Nieuwe wetgevende plannen voor de trustkantoren-sector

Geplaatst op 18 januari 2020 door Ellen Timmer

Op 14 januari jl. maakten de ministers van Financiën en van Veiligheid een brief bekend over de voortgang van de maatregelen op het gebied van bestrijding van financieel-economische criminaliteit, in het kort als ‘witwassen’ aangeduid. Zoals bekend heeft de overheid taken op het gebied van opsporing (‘monitoring van transacties‘) van vermoedelijke strafbare feiten (‘ongebruikelijke transacties‘) naar het bedrijfsleven geprivatiseerd. Belangrijke spelers in dat verband zijn onder meer trustkantoren, waar ik in dit artikel op focus.

Bij de brief van de ministers horen een aantal  bijlagen, onder meer een door DNB opgesteld ‘Toezichtbeeld DNB Trustkantoren 2019‘.

Kernrol trustkantoren: optreden als statutair bestuurders
De trustkantoren krijgen in de brief van de ministers en in het door DNB vervaardigde toezichtbeeld flinke vegen uit de pan, waarbij de suggestie wordt gewekt dat het financiële instellingen zijn. Het opmerkelijke daarbij is dat de belangrijkste dienst die trustkantoren verlenen het optreden als statutair directeur van rechtspersonen is, met name bij besloten vennootschappen en stichtingen naar Nederlands recht. In verband met die bestuursrol verlenen ze domicilie en verrichten ze administratieve werkzaamheden. Trustkantoren verlenen geen financiële diensten en zijn ook geen financiële instellingen.

Voorlopig gaan de ministeries van Financiën en van Veiligheid door met verhullen dat het hier om gewone statutair bestuurders gaat.

Beleidsvoornemens
De ministers schrijven in de brief van 14 januari dat trustkantoren de nieuwe regelgeving nog niet voldoende geïncorporeerd zou hebben. Uit de brief van de ministers blijkt niet wat er dan onvoldoende geïmplementeerd zou zijn en welk verband die zogenaamde onvolkomenheden hebben met de aangekondigde maatregel van het verbieden van de ‘doorstroomvennootschap‘ als bedoeld in de Wtt 2018 (goed te onderscheiden van de fiscale doorstroomvennootschap). Ik hoor nl. zelden van de trustkantoren die ik spreek, dat zij er Wtt-doorstroomvennootschappen op na houden.

Voorts bestaat het voornemen om trustkantoren te verbieden om “diensten verlenen waarbij landen betrokken zijn die a) op de lijst van derde-hoogrisicolanden staan of b) op de lijst van de Europese Commissie van non-coöperatieve derde landen op belastinggebied staan“. Uiteraard wordt dit gevolgd door een bekend poortwachtersmantra:

In die gevallen is sprake van een cumulatie van risico’s die wij onbeheersbaar achten in een sector waarbij de diensten op zichzelf al inherent hoge integriteitrisico’s met zich brengen.

Hoe de ministers er bij komen dat het zijn van statutair bestuurder een inherent hoog integriteitsrisico met zich meebrengt, is mij een raadsel, zeker nu trustkantoren – anders dan andere statutair bestuurders – onder toezicht van DNB staan.

De ministers starten een onderzoek naar illegale trustdienstverlening, iets waarover al vele malen is gesproken, namelijk het splitsen tussen het zijn van statutair bestuurder en het verlenen van domicilie. DNB spreekt er alleen in vage termen over, zodat niet duidelijk is wat er speelt.

Verslag DNB
Opvallend is dat de ministers spreken over door DNB opgelegde formele handhavingsmaatregelen, waarbij de suggestie wordt gewekt dat dit verband houdt met de hiervoor bedoelde beleidsvoornemens. Dat verband kan niet worden gevonden in het document van DNB, nu DNB spreekt over onderzoeken naar 21 trustkantoren en oplegging aan een deel van die trustkantoren van tien handhavingsmaatregelen. Dat geeft dus geen beeld van de sector van de trustkantoren in het algemeen.

Het beeld waar DNB over spreekt heeft betrekking op de bureaucratische eisen die aan trustkantoren worden gesteld, op het gebied van het bewijzen van hun inspanningen (vastlegging in het dossier). Lees bijvoorbeeld:

Belangrijke gemene deler bij de uitkomst van onderzoeken is dat er nog regelmatig tekortkomingen worden aangetroffen in de uitvoering van het verplichte cliëntenonderzoek en de vastlegging ervan in het dienstverleningsdossier (dvd), in een dvd komt het door het trustkantoor uitgevoerde cliëntenonderzoek met betrekking tot een specifieke cliënt tot uiting. Uit een dvd is op te maken of het trustkantoor het cliëntenonderzoek adequaat heeft uitgevoerd. Dit houdt in dat in het dvd de integriteitsrisico’s zijn benoemd, hoe deze worden ondervangen en of de integriteitsrisico’s na mitigerende maatregelen acceptabel zijn voor het trustkantoor, oftewel of die risico’s (na mitigatie) passen binnen de zogenaamde risk appetite van het trustkantoor. DNB ziet dat de vereiste ‘due diligence’ niet altijd aanwezig is waardoor in sommige gevallen integriteitsrisico’s niet in beeld zijn, of lager worden ingeschat dan ze zijn, of de effectiviteit van mitigerende maatregelen hoger wordt ingeschat dan die is. Ook ziet DNB dat het cliëntenonderzoek niet compleet is.

Weg met de trust?
Het is niet verrassend dat lid van de Tweede Kamer Nijboer tijdens de behandeling van de Wwft-voorstellen op 3 december 2019 in de Tweede Kamer zei:

Bij trustkantoren vind ik dat anders. Dan vind ik het heel gek om zo’n trustkantoor dat vertrouwen te geven. Dat weet de minister ook. Ik wil gewoon van die trustkantoren af. Dan moet wel de wetgeving worden aangescherpt, maar het is vragen om ellende om die te laten voortbestaan. 

Het lijkt er op dat dit de kern is van waar de ministeries en DNB mee bezig zijn. Nu trustkantoren huis-tuin-en-keuken activiteiten hebben op het gebied van rechtspersonen (besturen, domicilie verlenen en administreren), is de wens van Nijboer niet reëel.

Machine-denken
Uit de brief van de ministers rijst het bij trustkantoren bekende beeld op van het stellen van onhaalbare eisen, waaraan geen mens kan voldoen.

Het is een voorbeeld van het machine-denken van de overheid waarover ik op mijn algemene blog schreef. Lees over dat onderwerp ook Dehumanisation of the large corporation door Jaap Winter. Juist bestrijding van criminaliteit leidt tot het doorslaan van de overheid, heeft de toeslagenaffaire ons geleerd. Ondernemers hebben daar niet zoveel aan.

Ik ben heel benieuwd of het toezichtregime voor trustkantoren straks voor alle statutair bestuurders in Nederland zal gaan gelden. Als dat gebeurt dan is er werkgelegenheid voor iedere burger tot in de lengte van dagen. Met behulp van IT kan iedereen zich tot het oneindige bezighouden met vastleggen, risico’s analyseren, mitigerende maatregelen nemen, risk appetite bepalen en gesprekken voeren met compliance- en audit-functionarissen en met de toezichthouder.

 

Meer informatie:

Brief van 14 januari 2020, rijksoverheid.nl (pdf)

  • Bijlage – Reactie beleidsmonitor terrorismefinanciering, rijksoverheid.nl (pdf)
  • Bijlage – Bijlage bij Kamerbrief Beleidsmonitor Terrorismefinanciering, rijksoverheid.nl (pdf)
  • Bijlage – Toezichtbeeld DNB Trustkantoren 2019, rijksoverheid.nl (pdf), opgesteld door DNB
  • Bijlage – Advies toegang tot gegevens voor poortwachters in de aanpak van witwassen, rijksoverheid.nl (pdf). Advies Autoriteit Persoonsgegevens.

