Illegal spying on citizens by secret services worldwide is rampant | COE webinar

Geplaatst op 7 november 2020 door Ellen Timmer

IT is making the world less safe for people. One of the reasons is illegal spying by secret services. Monday 9 November a webinar by the Council of Europe is taking place that is introduced as follows:

Illegal spying on citizens by secret services worldwide is rampant. Global standards for democratic & effective supervision become highly necessary. But how to get there?

These are words of one of the speakers at the webinar, Sophie in’t Veld, Dutch Member of the European Parliament. Other speakers are:

  • Max Schrems, the famous privacy activist
  • Joseph A. Cannataci, Special Rapporteur on the right to Privacy, United Nations
  • Dunja Mijatović, Commissioner for Human Rights, Council of Europe
  • Kenneth Propp, Professor of European Union Law, Georgetown University Law Center

The introduction to the webinar:

Setting democratic global standards for intelligence agencies: the way forward

Seven years after the Snowden revelations brought to light the breadth of mass surveillance by public authorities, the digitisation of our societies and globalisation of data flows has continued at a rapid pace.

Social media, cloud computing, and other technical developments provide unprecedented opportunities to support individuals’ freedom of expression, cross-border business, and effective and open government. But these face significant future obstacles unless democratic nations can agree standards to effectively protect privacy and other human rights in the context of large-scale government surveillance.

The Court of Justice of the European Union (CJEU) has emphasised in several recent judgments the crucial importance of safeguards, enforceable rights and effective legal remedies when personal data are being processed for the purposes of public security, defence and state security. It ruled that the “Privacy Shield” negotiated between the EU and the USA failed to provide the necessary essentially equivalent protection, notably in respect of access to transferred data by intelligence services, and invalidated the agreement.

For years, influential voices have been calling for democratic and effective supervision of security and intelligence services worldwide to ensure better protection of the rights and fundamental freedoms of people.

The time has come to act.

What are the necessary steps to agree on global standards for democratic supervision of intelligence agencies? Which actors are involved, and at which level should this be arranged?

How can we bring together the numerous criteria developed by the Courts, including the European Court of Human Rights, the CJEU, and the US Supreme Court, on effective guarantees, accountability, and independent oversight of intelligence services, and discuss this issue at global level and find consensus on democratic standards?

Join some of the key voices in this burning discussion on these questions, and share your views on the means to better protect individuals in the context of international data flows.

More information on the webinar page.

 

The COE webinar takes place on Monday 9 November, from 2:00 PM tot 3:30 PM. No registration is required / just follow this link to connect.

 

Geplaatst in English - posts in English on this blog, Europa | Tags: , , , , , , , | Plaats een reactie

Wet bestuur en toezicht rechtspersonen II: memorie van antwoord ingediend

Geplaatst op 6 november 2020 door Ellen Timmer

Voor stichtingen en verenigingen is het voorstel voor de Wet bestuur en toezicht rechtspersonen van belang; dat voorstel werd op 28 januari 2020 door de Tweede Kamer aangenomen. Hoewel de verwachting was dat het voorstel dit jaar door de Eerste Kamer zou worden afgehamerd, leek de behandeling stil te liggen, want tot voor kort dateerde de laatste activiteit van eind maart 2020. Toen stelden de leden van de vaste commissie voor Justitie en Veiligheid van de Eerste Kamer allerlei vragen (zie het voorlopig verslag).

Inmiddels is er beweging: op 28 oktober jl. werd de memorie van antwoord aangeboden. Misschien lukt het toch nog om de parlementaire behandeling dit jaar af te ronden.

 

Meer informatie:

Een eerdere wet bestuur en toezicht rechtspersonen had vooral gevolgen voor kapitaalvennootschappen, deze wordt door mij als ‘Wet bestuur en rechtspersonen I‘ aangeduid.

 

Een eerdere versie van dit artikel verscheen eerder op het ondernemingsrechtweblog.

Geplaatst in Rechtspersonenrecht, Stichting en vereniging | Tags: | Plaats een reactie

FATCA petition in committee meeting of the European Parliament

Geplaatst op 6 november 2020 door Ellen Timmer

During the meeting of the Committee on Petitions of the European Parliament of 10 November 2020 a petition regarding FATCA will be discussed (item 18).

