboven genoemde Europese wetgevingspakket, ook wel het ‘AML package’ genoemd, zal de misdaadbestrijdingstaken van bedrijven ingrijpend wijzigen. Als gevolg van nieuwe regelgeving zullen steeds meer financiële gegevens door ondernemingen met de overheid worden uitgewisseld en zullen de hoge kosten van dit inefficiënte misdaadbestrijdingssysteem aan de klanten worden doorberekend.

Op dit blog zijn relevante tags onder meer: Betaalvereniging Nederland, contante betaling, witwasbestrijding, witwasbestrijding door banken, Wwft, risicoprofilering, not-for-profit en witwasbestrijding;
blogartikelen over de schaduwkanten: de-risking, financiële mensenrechten;
blogartikelen over Europa en de privatisering van de misdaadbestrijding: AML Package, AMLD6, Anti-Money Laundering Directive, Anti-Money Laundering Regulation.

• Identificatie, inclusief biometrische gegevens

Banken en andere financiële instellingen moeten hun klanten identificeren (‘de identiteit verifiëren’), allereerst om (privaatrechtelijk) te weten met wie zij een overeenkomst aangaan, ten tweede omdat de witwasbestrijdingsregels dit voorschrijven. Rondom de identificatie is het nodige te doen, onder andere omdat banken bestaande cliënten willen ‘heridentificeren’ en soms ook biometrische gegevens verlangen. Lees de artikelen van Bits of Freedom en Privacy First over de risico’s van het gebruik van biometrie.

Op dit blog: heridentificatie door financiële instellingen, identiteitsfraude.

• Ubo-register

Onderdeel van de misdaadbestrijdingstaken van banken en andere aangewezen ondernemingen, is dat zij de uiteindelijk belanghebbenden (ubo’s) van hun klanten moeten vaststellen en de juistheid van de registratie van hun klanten bij het door de Kamer van Koophandel gehouden register van uiteindelijk belanghebbenden (ubo-register) moeten verifiëren. Privacy First heeft over het ubo-register geprocedeerd. Inmiddels is er een uitspraak van het Europese Hof die goed is uitgepakt voor ubo’s, lees ook dit. Naar verwachting zullen in januari 2024 bekend gemaakte Europese voorstellen de uitspraak van het Hof ondergraven (blog).

Op dit blog: ubo-register, Privacy First-procedure ubo-register, pseudo-ubo.

• Zwarte lijsten

In de financiële sector worden in het kader van de misdaadbestrijdingstaken en ter bescherming van de eigen financiële belangen zwarte lijsten aangelegd van ‘verdachte’ en veroordeelde klanten. Deze lijsten staan bekend onder de namen ‘IVR’ (intern verwijzingsregister) en ‘EVR’ (extern verwijzingsregister). De regels voor deze registers staat in ‘PIFI’, het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen.
Verzekeraars hebben een compleet overzicht van alle claims die verzekerden bij hen hebben ingediend. In toenemende mate willen ook andere ondernemingen met misdaadbestrijdingstaken zwarte lijsten aanleggen.

Op dit blog: zwarte lijsten overheid, zwarte lijsten Wwft, zwarte lijsten financiële instellingen, zwarte lijsten overig.

• Gegevensleveringen aan de overheid | renseignering; CRS / FATCA
  

Financiële instellingen, werkgevers en ook platforms zijn verplicht om gegevens te leveren aan de overheid. Dit wordt ook wel ‘renseignering’ genoemd. In het kader van de renseigneringsplicht worden vele vertrouwelijke gegevens verzameld bij de klanten.

Op dit blog: renseignering.

Een bijzonder voorbeeld is de verplichting van financiële instellingen om gegevens van de klanten te verzamelen ten behoeve van de belastingheffing door andere landen. Zeer bekend is FATCA, de Amerikaanse wet op grond waarvan financiële instellingen in de hele wereld gratis diensten moeten verlenen aan de Amerikaanse belastingdienst, wat niet alleen fiscale inwoners van de VS en personen met bezittingen in of opbrengsten uit de VS omvat, maar ook iedereen die de Amerikaanse nationaliteit heeft (ook al ontbreken verdere banden met het land). Nederland heeft met de VS een FATCA-verdrag gesloten en neemt verder deel aan de ‘Common Reporting Standard’ (CRS), waarover verdragen met de EU-landen en andere landen zijn afgesloten.

Op dit blog: inleiding FATCA, berichten over FATCA en CRS.

Datahandelaren in de financiële sector

• Handelaren in financiële (persoons)gegevens

Ten behoeve van financiële instellingen zijn een aantal zeer grote partijen actief, die bij het publiek minder bekend zijn. Zij verzamelen financiële en andere gegevens over zowel consumenten als over organisaties en de bij organisaties betrokken natuurlijke personen. Die gegevens worden verkocht aan onder andere financiële instellingen, als kredietwaardigheidsinformatie en als witwasbestrijdingsinformatie. Hoewel deze datahandelaren zich aan de AVG moeten houden, doen zij dat meestal niet, zodat de mensen wiens gegevens verkocht worden niet op de hoogte zijn van de aanwezigheid van hun gegevens bij die handelaren en ook niet kunnen controleren of de gegevens rechtmatig zijn verkregen en juist zijn. Hun AVG-rechten kunnen zij niet uitoefenen.
Dergelijke handelaren zouden volgens mij vergunningplichtig moeten zijn, zoals financiële instellingen dat zijn, met een krachtige toezichthouder en strenge toetsing van de leidinggevenden.

