Whistle-blowing without privacy: the Italian SA fines hospital and IT service provider

Geplaatst op 9 juli 2022 door Ellen Timmer

Whistle-blowing is considered to be important to combat crime. However: GDPR is also playing a role in whistle-blowing cases as is seen in the decision of 7 April 2022 of the Italian data protection authority, published on 10 June on the EDPB website. Key findings:

The whistle-blowing management system in question tracked the accesses to the software as the connections to the whistle-blowing app were recorded and stored in firewall logs; accordingly, users of the app could be tracked including potential whistleblowers.  No information had been provided to employees on the processing of personal data for the purpose of reporting misconduct. Additional findings: no DPIA had been carried out; no entry for this processing activity was found in the record referred to in Article 30 GDPR; the authentication credentials enabling the ‘Corruption and Transparency Manager’ to access the whistle-blowing app had been handled inappropriately during the transition to the next incumbent.

Specific infringements were also found regarding the IT company that provided the whistle-blowing app to the hospital as a processor. The company in question failed to regulate its relations with the hosting provider both when acting as a processor (to the hospital) and when acting as a separate controller (in respect of its internal services, e.g. regarding management of its employees or accounting and administration activities).

Both the controller (the hospital) and the IT-provider were fined. From the summary of the decision:

The controller (the Public Hospital) failed to lay down adequate technical and organisational measures to ensure the appropriate level of security by having regard to the specific risks arising from the processing in question, which required implementing a whistle-blowing management system that was in line with the data protection by design and by default principles – also in the light of the opinion given in this respect by the Hospital’s Data Protection Officer (DPO).

The whistle-blowing service provider had not regulated its relationships with the hosting provider it relied upon both in connection with the multifarious processing activities for which it was the controller (in breach of Article 28, paragraphs 1 and 3, GDPR) – ranging from the management of its employees to accounting and administrative activities up to the processing inherent in supplying its services – and in respect of the processing activities for which it was a processor acting on behalf of its customers including the Perugia Public Hospital (in breach of Article 28, paragraphs 2 and 4, GDPR).

Both the Public Hospital and the IT company were fined EUR 40,000.

 

Geplaatst in English - posts in English on this blog, Europa, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Update klokkenluiders artikel

Geplaatst op 8 juli 2022 door Ellen Timmer

Het artikel dat ik in februari jl. schreef over het klokkenluiderswetsvoorstel en de witwasbestrijding, heb ik geüpdate. De aangepaste versie kan hier worden geraadpleegd.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , | Plaats een reactie

Naive belief in transparency dominates the western world | beneficial ownership, G7, AML, CFT

Geplaatst op 8 juli 2022 door Ellen Timmer

The naive belief that transparency of beneficial owners helps fight crime is also propagated by the G7, the group of seven most powerful western countries, currently with Germany as chairman. G7 fails to recognise that the openness of registers of beneficial owners is a danger to the national security of countries and a source of information for criminals and for states with less than good intentions.

Read the G7 Leaders’ Communiqué of 28 June with the usual anti-money laundering (‘AML’) and anti terrorist financing (‘CFT’) marketing texts:

Corruption and related illicit finance and proceeds of crime drain public resources, can often fuel organised crime, enable kleptocratic systems to accumulate wealth and power at the expense of citizens, undermine democratic governance. The Russian war against Ukraine has highlighted how kleptocracies pose an immediate threat to the freedom and national security of our societies. In order to defend the integrity and transparency of democratic systems, we will continue to step up our fight against corruption in all relevant bodies, and accelerate work on implementing and strengthening our beneficial ownership transparency registers, including by improving their accuracy, adequacy, and timeliness. In this regard, we also welcome the recently strengthened standards on beneficial ownership transparency of legal persons by the Financial Action Task Force (FATF) and look forward to their swift implementation. To hold kleptocrats, criminals and their enablers to account globally, we will broaden our global fight against cross-border corruption, including by supporting African partners in setting up 15 additional beneficial ownership registers. Also, building on the work of the Russia Elites Proxies and Oligarchs Task Force, we will further intensify our cooperation and ask the Task Force to report back to us by the end of the year on potential additional measures to be taken.

