Naar aanleiding van een op de Wet open overheid (Woo) gebaseerd verzoek werd een besluit over evaluatie van de FATCA aan de eisen van de AVG bekend gemaakt. Meer informatie:
Miles Kellerman is a financial expert writing on anti-money laundering topics. Recently he published the article Trump and the Future of Financial Surveillance. In his article he explains the interest of the state in the transactions of every citizen. States have obligated banks and other financial institutions to create a risk profile of each customer, monitor all transactions and submit suspicious activity reports (SARs) to the authorities.
He expects that the new American president will be interested in the possibilities of financial surveillance:
The real danger, therefore, is not so much that Trump softens regulations or undermines state agencies. It is, instead, that his administration repurposes the U.S. surveillance apparatus against whom they deem “suspicious.”
The author
Kellerman works in the Netherlands, more information on his False Positive website and on his personal site. He is working on a publication on financial surveillance:
We are in the midst of a global surveillance crisis. Our systems for detecting money laundering, market manipulation, and other financial crimes are failing. Surveillance Games argues that these failures can be attributed to a common historical cause: the decision by regulators around the world to outsource financial crime detection to the private sector. The book performs three tasks to tell this story. First, it presents a new way of thinking about the political economy of surveillance, one that emphasizes how outsourcing decisions in the past generate political contests, or Surveillance Games, over who should be responsible for monitoring our financial systems. Second, the book explores these dynamics in three pressing areas: money laundering, market manipulation, and cryptocurrency misconduct. Third, a radical new solution is proposed in which licensed detection agents are rewarded for spotting suspicious activity.
In the article Impact of US sanctions on IT services Nico Rikken explains that sanctions may also target IT services. He explains the system and mentions several recent examples:
Rikken concludes that the risk of US sanctions against IT services has increased and that it is necessary to take preventive measures.
De Belgische Gegevensbeschermingsautoriteit (GBA) bracht advies uit over een Belgisch wetsvoorstel inzake het delen van data uit authentieke bronnen [1] met erkende dienstverleners voor elektronische identificatiemiddelen, dat hier is te vinden. Het advies heeft betrekking op de Europese identificatie wallet die in voorbereiding is, ook bekend als de EUDI-wallet, in het advies aangeduid als ‘Europese portemonnee voor digitale identiteit’ en ook als de digitale identiteitsportefeuille (“Digital Identity Wallet”) [2]. De Belgische overheid is bezig met het bouwen van een Digital Identity Wallet [3].
In de inleiding schrijft de GBA onder meer:
Het onderhavige advies licht toe onder welke voorwaarden (precisering van het doeleinde, waarborgen met betrekking tot de controle door de betrokkene, enzovoort) dat mogelijk zou zijn, in het bijzonder met betrekking tot de uitvoering van de verplichtingen inzake identificatie van cliënten door de ondernemingen die onderworpen zijn aan de antiwitwaswetgeving.
Enerzijds hebben deze entiteiten echter reeds toegang tot het Rijksregister. Anderzijds zouden de Europese portemonnees voor digitale identiteit en de attesteringen van attributen, zoals bedoeld in de recente hervorming van de eIDAS-verordening, het mogelijk moeten maken om de doelstellingen van het voorstel te verwezenlijken. Deze zouden dan ook de voorkeur kunnen krijgen, aangezien zij deel uitmaken van een juridisch, technisch en geharmoniseerd normatief kader op Europees niveau – al is dat weliswaar nog niet volledig geïmplementeerd en van toepassing. Dit kader voorziet bovendien in specifieke waarborgen, waaronder volledige controle door de gebruiker over de Europese portemonnee voor digitale identiteit en meer transparantie.
In het bijzonder, en meer algemeen in het licht van de specifieke doeleinden die zouden worden beoogd, beveelt de Autoriteit in dit verband aan om een effectbeoordeling uit te voeren.
De Autoriteit is overigens van oordeel dat het in dit stadium, aangezien de zojuist genoemde hervorming nog niet volledig van toepassing is, voorbarig is om op dit moment een wettelijk gevolg toe te kennen aan de “Belgische digitale portefeuille”. De Autoriteit blijft zich echter bewust van het belang en de noodzaak om op Belgisch niveau een Europese portemonnee voor digitale identiteit in te voeren, in overeenstemming met de eIDAS2-verordening, binnen de gestelde termijn.
