In mijn bericht over het AFM-speerpunt inzake naleving van de Wwft schreef ik dat handelaren in persoonsgegevens en andere gegevens ten behoeve van de witwasbestrijding onder toezicht moeten worden gesteld en noemde daar Relian en World Check in een adem.
Relian liet weten dat zij geen datahandelaar zijn, lees hun reactie. Het prettig te lezen dat zij toezicht op de datahandel in de witwasbestrijding een goed idee vinden.
Op de site van de Tweede Kamer kwam ik een pagina tegen die inmiddels is verdwenen of verplaatst. Op die pagina werd verwezen naar een webinar, dat kon worden bekeken, en werden ervaringsdeskundigen op het gebied van schulden uitgenodigd om hun ervaringen te delen. Er stond op de Tweede Kamer pagina:
Klik om het webinar terug te kijken. Om terug te kijken, is het noodzakelijk dat u uw gegevens invult. Ook kunt u de komende tijd nog uw reactie voor de commissie achterlaten.
Opmerkelijk is dat degenen die mee willen doen via de Tweede Kamer-pagina op de pagina van een privaat bedrijf terecht komen, die pagina is er nog wel. Mensen worden uitgenodigd te reageren met “Zit jij in de schulden of ben jij misschien net uit de schulden? Meld je aan en deel je ervaringen.“. Als je klikt op ‘start nu‘ moeten voornaam, achternaam, leeftijd en e-mail adres worden ingevuld.
De site kent ook een privacy statement. In het statement wordt gezegd dat er persoonsgegevens worden verzameld om “te kunnen voldoen aan onze contractuele verplichtingen jegens de organisatie“, de organisatie is hier de Tweede Kamer. Er staat onder meer:
Concreet houdt dit in dat wij uw persoonlijke gegevens voor de volgende doeleinden kunnen gebruiken:
Administratie: Wij kunnen de persoonlijke gegevens die wij over u verzamelen gebruiken om onze webcasts aan u te tonen (en om u bij te staan bij het gebruik van onze webcasts).
Het ontwikkelen, testen en verbeteren van producten: Wij kunnen uw persoonlijke gegevens gebruiken om onze webcasts te ontwikkelen, te testen en te verbeteren. Company Webcast zal deze gegevens niet gebruiken om u op enigerlei wijze te benaderen.Het verstrekken van persoonlijke gegevens
Wij zullen de persoonlijke gegevens die wij over u verzamelen niet verkopen of anderszins bekendmaken, behoudens op de hier omschreven wijze.Organisatie: Wij verstrekken uw contact- en productgebruiksgegevens aan de organisatie. Hoewel Company Webcast geen aansprakelijkheid aanvaardt voor het gebruik van uw persoonlijke gegevens door de organisatie, zal de organisatie uw persoonlijke gegevens over het algemeen gebruiken om de instellingen en personen te identificeren die haar webcast hebben bekeken en kan de organisatie deze gegevens voor haar marketingdoeleinden gebruiken (bijvoorbeeld om u rechtstreeks te benaderen of om u toe te voegen aan haar mailinglists).
Dit is een generiek statement dat er geen rekening mee houdt dat degenen die mee doen gevoelige persoonsgegevens (over hun schulden) zouden kunnen verschaffen in hun reactie op het webinar. Die gegevens komen bij het private bedrijf terecht.
Een slechte beurt van de Tweede Kamer.
In 2015 schreef ik over een site met voorbeelden van identiteitsbewijzen. Die site is http://www.edisontd.net/, de status ervan werd mij niet duidelijk. Ik eindigde met de opmerking “Is er iemand die hier meer van weet?“.
Onlangs was iemand werkzaam bij de politie zo vriendelijk mij te bellen. Hij vertelde mij dat het inderdaad een echte site van de Nederlandse politie is en dat de site in samenwerking met buitenlandse politiediensten actueel wordt gehouden. Het is dus inderdaad een interessante bron van informatie over hoe een identiteitsbewijs er uit ziet.
Hoe de meervoud van afkortingen wordt geschreven is interessant voor juristen. Lees over dat onderwerp “Meervoud van afkortingen” door Onze Taal.
Daarin wordt uitgelegd dat het meervoud van afkortingen meestal met apostrof en een s plaats vindt (zoals in APV’s, bv’s, cao’s, cv’s, nv’s, vve’s). Alleen afkortingen die op een s of een x eindigen, krijgen een meervoud op apostrof en -en: cms’en, gps’en.
Eerder schreef ik op dit blog over het bijzondere fenomeen dat productgaranties ‘verzekeren’ zouden zijn, iets wat verzekeraars natuurlijk best vinden.
Uit een recent bericht op de site van de BOVAG “Nieuwe zienswijze DNB: BOVAG Garantie is geen verzekering“, blijkt dat DNB van standpunt is veranderd, een verheugende zaak.