It shows that in the fight against money laundering the data protection rights of the large group of citizens who have been declared ‘beneficial owners’ [*] must give way to the interests of crime detection and that the collateral damage caused to the beneficial owners is accepted by policy makers.

 

[*] The beneficial owner in AML/CFT not only includes persons with economic interest in an entity. It may also include managers of not-for-profit organisations and many others without economic interest or real influence. It is an indecent concept that unnecessarily causes the disclosure of personal data of large numbers of decent citizens .

 

More information: the G7 documents.

 

Geplaatst in English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Ubo-register | Tags: , , , , , , | 1 reactie

De Tweede Kamer heeft zich onvoldoende verdiept in het AML Package en komt niet op voor de belangen van de burger. Wie wel?

Geplaatst op 7 juli 2022 door Ellen Timmer

Op 27 juni jl. heeft de minister van Financiën vragen uit de Tweede Kamer beantwoord over het AML Package. Het is opmerkelijk dat allerlei aspecten van het Europese pakket niet aan de orde komen en dat de minister beweert dat de wijzigingen niet ingrijpend zouden zijn en er ook verlichting zou zijn (allemaal onjuist!). Het lijkt er op of de Tweede Kamer zich alleen met de bestaande regelgeving heeft bezig gehouden, die ook al niet goed functioneert.

Ongezonde nieuwsgierigheid en bemoeizucht
Waarom is er niet gevraagd wat de reden is dat volgens het Commissievoorstel voor AMLR alle Wwft-plichtigen (dus ook makelaars en boekhouders), zonder enige voorafgaande toetsing van de Autoriteit Persoonsgegevens, de navolgende persoonsgegevens mogen verwerken (artikel 55 AMLR):

bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, van Verordening (EU) 2016/679 en persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 van die verordening

Dit betreft:

persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid

Wat gaat de bank met zulke gegevens doen? Wat gaan andere witwasbestrijdingsplichtigen met dat soort informatie doen? Wat zeggen die gegevens over de vraag of iemand een crimineel is? En wat is de reden dat alle Wwft-plichtigen het navolgende inzake hun cliënt moeten registreren (artikel 18 AMLR):

werk, beroep of arbeidssituatie

Wat zegt dat? Gaan de boekhouder en de bank dan uit het beroep iets afleiden?
Waarom moeten alle Wwft-plichtigen de navolgende in bijlage I bij AMLR genoemde persoonsgegevens verzamelen, relevante tekst gemarkeerd:

Cliëntgebonden risicovariabelen:
i) de bedrijfs- of beroepsactiviteit van de cliënt en van de uiteindelijk begunstigde van de cliënt;
ii) de reputatie van de cliënt en van de uiteindelijk begunstigde van de cliënt;
iii) de aard en het gedrag van de cliënt en van de uiteindelijk begunstigde van de cliënt;
(…)
vi) de rechtsgebieden waarmee de cliënt en de uiteindelijk begunstigde van de cliënt relevante persoonlijke banden hebben.

Deze verplichtingen gaan tot zeer ongezonde praktijken leiden, met name bij grote ondernemingen (zoals banken) die de witwasbestrijdingsregels moeten toepassen. Voorts zullen de grote datahandelaren er garen bij spinnen, verwacht mag worden dat de Amerikaanse advertentiegiganten hun diensten aan de witwasbestrijdingsplichtigen zullen gaan aanbieden, met analyses van ‘aard en gedrag’ van klant en ubo, gebaseerd op hun illegale datagraaipraktijken.

Activiteitencontrole
In het Commissievoorstel krijgen witwasbestrijdingsplichtigen er een bizarre verplichting bij met betrekking tot rechtspersonen en dergelijke (artikel 18):

De meldingsplichtige entiteiten verifiëren aan de hand van boekhoudbescheiden voor het laatste boekjaar of andere relevante informatie ook of de juridische entiteit activiteiten ontplooit

In het kader van al het dubbele werk krijgen de witwasbestrijdingsplichtigen dit er ook nog bij.