Deze identificatiemogelijkheid is onder meer van belang voor bedrijven die overheidstaken uitvoeren in het kader van bestrijding van witwassen en terrorismefinanciering, de witwasbestrijdingsplichtigen [4]. De GBA vermeldt dat de AVG bij lage witwasrisico’s de witwasbestrijdingsplichtigen er toe verplicht de ingewonnen informatie te beperken [5].
Diverse thema’s die ook in Nederlandse verhoudingen relevant kunnen zijn passeren de revue.
Noten:
[1] Het gaat om het Rijksregister, het Register van de Identiteitskaarten en het Register van de Vreemdelingenkaarten.
[2] Onhandig dat er geen uniforme aanduiding wordt gebruikt, dat speelt in Nederland eveneens.
[3] Zie paragraaf 7.
[4] Zie pagina 23 waar gesproken wordt over de AML-richtlijn EU 2015/849 (vierde Europese antiwitwasrichtlijn). In paragraaf 46 tot en met 57 komt dat nader aan de orde.
[5] Zie pagina 29, noot 445: “Wat betreft lage risico’s, zie artikel 26, § 3, van de AML-wet. De Autoriteit merkt in dit verband op dat de onderworpen entiteit in dit geval niet alleen de ingewonnen informatie “mag” beperken, maar dit ook moet doen, in voorkomend geval, ter uitvoering van het beginsel van minimale gegevensverwerking zoals neergelegd in artikel 5, 1., c), van de AVG.“
The European Banking Authority (EBA) announced an opinion on money laundering and terrorist financing (ML/TF) risks in the EU with a remarkable title: A careless use of innovative compliance products can lead to money laundering and terrorism financing risks.
Of course, technical tools (such as AI) do not lead to ML and TF risks. What is being said here, albeit inaccurately, is that incorrect use of technical tools can result in ML and TF risks not being adequately detected, even though the user of those tools is obliged to do so. The title is probably caused by the laundering-reflex that characterises everyone involved in anti-money laundering: if you don’t do something right, you’re laundering money (even if you don’t have a penny of criminal money in your possession).
It is surprising that the EBA writes that de-risking would have been reduced [1].
The rest of the opinion contains passages that are consistent with what I have read before, such as the assumption that terrorist financing can be detected through transaction monitoring. I also continue to find it surprising that governments believe that financial institutions understand tax law and can detect tax crimes, especially since tax crimes are “self-laundering”.
As usual, it is assumed that PEPs (politically exposed persons) are relevant to the detection of criminal money, while I have yet to find any evidence that PEPs are more relevant to crime fighting than, for example, customs officials and police officers. It would be mature of the EBA to take a critical stance on anti-money laundering concepts, such as the ridiculously broad definition of PEP, but perhaps I cannot expect that from the EBA.
A slight criticism can be detected in the passage on targeted financial sanctions: the EBA acknowledges that it is very complicated for financial institutions [2] (so it is understandable that the rest of the business community does not understand it at all).
The EBA is paying attention to the increasing digital risks in financial transactions. Unfortunately, this supervisor is not paying attention to the inherent data protection and cybersecurity risks associated with the AML/CFT-system itself. It is important that this attention is given, otherwise citizens and SMEs will become victims of the success of AML/CFT regulations.
Notes:
[1] Paragraph 3.12. of the opinion, ‘Competent authorities took actions to tackle de-risking practices.‘
[2] Paragraph 3.13. of the opinion.
Steeds meer bedrijven worden ingeschakeld om financiële gegevens voor de belastingheffing aan de overheid te leveren (‘renseignering’). Waar dit vroeger alleen de werkgever en financiële instellingen waren, komen er steeds meer bedrijven bij.
Uitwisseling cryptovaluta gegevens
Aanbieders van cryptovaluta diensten [1] worden ook aan het lijstje toegevoegd. Eerder werd door de Nederlandse overheid een consultatie gehouden over het wetsvoorstel dat de cryptoaanbieders tot renseignering verplicht (artikel).