Lees ook mijn artikel De bureaucratische dwaalweg van het toezicht op trustkantoren.

 

Dit artikel verscheen eerder op de site van Compliance Platform Trustkantoren.

Geplaatst in Bestuur en toezicht bij rechtspersonen, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Trustkantoren | 2 reacties

Ubo’s komen op ieder uittreksel van de Kamer van Koophandel | Wwft

Geplaatst op 17 januari 2020 door Ellen Timmer

Vandaag nog iets interessants ontdekt.

Op grond van de gewijzigde Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) zullen alle Wwft-plichtigen bij aanvang van de diensten over een bewijs van inschrijving van de uiteindelijk belanghebbenden (ubo’s) moeten beschikken.

Dat is geen apart uittreksel.

In de parlementaire geschiedenis van de ubo-register wet werd gesproken over een “bewijs van inschrijving in het ubo-register“. Lees bijvoorbeeld de memorie van toelichting inzake de wet tot wijziging van de Wwft [1]. Daarin wordt onder het kopje “7.6. Bewijs van inschrijving in het UBO-register” gesproken over dat bewijs:

In verschillende consultatiereacties zijn vragen gesteld over de verplichting in artikel I, onderdeel G, waarin is opgenomen dat een instelling die een nieuwe zakelijke relatie aangaat met een vennootschap of andere juridische entiteit, over een bewijs van inschrijving van de uiteindelijk belanghebbenden van die juridische entiteiten in het handelsregister beschikt. Naar aanleiding van deze reacties is de artikelsgewijze toelichting bij dit onderdeel aangevuld. Allereerst is nader toegelicht dat een bewijs van inschrijving in het handelsregister de instelling niet ontslaat van de verplichting om zelfstandig onderzoek te doen om de uiteindelijk belanghebbende te identificeren. De verplichting om zelfstandig de uiteindelijk belanghebbende vast te stellen en een discrepantie te melden tussen de resultaten van deze identificatie en de informatie die is opgenomen in het UBO-register, volgen rechtstreeks uit artikel 30, vierde en achtste lid, van de richtlijn. Daarnaast wordt gevraagd welke verplichtingen een instelling heeft als er een zakelijke relatie wordt aangegaan met een rechtspersoon die is gevestigd in een andere lidstaat of in een derde land. Toegelicht is dat ook in deze gevallen een instelling zelfstandig de uiteindelijk belanghebbende dient te identificeren, zoals dat nu ook al het geval is. De verplichtingen om, indien van toepassing, het buitenlandse UBO-register te raadplegen en eventuele discrepanties te melden, gelden dan in beginsel niet.

Hoewel het kopje spreekt over een bewijs van inschrijving in het ubo-register, volgt uit de tekst dat het bewijs waarover de Wwft-plichtigen moeten beschikken geen apart uittreksel uit het ubo-register is, maar gewoon een uittreksel uit het handelsregister.

Anders gezegd: in de toekomst staan de uiteindelijk belanghebbenden op ieder uittreksel.

Dat volgt ook uit de systematiek, want in artikel 4 van de Wwft [2] staat straks dat de Wwft-plichtige bij het aangaan van een nieuwe zakelijke relatie met een cliënt beschikt over een bewijs van inschrijving in het handelsregister en stelt de Wwft-plichtige vast of de de uiteindelijk belanghebbenden van de cliënt zijn opgenomen (in dat uittreksel) als bedoeld in het nieuwe artikel 15a van de Handelsregisterwet 2007.

Ik ben benieuwd wat er in het uittreksel komt te staan over het economisch belang van onder meer de pseudo-ubo’s en of de pseudo-ubo’s twee keer in het uittreksel worden opgenomen. Waarschijnlijk wel. De Kamer van Koophandel zwijgt op de website nog over dit thema [3].

Het zal zorgen voor een pijlsnelle verspreiding van de ubo-gegevens over de aardbol. Want uiteindelijk belanghebbenden hebben geen recht op privacy en trekken altijd aan alle touwtjes.

 

Noten
[1] Memorie van toelichting wijzigingswet Wwft.
[2] Wetsvoorstel Eerste Kamer.
[3] De pagina over privacy van de Kamer van Koophandel zegt niets over uiteindelijk belanghebbenden en ook de vraag & antwoord ubo-register zwijgt.

 

Aanvulling 2 oktober 2020
De Kamer van Koophandel heeft bekend gemaakt dat er twee soorten uittreksel zijn, een gewoon uittreksel en een KvK uittreksel ubo-register.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Handelsregister, ICT, privacy, e-commerce, Kamer van Koophandel, Ubo-register | Tags: , , , , , , , , | Plaats een reactie

Gedoe rondom de toegang tot het ubo-register terwijl concepten privatisering misdaadbestrijding niet worden onderzocht | Wwft

Geplaatst op 17 januari 2020 door Ellen Timmer

Wwft-plichtigen, zoals banken, accountants en notarissen, rollen over elkaar heen om te laten zien hoe serieus zij hun misdaadbestrijdingstaak nemen. Reflectie op de vraag of de door FATF en criminologen bedachte systemen tot privatisering van de misdaadbestrijding wel zinvol zijn, ontbreekt volledig.

Een van de vele groepen ondernemingen die een dergelijke bestrijdingstaak hebben, is het notariaat. Dat lijkt een logische keus, nu de notaris een belangrijke rol in het kader van de rechtszekerheid speelt en belangrijk is bij transacties inzake vastgoed en aandelen. Maar of hun Wwft-rol wel uitvoerbaar is, blijf ik me afvragen.

Het notariaat vraagt om toegang tot het complete ubo-register, zo lees ik bij de KNB. Naar mijn mening bevat dat register onzinnige informatie, onder meer staan er statutair bestuurders van rechtspersonen in die als ‘pseudo-ubo’ ook daar moeten worden opgenomen als er geen ‘echte’ ubo is. De informatie in het register is beperkt, ook in het besloten deel.

Als de overheid serieus denkt dat notarissen misdaad kunnen bestrijden, zou het beter zijn als de notarissen via een ja-nee systeem toegang zouden hebben tot het strafregister en tot opsporingsgegevens, bijvoorbeeld de gegevens over de 200 vermoedelijke topcriminelen, die doelwit zijn van de Serious Crime Taskforce. Het zou goed zijn als de Nederlandse en Europese overheid zouden stoppen met de ubo-register bureaucratie en zouden zorgen dat de handelsregisters in de hele EU up-to-date en eenvoudig toegankelijk zijn.

(Ik weet dat ik een roepende in de woestijn ben.)

Het KNB-bericht van 14 januari 2020:

Notarissen willen ruimere toegang tot het UBO-register
14-01-2020

De Koninklijke Notariële Beroepsorganisatie (KNB) vindt dat de notaris toegang moet krijgen tot alle informatie in het UBO-register en heeft dit de Eerste Kamer per brief laten weten. Notarissen krijgen nu beperkt toegang tot het UBO-register. Zij zijn wel een van de poortwachters van het financiële stelsel en hebben een belangrijke rol bij het signaleren en voorkomen van financieel-economische criminaliteit, zoals witwassen.

Het voorstel voor het UBO-register ligt nu bij de Eerste Kamer. Het register gaat naar verwachting in het voorjaar van 2020 van start. De gegevens naam, geboortemaand, geboortejaar, woonstaat, nationaliteit en aard en omvang van het economische belang zijn door iedereen in te zien. Voor notarissen zijn alleen deze openbare gegevens beschikbaar. Om aan hun Wwft-verplichtingen te voldoen, moeten zij zelf aanvullende informatie verzamelen, aldus de KNB in de brief (pdf, 140 kB). De ministers van Financiën en Justitie en Veiligheid hebben toegezegd de toegang van Wwft-instellingen tot de aanvullende gegevens in het UBO-register voor een formeel advies voor te leggen aan de Autoriteit Persoonsgegevens.