Op dit blog: datahandelaren.

• Bureau Kredietregistratie (BKR), handelaren in kredietwaardigheidsinformatie
  

BKR is een door de overheid erkende en door de financiële sector opgerichte stichting die ten behoeve van die sector en een aantal andere partijen (onder meer telecombedrijven en gemeenten) kredietwaardigheidsgegevens registreert.
Er gaat veel mis bij BKR, wat aanleiding was voor Privacy First om tijdens een consultatie herziening van de regelgeving te bepleiten en voor te stellen dat de hele kredietwaardigheidshandel vergunningplichtig moet worden.

Op dit blog: BKR, BKR-registratie, kredietwaardigheidsbeoordeling.

—

Privacy First en financiële privacy

Stand van zaken 3 juli 2024

Privacy First houdt zich als enige Nederlandse burgerrechtenorganisatie bezig met meerdere thema’s op het gebied van financiële privacy. Dat gebeurt zowel door informeel overleg als door in de openbaarheid te treden met standpunten en – als het echt nodig is – door te procederen.

 

Uw bankrekening: de sluiproute naar uw privéleven –  artikelenserie

Op hun site verschijnt onder deze titel een serie artikelen over financiële privacy:

• deel 1 gaat over het Verwijzingsportaal Bankgegevens, waarin de overheid op een laagdrempelige en onvoldoende gecontroleerde wijze bankrekeninggegevens kan opvragen;
• in deel 2 wordt het Europese datadelen via de Europese CESOP-database behandeld, het doel van het delen is opsporing van btw-fraude via de bankrekeningen van burgers;
• deel 3 behandelt gegevensverwerking door samenwerkingsverbanden, waarbij banken grootschalige gegevens aan overheidsinstanties zullen gaan verstrekken;
• deel 4 legt uit wat privatisering van de criminaliteitsbestrijding (‘witwasbestrijding’) inhoudt: “permanent fouilleren van bankrekeninghouders is de norm“.

 

Artikelen over andere thema’s op het gebied van financiële privacy

• Financiële privacy speelt ook bij donateurs die aan goede doelen geven, lees het artikel.
• Er zijn zorgen over de digitale euro, artikel september 2023, artikel juli 2023.

 

Parlementaire activiteiten en consultatiedeelnames

De parlementaire activiteiten van Privacy First hadden betrekking op:

Privatisering criminaliteitsbestrijding (‘witwasbestrijding’), inclusief bancair sleepnet en ubo-register

• Deelname aan de consultatie inzake een wetsvoorstel dat mogelijk moet maken dat DNB en AFM nog meer persoonsgegevens mogen verwerken, aankondiging Geen carte blanche DNB en AFM voor massale dataverwerking, 3 juli 2024, consultatiebijdragen DNB, AFM (identieke inhoud).
• Privacy First nam begin januari 2024 deel aan de consultatie van De Nederlandsche Bank (DNB) over hun nieuwe aanpak van witwasbestrijding in de financiële sector, lees hun artikel en hun consultatiedocument. Inmiddels heeft DNB gereageerd en een aantal suggesties overgenomen.
• Privacy First steunt de de annuleringsprocedure van de stichting Human Rights in Finance.EU tegen de Funds Travel Rule, lees dit artikel van september 2023. Dit gaat over een bij het publiek onbekend fenomeen, het verplicht mee sturen van persoonsgegevens bij iedere financiële transactie, recent hield FATF hier een consultatie over.
• In de zomer van 2023 werd meegedaan aan de consultatie over het ubo-register, een onderwerp waar Privacy First al bezig was door middel van over het ubo-register gevoerde procedures.
• In december 2022 stuurde Privacy First een kritische brief en memo aan de Tweede Kamer over het bancaire sleepnet, het plan van banken om samen alle bankrekeningen van alle Nederlandse rekeninghouders te analyseren. Lees de kritische brief en het memo. In oktober 2022 schreven ze al Bancair sleepnet is geen goed idee. Zij blijven het onderwerp volgen, lees het artikel van april 2023, Bancair sleepnet is nog niet van de baan.

Kredietregistratie en schuldhulpverlening

• Eind januari 2024 nam Privacy First deel aan een internetconsultatie over een regeling op het gebied van schuldhulpverlening door gemeenten, zie hun consultatiereactie.
• In augustus 2023 schreef de organisatie het artikel Kredietregistratie in Nederland: BKR in huidige vorm moet verdwijnen over hun deelname aan de consultatie over de toekomst van het BKR.