Buitensporig
Zo is er nog veel meer aan de hand met het AML Package. Het Commissievoorstel inzake het AML Package bevat irreële en disproportionele verplichtingen die buitensporig en maatschappelijk onbetamelijk zijn. Maar de nationale en de Europese politiek hoor je er niet over.

Wie komt er op voor de belangen van de burger?

 

Meer informatie:

 

Mijn algemene pagina over het AML Package staat hier. Artikelen op dit blog kunnen worden gevonden via de AML Package tag.

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , | 2 reacties

Lobby voor bancaire pseudo-overheid TMNL gaat verder | Wwft, NVB

Geplaatst op 7 juli 2022 door Ellen Timmer

De lobby voor de bancaire pseudo-overheid, Transactiemonitoring Nederland (TMNL), gaat gewoon door. Dat blijkt uit het bericht dat de Nederlandse Vereniging van Banken (NVB) op hun site heeft gepubliceerd. Daarmee gaat de NVB in tegen het oordeel van de Afdeling advisering van de Raad van State, waar ik eerder over schreef.

Wat de NVB schrijft gaat niet werken:

Het stelt ons teleur dat de Raad van State adviseert van gezamenlijke transactiemonitoring af te zien. De Raad van State stelt in haar advies de vraag of gegevensdeling met TMNL op deze schaal noodzakelijk is. Wij hebben begrip voor de zorgen die de Raad heeft over de inbreuk op het recht op privacy. Banken realiseren zich dat het delen van gegevens grote verantwoordelijkheid met zich meebrengt. Daarom gelden voor TMNL de allerhoogste privacy- en beveiligingsstandaarden. Transactiegegevens worden gepseudonimiseerd gedeeld met TMNL. Onderliggende privacygevoelige gegevens zijn daarmee niet inzichtelijk voor TMNL en de gegevens worden niet gedeeld tussen banken onderling – het zijn patronen waar TMNL zich op richt, met als doel de kans vergroten op het blootleggen van mogelijke criminele activiteiten.

De door NVB genoemde maatregelen zijn onvoldoende en een dergelijke financiële surveillance is ongewenst. Verder toont de vermeende noodzaak van deze samenwerking aan dat de concepten achter de witwasbestrijding, zoals bedacht door de niet-democratische internationale organisatie FATF, jammerlijk mislukt zijn.

Het is n.m.m. in strijd met rechtsstatelijke principes dat banken en betaalinstellingen dit samen gaan doen. Als dit politiek gewenst wordt, zal het betalingsverkeer door de overheid moeten worden overgenomen en zal er een robuust systeem van checks & balances moeten worden gecreëerd. Ik denk dat dit op dit moment noch de digitale techniek, noch de volwassenheid van de overheidsgovernance zodanig is dat een volwassen systeem van financiële surveillance gerealiseerd kan worden.

 

 

 

Aanvulling 11 juli 2022
Op 8 juli jl. verscheen op Follow the Money het artikel ‘Anti-witwasbeleid kost miljarden en levert weinig op‘ van Henk Willem Smits en Hugo Rasch, waarin onder meer wordt gerefereerd aan het advies van de Afdeling advisering van de Raad van State. De auteurs waren zo vriendelijk mij te interviewen en onder meer dit te citeren:

‘TMNL zal een soort pseudo-overheid worden zonder passende bescherming van burgers en bedrijven’

Ellen Timmer van Pellicaan Advocaten valt Fisser bij. Ze zegt dat pseudonimiseren niet betekent dat de werkelijke gegevens niet toegankelijk zijn. ‘De overheid kan altijd aan de echte gegevens komen, via de ruime bevoegdheden in de Wwft en andere wetten. Het doel van TMNL is juist om aan de deelnemers zinvolle informatie te verschaffen waarmee zij ongebruikelijke transacties kunnen melden. TMNL zal een soort pseudo-overheid worden zonder passende bescherming van burgers en bedrijven.’