Documents regarding the subject:

Further information here. The session will be webstreamed.

 

Addition 10 November 2020
Sweden is denying its citizens financial human rights:

 

Addition 11 November 2020
A recording of the meeting can be viewed here. The item on FATCA had a duration of about 35 minutes, starts around 17:44 nr and runs until 18:20 hr. Read this article on the meeting.

The lawyer of the petitioner, Mr. Noseda, on his website published a letter he sent on 10 November 2020 to the Chair of the PETI committee, that he summarizes as follows:

This letter summarises some of the issues that were addressed during the public hearing before the European Parliament’s Petition Committee (PETI) which has been conducting an investigation into the data protection implications of FATCA.

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt | Tags: , , , , , , | Plaats een reactie

Is de uitwisseling van fiscale gegevens van burgers tussen landen wel veilig? | CRS, FATCA

Geplaatst op 6 november 2020 door Ellen Timmer

De Nederlandse Minister van Financiën liet bij beantwoording van vragen uit de Tweede Kamer weten dat hij er het volste vertrouwen in heeft dat de Verenigde Staten zich aan grondbeginselen van databescherming houdt, bij de ontvangst van persoonsgegevens van Nederlandse ‘US persons’ op grond van FATCA (dit stond al in mijn eerdere artikel). In antwoord op vraag 5 schreef de minister onder meer:

De uitwisseling van persoonsgegevens van US Persons (waaronder ‘Accidental Americans’) met de VS ten behoeve van belastingheffing vindt plaats op grond van Artikel 30 van het bilaterale belastingverdrag tussen Nederland en de Verenigde Staten, en specifiek op grond van het Verdrag tussen Nederland en de VS tot verbetering van de internationale naleving van de belastingplicht en de tenuitvoerlegging van de FATCA (NL IGA). Financiële instellingen verstrekken geen gegevens rechtstreeks aan de IRS, de uitwisseling van informatie vindt plaats op overheidsniveau. Gegevens worden verstrekt onder de voorwaarde van een geheimhoudingsplicht voor de ontvanger. Het Global Forum on Transparancy and Exchange of Information for Tax Purposes (GF) beoordeelt periodiek of landen voldoen aan de eisen van gegevensbescherming en geheimhouding. De VS heeft op dat gebied in onafhankelijke peer reviews (2011 en 2018) van het GF optimaal gescoord. Dit geeft de Minister van Financiën geen aanleiding om te veronderstellen dat de VS geen adequate gegevensbescherming biedt als het gaat om het uitwisselen van persoonsgegevens op basis van de NL IGA.

Dit is opmerkelijk in het licht van Schrems II-uitspraak van het Europese Hof  en de beoordeling door de Europese privacy toezichthouder.

EDPS “strongly encourages … to avoid processing activities that involve transfers of personal data to the United States
De European Data Protection Supervisor (EDPS) is de instantie die toezicht houdt op de Europese instellingen, zoals Europol. Deze instellingen worden ook wel als EUIs aangeduid. EDPS schreef op 29 oktober jl. in een persbericht:

The Judgement has far-reaching consequences on all legal tools used to transfer personal data from the EEA to any third country, including transfers between public authorities.

In het bijbehorende strategiedocument schreef EDPS:

the EPDS strongly encourages EUIs to avoid processing activities that involve transfers of personal data to the United States

Dit is ook relevant voor gegevensuitwisseling tussen EU-lidstaten en de VS op grond van FATCA.

Herbrand: naleving grondrechten is niet gewaarborgd
Of de grondrechten wel worden beschermd bij andere vormen van uitwisseling van fiscale persoonsgegevens tussen staten door middel van de ‘Common Reporting Standard‘ (CRS), moet worden betwijfeld, aldus een artikel in de Duitse krant F.A.Z. over een datalek van gegevens van Duitse belastingbetalers. In het artikel wordt de FDP-politicus Herbrand geciteerd, die zegt dat het onwaarschijnlijk is dat een team van zestien personen bij OECD in staat zou zijn de naleving van de databeschermingsregels door meer dan honderd landen te controleren. Herbrand vreest dat de fiscale gegevensuitwisseling tussen landen schadelijk kan zijn voor politici van de oppositie, kritici van het regime, dissidenten en journalisten in landen als Azerbeidzjan, China, Pakistan, Rusland en Saudi-Arabië.