Centraal aandeelhoudersregister
De beroepsorganisatie meent dat naast een UBO-register ook een centraal aandeelhoudersregister (CAHR) moet worden ingevoerd als middel voor de aanpak van witwassen, terrorismefinanciering en andere vormen van financieel-economische criminaliteit. De toegevoegde waarde van het CAHR ten opzichte van het UBO-register zit onder meer in de vulling: het UBO-register wordt gevuld met gegevens die zijn aangeleverd door de registratieplichtige vennootschappen en andere juridische entiteiten en hun uiteindelijk belanghebbenden zelf. Het CAHR berust op wettelijk verplichte opgaven door notarissen op basis van notariële akten.

Dit bericht verscheen eerder op het ondernemingsrechtweblog.

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , , | Plaats een reactie

Vergunningplicht voor cryptocurrencybedrijven | Wwft

Geplaatst op 16 januari 2020 door Ellen Timmer

Het Ministerie van Financiën heeft bedacht om een vergunningplicht aan bepaalde cryptocurrencybedrijven op te leggen, onder de verhullende naam ‘registratieplicht’. Dit merkwaardige fenomeen zal worden ondergebracht in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), die verder geen vergunningplichten of gelijksoortige systemen kent.

De cryptosector is er niet blij mee, lees wat hun juridisch adviseur Simon Lelieveldt er over schrijft op twitter in een enorme draad met allerlei verwijzingen:

 

 

Wetsvoorstel
Het wetsvoorstel is nog in behandeling. Daarin worden twee nieuwe categorie Wwft-plichtigen toegevoegd:

l. natuurlijke personen, rechtspersonen of vennootschappen die beroeps- of bedrijfsmatig diensten voor het wisselen tussen virtuele valuta en fiduciaire valuta aanbieden;
m. natuurlijke personen, rechtspersonen of vennootschappen die beroeps- of bedrijfsmatig bewaarportemonnees aanbieden;

Virtuele valuta worden gedefinieerd als:

een digitale weergave van waarde die niet door een centrale bank of een overheid wordt uitgegeven of gegarandeerd, die niet noodzakelijk aan een wettelijk vastgestelde valuta is gekoppeld en die niet de juridische status van valuta of geld heeft, maar die door natuurlijke personen of rechtspersonen als ruilmiddel wordt aanvaard en die elektronisch kan worden overgedragen, opgeslagen en verhandeld;

en de aanbieder van een bewaarportemonee als:

entiteit die diensten aanbiedt om namens haar cliënten cryptografische privésleutels te beveiligen om virtuele valuta aan te houden, op te slaan en over te dragen

Deze nieuwe Wwft-plichtigen moeten volgens een nieuw hoofdstuk 3A een vergunning aanvragen. In het hoofdstuk wordt over ‘registratie’ gesproken, maar in werkelijkheid is het een vergunningplicht, nu de aanvrager aan allerlei eisen moet voldoen, die in een algemene maatregel van bestuur zullen staan (aldus artikel 23c). Artikelen 23d en verder vertonen een grote gelijkenis met de regels voor trustkantoren en banken.

Volwassen
Een en ander geeft aan dat de sector volwassen is geworden, al blijf ik het ongewenst vinden dat deze vergunningplicht in de Wwft wordt opgenomen.

 

Meer informatie:

Aanvulling 20 januari 2020
Op verzoek van Simon Lelieveldt heb ik verduidelijkt dat hij adviseur is op het gebied van witwasbestrijding en cryptovaluta.

Aanvulling 3 februari 2020
Lelieveldt schreef over de vergunningplicht voor cryptobedrijven De crypto-puzzel van Financiën: reflectiemoment voor de Eerste Kamer, 20 januari 2020.

Aanvulling 2 februari 2021
DNB erkent dat het een vergunningplicht is:

Dit komt uit deze tweet, waarop DNB reageert met de mededeling dat het een vergissing zou zijn:

 

Dat is het natuurlijk niet, al blijven het Ministerie van Financiën en DNB de schijn ophouden. Wat wordt verkocht als ‘registratieplicht’ is in werkelijkheid een vergunningplicht, die niet in de Wwft thuis hoort. Maar in juridische systematiek is het Ministerie ook niet geïnteresseerd.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce, Virtuele valuta | Tags: , , , , , , | 1 reactie

Een labyrint van protocollen | Chris van der Heijden over de controlezuchtige overheid

Geplaatst op 15 januari 2020 door Ellen Timmer

Chris van der Heijden schreef voor De Groene over de wantrouwende overheid, in het artikel Een labyrint van protocollen. Het is een goed artikel dat beschrijft hoe de overheid naar de verkeerde kant is doorgeslagen. Hij eindigt met:

Er is zo veel controle, zo veel aandacht voor tegenprestatie, zo veel wantrouwen, zo veel verplichting en regelgeving, dat nu de andere kant ervan, de sociale doelstelling, in het gedrang komt. Dat kan eveneens onmogelijk de bedoeling zijn.

Het is jammer dat niemand belangstelling heeft voor diezelfde bizarre controlezucht en ontmenselijking in de witwasbestrijding. Op dezelfde manier zou je daar kunnen zeggen dat de controlezucht van de witwasbestrijding alle burgers criminaliseert – wat toch niet de bedoeling kan zijn…

Geplaatst in Bestuursrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , | 3 reacties

3 lines of defense-model is achterhaald | Moerel over compliance

Geplaatst op 14 januari 2020 door Ellen Timmer

Op 11 december jl. vergaderde de Vereeniging Handelsrecht onder meer over het preadvies van Lokke Moerel, Reflecties over de impact van de digitale revolutie op corporate governance van Nederlandse beursgenoteerde ondernemingen. In haar preadvies maakt Moerel interessante opmerkingen over de toekomst van de naleving van wet- en regelgeving (‘compliance’). Zij signaleert in paragraaf 2.2.1 dat die compliance op dit moment compleet vastloopt:

In met name gereguleerde sectoren zitten de gevestigde bedrijven zo vast in hun door compliance gedreven geïnstitutionaliseerde processen en bestaande IT-systemen (status quo bias) dat ze zich lastig kunnen voorstellen dat deze met nieuwe technologieën wezenlijk anders zijn in te richten, ook wat betreft compliance.

Zij maakt gehakt van het ‘3 lines of defense’-model:

Het zo door toezichthouders aangehangen 3 line of defense-model voor risicomanagement en interne controle heeft verder in de praktijk een remmende werking op innovatie.

In paragraaf 2.2.6 schrijft ze:

Mijn conclusie is dat het zo door toezichthouders aangehangen 3-line-of-defense-model in deze vorm niet geschikt is om tot verantwoorde innovatie te komen. Door jarenlange controle door de compliancefunctie is het zelflerende vermogen van de business om zelf contextuele beoordelingen en ethische afwegingen te maken ondermijnd. Ik heb eerder geschreven dat contextuele beoordelingen en ethische afwegingen spieren zijn die verschralen als je ze niet gebruikt. In de huidige overgereguleerde sectoren zoals de financiële sector, is de reflex inmiddels dat als er geen regel is die iets verbiedt, dat het dan dus mag. In de woorden van Van de Loo en Winter: Omdat wat niet geregeld is wordt ervaren als moreel vrij terrein hoeven we ook op dat terrein geen morele afwegingen te maken.

(Alle citaten exclusief noten.)

Aan het slot van paragraaf 2.2.6 komt Moerel tot de conclusie dat een compliance officer een volledig ander profiel dient te hebben dan nu. Het hoort iemand te zijn die out-of-the-box kan meedenken met de techneuten en van een veel zwaarder kaliber is dan de huidige officers, met navenant betere betaling.