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , | Plaats een reactie

Criminele amateursport | Wwft

Geplaatst op 6 juli 2022 door Ellen Timmer

In een bijlage bij een kamerbrief gaat de de minister voor Langdurige Zorg en Sport in op criminele inmenging in de amateursport, hoewel “de ernst van de problematiek zich lastig liet duiden“, aldus de minister. Hier zullen de banken wel van op tilt slaan en onmiddellijk aan alle sportverenigingen een vragenbrief sturen.

In de brief staat het volgende:

Criminele inmenging amateursport
Op 5 februari 2021 heeft u van mijn voorganger en van de minister van JenV een beleidsreactie ontvangen naar aanleiding van een nationaal onderzoek naar criminele inmenging in de amateursport [8]. Het onderzoek liet zien dat de amateursport niet gevrijwaard is van (signalen) van criminele inmenging. Hoewel de ernst van de problematiek zich lastig liet duiden, wel kwam naar voren dat er binnen de sportverenigingen om diverse redenen weinig tot geen aandacht is voor het thema. Ook werd helder dat verenigingsbestuurders niet altijd weten wat onder het begrip criminele inmenging moet worden verstaan of dat de thematiek lastig te herkennen is.

Daarom zetten partijen als NOC*NSF/CVSN, VSG en RIEC’s, gemeenten en sportbonden zich in om belanghebbenden zoals verenigingsbestuurders hierover te informeren en bestaande instrumenten onder de aandacht te brengen. Waar gevraagd gaat de VSG het gesprek aan over hoe criminele inmenging kan worden voorkomen en bestreden. Naast de hierboven genoemde nationale verkenning zijn er in de afgelopen jaren op lokaal en regionaal niveau verschillende onderzoeken uitgevoerd naar criminele inmenging in de amateursport, die ook interessante aandachtspunten en aanbevelingen hebben opgeleverd. De Minister van Justitie en Veiligheid en ik hebben het Centrum voor Criminaliteitspreventie en Veiligheid en het Mulier Instituut daarom gevraagd de onderzoeksresultaten van verschillende studies te analyseren en een vertaalslag te maken naar de praktijk. Dit onderzoek loopt momenteel en zal eind van dit jaar worden afgerond. Het onderzoek draagt bij aan de mogelijkheid om sportverenigingen weerbaarder te maken en ze te ondersteunen bij het creëren van een veilige sportomgeving zonder criminele inmenging. De toezegging om u te informeren over de voorgestelde maatregelen naar aanleiding van het rapport beschouw ik hiermee als afgedaan.

[8] Kamerstuk 30 234, nr. 261

Nu maar hopen dat men met een realistische aanpak komt.

 

Meer informatie:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie

Autoriteit Persoonsgegevens over heridentificatie door ICS | Wwft, AVG

Geplaatst op 5 juli 2022 door Ellen Timmer

Onlangs ontving ik een besluit op bezwaar van de Autoriteit Persoonsgegevens (AP), waarin de problematiek van ‘heridentificatie’ door financiële instellingen aan de orde komt. Ook wordt het gebruik van het BSN door een creditcard uitgevende instelling besproken. Aangezien ik over dit thema veel lezersreacties heb ontvangen (zie mijn heridentificatie serie), besteed ik nu aandacht aan dit besluit.