Engelse brief aan EDPB
In het Verenigd Koninkrijk is een advocaat Filippo Noseda, bezig met het onderwerp gegevensuitwisseling met onder meer de Verenigde Staten. Een overzicht van zijn correspondentie over dat onderwerp en FATCA is te vinden via deze pagina. Zijn laatste brief is van 3 november jl. en gericht aan de European Data Protection Board (EDPB). Daarin reageert hij op een discussiedocument van de Europese Raad over gegevensuitwisseling in fiscale zaken van 11 september 2020 (bijlage bij zijn brief). Hij spreekt zijn bezorgdheid uit over databescherming in het kader van de uitwisseling van persoonsgegevens met de VS op grond van FATCA.

Vragen aan de Europese Commissie over doorgifte van data aan de VS in het kader van de FATCA en de AVG
Europarlementariër Sophie in’t Veld stelde op 22 september jl. vragen aan de Europese Commissie over de gegevensverstrekking aan de VS. Haar vragen:

1. Is deze overdracht van informatie in de ogen van de Commissie in overeenstemming met de algemene verordening gegevensbescherming (AVG)?
2. Beschouwt de Commissie deze overdracht van informatie een rechtstreeks gevolg van de door de lidstaten met het oog op de tenuitvoerlegging van de FATCA gesloten intergouvernementele overeenkomsten? Wat gaat de Commissie doen om de overdracht van deze informatie naar de VS te beschermen?
3. Gaat de Commissie inbreukprocedures tegen de lidstaten inleiden?

Het antwoord is er zo te zien nog niet.

Tot slot
Overheden zijn enthousiast over de uitwisseling van belastinggegevens, omdat dit meer belastinginkomsten kan opleveren. Het lijkt er op dat die overheden vergeten zijn dat de grondrechten van burgers gerespecteerd moeten worden. Het is hoog tijd dat hier maatregelen worden genomen.

 

Aanvulling 21 december 2020
Zie over internationale gegevensuitwisseling de laatste nieuwsbrief van EDPS:

International data transfers top of the agenda for the 48th EDPS – DPO meeting

To mark the 48th meeting convening the EDPS and the network of data protection officers (DPOs) of the 68 EU institutions and bodies (EUIs) on Friday 11 December 2020, EDPS Director Leonardo Cervera Navas published a blogpost recounting this important event.

The online meeting was an opportunity for DPOs to voice their concerns on issues related to international transfers in light of the EDPS’ recently published Compliance Strategy and the EDPB’s Recommendations following the “Schrems II” Judgement. This session was particularly pertinent as the EDPS is acutely aware of the challenges that the Judgement’s implementation poses for EU institutions and bodies. Questions predominantly focused on technical details, such as the practical consequences for existing and new contracts, how to conduct Transfer Impact Assessments (TIAs), or the margin of manoeuvre with regard to the use of derogations or supplementary measures. As these complexities were discussed, European Data Protection Supervisor Wojciech Wiewiórowski reiterated that efforts to comply with “Schrems II” is a joint venture between the EDPS and data controllers in the EU institutions and bodies.

The second part of the meeting, entitled “Technology, Privacy in 2020 and beyond – a futuristic retrospective”, provided DPOs with a review of the tech challenges impacting the protection of personal data and privacy, as well as an overview of what 2021 may bring in this area.

As the event drew to a close, Leonardo Cervera Navas praised the continued cooperation between the EDPS and the data protection officers of the EU institutions and bodies.

Read Blogpost

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | 2 reacties

Hollandse Hufters

Geplaatst op 5 november 2020 door Ellen Timmer

Het is al een tijd aan de gang: bedreiging van ambulancepersoneel, politiemensen, gemeenteraadsleden, leden van de Tweede Kamer, overheidsfunctionarissen, journalisten en vele anderen die gewoon hun werk willen doen. De opwinding is groot als de dader iets met jihadisme te maken heeft, maar als het Hollandse hufters zijn wordt het nadat dure deskundigen wat rapporten hebben geschreven al snel weer stil.