Onlangs is het wetsvoorstel ingediend [2]. Door middel van dat voorstel wordt de Wet op de internationale bijstandsverlening bij de heffing van belastingen (Wib) gewijzigd. De cryptoaanbieders moeten gegevens leveren aan de overheid, zowel voor binnenlands gebruik als voor uitwisseling met het buitenland. De renseignering omvat zowel gegeven van de rekeninghouder als – indien de rekeninghouder geen natuurlijke persoon is – gegevens van de uiteindelijk belanghebbende [3].
Daarbij valt op dat er informatie moet worden verschaft over “de rol of rollen” van de uiteindelijk belanghebbende, iets wat in de antiwitwasregelgeving niet voorkomt [4].
Europese database
De gegevens van de cryptoaanbieders worden geupload in een Europese database. In de memorie van toelicht staat:
Met het oog op een efficiënte uitwisseling dienen de bevoegde autoriteiten de inlichtingen te uploaden in een centraal gegevensbestand dat door de Commissie wordt ontwikkeld en onder haar regie staat. De toegang van de bevoegde autoriteiten tot dat gegevensbestand is evenwel beperkt tot gegevens die betrekking hebben op hun eigen ingezetenen. 270 Hiermee wordt artikel 1, tiende lid, onderdeel a, Richtlijn (EU) 2023/2226 geïmplementeerd voor zover het ingevolge die richtlijn gewijzigde artikel 21, vijfde lid, Richtlijn 2011/16/EU de (bevoegde autoriteiten van de) lidstaten als normadressaat heeft. Het gaat dan om artikel 21, vijfde lid, vierde alinea, tweede zin. Hoewel de lidstaten niet over de toegang tot dat gegevensbestand gaan aangezien dat onder beheer van de Commissie staat, is toch voor expliciete implementatie gekozen. Reden daarvoor is dat het wenselijk is dat duidelijk is dat de bevoegde autoriteiten als gevolg van de beperkte toegang worden beperkt in hun recht om gebruik te maken van persoonsgegevens. Voor het overige heeft artikel 21, vijfde lid, Richtlijn (EU) 2023/2226 de Commissie als normadressaat, hetgeen geen implementatie behoeft. Zolang genoemd centrale gegevensbestand nog niet operationeel is vindt de uitwisseling ook met betrekking tot inlichtingen over cryptoactiva overigens plaats via het bestaande CCN-netwerk.271
270 Zie ook overweging 38 van de preambule van Richtlijn (EU) 2023/2226.
271 Artikel 21, vijfde lid, vijfde alinea, Richtlijn 2011/16/EU, welke alinea grond van artikel 1, tiende lid, onderdeel a, Richtlijn (EU) 2023/2226 met een verwijzing naar artikel 8 bis quinquies, Richtlijn 2011/16/EU is verrijkt. Implementatie van deze alinea is niet nodig, vgl. de Wet implementatie EU-richtlijn meldingsplichtige grensoverschrijdende constructies.
Rechtsbescherming
In de memorie van toelichting wordt verondersteld dat burgers onder de Wib voldoende rechtsbescherming hebben, onder meer doordat schadevergoeding kan worden gevorderd bij de rechter wegens onrechtmatige overheidsdaad:
Als inlichtingen zijn uitgewisseld en dit achteraf onrechtmatig blijkt te zijn, kan ook bij de civiele rechter wegens onrechtmatige overheidsdaad een schadevergoeding worden gevorderd. De civiele rechter wordt geacht voldoende te zijn toegerust om ook in dit type zaak te beslissen op een verzoek om een voorlopige voorziening te treffen of te beslissen of sprake is van een onrechtmatige overheidsdaad. Hij biedt aldus effectieve rechtsbescherming zodat er geen reden is om de gang naar de bestuursrechter voor de beschreven situaties open te stellen.115
15 Kamerstukken II, 2022/23, 25087, nr. 318, p. 8. In HR 13 april 2018, ECLI:NL:HR:2018:505 oordeelde de HR dat de omstandigheid dat ter zake van de intrekking van een btw-identificatienummer alleen de gang naar de civiele rechter openstaat geen strijd met het EU-Handvest oplevert. Hieruit kan worden afgeleid dat ook de HR de gang naar civiele rechter als effectieve rechtsbescherming beschouwt.