Personen werkzaam bij het Ministerie van Financiën en DNB doen er goed aan dit preadvies, dat hier (pdf) is te vinden, met aandacht te lezen.

Aanvulling 3 februari 2020
Op de IAPP site publiceerde Moerel het artikel “Why this risk management best practice is not fit for digital innovation“. Start van het bericht:

Supervisory authorities around the globe typically consider the so-called “three-lines-of-defense model” as best practice for risk management and internal control. This risk management model is based on a strict segregation of duties. The commercial departments are expected to innovate and ensure compliance for new products and services (first line). The compliance function checks for irregularities (second line). The audit department then reviews, post rollout (third line).
This model, however, is not fit-for-purpose when it comes to digital innovation. In fact, this division of tasks inhibits innovation. Because new technologies are not yet fully regulated, it is difficult to perform a clear-cut compliance check.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , , , | Plaats een reactie

Deelname aan consultatie Wet plan van aanpak witwassen | Wwft

Geplaatst op 13 januari 2020 door Ellen Timmer

Morgen eindigt de internetconsultatie inzake de Wet plan van aanpak witwassen. In het conceptwetsvoorstel wordt voorgesteld om:

  • contante betalingen boven EUR 3000 door handelaren te verbieden,
  • Wwft-plichtigen te verplichten bij hoog-risico-cliënten gegevens uit te wisselen met eerdere dienstverleners uit dezelfde categorie en
  • gelegenheid te bieden voor gezamenlijke transactiemonitoring door Wwft-plichtigen.

Zelf deed ik mee aan de consultatie met onderstaand commentaar, dat ook als pdf kan worden gedownload, hier of via de internetconsultatiesite.

Kern van mijn commentaar:

  • De databeschermingsregels inzake de Wwft dienen te worden verbeterd, zie hoofdstuk I.
  • Beperking van contante betaling kan beter Europees worden geregeld. Nu kan het leiden tot discriminatie. Zie hoofdstuk II.
  • Verplichte algemene gegevensuitwisseling bij ‘hoog-risico’ cliënten is ongewenst. De verplichting is veel te ruim. Alleen specifieke Wwft-plichtigen dienen daartoe in de gelegenheid te worden gesteld, omgeven met waarborgen. Zie hoofdstuk III.
  • Het algemeen mogelijk maken van gezamenlijke transactiemonitoring door Wwft-plichtigen is ongewenst. Er dient te worden gestart met een beperkte groep en met sterke waarborgen. Zie hoofdstuk IV.

 

CONSULTATIEDEELNAME

Aan: Ministerie van Financiën, Ministerie van Justitie en Veiligheid
Van: Ellen Timmer
blog: https://ellentimmer.com/
Datum: 13 januari 2020
Onderwerp: consultatie Wet plan van aanpak witwassen, aangekondigd op https://www.internetconsultatie.nl/wetplanvanaanpakwitwassen

Mijne dames en heren,

Hierbij maak ik gebruik van de mogelijkheid om op persoonlijke titel deel te nemen aan deze consultatie. De consultatie betreft het voorstel voor een Wet plan van aanpak witwassen.

Het consultatievoorstel zal hierna ook als ‘het voorstel’ worden aangeduid.

Ik hoop dat u acht zult slaan op deze consultatiereactie.

Met vriendelijke groet,
Ellen Timmer

 

 

Inhoud:

I. Databescherming en Wwft
Inleiding
Voorbeeld consument
Surveillance door Wwft-plichtigen
AVG in de Wwft
Bewaartermijn
Naleving AVG-verplichtingen zoals informeren betrokkene
Uitzondering UAVG
Aanbevelingen

II. Verbod op contante betalingen voor beroeps- of bedrijfsmatige handelaren (artikel 1f nieuw)
Aanbeveling

III. Gegevensuitwisseling tussen Wwft-plichtigen bij verscherpt cliëntenonderzoek (artikel 9a nieuw)
Aanbevelingen

IV. Gegevensuitwisseling tussen Wwft-plichtigen (artikel 34b nieuw).
Geen generieke mogelijkheid
Samenwerking
Tekst artikel
Aanbevelingen

Bijlage – Consultatiedocument

 

I. Databescherming en Wwft

Graag verzoek ik u aandacht te besteden aan deze consultatiebijdrage inzake de internetconsultatie Wet plan van aanpak witwassen [1]. Het voorstel heeft betrekking op belangrijke wijzigingen in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en aanverwante regelgeving.

Inleiding
Het consultatievoorstel heeft belangrijke gevolgen voor databescherming en privacy van de cliënten van ondernemingen die de Wwft moeten naleven (Wwft-plichtigen). De Wwft is van toepassing op een grote groep ondernemingen, zoals banken, accountantskantoren, verzekeringsmaatschappijen, notarissen en garagehouders [2]. Die cliënten van Wwft-plichtigen kunnen natuurlijke personen zijn. Voorts zijn bij cliënten die geen natuurlijke persoon zijn (zoals besloten vennootschappen en stichtingen) allerlei natuurlijke personen betrokken, bijvoorbeeld als statutair bestuurder, vertegenwoordiger, certificaathouder, aandeelhouder en als uiteindelijk belanghebbende van een ander type dan directe of indirecte aandeelhouder/certificaathouder.

In het wetgevend proces is er tot op heden weinig aandacht geweest voor privacy en databescherming rondom de Wwft. Dat onderwerp speelt zowel bij Wwft-plichtigen als bij de overheidsinstanties die op grond van de Wwft gegevens verkrijgen.

Alle Wwft-plichtigen zijn verplicht tot het doen van een uitvoerig cliëntenonderzoek bij het aangaan en de continuering van de relatie met hun cliënten. Voorts zijn zij verplicht tot een permanente monitoring van alle transacties die cliënten tijdens de relatie aangaan. Deze surveillance activiteiten strekken zich uit tot zowel ondernemingen en organisaties als alle consumenten.

Voorbeeld consument
Zo zag ik dat onlangs een consument, een gepensioneerde Nederlander, van zijn bank onder meer de volgende vragen kreeg:

en

Deze consument was een jaar geleden klant geworden bij deze bank, toch vraagt de bank:

Het is hoogst merkwaardig dat een bank vragen stelt over geldverkeer met een notaris, die zelf onder de Wwft valt. Om aan een gepensioneerde consument vragen te stellen over ‘geldstromen’ in de toekomst, is al helemaal vreemd. Als een bank een jaar na het aangaan vragen stelt als hierboven vermeld, geeft de bank daarmee aan het inleidend cliëntenonderzoek niet goed te hebben verricht.

Het cliëntenonderzoek door banken hoort zich te richten op vermoedelijk ongebruikelijke transacties, niet op incidentele financiële gebeurtenissen bij een cliënt, zoals in het geval hierboven.

Door nette burgers lastig te vallen met vragen over transactiemonitoring, zal de banksector zich nog verder van de maatschappij vervreemden.

Surveillance door Wwft-plichtigen
De surveillance-verplichtingen op grond van de Wwft zijn bij het Nederlandse publiek onvoldoende bekend. In de Wwft staat dat Wwft-plichtigen verplicht zijn om alle transacties waarvan deze Wwft-plichtigen kennis nemen te monitoren [3]. Daarnaast dienen deze ondernemingen te monitoren op grond van de sanctieregelgeving, die deels andere definities kent dan de Wwft. De Wwft-plichtigen worden verondersteld te kunnen waarnemen of de transacties verband kunnen houden met witwassen of terrorismefinanciering; als de Wwft-plichtige vermoedt dat dit het geval is, moeten de desbetreffende transacties worden gemeld als ‘ongebruikelijke transacties’ bij FIU-Nederland. Een gering deel van de gemelde ongebruikelijke transacties leidt in de praktijk tot strafvervolging.