Het helpt niet om op ‘hard straffen’ aan te dringen. Kennelijk ontbreekt bij veel Nederlanders moreel besef. De vraag is hoe dat komt en wat we daar aan kunnen doen. Het lijkt me dat het andere dan juridische maatregelen moeten zijn die de rotte kern van Nederland aanpakken.

 

Meer informatie:

Een greep uit de bedreigingen:

 

 

Aanvulling 10 januari 2025
Het huftergedrag gaat nog steeds door. Zie bijvoorbeeld in Binnenlands Bestuur: 1 op de 3 burgemeesters in Overijssel bedreigd. Treurig.

Geplaatst in Grondrechten | Tags: | 1 reactie

Britse banken die rekeningen van Nederlandse klanten sluiten | Brexit

Geplaatst op 4 november 2020 door Ellen Timmer

De NOS schreef over Britse banken die rekeningen van consumenten (‘retailklanten’) in Nederland sluiten. Het ministerie van financiën beantwoordde er kamervragen over. Uit de antwoorden blijkt dat dit gebeurt omdat de betreffende Britse banken niet langer beschikken over een vergunning waarmee ze betaalrekeningen in Nederland mogen aanbieden. Een aantal Britse banken heeft een vestiging in Europa opgericht en een bankvergunning aangevraagd, zodat men in de EU rekeningen aan consumenten kan aanbieden; maar niet alle banken doen dat.

Op de vraag of professionele marktpartijen meer bescherming hebben dan gewone rekeninghouders, antwoordt de minister:

De regelgeving is er op gericht om retailklanten (extra) te beschermen, juist door te voorkomen dat banken uit landen buiten de EU, waar mogelijk minder prudente regels gelden, grensoverschrijdend diensten kunnen aanbieden aan retailklanten in NL/EU. In de interne markt gelden gemeenschappelijke regels waardoor grensoverschrijdende bancaire dienstverlening aan retailklanten wel verantwoord mogelijk is. Instellingen uit derdelanden dienen over de juiste autorisatie te beschikken, bijvoorbeeld door een dochteronderneming in de EU op te richten, om ervoor te zorgen dat zij aan de relevante regels voldoen, en EU- toezichthouders moeten hier ook op kunnen toezien en handhaven. Specifieke groepen professionele klanten (professionele marktpartijen) kunnen wel bediend blijven worden vanuit een derdeland, omdat juist vanwege hun professionaliteit hier minder bescherming nodig wordt geacht.

 

Aanvulling 9 december 2020
Lees ook EBA informs customers of UK financial institutions about the end of the Brexit transition period:

EBA informs customers of UK financial institutions about the end of the Brexit transition period

The United Kingdom (UK) left the European Union (EU) on 31 January 2020. Under the Withdrawal Agreement reached between the EU and UK, EU law applies in the UK during a transition period until 31 December 2020. This means that EU law will stop to apply in the UK as of 1 January 2021, and from that date onwards, UK financial institutions not holding a valid authorisation from the supervisory authorities in the EU will lose the right to provide financial services in the EU.
This statement clarifies previous EBA statements regarding the UK withdrawal from the EU (Brexit) for the benefit of consumers across the EU.

Preparedness of financial institutions
In order to continue to provide financial services in the EU, UK financial institutions will need to ensure that they offer these services through entities that are duly authorised in the EU. Based on the assessment of the supervisory authorities in the EU, most of the UK financial institutions that are actively planning to continue offering their services in the EU have obtained adequate authorisations for their EU-based activities and are in the process of ‘ramping up’ their EU operations. This includes ensuring that those entities have adequate staff, management and risk management capabilities, and that they move EU customers and their contracts into their EU entities, where relevant. In situations where the authorisation process would not be finalised before the end of the transition period, supervisory authorities in the EU have requested institutions to implement contingency plans setting out alternative actions until they receive authorisations.
Where the UK financial institutions have chosen to cease their activities in the EU, they are required to finish off-boarding of the affected customers by the end of the transition period without causing detriment to consumers.