Aanvullende verzekeringen
Als garagebedrijven en auto- of camperverhuurbedrijven echte (aanvullende) verzekeringen aanbieden, zoals schadeverzekeringen inzittenden (SVI), personen ongevallen inzittendenverzekering (POI) of verzekering afkoop eigen risico, is er wel een vergunning op grond van de Wet financieel toezicht nodig, zo blijkt uit een ander bericht op de BOVAG site.
Meer informatie:
Het onderwerp PSD2 heeft mijn warme belangstelling sinds ik ontdekte dat de positie van de ‘silent third party’ niet adequaat is geregeld.
Journaliste Daniëlle Robben belde mij over het onderwerp en schreef voor het Amsterdamse MUG Magazine een artikel, “Big brother heet nu PSD2“. In dat artikel worden de lezers gewaarschuwd voor de risico’s van de nieuwe diensten die door PSD2 mogelijk worden. Aan het slot van het artikel wordt ik geciteerd.
Meer informatie:
Er is geen domein waarin zoveel onzin wordt verkocht, als in de witwasbestrijding (met die bevinding maak ik me niet populair). Recent heeft European Parliamentary Research Service (EPRS) een duit in het zakje gedaan met een publicatie over witwasbestrijding in het vastgoed, onder de wijdse titel ‘Understanding money laundering through real estate transactions‘.
Voorafje:
witwassen is niet meer dan het ‘uitgeven’ van crimineel verkregen inkomsten in de gewone wereld. Dat uitgeven kan aan alles zijn, aan vastgoed, aan aandelen, enzovoorts. Dat betekent dat ‘witwassen’ door middel van vastgoed geen eigen kenmerken heeft, anders dan de herkomst van de middelen waarmee het vastgoed is gefinancierd.
Originaliteit ontbreekt
Enige originele gedachte is in het verhaal niet te vinden. Dat volgt al uit de samenvatting waarin de bekende onderwerpen figureren:
A number of techniques are used, namely cash or opaque financing schemes, overvalued or undervalued prices, and non-transparent companies and trusts or third parties that act as legal owners. Among the possible indicators are geographical features (such as the distance between the property and the buyer and their actual geographical centre of interest).
Overigens vraag ik me waarom in een globaliserende economie de afstand tussen het vastgoed en de “actual geographical centre of interest” iets te betekenen heeft. Ook elders in het document wordt het niet afdoende toegelicht.
Het verhaal over ‘placement‘, ‘layering‘ en ‘integration‘ op pagina 2 is ook een verhaal dat jaar na jaar wordt overgeschreven. Kan er niet iets originelers worden bedacht?
Natuurlijk wordt geroepen dat er veel onrecht in de wereld is en dat onrecht bestreden moet worden. Daar ben ik niet op tegen. Het gaat er om hoe dat onrecht wordt bestreden. Het schiet niet op om op te schrijven hoe de witwasbestrijding in theorie in Europa is georganiseerd, de vette criminele schandalen uit de afgelopen tijd op te sommen en de bekende mantra’s steeds weer opnieuw te herhalen, met de poortwachters, het mitigeren en de risk-based approach.
Alle Wwft-plichtigen over een kam geschoren
Uiteraard wordt opgemerkt dat groot heil is te verwachten van cliëntenonderzoek (‘customer due diligence‘) en melding van ongebruikelijke transacties. Dat er grote kritiek is op het systeem van melding van ongebruikelijke transacties komt niet aan bod. En dat van de zeer diverse groep aan Wwft-plichtigen het onmogelijke wordt verwacht, wil EPRS niet onderkennen.
Vrolijk wordt geroepen dat Wwft-plichtigen maar even makkelijk misdaad kunnen opsporen (terwijl de overheid daar met veel meer informatie niet in slaagt). Lees bijvoorbeeld:
Mitigating risks and detecting suspicious transactions
The challenge is to spot the money laundering behind the real estate transaction. Possible indicators of money laundering (red flags) help risk-based assessment. Guidance has been established as a tool for the sector at both global and national levels. Professional representative bodies have also developed implementing tools.
The process demands familiarity with the normal conduct of business so as to be able to identify unusual or suspicious patterns relating to customer risk, transaction risk or geographical risk (these are sometimes clustered in pairs, geographical aspects being added to the first two risk types). A number of questions need to be asked before, depending on the answer, the transaction can be found to be suspicious and reporting obligations triggered.
Er wordt gedaan of alle Wwft-plichtigen (een zeer diverse groep van ondernemingen, groot en klein, met zeer verschillende informatieposities) over één kam kunnen worden geschoren.