Zowel witwassen als terrorismefinanciering zijn zeer ruim gedefinieerde begrippen. Ieder vermogensvoordeel en geldbedrag dat mogelijk afkomstig is van criminele handelen, is witwasvoordeel respectievelijk witwasgeld. Terrorismefinanciering is iedere ontvangst door een mogelijke terrorist, wat betekent dat het zowel legale bronnen (salaris, geldlening) als illegale bronnen (criminele opbrengsten, die derhalve ook onder de definities van witwasssen vallen) omvat.

Persoonsgegevens
De Wwft-verplichtingen brengen voor betrokken ondernemingen met zich mee dat zij vertrouwelijke gegevens moeten verzamelen en analyseren. Tot die gegevens behoren grote hoeveelheden persoonsgegevens, waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Dat brengt onder meer met zich mee dat niet meer persoonsgegevens mogen worden verzameld dan nodig is voor het doel en dat alle Wwft-plichtigen voldoende cybersecurity maatregelen moeten nemen.

De persoonsgegevens betreffen de natuurlijke personen die klanten zijn van de Wwft-plichtigen, zoals consumenten en zzp’ers. Verder verzamelen Wwft-plichtigen persoonsgegevens inzake natuurlijke personen die betrokken zijn bij hun overige klanten (zoals rechtspersonen, personenvennootschappen en andere entiteiten). Dat kunnen (in)directe aandeelhouders zijn, maar ook statutair bestuurders en andere relaties.

Wwft-plichtigen betrokken bij transacties
De bekendste groep Wwft-plichtigen is die van de banken. Doordat een groot deel van het betalingsverkeer via banken verloopt, beschikken zij over een schat aan gegevens. Banken handelen door de ruime definitie van witwassen en terrorismefinanciering zeer snel in strijd met de wet, aangezien zij zelf bij transacties betrokken zijn. Datzelfde geldt voor notarissen, die het betalingsverkeer bij onder andere aandelentransacties en vastgoedtransacties verzorgen. Andere Wwft-plichtigen doen niet zelf transacties, maar zijn zijdelings bij transacties betrokken (zoals de advocaat [4] die een overname van aandelen begeleid) en de ondernemingen die zijn betrokken bij de administraties waarin transacties voorkomen (zoals administratiekantoren en accountants).

AVG in de Wwft
Hierna worden een aantal AVG-aandachtspunten besproken.

Bewaartermijn
In paragraaf 5.2 van de Wwft is een summiere tekst over gegevensbescherming opgenomen, waarin is opgenomen dat persoonsgegevens, verzameld op grond van de Wwft, door Wwft-plichtigen alleen worden verwerkt met het oog op het voorkomen van witwassen en financieren van terrorisme en niet verder worden verwerkt voor commerciële doeleinden of andere doeleinden die niet verenigbaar zijn met dat doel (artikel 34a lid 1 Wwft). Artikel 34a lid 3 van de Wwft bepaalt dat de Wwft-plichtige na afloop van de wettelijke bewaartermijn op grond van de Wwft [5] de persoonsgegevens vernietigd. Daar zit een belangrijk probleem in: bij Wwft-plichtigen met langdurige klantrelaties, zoals banken, eindigt de bewaartermijn nooit.

Naleving AVG-verplichtingen zoals informeren betrokkene
In artikel 34a lid 2 Wwft is opgenomen dat de Wwft-plichtige informatie aan de cliënt (de zakelijke relatie) verstrekt over de verwerking van persoonsgegevens op grond van de Wwft. Die cliënt zal in veel gevallen niet de betrokkene zijn (de persoon wiens persoonsgegevens het betreft in de zin van de AVG). Deze bepaling laat onverlet dat de Wwft-plichtige op grond van de AVG alle betrokkenen moet informeren over de verwerking van persoonsgegevens. Dit onderwerp ontbreekt in de voorlichting die onder andere het Ministerie van Financiën en DNB aan de Wwft-plichtigen verschaffen. Ons is bekend dat Wwft-plichtigen de betrokkenen niet of niet adequaat informeren over de verwerking van persoonsgegevens.

Onveilige digitale communicatie
Bij communicatie met cliënten met het oog op het Wwft-cliëntenonderzoek door Wwft-plichtigen worden persoonsgegevens en andere vertrouwelijke gegevens uitgewisseld. Ons is bekend dat die uitwisseling veelal per e-mail plaats vindt terwijl van algemene bekendheid is dat e-mail een volstrekt onveilige communicatievorm is, die ruime mogelijkheden biedt voor ongewenste personen om gegevens te onderscheppen. Hoewel dit bekend is, weten wij dat de meeste banken geen beveiligd communicatiekanaal aanbieden. Ook notarissen – die onderling beveiligd communiceren – sturen concepten van notariële akten met daarin gegevens inzake het identiteitsbewijs en andere persoonsgegevens per e-mail aan hun contactpersonen. Dit is een ongewenst en gevaarlijke situatie voor betrokkenen.

AVG-toezicht
Nu Wwft-plichtigen op grond van de Wwft zeer veel en gevoelige persoonlijke informatie over cliënten-natuurlijke personen en bij de overige cliënten betrokken natuurlijke personen verzamelen, dient streng AVG-toezicht op de Wwft-plichtigen plaats te vinden. Voor zover ons bekend is dat momenteel niet het geval.

Uitzondering UAVG
Ik acht het hoogst ongewenst dat in artikel 42 Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), een uitzondering op de verplichting op grond van de AVG om datalekken te melden aan Autoriteit Persoonsgegevens is opgenomen voor alle financiële ondernemingen, te weten:

* de afwikkelonderneming;
* de bank;
* de beheerder van een beleggingsinstelling;
* de beheerder van een icbe;
* de beleggingsinstelling;
* de beleggingsonderneming;
* de betaaldienstverlener;
* de bewaarder;
* en clearinginstelling;
* en entiteit voor risico-acceptatie;
* de financiëledienstverlener –> degene die een ander financieel product dan een financieel instrument aanbiedt, die adviseert over een ander financieel product dan een financieel instrument of die bemiddelt, herverzekeringsbemiddelt, optreedt als gevolmachtigd agent of optreedt als ondergevolmachtigde agent;
* de financiële instelling –> degene die, geen bank zijnde, in hoofdzaak zijn bedrijf maakt van het verrichten van een of meer van de werkzaamheden, bedoeld onder 2 tot en met 12 en 15 in bijlage I bij de richtlijn kapitaalvereisten, of van het verwerven of houden van deelnemingen;
* de icbe;
* de kredietunie;
* de pensioenbewaarder;
* de premiepensioeninstelling;
* de verzekeraar; of
* de wisselinstelling.

Ik ben van mening dat deze ruime groep ondernemingen ten onrechte is uitgezonderd.

Aanbevelingen

* Voeg in artikel 32 lid 3 Wwft toe dat indien de zakelijke relatie langer dan tien jaar heeft geduurd, de gegevens die ouder zijn dan tien jaar worden verwijderd.

* Voeg in de Wwft een bepaling toe dat de Wwft-plichtige uitsluitend via beveiligde kanalen met cliënten en betrokkenen gegevens uitwisselt inzake het Wwft-cliëntenonderzoek.

* Draag aan de Wwft-toezichthouders op om de Wwft-plichtigen uitvoerig te informeren over hun AVG-verplichtingen.

* Breng wijziging in artikel 42 Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), waarin een uitzondering op de verplichting op grond van de AVG om datalekken te melden aan Autoriteit Persoonsgegevens is opgenomen.

* Draag er zorg voor dat de Autoriteit Persoonsgegevens extra personeel in dienst kan nemen zodat deze autoriteit adequaat toezicht kan houden op de Wwft-plichtigen.