Changes in cross-border payments between the EU and UK
After the end of the transition period, EU-based payment service providers will need to provide more information regarding the payer for cross-border payments and direct debits from the EU to the UK, compared to intra-EU transfers, which is how payments to the UK have so far been treated. In addition to the payer’s payment account number or unique transaction identifier, the information will include also details on the payer’s name and either the payer’s address, official personal document number, customer identification number or the date/place of birth. As a result, the consumers transferring funds between the EU and UK may be asked by their payment service providers to provide these additional details.

Access to bank accounts in UK and protection of depositors
Under EU law, after the end of the transition period, consumers in the EU may maintain their existing bank accounts held with UK financial institutions, subject to the relevant UK legal requirements. However, consumers need to consider the following:

• If the consumer’s bank account is held with a UK financial institution authorised in the UK, the deposit protection rules applicable in the UK will apply, and these may be different to those applicable to bank accounts held in the EU.
• If the bank account is held with an EU-based branch of a UK financial institution, it will no longer be covered by the UK deposit guarantee scheme (as explained by the UK authorities), consumers are advised to check with their financial institution (branch) or national supervisory authorities in their Member State whether such deposits will be protected by the deposit protection scheme in the relevant Member State.

If the consumer’s bank account is held with a UK-based branch of an EU-authorised institution, it will be covered by the UK deposit scheme based on the information currently available. However, this could change after the end of transition period and such deposits may or may not be protected by the UK or a national deposit protection scheme in the EU.
Should consumers hold such accounts and not yet be aware of the applicable deposit protection arrangements, they are recommended to contact their financial institutions they are holding deposits with or national supervisory authorities to obtain more information.

Consumers to seek more information from their financial institutions
The EBA has been calling on all financial institutions affected by Brexit, and in particular UK financial institutions offering financial services to consumers in the EU, to adequately and timely inform consumers regarding the availability and continuity of the services they currently provide, including whether institutions plan to cease offering services to consumers in the EU. In case of the latter, the institutions are expected to explain to consumers the impact of the discontinuation of services and the way to exercise consumer rights.
Should consumers have concerns about the availability of financial services offered to them by UK financial institutions after the end of the transition period they may wish to contact their financial institutions directly and seek information regarding the continuity of financial services.

Further EU sources of information in relation to Brexit
Consumers are also encouraged to consult the websites of the EBA, the EU Commission (e.g. European Commission Notice to stakeholders) and national supervisory authorities for communications and guidance about the UK withdrawal from the EU and its impact on the provision of financial services in the specific Member States.

LINKS
Brexit
Impact of Brexit on consumers

 

Aanvulling 21 januari 2021
Inmiddels is Brexit een feit. Bekijk voor de huidige stand van zaken alleen informatie van op of na 1 januari 2021, omdat een aantal belangrijke handelingen in december 2020 hebben plaats gevonden. Mogelijk dat er in de financiële sector na 1 januari 2021 wijzigingen plaats vinden, dus werk altijd alleen met de meest actuele gegevens.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten | Tags: , , | Plaats een reactie

Engelse privacytoezichthouder treedt op tegen datahandelaar in financiële persoonsgegevens | Experian, ICO

Geplaatst op 3 november 2020 door Ellen Timmer

De Nederlandse privacytoezichthouder stelt onderzoek in naar handelaren in financiële persoonsgegevens. De toezichthouder in het Verenigd Koninkrijk, Information Commissioner’s Office (ICO), lijkt verder te zijn.

Privacy International laat weten dat ICO handhavend is opgetreden, lees: UK data regulator takes enforcement action to rein in data brokers’ use of people’s personal data.

Lees ook het bericht van ICO zelf: ICO takes enforcement action against Experian after data broking investigation (met verwijzing naar het rapport). ICO schrijft dat Experian en de gelieerde ondernemingen Equifax en TransUnion, zgn. ‘credit reference agencies (CRAs)‘, financiële gegevens over mensen verzamelden, zonder die mensen daarvan op de hoogte te stellen en hen in de gelegenheid te stellen fouten te corrigeren of de gegevens te laten verwijderen. De datahandelaren leveren hun gegevens aan ondernemingen, politieke partijen en not-for-profitorganisaties, waarbij ook gegevens werden geleverd of de financiële gegoedheid van de personen en de kans dat zij producten of diensten zouden afnemen, respectievelijk een goed doel zouden steunen.