Open finance / FIDA-verordening / PSD2

• In een brief aan de commissie Financiën van de Tweede Kamer heeft Privacy First aandacht gevraagd voor de risico’s verbonden aan het voorstel voor de Europese verordening raamwerk delen financiële klantdata, de ‘FIDA-verordening’ (open finance), zie het artikel.
• Over open finance verscheen in juni 2023 dit artikel.

 

Artikelen op dit blog over de consultatiedeelnames van Privacy First
zijn te vinden via deze tag.

 

Human Rights in Finance en privacy in de financiële sector

Stand van zaken 13 augustus 2024

Human Rights in Finance.EU (HRIF.eu) richt zich op aantal specifieke onderwerpen uit de financiële sector en is een initiatief van Simon Lelieveldt. Lees over de achtergrond van deze stichting het jaarverslag 2023, Nederlandstalig (pdf), Engelstalig, in april 2024 uitgebracht.

 

Het bancaire sleepnet
(Transactiemonitoring Nederland, TMNL):
HRIF.eu heeft DNB verzocht om maatregelen tegen TMNL te nemen, zodat de gezamenlijke verwerking stopt. Lees de HRIF.eu berichten over dit onderwerp:

• Machtig ons zodat de rechter aan DNB opdracht geeft wél te handhaven, het hele bancaire sleepnet door banken te laten opruimen en de bankbestuurders te berispen!, 13 augustus 2024.
• HRIF.EU boekt succes: Banken stoppen met onrechtmatige transactiemonitoring bij TMNL!, 1 juli 2024.
• Stapt DNB over haar schaduw heen en stopt ze het bancaire sleepnet TMNL?, 8 juni 2024.
• Lees hier de 10 conclusies waarom Transactie Monitoring Nederland (TMNL) nú per direct moet stoppen omdat ze illegaal gezamenlijke transacties monitoren van Nederlandse banken, 25 april 2024.
• Blind voor mens en recht: HRIF.EU vraagt Transactie Monitoring Nederland om verwerkingsstop en vernietiging van data, 5 april 2024.
• Blind voor mens en recht? HRIF.EU spoort DNB aan om Transactie Monitoring Nederland nu te stoppen!, 21 maart 2024.

De berichten over dit onderwerp zijn bij HRIF.eu onder tag ‘TMNL’ te vinden.

 

Actie tegen overmatige witwasmonitoring
door financiële instellingen, inclusief het recht op een bankrekening en het behoud van contant geld:

2024

• Problemen met vragen van uw bank? HRIF.EU helpt met standaardbrief!, 5 juli 2024.
• Discriminatie bij banken? Natuurlijk gebeurt dat, 27 mei 2024.
• HRIF.EU: het recht op een bankrekening moet beter worden verankerd in de Nederlandse wet over contant geld, 13 maart 2024.
• Petitie HRIF.EU aan 2e Kamer: stop overmatige witwasonderzoeken, bescherm de mensenrechten van Nederlandse bankklanten en veranker het recht op behoud van betaalrekening!, 26 november 2023.
• Bankrekening krijgen of houden ? Dat moet een basisrecht zijn en geen voorrecht!, 2 februari 2024.

2023

• Onrechtmatige witwaswerkwijze: banken weigeren gesprek, HRIF.EU stuurt tuchtrechtmelding over van Rijswijk (ING), Decraene (Rabobank) en Swaak (ABN AMRO), 16 december 2023.
• HRIF.EU gaf bij Radar toelichting op petitie tegen overmatig witwasmonitoren en voor het recht op bankrekening, 28 november 2023.
• Petitie HRIF.EU aan 2e Kamer: stop overmatige witwasonderzoeken, bescherm de mensenrechten van Nederlandse bankklanten en veranker het recht op behoud van betaalrekening!, 26 november 2023.
• HRIF.EU roept banken op om anti-witwaskoers fundamenteel te wijzigen en de menselijke maat terug te brengen in het betalingsverkeer, 22 oktober 2023.

 

Het meesturen van persoonsgegevens bij iedere financiële transactie
(de ‘travel rule’ of ‘Funds Travel Rule’):

• Deelname aan de FATF-consultatie, 3 mei 2024.
• Human Rights in Finance.EU zet annuleringsprocedure Funds Travel Rule in werking met verzoek om rechtshulp, 5 september 2023.
• HRIF.EU roept Revolut op om de crypto-travel rule niet per 1 September 2023 toe te passen, 31 augustus 2023.

De berichten over dit onderwerp zijn bij HRIF.eu onder de tag ‘travel rule’ te vinden.

 

Overige onderwerpen

• Bijdrage aan de consultaties waarin financiële toezichthouders DNB en AFM verzoeken op grote schaal persoonsgegevens van Nederlandse burgers te mogen verwerken: HRIF.EU visie over sleepnet-rapportage wetten voor AFM/DNB: niet doen!, 1 juli 2024.

 

Artikelen op dit blog over HRIF.eu zijn hier te vinden.