Wet plan van aanpak witwassen: vergaande inbreuk op grondrechten
Minister Kaag van Financiën heeft op 21 oktober 2022 het wetsvoorstel plan van aanpak witwassen ingediend bij de Tweede Kamer. Volgens de Afdeling advisering van de Raad van State (hierna: de Afdeling) en de Autoriteit Persoonsgegevens (hierna: AP) vormt dit wetsvoorstel een vergaande inbreuk op grondrechten. Het wetsvoorstel is onder te verdelen in vier onderdelen. Ten eerste komt een verbod voor beroeps- of bedrijfsmatige handelaren op contante betalingen vanaf €3000. De tweede maatregel is de mogelijkheid voor instellingen zoals banken om makkelijker gegevens met elkaar uit te wisselen. Ten derde wordt gezamenlijke transactiemonitoring voor banken mogelijk gemaakt, waardoor ze beter ongebruikelijke transactiepatronen in beeld krijgen. Ten slotte wordt het gebruik van bijzondere categorieën persoonsgegevens ter voorkoming van witwassen en financieren van terrorisme verduidelijkt.1
Volgens de Afdeling leiden twee van de voorgestelde maatregelen tot vergaande inbreuken op grondrechten van burgers. Het gaat daarbij om informatie-uitwisseling bij gezamenlijke monitoring van banktransacties en bij cliëntenonderzoek.2 Ook AP-bestuurder Katja Mur vindt de maatregelen te ver gaan. Volgens Mur dreigt het gevaar van discriminatie en uitsluiting en wordt aan een fundamenteel beginsel van de rechtsstaat getornd.3 In deze blog zal allereerst ingegaan worden op de kritiek van de Afdeling en vervolgens van de AP. Daarna zal worden beschreven wat de Minister van Financiën heeft gedaan met deze kritiek.
Kritiek Afdeling advisering van de Raad van State
De Afdeling vindt de bestrijding van witwassen en financiering van terrorisme belangrijk, maar vraagt zich af of “het doel de middelen die worden voorgesteld wel heiligt”. De maatregelen gaan volgens de Afdeling te ver, specifiek de informatie-uitwisseling bij transactiemonitoring en cliëntenonderzoek. In het wetsvoorstel valt op dat veel aan marktpartijen wordt overgelaten, waaronder de noodzakelijke waarborgen ter bescherming van de grondrechten waarop inbreuk wordt gemaakt. De overheidsinspanning beperkt zich hier tot het creëren van wettelijke grondslagen en verder bepalen marktpartijen hoe zij hier invulling aan geven. De Afdeling merkt op dat de overheid ook een eigen verantwoordelijkheid heeft om de rechten van burgers en bedrijven adequaat te beschermen.4
Banktransacties zullen op massale schaal worden gemonitord, een vergaande inbreuk op de vertrouwelijkheid van zakelijke en particuliere cliëntgegevens. Dit is niet alleen een inbreuk op het recht op privacy, zoals neergelegd in artikel 10 van de Grondwet en artikel 8 van het Europees Verdrag voor de Rechten van de Mens, maar kan ook leiden tot uitsluiting en discriminatie. De Afdeling wijst erop dat de hoeveelheid informatie die in de gezamenlijke transactiemonitoring wordt verwerkt, zo groot is dat deze in de praktijk alleen geautomatiseerd mogelijk zal zijn. Dit kan verstrekkende gevolgen hebben voor cliënten. Als zij op basis van een ‘alert’ geen toegang tot het reguliere bankwezen hebben, kunnen zij feitelijk niet deelnemen aan het maatschappelijk verkeer. Deze gevolgen leiden tot risico’s op stigmatisering of zelfs discriminatie wanneer op basis van ongebruikelijke transactiepatronen (profilering) bepaalde categorieën cliënten onterecht worden uitgesloten.5 Daarnaast is volgens de Afdeling de noodzaak en proportionaliteit van de transactiemonitoring niet aangetoond. De gezamenlijke transactiemonitoring leidt tot het verwerken van gegevens van alle cliënten, ook van cliënten zonder ongebruikelijke transacties. Hiermee is de maatregel niet proportioneel. De noodzaak tot gezamenlijke monitoring moet ook worden bekeken in het licht van de al zeer uitgebreide Europese wetgeving. De Afdeling merkt op dat het voorbarig is om, bovenop de al bestaande Europese verplichtingen, een zodanig vergaande maatregel te introduceren. Ten slotte voorziet het wetsvoorstel niet in passende maatregelen ter rechtsbescherming, maar laat het de banken dat regelen. De Afdeling adviseert dus van de gezamenlijke transactiemonitoring af te zien.6