Experian c.s. kregen van ICO een bevel (enforcement notice) om hun werkwijze aan te passen, bij gebreke waarvan een sanctie kan worden verwacht (“This could include a fine of up to £20m or 4% of the organisation’s total annual worldwide turnover“).

Experian is een handelaar in persoonsgegevens die wereldwijd actief is en in 2017 in het nieuws kwam vanwege een enorm datalek.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Openbaarmaking NOW-steun

Geplaatst op 2 november 2020 door Ellen Timmer

Eerder berichtte ik over de openbaarheid van de gegevens in het Europese subsidieregister.
Van de ontvangers van NOW-steun worden de gegevens eveneens bekend gemaakt. Het voorlopige register van NOW 1.0 is bij de UWV te vinden via deze pagina. De UWV schrijft:

Omdat op dit moment alleen de voorschotbedragen in het register staan, kunnen hier dus nog geen rechten aan ontleend worden. Het register zal op een later tijdstip aangevuld worden met de definitieve bedragen. De definitieve bedragen kunnen afwijkend zijn van voorschotbedragen. Na afloop van de tweede aanvraagperiode NOW zal UWV eenzelfde register publiceren.

 

Dit register mag door iedereen in een database worden gezet, want men schrijft “Alles uit deze uitgave mag worden overgenomen, echter uitsluitend met bronvermelding“. Dus datahandelaren kunnen de informatie gebruiken om de gegevens die ze al hebben over betrokken bedrijven te ‘verrijken’. Ik ben benieuwd of dat ook gebeurt en wat het effect is.

Op de site van de Kamer van Koophandel staat een artikel waarin wordt uitgelegd dat via de Wet openbaarheid van bestuur (Wob) nog meer bedrijfsgegevens kunnen worden opgevraagd. Het laatste woord is hier vast nog niet over gesproken.

In het FD stond het artikel Openbaarmaking NOW-steun moet werkgever maar dulden, waarin een advocaat wordt geciteerd, die

weet dat het onderwerp wel ter sprake komt in de bestuurskamers van zijn cliënten. ‘Naar aanleiding van publicatie in het eerste NOW-register zijn er, voor zover ik weet, geen bedrijven die juridische actie hebben ondernomen’, zegt hij. ‘Het is al openbaar gemaakt. Je creëert er alleen maar meer publiciteit mee. En om vervolgens ook nog eens aantoonbare schade te moeten bewijzen, is helemaal lastig

Dat is klassiek voor de databescherming.

De lijst heeft de media gehaald (bijvoorbeeld hier en hier), waarbij met name grote bedrijven in het spotlicht worden gezet: KLM, NS, Booking.com en Tata Steel.

 

Aanvulling 29 januari 2021
Openbaarmaking van bedrijfsgegevens is ook aan de orde in het FD artikel Boeren ongerust omdat minister hun data over vervuiling moet openbaren. Dit is een artikel naar aanleiding van een stikstof uitspraak van de Raad van State, nieuwsbericht: Mi­nis­ter LNV moet lo­ca­tie­ge­ge­vens PAS-mel­din­gen open­baar ma­ken, 27 januari 2021.

Geplaatst in Bestuursrecht, ICT, privacy, e-commerce | Tags: , , , , , | 2 reacties

Waterval van cliëntenonderzoeken | Wwft

Geplaatst op 2 november 2020 door Ellen Timmer

In 2019 heeft het Hof Amsterdam uitspraak gedaan [1] in een geschil tussen ING Bank en haar cliënt, een saunaclub. De bank heeft de relatie opgezegd omdat de saunaclub niet voldeed aan de door de bank gestelde eisen.

De uitspraak is relevant voor andere ondernemingen die misdaad moeten ‘opsporen’ op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), door mij Wwft-plichtigen genoemd. De bank is een van de belangrijkste Wwft-plichtigen, er zijn vele anderen.