Identificatie fiscale woonplaats
Opvallend is dat er een dienst wordt geboden met het oog op vaststelling van de fiscale woonplaats. Deze wordt in het voorstel aangeduid als ‘identificatiedienst voor rapporterende aanbieders van cryptoactivadiensten’. De dienst wordt omschreven al [5]:
een elektronisch proces dat door een lidstaat of de EU kosteloos ter beschikking wordt gesteld aan een rapporterende aanbieder van cryptoactivadiensten met het oog op de vaststelling van de identiteit en de fiscale woonplaats van een gebruiker van cryptoactiva
Bestrijding van witwassen, terrorismefinanciering en de naleving van sancties komen in de Wib
Artikel 17 van de Wib wordt aangepast. In dat artikel staat voor welke doelen de andere lidstaat de van Nederland ontvangen gegevens mag gebruiken. Voorheen was dat alleen “voor de vaststelling, tenuitvoerlegging en handhaving van het nationale recht van de andere lidstaat met betrekking tot de omzetbelasting en andere indirecte belastingen“. Daar worden nu ook douanerechten aan toegevoegd, dat is niet onlogisch.
Minder logisch is dat ook “de bestrijding van witwassen van geld en financiering van terrorisme” wordt toegevoegd in lid 1 onder a. Dat betekent een aanzienlijke verbreding van de reikwijdte van de uitwisseling, aangezien achter ‘witwassen’ alle soorten van criminaliteit die een financieel voordeel opleveren schuil gaan.
Ook in artikel 30 Wib wordt de bestrijding van witwassen van geld en financiering van terrorisme toegevoegd, dit keer zodat de Nederlandse overheid de ontvangen gegevens worden gebruikt voor de misdaadbestrijding.
Sanctiemaatregelen worden eveneens toegevoegd aan de uitwisseling, zowel in artikel 17 als in artikel 30 Wib.
Tot slot
Het voorstel bevat diverse andere bepalingen, onder meer over platformrenseignering.
Misschien moet de titel van de Wib maar eens gewijzigd worden in ‘Wet op de internationale bijstandsverlening ter bestrijding van criminaliteit‘.
[1] Dit begrip wordt in het het wetsvoorstel gedefinieerd als “aanbieder van cryptoactivadiensten: een aanbieder van cryptoactivadiensten als bedoeld in artikel 3, eerste lid, onder 15, van Verordening (EU) 2023/1114“. Het voorstel bevat ook een definitie van ‘cryptoactivadiensten’.
[2] Voorstel voor de Wet implementatie EU-richtlijn gegevensuitwisseling cryptoactiva, dossier Tweede Kamer.
[3] Daarbij valt op dat in het wetsvoorstel nog niet de terminologie van de antiwitwasverordening die binnenkort in werking treedt wordt gehanteerd. De ‘uiteindelijk belanghebbende’ is in die verordening omgedoopt tot ‘uiteindelijk begunstigde’. Of de ubo uit deze wet dezelfde ubo is als die in de antiwitwasverordening (AMLR) wordt uit de memorie van toelichting (pagina 49-51) niet duidelijk.
Op pagina 51 lijkt het kabinet te veronderstellen dat de stichting vergelijkbaar is met een trust:
In het geval van andere juridische overeenkomsten dan een trust, bijvoorbeeld stichtingen, wordt onder ‘uiteindelijk belanghebbenden’ verstaan personen in dezelfde of vergelijkbare posities als die van uiteindelijk belanghebbenden bij een trust.
In de memorie van toelichting bij de implementatiewet van het antiwitwaspakket (consultatie, zie de aankondiging) is door het kabinet uiteengezet dat de Nederlandse stichting helemaal niet vergelijkbaar is met de trust.