Klachten
De in deze zaak ingediende klachten worden door de AP als volgt samengevat:

Identificatie door financiële instellingen
Naar aanleiding hiervan begint de AP met op te merken dat ICS een financiële onderneming als bedoeld in de Wft is en een vergunning heeft als bank en dat ICS aan wettelijke verplichtingen moet voldoen, waartoe onder meer het heridentificeren zou vallen (wettelijke grondslag in de zin van de AVG). Volgens de AP is de heridentificatie gebaseerd op de AVG (terwijl financiële instellingen in opdracht van DNB op grond van de Wwft heridentificeren), zo blijkt uit de toelichting die de AP in een voetnoot geeft:

Op die actualiseringsplicht heb ik eerder al commentaar gegeven en lees ook mijn eerdere artikel van vandaag. Problematisch is dat in de financiële sector nu de gedachte rond gaat dat er permanent een geldig identiteitsbewijs in het dossier moet zitten, terwijl de witwasbestrijdingsregels (Wwft) en AVG dat niet voorschrijven.

Aangezien alle identificatiemomenten cybersecurity risico’s met zich mee brengen, is het belangrijk dat aantal momenten te reduceren tot wat daadwerkelijk noodzakelijk is, waarbij ook rekening kan worden gehouden met de informatiepositie van de financiële instelling. Voorbeeld: een bank die maandelijks salaris of uitkering op de rekening ziet binnen komen heeft geen aanleiding te twijfelen aan de identiteit of aan het in leven zijn van de klant.

De selfie als identificatiemiddel
Over ICS is vaker geklaagd, wat geleid heeft tot overleg door de AP met de financiële instelling en aanpassing van de werkwijze, zo schrijft de AP:

Uit de tekst blijkt dat de AP veronderstelt dat een kopie van een identiteitsbewijs vergezeld van een ‘selfie’ bewijs van de identiteit zou leveren, terwijl er zowel met kopieën van identiteitsbewijzen als met selfies geknoeid kan worden. Ik begrijp niet waarom dit geaccepteerd wordt. Bovendien kan betrokkene niet controleren of de financiële instelling na controle de foto uit het ID verwijdert en de foto weggooit.

Het valt op dat de AP geen aandacht besteedt aan de wijze waarop door de financiële instelling met de klant wordt gecommuniceerd. Het maakt nogal uit of de selfie wordt gemaakt met de smartphone die de klant voor het betalingsverkeer gebruikt en dat het kopie ID en de foto via beveiligde bestandsuitwisseling aan de instelling wordt verstrekt, bij voorkeur na het verwijderen van overbodige gegevens. Zie in dit verband ook dit artikel met ervaring van iemand anders met ICS.

Het versturen van een kopie ID en selfie per post of e-mail zijn per definitie onbetrouwbaar en onveilig.

Kopie ID
De AP schrijft dat er een wettelijke grondslag is voor het maken en bewaren van een kopie van het identiteitsbewijs, wat op zich klopt. Echter: de Wwft verplicht daar niet toe, als alternatief mogen ook de gegevens van het ID worden genoteerd, zie mijn eerdere artikel van vandaag.

De AP schrijft:

Er staat: “Voor zover dat noodzakelijk is“. Er is geen noodzaak een kopie ID te bewaren als de gegevens zijn genoteerd. Bovendien gaat het bij de identificatieplicht op grond van de de Wwft om de aanvang van de relatie. In het kader van beperking van het identiteitsfrauderisico dient daarom op zijn hoogst bij de aanvang van de relatie een kopie te worden gemaakt en (na verwijdering van overbodige gegevens zoals foto en BSN) te worden opgeslagen.

BSN
De AP geeft in het besluit uitleg over het gebruik van het burgerservicenummer, BSN:

In deze zaak ging het om een creditcard. Veel creditcardhouders lossen hun schuld aan de creditcardmaatschappij meteen af.

Opvallend is dat de AP zegt dat creditcardaanbieders het BSN mogen verwerken omdat er misschien ooit een keer een positief saldo ‘op’ de creditcard staat, zodat het depositogarantiestelsel van toepassing is (waarvoor het BSN verwerkt mag worden). Hierbij vraag ik me af of het niet veel beter zou zijn als de creditcard met stortingsmogelijkheid een apart product zou zijn, zodat alleen bij die creditcards het BSN hoeft te worden geregistreerd.