Onderwerpen: cliëntenonderzoek door niet-Wwft-plichtige en privacy klant
In de uitspraak van het Hof komen onder meer de volgende onderwerpen aan de orde:

{1} Mag de bank van haar cliënt verlangen dat die cliënt (die zelf niet Wwft-plichtig is) een eigen klantenonderzoek doet naar de herkomst van de middelen van de eigen klanten?
In andere woorden: leidt het cliëntenonderzoek van  tot een waterval van cliëntenonderzoeken?

{2} Moet de bank-cliënt op verzoek van die bank informatie verschaffen over de identiteit van zijn klanten en over de herkomst van de middelen van die klanten.
Niet iedereen zal er van wakker liggen dat de persoonsgegevens van bezoekers van een saunaclub bij de bank van laatstgenoemde terecht komen, al valt te begrijpen dat die bezoekers behoefte aan privacy hebben. De vraag is echter of de bank in het algemeen recht heeft op alle klantgegevens van haar cliënten. Met andere woorden: mag de bank opvragen wie de bezoekers van een schietclub zijn, mag de bank navragen welke klanten een advocatenkantoor heeft, enzovoorts.

Waterval van Wwft-cliëntenonderzoeken
In de aan het begin genoemde saunaclub-uitspraak heeft het Hof Amsterdam algemene bewoordingen geoordeeld dat van de club mag worden verwacht dat maatregelen worden getroffen om het risico van witwassen terug te dringen, wat zou inhouden dat de club onderzoek moet instellen naar de herkomst van gelden van de eigen klanten. Het Hof verwijst naar een eerdere uitspraak van het zelfde Hof:

Daarbij valt te denken aan het actief terugdringen van de omvang van de contante betalingen in de onderneming en het niet langer accepteren van grote coupures van € 200 en € 500. Verder is te denken aan het ontwikkelen en implementeren van een specifiek en effectief toelatingsbeleid dat Yin Yang c.s. in staat stelt zo nodig de herkomst van de aangeboden contante betalingen te verifiëren en/of, bij gebreke daarvan, de desbetreffende klanten te weigeren, alsmede het implementeren van een administratief systeem dat Yin Yang c.s. zelf en zo nodig ook haar bank – ter uitvoering van de op die bank op grond van artikel 3 lid 2 Wwft rustende verplichtingen – in staat stelt onderzoek te doen naar de bron van de contante geldstromen binnen de onderneming.

Praktisch betekent dit dat de saunaclub niet alleen de identiteit van de bezoekers moet vaststellen aan de hand van een identiteitsbewijs, maar dat de club voorts het doopceel moet lichten van alle bezoekers die grotere betalingen doen. Dit betekent dat het bedrijf niet alleen de herkomst van de eigen middelen moet aantonen (door middel van registratie van de personalia van de mensen die de contante betalingen verrichten), iets wat de bank van het bedrijf kan vragen op grond van de Wwft. Die wet schrijft niet voor dat cliënten van Wwft-plichtigen een klantonderzoek moeten doen naar hun eigen klanten, zodat de vraag is welke juridische grondslag het oordeel van het Hof op dit punt heeft. Dit thema komt in de uitspraak van Hof Amsterdam helaas niet aan de orde.

Anders oordeelt Rechtbank Amsterdam in een recente zaak tussen de Rabobank en een cliënt [2], waarbij ‘eiseres’ de cliënt van de bank is:

Daarbij is een algemeen bezwaar dat Rabobank de Wwft te ruim interpreteert. Zij lijkt er in haar stukken vaak vanuit te gaan dat niet Rabobank maar [eiseres] aan de Wwft moet voldoen en dat het Wwft-onderzoek (mede) zou gaan om de klant achter de klant (zie bijvoorbeeld vraag 2 en 3 aan de deskundige).