Typologie
Bizar is dat op pagina 3 het gebruik van rechtspersonen (‘corporate vehicles‘) als een kenmerk van vastgoedwitwassen wordt aangemerkt, evenals gebruik van ‘non-financial professionals‘ en ‘mortgage schemes‘. Er staat:
Examples of real estate money laundering display some or all of the following features:
• complex loans or credit finance (used as a cover for laundering money, their repayment can be used to mix illicit and legitimate funds, black and legal money);
• non-financial professionals;
• corporate vehicles;
• manipulation of the appraisal or valuation of a property (undervaluation, overvaluation and successive sales at higher values);
• monetary instruments;
• mortgage schemes;
• investment schemes and financial institutions.
Vervolgens beweert EPRS dat het bovenstaande een ‘typologie’ van vastgoedwitwassen is. Dat is het natuurlijk niet. Afgezien van de 4e bullet, lijkt me dat het kenmerken zijn die bij alle vastgoedtransacties (dus ook de vele waarbij niet wordt witgewassen) kunnen voorkomen.
Specifieke indicatoren
De daarna genoemde ‘specific indicators‘ betreffen eveneens deels omstandigheden die ook bij reguliere vastgoedtransacties kunnen voorkomen, zoals ‘company structures‘. Overigens, wat er in de eerste bullet met regres (‘recourse‘) wordt bedoeld, weet ik niet. Huurinkomsten zijn niet per definitie verdacht, zoals de tekst suggereert, het gaat om huurinkomsten die niet reëel zijn, schrijf dat dan wat beter op.
Waarom ‘geographical elements‘ een specifieke indicator zouden zijn, legt EPRS niet uit. Op pagina 4 is een cryptische tekst te vinden over het ‘matchen’ van de locatie van het vastgoed met verkoper en koper. Welke betekenis heeft dat? Is een koper uit de VS en een verkoper uit Nederland inzake een vastgoed in Nederland per definitie verdacht? Natuurlijk wordt er gesproken over jurisdicties met zwakke AML-regimes, maar dat is niet kenmerkend voor vastgoed. (En overigens: welke jurisdicties een zwak AML-regime hebben wordt natuurlijk niet verteld.) Die specifieke indicatoren zijn een rommeltje.
Schijn van objectiviteit
Met de begrippen ‘typologie’, ‘techniek’, ‘red flag’ en ‘indicator’ proberen de bedenkers van dit document een wetenschappelijk sausje over hun verhaal te gieten. Wetenschappelijk is het het document in het geheel niet, laat staan dat iemand die crimineel geld moet opsporen er iets aan heeft.
Wat er niet in staat
De onderzoeksinstelling van het Europees Parlement heeft een marketingdocument geproduceerd. Meer dan de helft van het rapport bevat niets wat behulpzaam is bij het onderkennen van vastgoedwitwassen.
EPRS spreekt niet over wat er echt belangrijk is:
Over al die vragen willen Europa en de internationale organisaties, zoals FATF en OECD niet nadenken. Het is tijd dat de overheden intelligente tegenspraak krijgen.
In het buitenland wordt het ‘kritische infrastructuur’ genoemd. Die kritische infrastructuur moet worden beschermd, in Nederland is dat gebeurd door de ‘Wet beveiliging netwerk- en informatiesystemen‘ (Wbni).
De naam van de wet is vaag en breed; je zou zeggen dat alle netwerk- en informatiesystemen beveiligd moeten worden, misschien is dat de toekomst van deze wet. Voorlopig is dat nog niet aan de orde, want er zijn specifieke sectoren aangewezen die zich aan de regels van deze wet moeten houden.
Doelgroep van de wet zijn de aanbieders van essentiële diensten (AED’s). Zij moeten ernstige incidenten melden aan het Nationaal Cyber Security Centrum (NCSC). Een tweede doelgroep zijn de digitale dienstverleners (DSP’s), die ernstige incidenten aan een eigen meldpunt (CSIRT DSP’s) moeten melden.
Tot de AED’s behoren onder meer de netbeheerders in de energiesector, bepaalde financiële instellingen, bepaalde aanbieders van internetknooppunten en de bij IANA geregistreerde beheerders van registers voor topleveldomeinnamen.
Ook aanbieders van telefoon-, sms- of internettoegangsdiensten worden door de Wbni gereguleerd.
Meer informatie:
Het is bijzonder hoe de tuchtrechter omgaat met de regels die voor beroepsbeoefenaren gelden.
Advocaat en de derdengeldenrekening
Op 17 december 2018 deed de Raad van Discipline een tuchtrechtelijke uitspraak over een advocaat die zijn derdengeldenrekening gebruikte in strijd met de Advocatenwet en de op die wet gebaseerde verordening. De handelingen waren voorts in strijd met de Wet op het financieel toezicht (Wft), die verbiedt om als bank op te treden zonder vergunning, al zegt de tuchtuitspraak daar niets over.