De AP schrijft verder dat ICS als bank het BSN zou mogen verwerken. Dat is alleen relevant als deze klager naast een creditkaart ook een bankrekening heeft [*].

Veiligheidsvoorschriften
Naar mijn mening is het hoog tijd dat financiële instellingen niet langer zelf bepalen hoe de communicatie met klanten verloopt over vertrouwelijke kwesties en dat het volgende wordt voorgeschreven:

  1. Identificatie vindt alleen nog in persoon plaats. Dat financiële instellingen geen kantoren meer hebben is een probleem dat zij zelf gecreëerd hebben. Zoals zij kunnen samenwerken inzake Geldmaat, is dat ook mogelijk bij identificatie en klantenonderzoek.
  2. Er worden geen kopieën meer van identiteitsbewijzen gemaakt, tenzij het gaat om de verificatie van de identiteit bij aanvang van de relatie (er is dan een wettelijke grondslag nodig). Het BSN wordt standaard verwijderd.
  3. Er worden geen foto’s van klanten meer gemaakt en bewaard.
  4. Het BSN wordt apart van de gegevens van het ID bewaard, uitsluitend wanneer er producten worden aangeboden die onder het depositogarantiestelsel vallen of als de fiscale wetgeving dat voorschrijft.
  5. Financiële instellingen dienen een beveiligd kanaal aan te bieden voor veilige communicatie voor uitwisseling van gegevens inzake het klantenonderzoek.
  6. E-mail wordt verboden (anders dan voor generieke nieuwsbrieven) en dit wordt duidelijk gecommuniceerd. Lees over phishing met heridentificatie: dit en sommige banken sturen e-mail berichten die er sprekend als phishing uitzien.
  7. Alle werkwijzen die tot verwarring bij klanten kunnen leiden en risico op phishing en fraude door derden opleveren, worden verboden (lees onder meer dit en dit). Zoals per e-mail oproepen tot heridentificatie en medewerking aan het cliëntenonderzoek.

Verder is van belang dat financiële instellingen intensief worden gecontroleerd op correcte naleving de veiligheidsmaatregelen.

 

[*] Overigens vraag ik me af of banken alleen een positief saldo aan de fiscus moeten opgeven, dan wel of zowel vorderingen als schulden worden opgegeven. Dat zal ik in de in noot 21 genoemde vindplaatsen moeten nakijken.

 

Meer informatie:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

De Wwft verplicht niet tot heridentificatie en ook niet tot kopietje paspoort

Geplaatst op 5 juli 2022 door Ellen Timmer

Sommige ondernemingen die witwassen moeten bestrijden, zoals banken (‘Wwft-plichtigen’), veronderstellen dat de wet, de Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) verplicht tot ‘heridentificatie’ van bestaande klanten. Verder zijn er mensen die denken dat als door een Wwft-plichtige diensten worden verricht, er altijd een kopie van een geldig identificatiebewijs in het dossier moet zitten. Deze gedachten zijn onjuist, zoals ik hierna zal toelichten.

Verificatie identiteit
Het systeem van de Wwft is dat de identiteit van de cliënt (als het een natuurlijke persoon is) of de vertegenwoordiger van de cliënt (als die cliënt geen natuurlijke persoon is) wordt geverifieerd vóór het aangaan van de zakelijke relatie [1].
De verificatie van de identiteit is een onderdeel van het cliëntenonderzoek dat Wwft-plichtigen moeten verrichten.

Actualisering
De Wwft-plichtige is verplicht tot het nemen van maatregelen om de gegevens die tijdens het onderzoek zijn verzameld actueel te houden [2]. Het gaat hier dan om de gegevens die kunnen wijzigen.
Dat is niet aan de orde bij de identiteit van de cliënt, zoals ook in een parlementair stuk [3] is opgemerkt (destijds stond de actualiseringsplicht in het zevende lid), markering door mij:

Het nieuwe zevende lid expliciteert de verplichting voor instellingen om de verzamelde informatie over de cliënt actueel te houden. Dit impliceert dat de instelling periodiek de verzamelde gegevens controleert en bijwerkt. Een geschikte gelegenheid daartoe doet zich bijvoorbeeld voor wanneer de cliënt in persoon verschijnt bij de instelling. De verplichting ziet op het actueel houden van gegevens, niet op het vervangen van (afschriften van) documenten. Zo is bijvoorbeeld niet beoogd dat een kopie van een identificatiebewijs moet worden vervangen wanneer de geldigheidsduur daarvan is verlopen.