 

II. Verbod op contante betalingen voor beroeps- of bedrijfsmatige handelaren (artikel 1f nieuw)

In artikel 1f wordt voorgesteld te verbieden dat natuurlijke personen, rechtspersonen of vennootschappen, die beroeps- of bedrijfsmatig handelen als koper of verkoper van goederen, betaling van goederen in contanten voor een bedrag van € 3.000 of meer verrichten of accepteren, ongeacht of de transactie plaatsvindt in een handeling of door middel van meer handelingen waartussen een verband bestaat.

Hoewel ik begrijp dat contanten een grote rol spelen bij criminaliteit, vraag ik me af of het voorgestelde artikel 1f nieuw wel voldoende rekening houdt met het feit dat mensen uit andere EU-landen niet over zulke geavanceerde betalingsmogelijkheden beschikken als de inwoners van Nederland. Het beperken van de mogelijkheid om contant te betalen kan discriminatie van burgers uit andere EU-landen tot gevolg hebben, wat in strijd met de Europese regelgeving is.

Aanbeveling

* Zie af van artikel 1f nieuw en dring in Europa aan op Europese regelgeving, die rekening houdt met de verschillen tussen EU-landen in de betalingsmogelijkheden.

 

III. Gegevensuitwisseling tussen Wwft-plichtigen bij verscherpt cliëntenonderzoek (artikel 9a nieuw)

Voorgesteld wordt om alle Wwft-plichtigen te verplichten om bij verscherpt cliëntenonderzoek na te gaan of een andere Wwft-plichtige van dezelfde categorie diensten verleent, heeft verleend of heeft geweigerd aan de cliënt en om gegevens inzake die cliënt met andere Wwft-plichtigen uit te wisselen (artikel 9a nieuw) (‘terugzoekplicht’). Dit voorstel acht ik ongewenst, aangezien het kan leiden tot onnodige en riskante verspreiding van persoonsgegevens en andere vertrouwelijke gegevens.

Daarbij vestig ik er de aandacht op dat het verscherpt cliëntenonderzoek ook plaats vindt bij nette burgers, zoals bij ‘politiek prominente personen’ (‘PEP’s’) [6], die door de wetgever tot ‘hoog risico’ zijn bestempeld, terwijl de meesten van hen nette burgers zijn, bijvoorbeeld leden van het bestuur van een politieke partij en ambassadeurs.

Bovendien bevat de voorgestelde tekst voor de terugzoekplicht geen tijdsbepaling. Dat betekent dat een Wwft-plichtige vragen zou moeten stellen over gelijksoortige ondernemingen waarmee een cliënt tien jaar geleden zaken deed.

Wwft-plichtigen vormen een rijk geschakeerde groep van ondernemingen, groot en klein en met verschillende vormen van toezicht, soms beperkt tot alleen Wwft-toezicht. Een opsomming is bij FIU-Nederland te vinden [7]. Wij zijn van mening dat een dergelijke uitwisseling van gegevens slechts behoort plaats te vinden tussen gereguleerde ondernemingen, van een type waarvoor de gegevensuitwisseling relevant is.

Verder vindt ik het niet verstandig dat Wwft-plichtigen zelf moeten bedenken wat “gebleken integriteitrisico’s” zijn (artikel 9a nieuw lid 2). Daar kan veel mee mis gaan en dat gebeurt ook. Regelmatig worden mensen op zwarte lijsten geplaatst, zonder deugdelijke onderbouwing, bijvoorbeeld in de Extern Verwijzingsregister (EVR) en/of het Intern Verwijzingsregister (IVR) van banken en verzekeringsmaatschappijen. Dat is in strijd met de toepasselijke regelgeving, zoals AVG, de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen.

Lees over dit onderwerp het artikel “Op de zwarte lijst van banken: in de financiële gevangenis” [8], dat in oktober 2019 in NRC verscheen.

Het is hoog tijd dat de rechtsbescherming rondom de categorisering door Wwft-plichtigen van hun cliënten en de bij de cliënten betrokken natuurlijke personen sterk wordt verbeterd.

Aanbevelingen

* Verplicht de Wwft-plichtige die de terugzoekplicht wenst te toe te passen de (toekomstige) cliënt te informeren over het feit dat hij als hoog-risico wordt aangemerkt en zorg voor passende rechtsbescherming voor de cliënten, zodat de (toekomstige) cliënten de risicocategorisering kunnen aanvechten bij een onafhankelijke rechterlijke instantie.

* Beperk de terugzoekplicht tot bij algemene maatregel van bestuur aangewezen groepen Wwft-plichtigen die een adequaat integriteits- en AVG-toezicht kennen. Als test zou kunnen worden gekeken hoe een en ander bij banken werkt.

* Beperk de terugzoekplicht tot bij algemene maatregel van bestuur aangewezen groepen cliënten, waarbij het is aan te bevelen in Nederland wonende PEP’s integraal uit te zonderen.

* Beperk de terugzoekplicht in tijd, bijvoorbeeld tot vijf jaar voorafgaand aan het eerste contact met de hoog risico cliënt.

* Voer strenge monitoring uit op de wijze waarop Wwft-plichtigen uitvoering aan de terugzoekplicht geven (met name naleving AVG, inclusief cybersecurity en PIA).

* Verbeter de regelgeving rondom zwarte lijsten, inclusief rechtsbescherming en verbetering van het toezicht door de Autoriteit Persoonsgegevens.

 

IV. Gegevensuitwisseling tussen Wwft-plichtigen (artikel 34b nieuw).

Een generieke mogelijkheid voor alle Wwft-plichtigen om transacties te “delen”, zoals in het nieuwe artikel 34b voorgesteld, acht ik zeer ongewenst. Net als bij artikel 9a nieuw vermeld kan een dergelijke ongeclausuleerde gegevensuitwisseling leiden tot onnodige en riskante verspreiding van persoonsgegevens en andere vertrouwelijke gegevens.

Geen generieke mogelijkheid
Ook hier is van belang dat Wwft-plichtigen een rijk geschakeerde groep van ondernemingen vormen, groot en klein en met verschillende vormen van toezicht, soms beperkt tot alleen Wwft-toezicht. Wwft-plichtige ondernemingen hebben geen deskundigheid op het gebied van opsporing van strafbare feiten, zodat voorzichtigheid is geboden met betrekking tot de uitwisseling van vertrouwelijke gegevens.

Mijn mening is dat een dergelijke uitwisseling van gegevens slechts behoort plaats te vinden tussen ondernemingen waarop een passend juridisch kader van toepassing is, te verwachten is dat de gegevensuitwisseling van belang kan zijn voor de opsporing, waarbij er goede rechtsbescherming is voor cliënten en betrokken natuurlijke personen en strak toezicht.

In dat verband attendeer ik u er op dat bij veel ondernemingen cybersecurity en zorgvuldige omgang met persoonsgegevens op onvoldoende niveau plaats vindt. Het is niet genoeg om in de Wwft te bepalen (zoals in artikel 34b lid 3 gebeurt) dat de AVG-norm moet worden nageleefd [9]; er is toezicht op de naleving nodig nu het bij de verwerking van gegevens van het Wwft-cliëntenonderzoek gaat om grote hoeveelheden vertrouwelijke gegevens en andere persoonsgegevens.

Als het uitwisselen van gegevens, als bedoeld in artikel 34b leden 1 en 2, nut zou opleveren, ben ik van mening dat dit uitsluitend moet gebeuren door bepaalde typen Wwft-plichtigen, aangewezen in een algemene maatregel van bestuur, onder streng toezicht van een competente toezichthouder en de Autoriteit Persoonsgegevens. Te denken valt om te starten met de banken, nu op banken de Wet op het financieel toezicht van toepassing is en de witwasbestrijdingsregels van oorsprong voor hen zijn ontwikkeld.