[4] Over de betekenis staat op pagina 72 van de memorie van toelichting: “Het begrip ‘rol of rollen’ heeft in het voorgestelde artikel 10c, eerste lid, onderdeel d, WIB dezelfde betekenis als in het voorgestelde artikel 10b, eerste lid, onderdeel c, WIB. 229 Voor het voorgestelde artikel 10c, eerste lid, onderdeel d, WIB geldt daarnaast hetzelfde als voor het voorgestelde artikel 10b, eerste lid, onderdeel c, onder 2°, WIB wat inlichtingen over bedoelde rol of rollen betreft: er geldt een tijdelijke en voorwaardelijke beperking. Voor een toelichting hierop wordt verwezen naar de toelichting op de wijzigingen van artikel 10b WIB.”
[5] Op pagina 74 van de memorie van toelichting is vermeld dat het gebruik van een dergelijke identificatiedienst betekent dat de identiteit en fiscale woonplaats(en) van de betreffende verkoper zijn geverifieerd.
Nonprofit organisatie vereniging Vrijbit, die zich bezig hield met allerlei onderwerpen op het gebied van burgerrechten en privacy, is per 1 juli jl. gestopt, zo melden zij op hun website.
In het persbericht schrijft de organisatie onder meer:
De leden hebben ingestemd met het voorstel tot opheffing omdat men er alle begrip voor opbracht dat de kleine club mensen die zich nu 17 jaar hebben ingezet voor Vrijbit (en degene die via het Meldpunt Misbruik ID-plicht erbij kwamen inmiddels 20 jaar) het niet meer vol konden houden.
Reden besluit opheffing
Niet langer bleek het mogelijk om als kleine onafhankelijke vrijwilligersorganisatie te voldoen aan het noodzakelijke beantwoorden van advies- hulp- en informatievragen, het voeren van jarenlang durende rechtszaken tegen privacy aantastingen, het leveren van inbreng op voorgenomen nieuwe wet- en regelgeving ten aanzien van thema’s als biometrische identificatie, recht op lichamelijke integriteit, de jacht op medische en sociale persoonsgegevens, het bestuderen van de lawine aan nieuwe wetgeving en voorstellen daartoe, het bestuderen van nieuwe technologische mogelijkheden en de gevolgen die daarmee gepaard gaan voor de aantasting van de privacy.
Het ubo-register was de druppel die de emmer bij de vereniging deed overlopen:
Waarnaast Vrijbit ook een hoge boete van € 25.750 riskeerde en een veroordeling van de bestuursleden als plegers van een economisch delict, wegens weigering te voldoen aan de UBO-registratieplicht van niet-belanghebbenden. In het ‘Ultiem Belanghebbenden’ anti witwas -en terrorismefinancieringsregister UBO. Waarmee de persoonsgegevens van zich belangeloos inzettende burgers, t/m hun ID-document en adres, rechtstreeks gelabeld worden als potentieel verdacht. Zonder dat betrokkenen bovendien enig zicht kunnen houden op welke wijze de gegevens in handen komen van de 26 bevoegde instanties, onderzoekers of journalisten. Noch waar ze voor worden gebruikt, hoe geanalyseerd/geïnterpreteerd, aan welke andere databestanden (in binnen en buitenland) ze worden gekoppeld, kortom wat de gevolgen zijn. Deze UBO-plicht, waar Vrijbit inmiddels een rechtszaak over had aangespannen vormde de druppel die de emmer deed overlopen.
De websites blijven echter in de lucht en het voormalige bestuur blijft bereikbaar, aldus het persbericht.
Naar aanleiding van de ubo-activiteiten van Vrijbit schreef ik eerder In de non-profit begrijpen velen niet waarom zij ‘ubo’ zijn en in het ‘ubo-register’ moeten worden opgenomen.
Het jaaroverzicht 2024 van FIU Nederland werd in juli aan de Tweede Kamer gestuurd, zie de pagina op de Tweede Kamer site, de brief van de minister van Veiligheid en het jaaroverzicht.
Volgens de brief van de minister zou FIU Nederland de volgende trends hebben gesignaleerd:
Hand in eigen boezem?
De opwinding over ‘derdenbetalingen’ (iets wat gewoon in het Burgerlijk Wetboek staat) is nieuw.
De andere onderwerpen (rechtspersonen, vastgoed en zorgfraude) zijn oud als de wereld, waarbij opvalt dat in de brief geen aandacht is voor de faciliterende rol die de overheid in die domeinen speelt.