De actualiseringsplicht van de Wwft heeft betrekking op de gegevens inzake de cliënt die nodig zijn om vast te stellen wat het risico is dat de cliënt zich aan witwassen of terrorismefinanciering schuldig zal maken (risicoprofiel). In de Wwft is vastgelegd [4] dat onder meer onderzoek moet worden ingesteld naar:

  • de eigendoms- en zeggenschapsstructuur van de cliënt (cliënten die geen natuurlijke persoon zijn),
  • de uiteindelijk belanghebbenden (cliënten die geen natuurlijke persoon zijn),
  • het doel en de beoogde aard van de zakelijke relatie met de Wwft-plichtige,
  • zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden,
  • de vaststelling of ten behoeve van een derde wordt opgetreden.

Voorts zal moeten worden nagegaan of sprake is van omstandigheden die een verhoogd risico opleveren en moeten er extra maatregelen worden genomen als dat het geval is [5].

Twijfel aan de identiteit
Het betekent overigens niet dat er nooit reden is om de identiteit te verifiëren, maar dat is bijvoorbeeld aan de orde als de Wwft-plichtige redenen heeft om te vermoeden dat sprake is van identiteitsfraude of dat de cliënt is overleden. Het zal van de soort relatie tussen Wwft-plichtige en de cliënt afhangen of er reden is voor een check.

Voorbeeld: als een rekeninghouder recent het kantoor van de bank heeft bezocht en zijn identiteitsbewijs heeft getoond aan de bankmedewerker, is er geen reden om te veronderstellen dat iemand anders de rekening heeft gekaapt en is betrokken ook in leven.

Kopietje paspoort?
Een ander punt van aandacht is dat de Wwft niet verplicht tot het vastleggen van een kopie van het identiteitsbewijs (ID) in het klantendossier. In dat verband is het goed om nogmaals te wijzen op het feit dat de Wwft aan Wwft-plichtigen de keuze geeft [6] om het  originele ID in te zien en hetzij:

  1. de wettelijk voorgeschreven gegevens te registreren in het klantendossier [7], dan wel:
  2. in het klantendossier een afschrift op te nemen van het document dat een persoonidentificerend nummer bevat en aan de hand waarvan de verificatie van de identiteit heeft plaatsgevonden.

Nu de AVG verplicht tot dataminimalisatie, doen Wwft-plichtigen er goed aan geen kopie ID in het klantendossier op te nemen, maar te volstaan met onder 1. aangegeven methode. Juist die kopieën vormen een hoog risico bij identiteitsfraude, zoals uit de laatste Monitor Identiteit [8] is gebleken.

In de praktijk is te zien dat sommige Wwft-plichtigen de communicatie met hun cliënten op afstand doen en dat dit voor problemen zorgt. Bij banken is dat het geval, zij hebben veel van hun filialen gesloten (of hebben geen kantoor waar klanten hen kunnen bezoeken) en kiezen voor verificatie van de identiteit ‘op afstand’ en doen dat vaak op onveilige manier. Door het sluiten van filialen hebben deze Wwft-plichtigen zelf een probleem gecreëerd, nu er in Nederland nog geen volwassen digitaal verificatiesysteem is (al schrijft de Europese eIDAS regeling dat wel voor). Banken slagen er goed in samen te werken inzake de Geldmaat, dus kunnen ze ook samenwerken inzake een volwassen verificatiesysteem dat veilig is en voldoet aan de AVG-eis inzake dataminimalisatie.