Een andere maatregel uit het wetsvoorstel is gegevensdeling tussen instellingen bij de onderzoeksplicht in het kader van het cliëntenonderzoek. Volgens de Afdeling vormt deze maatregel een inbreuk op de bescherming van vertrouwelijke bedrijfs- en persoonsgegevens. Ook hier zijn de noodzaak en proportionaliteit onvoldoende gemotiveerd. Ten eerste is volgens de Afdeling de omvang van het probleem onduidelijk en of dit niet op andere manieren kan worden opgelost. Daarnaast heeft de Afdeling twijfels bij de effectiviteit van de gegevensdeling; de vraag rijst wat de ontvangende instelling met de gedeelde informatie kan. Een instelling dient redelijke maatregelen te nemen als een cliënt “naar haar aard indicaties van een hoger risico op witwassen of financieren van terrorisme met zich brengt”. Wanneer een cliënt een ‘hoger risico’ is, is een open norm en wordt niet geconcretiseerd. De drempel voor het delen van gegevens kan dan laag worden. De Afdeling wijst er ook op dat niet is gespecificeerd welke gegevens een instelling moet delen. Dit kan voor de cliënt ingrijpende gevolgen hebben. De Afdeling adviseert daarom dat de noodzaak en proportionaliteit beter wordt gemotiveerd.7
Kritiek Autoriteit Persoonsgegevens
De kritiek op het wetsvoorstel van de AP is ook voornamelijk gericht op de gezamenlijke transactiemonitoring en gegevensdeling. Volgens de AP betekent deze maatregel een vergaande inbreuk op de bescherming en vertrouwelijkheid van klantgegevens. “Het voorgestelde systeem komt in essentie neer op een bancair sleepnet”, aldus de AP. Volgens AP-bestuurder Katja Mur wordt zelfs aan een fundamenteel beginsel van de rechtsstaat getornd door iedereen standaard in de gaten houden, namelijk dat men onschuldig is tot het tegendeel is bewezen.8 Het wetsvoorstel komt bovenop drie wetsvoorstellen die leiden tot aanscherping van de aanpak van witwassen. Het kabinet overweegt ook nog andere wettelijke maatregelen om de effectiviteit van poortwachters te versterken. Hiermee komt volgens de AP de evenredigheid (proportionaliteit en subsidiariteit) van het geheel in het licht van de bescherming van persoonsgegevens meer in het gedrang. De AP is van oordeel dat de noodzaak voor de voorgestelde maatregel van gegevensdeling niet aannemelijk is gemaakt. Net als de Afdeling merkt de AP op dat onduidelijk is wat de omvang van het probleem is en of dit niet op andere manieren kan worden opgelost, zoals door uitbreiding van de capaciteit voor het cliëntenonderzoek of een stelsel van zwarte lijsten. De AP twijfelt ook aan de effectiviteit van de maatregel, aangezien deze alleen betrekking heeft op Nederlandse instellingen terwijl witwassen een internationaal fenomeen is. Het criterium van een ‘gebleken integriteitsrisico’ is naar het oordeel van de AP niet precies genoeg, waardoor het kan leiden tot bovenmatige verwerkingen. Bovendien is de maatregel zeer ingrijpend voor de betrokken burger indien deze geen gebruik meer kan maken van de diensten van banken.9
Minister Kaag van Financiën
Naar aanleiding van het kritische advies van de Afdeling is het wetsvoorstel heroverwogen. De minister heeft, gelet op het belang van een adequate bescherming van persoonsgegevens, gezocht naar manieren om de grondslagen voor gegevensdeling preciezer te omschrijven en aanvullende waarborgen te nemen. Dit heeft geleid tot een substantiële herziening van het wetsvoorstel. De hoeveelheid gegevens die mag worden gedeeld is volgens de minister maximaal ingeperkt. Ook is de reikwijdte van de te verwerken gegevens ingeperkt en zijn de afzonderlijke categorieën gegevens die verwerkt mogen worden voorgeschreven. Daarnaast zijn aanvullende waarborgen omtrent de verwerking opgenomen in het gewijzigde wetsvoorstel, zoals de wijze van verwerking en beveiliging van de gegevens. Ten slotte zijn voor de uitwisseling van gegevens in het kader van cliëntenonderzoek de voorwaarden voor de uitwisseling en de uit te wisselen informatie nader aangescherpt.10
