Het Anti-Money Laundering (AML) pakket van de Europese Commissie is in de laatste fase van het wetgevingstraject en dit heeft gevolgen voor de Nederlandse witwasaanpak. Het pakket geeft gehoor aan de zorgen van de Raad van State en de Autoriteit persoonsgegevens, die laatste noemde de Nederlandse witwasaanpak eerder een “bancair sleepnet.”
Het Nederlandse raamwerk voor de aanpak van witwassen en financiering van terrorisme verschilt in de bevoegdheid tot gegevensuitwisseling tussen banken ten opzichte van haar Europese tegenhanger. Maar waar zit discrepantie en in hoeverre is de privacy van Nederlandse burgers en de rechtsbescherming in het algemeen hiermee gediend? PONT | Data & Privacy ging in gesprek met Wwft experts Birgit Snijder-Kuipers en Jurjan Geertsma.
Het AML pakket stelt beperkingen aan de vooruitstrevende witwasaanpak van Nederland. De Wet ter voorkoming van witwassen en financieren van terrorisme heeft onder toeziend oog van de overheid geleid tot het initiatief van de oprichting van Transactie Monitoring Nederland (TMNL), een samenwerkingsverband tussen de grootste banken van Nederland en korte lijntjes naar de overheid. Andere landen, maar ook de Europese Unie, kijken met veel belangstelling naar TMNL omdat de Nederlandse banken met dit initiatief wereldwijd voorlopen op het gebied van gegevensdeling tussen banken.
Birgit Snijder-Kuipers, hoogleraar Corporate Compliance and Anti-Money Laundering en kandidaat-notaris bij de Brauw, benadrukt de nuance van het voorgestelde pakket. “Het stelt eisen aan de ‘zorgvuldigheid’ waarmee gegevens worden uitgewisseld, maar het is niet zo dat elke vorm van samenwerking niet meer mogelijk is.” Specifiek verschilt de Europese verordening van de Nederlandse Wwft in de volgende aspecten:
Allereerst wordt de reikwijdte van de transactiegegevens die mogen worden gedeeld beperkt tot specifieke groepen cliënten (1). De verordening stelt strengere voorwaarden aan gezamenlijke monitoring door dit alleen te permitteren wanneer sprake is van een ‘hoog risico client.’ Dit is in contrast met de Wwft die een ander criterium hanteert, tot ergernis van de Autoriteit Persoonsgegevens en de Raad van State (2)(3).
Een tweede verschil met de Nederlandse witwasaanpak is dat het AML-pakket het verplicht dat banken die gezamenlijke voorzieningen opzetten vooraf worden geïnspecteerd door de relevante toezichthouders. Die moeten er op toezien dat de gezamenlijke voorziening voldoet aan de voorwaarden uit de AML-verordening en de AVG (4).
Volgens Jurjan Geertsma, advocaat partner bij JahaeRaymakers, zal TMNL op dit moment moeten evalueren of en in hoeverre de huidige vorm van gegevensuitwisseling nog wel past binnen het raamwerk van de AML verordening. “Ik denk dat ze er heel behoedzaam voor zullen zijn.” Maar TMNL zal volgens Jurjan Geertsma wel moeten bijsturen “Je neemt wel bepaalde risico’s natuurlijk als je zonder dat je je daar in verdiept, geen aanpassingen doet en doorgaat met die gegevensdeling. Dat je dan uitkomt op een onrechtmatige verwerking, wat niet enkel tot schending van privacy maar ook zakelijk tot ongewenste stigmatisering en uitsluiting kan leiden.”
Birgit Snijder-Kuipers stelt verder dat het gaat om politieke keuze tussen effectieve signalering door het delen van gegevens door banken onder elkaar, of een minder effectieve signalering waarbij de privacy van de burger beter wordt gewaarborgd. “We moeten ook reëel zijn. Je kunt effectiever signaleren, als je gegevens met elkaar kunt delen.”
Privacy-experts zijn echter duidelijk: een hogere drempel voor het delen van gegevens is niet alleen politiek verantwoord, maar ook juridisch wenselijk gezien de schaal van de monitoring en de aard van bancaire persoonsgegevens (5).
Geertsma ziet een uitvloeisel van wat hij noemt “fear-based regelgeving”: je weet door deze wetgeving en de opstelling van overheidswege nooit of je het goed genoeg doet, wat als reflex mee kan brengen dat je jezelf gaat opstellen als veldwachter in plaats van poortwachter. Je gaat praktisch opsporen in plaats van signaleren. Daarbij is het van belang dat beter wordt nagedacht over de demarcatie van de overheidstaak en de private taak. Al met al oogt de AML verordening een stap in deze richting te zijn en lijken privacy zorgen niet langer aan dovemans oren te zijn gericht.
De vijf grote Nederlandse banken ABN AMRO, ING, Rabobank, Triodos Bank en de Volksbank hebben hun krachten gebundeld Transactie Monitoring Nederland. TMNL was bij haar inceptie van belangstelling voor internationale bankengemeenschap vanwege de vooruitstrevende samenwerking en uitwisseling van cliëntengegevens.
Onder dit samenwerkingsverband wordt op dit moment op grote schaal gezamenlijke monitoring van transacties toegepast. Verder deelt TMNL onderling gegevens ten behoeve van het clientonderzoek.
Beide praktijken zouden met inwerkingtreding van de AML verordening kunnen leiden tot onrechtmatige verwerkingen. Hoewel volgens TMNL gebruik wordt gemaakt van pseudonimisering en vooralsnog alleen zakelijke cliënten gemonitord worden is de mogelijke impact op de privacy van Nederlandse burgers groot.
https://data.consilium.europa.eu/doc/document/ST-6220-2024-REV-1/en/pdf, p. 278.
https://autoriteitpersoonsgegevens.nl/actueel/nieuwe-wet-opent-deur-naar-ongekende-massasurveillance-door-banken
https://www.raadvanstate.nl/adviezen/@122774/w06-20-0354-iii
https://open.overheid.nl/documenten/8a49594f-34fa-4966-9426-bf545d478ca0/file
Bancair sleepnet is geen goed idee