Is het uitvoerbaar?
In de saunaclub-uitspraak kom ik tegen dat de club in een protocol heeft staan dat het personeel naar de herkomst kan gelden kan vragen als de bezoeker entreegeld voor meer dan vijf personen betaalt en als een of meer bij elkaar horende bezoeker(s) een bedrag van meer dan € 2000 per maand besteden. Dat is makkelijk opgeschreven, maar alleen vragen naar ‘de herkomst’ is natuurlijk niet voldoende (de klant roept dan uiteraard: ‘legaal!’). Het lijkt me praktisch heel lastig om de herkomst van de gelden van de klanten na te gaan.

Gesteld dat de Hoge Raad de uitspraak van het Hof niet casseert [3], dan kan dit grote consequenties hebben voor alle Wwft-plichtigen en hun cliënten. Het kan betekenen dat alle Wwft-plichtigen aan hun cliënten gaan vragen naar een Wwft-cliëntenonderzoek naar hun eigen klanten (al is de klant niet Wwft-plichtig), ook in situaties dat die klanten wel giraal betalen.

Dit lijkt me veel te ver gaan en een zinloze bureaucratie opleveren, waar plezier aan wordt beleefd door de compliance-sector en door IT-ondernemingen die antiwitwasgegevens en antiwitwassoftware leveren (aan ondernemingen die dat kunnen betalen). Het mkb gaat dit niet trekken.

Persoonsgegevens van klanten
Een ander interessant aspect van deze zaak is de vraag of de bank recht heeft op inzage van de persoonsgegevens van de klanten van de saunaclub. Bij girale betaling krijgt de bank die persoonsgegevens vanzelf binnen, bij contante betaling is dat uiteraard niet het geval. Dat saunaclub-bezoekers hun personalia niet publiek willen maken, is niet verrassend. Dit onderwerp wordt in de uitspraak van het Hof niet verder uitgewerkt.

Zo is denkbaar dat een systeem wordt bedacht waarbij de bezoekers anoniem blijven en er elders informatie is over hun identiteit en over het ontbreken van een strafblad. Of dat voor een bank acceptabel is, is natuurlijk de vraag.

Dit onderdeel van de uitspraak van Hof Amsterdam kan gevolgen hebben voor andere Wwft-plichtigen en hun cliënten. Het praktische belang van de persoonsgegevens zal kleiner worden als contante betalingen vanaf 3000 euro voor beroeps- en bedrijfsmatige handelaren in zaken worden verboden [4].

Tot slot: cascade van cliëntenonderzoeken
De Wwft lijkt een cascade van cliëntenonderzoeken tot gevolg te hebben. De Wwft is daarmee niet alleen een Wet van het Dubbele Werk voor Wwft-plichtigen zelf [5], maar leidt er ook toe dat Wwft-plichtigen hun niet-witwasbestrijdingsplichtige klanten tot hetzelfde gaan verplichten.

De vraag is of dat proportioneel is, of de cybersecurity- en databeschermingsrisico’s voldoende worden gemitigeerd en of het effectief is ter bestrijding van criminaliteit. Het middel kan wel eens erger zijn dan de kwaal.

De grote winnaars: de compliance-sector en grote IT-bedrijven. De verliezers: het mkb en de consument.

[1] Arrest Hof Amsterdam 30 juli 2019.
[2] Rechtbank Amsterdam 22 september 2020.
[3] Wat valt te verwachten als de conclusie van de Procureur-Generaal T. Hartlief, die op 30 oktober is gepubliceerd, wordt gevolgd.
[4] Plan van aanpak witwassen, internetconsultatie.
[5] Lees onder meer Wet van het Dubbele Werk | de makelaar en de Wwft, Wet van het Dubbele Werk | banken willen graag Wwft-naleving centraliseren.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Strafrecht | Tags: , , , , | 4 reacties

Montesquieu over Europa

Geplaatst op 31 oktober 2020 door Ellen Timmer

De oktober-nieuwsbrief van het Montesquieu Instituut gaat over Europa en bevat lezenswaardige bijdragen over:

waarbij het artikel ‘Machiavelli in Washington’ (daar schreef ik al over) duidelijk maakt dat we van de VS niet veel meer hebben te verwachten. Er zit niets anders op dan Europa sterker te maken op die terreinen waar de individuele landen het niet alleen kunnen.

Geplaatst in Europa | Tags: , , , , , | Plaats een reactie