Samenwerking
Uiteraard is het belang van belang dat ondernemingen meewerken aan de bestrijding van criminaliteit. Mijn indruk is dat de Minister van Financiën veel te optimistisch is over de mogelijkheden van Wwft-plichtigen, zoals banken, om die criminaliteit in hun poortwachtersrol op te sporen (te monitoren en ongebruikelijke transacties te melden), bijvoorbeeld waar staat “Zij zijn daarmee bij uitstek in staat om te beoordelen wanneer een transactie niet past binnen het profiel van een klant en om die reden als ongebruikelijk moet worden aangemerkt”. Dat de banken de afgelopen jaren gefaald hebben (althans in de ogen van de ministeries), geeft aanleiding te vermoeden dat de regelgeving niet uitvoerbaar is.

De vraag is of die regelgeving wel uitvoerbaar zal zijn als Wwft-plichtigen kennis en capaciteit bundelen, zoals in paragraaf 2.2 aanhef van de toelichting staat. Dat valt te betwijfelen. Bovendien spreekt de toelichting in paragraaf 2.2. over bundeling van transactiemonitoring,

Daarnaast bestaat er een wettelijke belemmering voor effectieve samenwerking bij de transactiemonitoring. Hierin wordt met dit wetsvoorstel voorzien. Het betreft allereerst de verplichting om geconstateerde integriteitrisico’s bij cliënten waarbij een hoog risico op witwassen of financieren van terrorisme bestaat, tussen Wwft-instellingen te delen. Daarnaast betreft het de mogelijkheid om transactiemonitoring uit te besteden aan een derde partij en om transacties te kunnen delen tussen Wwft-instellingen.

Dat de gegevens zullen worden uitgewisseld met het oog op transactiemonitoring, vind ik niet terug in het voorgestelde artikel 34b. Daar staat slechts dat gegevens mogen worden uitgewisseld om ongebruikelijke transacties te kunnen melden. Ook het nieuwe artikel 9a heeft hier niet op betrekking, want dit gaat alleen over gegevensuitwisseling bij hoog-risico-cliënten.

Toestemming als bedoeld in de AVG
Uit paragraaf 2.2.1 van de toelichting blijkt dat de opstellers veronderstellen dat persoonsgegevens mogen worden verwerkt en uitgewisseld op grond van toestemming van de cliënt, waarbij kennelijk de veronderstelling is dat de cliënten alleen natuurlijke personen zijn:

De privacywetgeving staat toe, en de Wwft staat er niet aan in de weg, dat banken of andere Wwft-instellingen op basis van toestemming van de cliënt de informatie van het cliëntendossier uitwisselen met andere Wwft-instellingen. Omdat deze informatie-uitwisseling geschiedt op basis van toestemming van de cliënt, kan deze informatie-uitwisseling niet plaatsvinden als de cliënt niet meewerkt. Om te voorkomen dat diensten worden verleend aan een cliënt waarvan eerder is overwogen dat daaraan onbeheersbare integriteitrisico’s zijn verbonden, is het noodzakelijk dat de informatie over de integriteitrisico’s die een cliënt met zich brengt, wordt uitgewisseld.

Deze passage is onjuist, omdat veel cliënten geen natuurlijke persoon zijn en de cliënt die geen natuurlijke persoon is, geen toestemming voor derden (nl. bij de rechtspersoon of andere entiteit betrokken natuurlijke personen) kan geven.

Voorbeeld: een bank heeft een besloten vennootschap (bv) als klant. Dat betekent dat de bv de cliënt is van de bank. Bij de bv zijn natuurlijke personen betrokken, bijvoorbeeld de statutair directeuren, gevolmachtigden en de aandeelhouders. Deze natuurlijke personen zijn ‘betrokkenen’ in de zin van de AVG. De bank is verplicht ten opzichte van hen de AVG na te leven, wat onder meer betekent dat de bank deze betrokkenen dient te infomeren over de gegevensverwerkering (inclusief de risicocategorie waarin zij zijn ingedeeld), hen gelegenheid voor correctie dient te bieden en zorgvuldig dient te handelen bij het plaatsen van een betrokkene op een zwarte lijst of in een hoge risicocategorie.

Geen transactiemonitoring
In paragraaf 2.2.2 van de toelichting lijkt artikel 34b onder het kopje “Uitbesteding van transactiemonitoring en uitwisselen van transactiegegevens” te worden besproken. Echter, zoals al eerder opgemerkt: dit volgt niet uit de tekst van artikel 34b, eerste en tweede lid. Daarin wordt gesproken over het ‘delen’ van transacties, ‘Voor zover noodzakelijk om te kunnen voldoen aan het melden van ongebruikelijke transacties’, wat uitsluitend betrekking heeft op voorgenomen melding van ongebruikelijke transacties en niet op transactiemonitoring in het algemeen.

In dezelfde paragraaf van de toelichting komt aan de orde dat er Wwft-plichtigen zijn die samen transacties willen monitoren en worden de banken genoemd. Ik begrijp niet waarom in het consultatievoorstel wordt voorgesteld om alle Wwft-plichtigen in staat te stellen transacties gezamenlijk te gaan monitoren, terwijl het alleen om de banken gaat.

Technisch optimisme | indicatoren en alerts
Uit de toelichting blijkt een groot optimisme over de mogelijkheden van de techniek, er wordt gesproken over verbetering van de ‘indicatoren’ en het instellen van ‘uniforme alerts’. In dat verband wordt gesproken over medische kosten, contributie van een vakbond en betaling van boetes [10], waarbij mij ontgaat welke betekenis dergelijke kosten hebben voor het opsporen van criminaliteit. Is het betalen van vakbondscontributie een indicator voor witwassen?

Ik maak mij grote zorgen over de manier waarop Wwft-plichtigen gezamenlijk hun cliënten gaan profileren en ben van mening dat het hoogst riskant is als private partijen een dergelijk systeem opzetten. Een generieke mogelijkheid om gegevens uit te wisselen is ongewenst; een specifieke uitwisseling zal onder strenge waarborgen moeten worden getest.

Andere mogelijkheden
In de toelichting mis ik behandeling van alternatieven voor gezamenlijke transactiemonitoring door banken. Verder is de vraag waarom niet wordt gekeken naar samenwerking tussen verschillende soorten Wwft-plichtigen die veel transacties doen, zoals bijvoorbeeld samenwerking tussen banken en het notariaat.
Recent heeft de Autoriteit Persoonsgegevens advies uitgebracht inzake kredietregistratie [11]. De bevindingen uit dit rapport kunnen ook relevant zijn voor de samenwerking tussen Wwft-plichtigen inzake het cliëntenonderzoek.

Tekst artikel
Dan volgt nog een bespreking van de onderdelen van artikel 34b.

Lid 1
In lid 1 is sprake van het delen transacties “om te kunnen voldoen aan het melden van ongebruikelijke transacties”. Ik zie niet in waarom transacties gedeeld zouden moeten worden, om te kunnen voldoen aan het melden van ongebruikelijke transacties. Transacties kunnen altijd ‘ongedeeld’ worden gemeld. Voorts biedt dit lid – zoals eerder al gemeld – geen grondslag voor het het gezamenlijk monitoren van transacties.
Het uitwisselen van persoonsgegevens mag uitsluitend plaats vinden op grond van een wettelijke grondslag en als wordt voldaan aan de door de AVG vereiste proportionaliteitstoets. Ik meen dat in de huidige tekst niet aan de laatste toets wordt voldaan.

Lid 2
Kenmerk van het melden van ongebruikelijke transacties op grond van de Wwft, is dat daarbij allerlei soorten persoonsgegevens betrokken kunnen zijn, die uiteraard ook strafrechtelijk kunnen zijn. Ik begrijp echter niet hoe die persoonsgegevens “onderdeel (kunnen) uitmaken van die transacties”, zoals in lid 2 van artikel 34b is vermeld. Ik begrijp al helemaal niet waarom al die persoonsgegevens in verband met het melden van ongebruikelijke transacties tussen Wwft-plichtige ondernemingen zouden moeten worden uitgewisseld.