Opvallend is de Raad van Discipline de advocaat veroordeelt wegens niet-naleving van de de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Wellicht dat zo’n veroordeling mogelijk is. Dat betekent dat de advocaat moet melden dat hij zelf in strijd met de advocatenregels en Wft heeft gehandeld door het illegale gebruik van de derdengeldenrekening en dat hij vermoedelijk strafrechtelijk laakbaar heeft gehandeld. Of een dergelijke zelfbeschuldiging in overeenstemming is met de Europese en Nederlandse grondrechtenwetgeving hoor ik graag van straf- en sanctierechtspecialisten.
Mij lijkt ernstiger dat de advocaat de derdengeldenrekening heeft gebruikt in strijd met de voor advocaten geldende regels en zonder dat hij beschikte over een bankvergunning op grond van de Wft. (Als hij een dergelijke vergunning zou hebben, zou hij de Wwft eveneens moeten naleven.) Dat de advocaat strafrechtelijk laakbaar heeft gehandeld laat de Raad van Discipline uitdrukkelijk in het midden.
Accountant en valse facturen
Waar de tuchtrechter in de advocatuur veel nadruk op de Wwft legt, lijkt in een door de tuchtrechter voor accountants behandelde zaak het tegenovergestelde te gebeuren. De accountant kreeg een waarschuwing omdat hij onvoldoende maatregelen had genomen om valse facturen op te merken. Over de Wwft wordt in deze uitspraak niet gerept.
Weg met de Wwft
De uitspraken geven aan dat rondom de Wwft niet consequent wordt geopereerd. Dat wordt veroorzaakt doordat de Wwft niet is opgenomen in de beroepsregels van respectievelijk advocaten en accountants. Dat zou veel beter zijn; dan zou ook beter rekening gehouden kunnen worden met de specifieke rollen van de beide beroepsgroepen en met het verschil in informatiepositie.
In IT-blaadjes verschijnen voortdurend artikeltjes waarin wordt aangedrongen op meer cybersecurity bewustzijn bij de medewerkers.
Onlangs zag ik weer zo’n bericht op iBestuur, waarin bewustzijn met het akelige woord ‘awareness‘ wordt aangeduid. Terecht wordt het artikel begonnen met de opmerking dat veiligheid begint met techniek en organisatie. Vervolgens komt het bewustzijn-verhaal.
Intussen maak ik me zorgen over de kwaliteit van de IT en van de interfaces.
Brakke IT
Aan de techniek mankeert regelmatig het nodige. Zo heb ik nooit begrepen hoe de overheid een ‘DigiD’ bestaande uit een inlognaam en een wachtwoord kon invoeren voor vertrouwelijke persoonsgegevens. Een veilige vervanging is in voorbereiding.
De affaire ‘DigiNotar’ markeert een ernstig digitaal falen: de zogenaamde controleurs van het Big4 kantoor PWC keken bij hun IT-audit wel naar de organisatie maar niet naar de techniek. Zo konden onverlaten software compromitteren.
Bugs en rare interfaces
De huis-tuin-en-keuken IT binnen grote en kleine organisaties zit vol met fouten en rare bugs. Onoverzichtelijke en onlogische interfaces zijn aan de orde van de dag, zeker als het software is die is ontwikkeld voor een relatief kleine groep gebruikers. De gemiddelde gebruiker denkt ‘het doet het niet‘ en werkt er vervolgens omheen. Het onderscheid tussen bugs en onveilige situaties is dan niet te maken.
Onveilige communicatie
De praktijk is verder dat onveilige methoden niet worden bekend gemaakt. Zo weet niemand dat e-mail onveilig is en onderweg gelezen kan worden en dat ‘gratis’ services zoals Dropbox en WeTransfer niet gebruikt kunnen worden voor het uitwisselen van vertrouwelijke informatie.
Nog meer bizar is dat grote organisaties, zoals banken, voor communicatie met hun klanten gebruik maken van datagraaiende bedrijven zoals Facebook en Twitter.
Kortom: met awareness hoef je bij mij niet aan te komen zolang de IT zelf brak is.
PS De voorbeelden DigiD en DigiNotar komen uit de overheid, maar ik vermoed dat het in het bedrijfsleven er niet beter aan toe is.
Meer informatie:
Een beschaafde overheid zorgt er voor dat rechtshulp ook bereikbaar is voor mensen met minder geld, zeker omdat de belangrijkste tegenstander diezelfde overheid is!
De advocaten die in deze gespecialiseerde rechtsgebieden actief zijn hebben recht op een fatsoenlijke beloning.
>>> Lees meer over gefinancierde rechtshulp. >>>
Ellen Timmer - juridische artikelen en berichten 