De memorie van toelichting is nader aangevuld op het punt van de noodzakelijkheid van de gezamenlijke transactiemonitoring. Bovendien is het wetsvoorstel aangepast zodat deze grondslag na vier jaar wordt geëvalueerd: de effectiviteit van de maatregel en de bescherming van persoonsgegevens zullen worden geëvalueerd. Deze evaluatie zal worden uitgevoerd door een onafhankelijke partij.11 Om de verwerking van gegevens te beperken is in het wetsvoorstel bepaald dat de transactiegegevens van particulieren voor transacties onder de €100 niet in de gezamenlijke voorziening verwerkt mogen worden. Hiermee zal 60-70% van de transactiegegevens van particulieren worden verwerkt.12 Daarnaast is het wetsvoorstel aangepast om profilering en geautomatiseerde besluitvorming te voorkomen. Ook zijn aanvullende voorwaarden voor de verwerking binnen de gezamenlijke voorziening in het wetsvoorstel opgenomen. Ten eerste dienen alle persoonsgegevens binnen de gezamenlijke voorziening gepseudonimiseerd en versleuteld te worden. Daarnaast worden in het wetsvoorstel waarborgen voorgeschreven ten aanzien van geautomatiseerde analyse van persoonsgegevens.13 Naar aanleiding van de opmerkingen van de Afdeling zijn aanvullende waarborgen opgenomen ten aanzien van de verantwoordelijkheid van de aangesloten banken. Ten eerste is in het wetsvoorstel expliciet vastgelegd dat de banken, als verwerkingsverantwoordelijken, ieder zelfstandig verantwoordelijk zijn voor de voorgeschreven waarborgen die de gezamenlijke voorziening dient te treffen. Verder dienen de banken ten minste één functionaris voor gegevensbescherming aan te wijzen binnen de gezamenlijke voorziening.14 De drempel voor het delen van gegevens is verhoogd en welke gegevens worden uitgewisseld is gespecificeerd.15
Geconcludeerd kan worden dat het wetsvoorstel plan van aanpak witwassen een belangrijke stap is in het tegengaan van witwassen, maar ook een vergaande inbreuk op grondrechten. De mogelijkheid voor banken om de transacties van hun cliënten gezamenlijk te monitoren is de meest omstreden maatregel uit het wetsvoorstel. Na het kritische advies van de Afdeling is in het wetsvoorstel meer aandacht gekomen voor privacy. Naar aanleiding van het advies van de Afdeling is de reikwijdte van de transactiemonitoring beperkt, zodat minder gegevens van cliënten worden gedeeld. Dan nog wordt 60-70% van deze gegevens wel verwerkt, naar mijn mening een vergaande inbreuk op het recht op een persoonlijke levenssfeer. De maatregel wordt over vier jaar geëvalueerd. Over vier jaar zien we dus in hoeverre deze aanpak tegen witwassen effectief is en de grondrechten beschermt.
Namens de redactiecommissie,
Resa van Westering
- Kamerstukken II 2022/23, 36228, nr. 3, p. 1 (MvT).
- Kamerstukken II 2022/23, 36228, nr. 4, p. 2.
- ‘Nieuwe wet opent deur naar ongekende massasurveillance door banken’, autoriteitpersoonsgegevens.nl, 21 oktober 2022.
- Kamerstukken II 2022/23, 36228, nr. 4, p. 2-3.
- Kamerstukken II 2022/23, 36228, nr. 4, p. 11-12.
- Kamerstukken II 2022/23, 36228, nr. 4, p. 2-11.
- Kamerstukken II 2022/23, 36228, nr. 4, p. 17.
- ‘Nieuwe wet opent deur naar ongekende massasurveillance door banken’, autoriteitpersoonsgegevens.nl, 21 oktober 2022.
- Kamerstukken II 2022/23, 36228, nr. 3.
- Kamerstukken II 2022/23, 36228, nr. 4, p. 5.
- Kamerstukken II 2022/23, 36228, nr. 4, p. 8.
- Kamerstukken II 2022/23, 36228, nr. 4, p. 9.
- Kamerstukken II 2022/23, 36228, nr. 4, p. 13.
- Kamerstukken II 2022/23, 36228, nr. 4, p. 15.
- Kamerstukken II 2022/23, 36228, nr. 4, p. 17-18.
Reacties
Log in om de reacties te lezen en te plaatsen