Leden 3 en 4
Deze leden hebben betrekking op het algemene databeschermingskader. Zoals in onderdeel I. al is opgemerkt, is een vernieuwings- en verbeteringsslag gewenst, om te voorkomen dat burgers risico’s lopen in verband met het cliëntenonderzoek dat naar hen dan wel naar entiteiten waarbij zij betrokken zijn plaats vindt.

Aanbevelingen

1. Schrap artikel 34b compleet.

2. Test gezamenlijke transactiemonitoring en/of cliëntenonderzoek eerst bij specifieke Wwft-plichtigen, bijvoorbeeld banken en notarissen, en breng daarvoor specifieke regelgeving tot stand (Wet op het financieel toezicht, Wet op het notarisambt, of een wet die losstaat van de Wwft). Creer alsdan een passend wettelijk regime, met onafhankelijke controle (met voldoende capaciteit) op de gezamenlijke entiteit, inclusief een goed systeem van rechtsbescherming voor cliënten en (AVG-)betrokkenen, die ook plaatsing op zwarte lijsten en indeling in risicocategorieen omvat. Creer laagdrempelige rechtsbescherming voor cliënten en betrokkenen.

Toets of de gezamenlijke transactiemonitoring en/of cliëntenonderzoek daadwerkelijk tot verbeterde criminaliteitsbestrijding leidt en neem daarbij de kosten mee. Bezie of er alternatieven zijn die minder geld kosten en meer opleveren.

 

Bijlage – Consultatiedocument

 

Noten

[1] https://www.internetconsultatie.nl/wetplanvanaanpakwitwassen
[2] Zie voor een overzicht van de huidige Wwft-plichtigen https://www.fiu-nederland.nl/nl/Meldergroepen.
[3] Artikel 3 lid 2, sub d. Wwft: “een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen, teneinde te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel, met zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden”.
[4] Advocaten en andere juridische beroepsbeoefenaren zijn alleen Wwft-plichtig met betrekking tot specifieke diensten.
[5] Artikel 33, derde lid en artikel 34 Wwft.
[6] Zie https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2019/09/18/politiek-prominente-personen/pep-in-nederland.pdf.
[7] https://www.fiu-nederland.nl/nl/Meldergroepen
[8] https://www.nrc.nl/nieuws/2019/10/18/op-de-zwarte-lijst-van-banken-in-de-financiele-gevangenis-a3977315
[9] In lid 3 staat “Bij het delen van transacties dragen instellingen zorg voor passende waarborgen dat deze gegevens niet voor een ander doel worden gebruikt en zorgen zij dat de verwerking van de gegevens direct wordt beëindigd indien deze niet langer noodzakelijk is”.
[10] Paragraaf 2.2.2.
[11] Aankondiging: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-bepleit-wettelijke-waarborgen-voor-kredietregistratie, advies: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/advies_kredietregistratie.pdf.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , , | 2 reacties

FIDE congress on enforcement of EU Law, data protection and EU competition law in the digital economy

Geplaatst op 12 januari 2020 door Ellen Timmer

In May of this year the biannual congress of the International Federation of European Law (FIDE) is held in the Netherlands.

Topics of the congress:

  • National Courts and the Enforcement of EU Law – the pivotal role of national courts in the EU legal order
  • Data Protection – setting global standards for the right the personal data protection
  • EU Competition Law and the Digital Economy – protecting free and fair competition in an age of technological (r)evolution)
Geplaatst in English - posts in English on this blog, Europa, ICT, privacy, e-commerce | Tags: , | Plaats een reactie

Report on the place of the European Convention on Human Rights in the European and international legal order

Geplaatst op 11 januari 2020 door Ellen Timmer

Recently the Report on the place of the European Convention on Human Rights in the European and international legal order on Human Rights  was made public. It was adopted by the Steering Committee for Human Rights (CDDH) of the Council of Europe in its meeting of 26-29 November 2019.

 

 

More information:

Geplaatst in English - posts in English on this blog, Europa, Grondrechten | Tags: | Plaats een reactie

eu-LISA: “Gemakkelijke en snelle toegang voor autoriteiten en moeilijke en langzame toegang voor personen wier persoonsgegevens zijn geregistreerd lijken de regel”

Geplaatst op 10 januari 2020 door Ellen Timmer

Europa kent een database met persoonsgegevens, die bekend staat onder de naam eu-LISA. In die database zitten nu alleen persoonsgegevens van immigranten en criminelen, maar het zou me niets verbazen als in de toekomst alle EU-burgers er in zullen worden opgenomen.

De Commissie Meijers [*] bespreekt eu-LISA in een recente brief aan de Vaste Commissie voor Veiligheid en Justitie onder het kopje ‘interoperabiliteit’. Uit de brief blijkt dat op de uitwisseling van persoonsgegevens, de interoperabiliteit, een wirwar van regels van toepassing is. De Commissie dringt bij de regering aan op oplossingen en signaleert dat een gemakkelijke en snelle toegang voor autoriteiten en moeilijke en langzame toegang voor personen wier persoonsgegevens zijn geregistreerd de regel lijken te zijn.

Databescherming lijkt het kind van de rekening, nu ook EDPS, FRA en gegevensbeschermingsautoriteiten kritiek hebben geuit. De Commissie Meijers vraagt zich af hoe een effectief toezicht gegarandeerd zal worden op de naleving van de regels ter bescherming van de doelbinding, maar ook op de veiligheid en correctheid van de gegevens in de verschillende bestanden.

De Commissie schreef:

Implementatie van Interoperabiliteit

Nederland wil bij de implementatie van de twee verordeningen inzake interoperabiliteit van centrale EU-informatiesystemen coördinatie op EU-niveau. Dit zou volgens de ministers van belang zijn, gezien de onderlinge afhankelijkheden tussen alle verordeningen op het gebied van grenzen en veiligheid en de impact die de zo goed als gelijktijdige implementatie hiervan heeft op lidstaten en EU-agentschappen.

Bijna alle autoriteiten, toezichtorganen en wetenschappers die zich in dit onderwerp hebben verdiept, zijn het er over eens dat de wirwar van regels, niet alleen op basis van de beide interoperabiliteitsverordeningen, maar ook de regels bij de betreffende (zes) grootschalige databestanden, en de (op zichzelf al ingewikkelde) regels van het GDPR en LED van 2018, de uitvoering en de controle daarop complex dan wel onmogelijk maken: het is onduidelijk wanneer, in welke gevallen, welke regels van toepassing zijn. Welke oplossingen wil de regering daarvoor aandragen?

Gemakkelijke en snelle toegang voor autoriteiten en moeilijke en langzame toegang voor personen wier persoonsgegevens zijn geregistreerd lijken de regel. Zowel de EDPS en FRA, maar ook nationale toezichtorganen en de autoriteiten gegevensbescherming hebben er al op gewezen dat praktisch toezicht moeilijk is wegens gebrek aan tijd/mankracht maar ook de onduidelijkheid over bestaande regels en verantwoordelijkheden. Dat blijkt ook omdat er geen geld wordt gereserveerd voor de nationale toezichthoudende instanties die al overbelast en onderbezet zijn en veel nieuwe taken krijgen in de twee nieuwe verordeningen.

De Commissie Meijers vraagt zich af hoe een effectief toezicht gegarandeerd zal worden op de naleving van de regels ter bescherming van de doelbinding, maar ook op de veiligheid en correctheid van de gegevens in de verschillende bestanden.

 

[*] De Commissie Meijers is een groep hoogleraren, rechters, advocaten en wetenschappelijk medewerkers in Europa die systematisch Europese voorstellen op het gebied van strafrecht, migratie, privacy en discriminatie toetst aan de eisen van de democratische rechtsstaat.

Meer informatie:

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , , , | 1 reactie