Een voorbeeld is de zorgsector, die zwaar gereguleerd is, wat het hoogst merkwaardig maakt dat criminelen er zo makkelijk toegang toe hebben, er misdaadgeld in kunnen pompen en fraude plegen. Het zou logisch zijn om te kijken naar aanpassingen van de zorgregelgeving, om misbruik tegen te gaan, in plaats van het inhuren van de private sector om misstanden op te sporen.
Gelijksoortige zaken zijn bij rechtspersonen en vastgoed aan de orde: in beide sectoren gelden allerlei regels, die de toegang van misdaadgeld zouden moeten bemoeilijken.
Waarom werken die regels niet? Wordt het misschien tijd om van de notaris een ambtenaar te maken die een betere informatiepositie krijgt?
Het uitbesteden van de opsporing van misdaadgeld aan de private sector heeft weinig zin, als de oorzaken niet worden aangepakt.
Anti-money laundering (AML) and countering terrorist financing (AML) in the EU is supposed to be a ‘data-driven’ [1]. It is therefore interesting to read the texts on information and communication technology in the Work Programme for 2025 of the European Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA).
EuReCA
Currently the European Banking Authority (EBA) is responsible for EuReCA, the black sheep database with financial institutions that do not comply with AML/CFT rules well enough. This database will be transferred to AMLA.
FIU.net system
The FIU.net system will be transferred to the AMLA (page 10):
These efforts will enable AMLA to begin joint analyses, facilitate mutual assistance, and progressively assume hosting of the FIU.net platform.
Central AML/CFT Database
AMLA is developing the Central AML/CFT Database, that is based on article 11 of the AMLA Regulation (‘AMLAR’). The database will be used by AMLA for analysing the collected information and for making available information to [2]:
The database will be fed by supervisory authorities, non-AML/CFT authorities, other national authorities and bodies competent for ensuring compliance with a number of directives and a regulation. The database will include data related to individual obliged entities and related data subjects, including data on ‘fit and proper’ assessments of shareholders or members of the management body of individual obliged entities [3].
Personal data collected in the Central AML/CFT Database may be kept in an identifiable form for a period of up to ten years after the date of collection of the data by the AMLA, at the end of which those data shall be deleted. Based on a regular assessment of their necessity, personal data may be deleted before the expiry of that period on a case-by-case basis [4].
Notes:
[1] See this article for the citation of an executive board member, “Our workstreams are defining building blocks for a unified, data-driven and resilient AML framework in Europe’s fight against financial crime”.
[2] Paragraph 11(1) AMLAR.
[3] Paragraphs 11(2) up to and including 11(4) AMLAR.
[4] Paragraph 11(7) AMLAR.
The history of anti-money laundering is characterised by devising concepts that are supposedly suitable for financial institutions (FIs) (though they fail in complying [*]), which are then transferred to all kinds of companies doing completely different things.
The recently announced Work Programme for 2025 shows that the Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA) will continue on this wrong path, even though they admit the other obliged entities are completely different, e.g. in (page 31):
In creating these mandates, the non-financial sector will be a special point of attention. The legal framework is currently significantly less harmonized in this sector compared with the financial sector.
The text “significantly less harmonized” is an understatement and shows that the AMLA neither knows nor understands the non-financial sector.
An example of the direction the AMLA is taking is found on page 47 (the annex):
An executive board member is cited with a text on a ‘unified’ framework:
“Our workstreams are defining building blocks for a unified, data-driven and resilient AML framework in Europe’s fight against financial crime.”
— Rikke-Louise Petersen, Executive Board Member, Policy Coordination
For the multitude of non-financial obliged entities, many of which are SMEs, things look bad. They are likely to go down with fines and other penalties for not complying properly with the “unified” AML rules
Note:
[*] Not because they don’t want to comply, but because the rules are unworkable.
Een beschaafde overheid zorgt er voor dat rechtshulp ook bereikbaar is voor mensen met minder geld, zeker omdat de belangrijkste tegenstander diezelfde overheid is!
De advocaten die in deze gespecialiseerde rechtsgebieden actief zijn hebben recht op een fatsoenlijke beloning.
>>> Lees meer over gefinancierde rechtshulp. >>>
Ellen Timmer - juridische artikelen en berichten 