Tot slot
Ik blijf er bij dat het standpunt van de Autoriteit Persoonsgegevens onjuist is en dat ook de geschilleninstantie Kifid er naast zit [9].
Verder is van groot belang dat in het kader van de dataminimalisatieplicht van de AVG geen kopieën van ID’s meer worden opgeslagen.

 

Noten
[1] Zie artikel 3 lid 2 sub a. en artikel 4 lid 1 Wwft, uitzonderingen in artikel 4 leden 3 tot en met 6 Wwft. De actuele tekst van de Wwft is hier te vinden.
[2] Artikel 3 lid 11 Wwft.
[3] Zie de memorie van toelichting inzake de Wijziging van de Wet ter voorkoming van witwassen en financieren van terrorisme en de Wet ter voorkoming van witwassen en financieren van terrorisme BES in verband met de implementatie van aanbevelingen van de Financial Action Task Force.
[4] Artikel 3 lid 2 Wwft.
[5] Zie § 2.3. Wwft over het verscherpt cliëntenonderzoek.
[6] Artikel 33 lid 2 Wwft.
[7] Bij natuurlijke personen (niet zijnde uiteindelijk belanghebbenden) zijn dat: de geslachtsnaam, de voornamen, de geboortedatum, het adres en de woonplaats, dan wel de plaats van vestiging van de cliënt alsmede van degene die namens die natuurlijke persoon optreedt en de aard, het nummer en de datum en plaats van uitgifte van het document met behulp waarvan de identiteit is geverifieerd.
Zie voor wat er inzake uiteindelijk belanghebbenden en entiteiten geregistreerd moet worden de rest van artikel 33 lid 2 Wwft.
[8] Zie mijn artikel Informatie over identificatie en identiteitsfraude | Monitor Identiteit 2021.
[9] Allebei te vinden via mijn artikel Heridentificatie: de burger staat met 0-1 achter | Wwft, AVG.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , , , | Plaats een reactie

Misslag Accountantskamer inzake concept-accountantsverslag

Geplaatst op 4 juli 2022 door Ellen Timmer

Op 9 februari jl. deed de Rechtbank Overijssel uitspraak in een zaak over een concept-accountantsverslag. In die uitspraak oordeelt de Rechtbank – in afwijking van het standpunt van de Accountantskamer – dat het concept-accountantsverslag niet bestemd was voor de aandeelhouders van de rechtspersoon waarop het concept betrekking had.

Anton Dieleman bespreekt de uitspraak in zijn artikel Annotatie: Zorgplicht accountant bij onrechtmatig gebruik concept-accountantsverslag (betaalmuur) en constateert dat zowel Accountantskamer als College van Beroep voor het bedrijfsleven (CBb) er ernstig naast zaten (markering door mij):

Het geeft te denken dat de Rechtbank nodig was om het juiste oordeel te geven op dit punt.

Opvallend is voorts dat er gesproken is over ernstige continuïteitsonzekerheid bij betreffende rechtspersoon, terwijl dat op het moment van het verschaffen van het concept-accountantsverslag nog niet het geval was.

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Financieel recht, onder meer Wft, Wtt | Tags: , , | Plaats een reactie

‘De omstreden klant’ – themanummer tijdschrift voor Financieel Recht | Wwft, sanctieregelgeving

Geplaatst op 3 juli 2022 door Ellen Timmer

De privatisering van de criminaliteitsbestrijding, via onder meer de Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) en sanctieregelgeving, was voor de redactie van het Tijdschrift voor Financieel Recht reden voor een themanummer, achter een betaalmuur. De inleiding op het themanummer is wel openbaar en hier te vinden. De artikelen gaan over:

Het nieuwe klantgevoel werd door Miltiadis Gkouzouris als klant van banken tijdens het Risk & Compliance congres als volgt in beeld gebracht:

Aanpalend aan het onderwerp is het artikel Wonen, het recht van de rijksten?

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Sanctieregels | Tags: , , | Plaats een reactie