‘Plan van aanpak witwassen’ introduceert nieuwe mogelijkheden om witwastransacties te detecteren
Philip Ruys*
Er is een wijziging van de WWFT op komst. Naast het verbod op betalingen van 3.000 euro of meer voor handelaren en de ‘navraagplicht’ voor WWFT-instellingen, staat er een derde belangrijke wijziging in het wetsvoorstel: de gezamenlijke transactiemonitoring door banken.
Het wetsvoorstel ‘Plan van aanpak witwassen’ dat op 21 oktober door de minister van Financiën is ingediend beoogt het voor banken mogelijk te maken om gezamenlijke transactiemonitoring te doen. In dit artikel gaan we dieper in op deze mogelijkheid; de voorwaarden, de beperkingen, de werkwijze en de waarborgen voor de privacy.
Mogelijk maken uitbesteding transactiemonitoring
Onder de huidige wet is het uitbesteden van transactiemonitoring – het onderzoek als bedoeld in artikel 3, tweede lid, onderdeel d WWFT – niet toegestaan. Alleen het cliëntenonderzoek dat ziet op de acceptatie van een zakelijke relatie kan worden uitbesteed. Het wetsvoorstel maakt het in het nieuwe artikel voor banken mogelijk dat transactiemonitoring wordt uitbesteed. De (gewijzigde) vierde anti-witwasrichtlijn laat deze uitbesteding overigens toe.
Gezamenlijke voorziening
De transactiemonitoring moet uitdrukkelijk worden uitbesteed aan een ‘gezamenlijke voorziening’. Gezamenlijke monitoring is het doel van deze regeling. Het combineren van data kan leiden tot inzicht in de transacties van meer betrokken partijen dan bij individuele monitoring mogelijk is. En daardoor kunnen ongebruikelijke transacties beter worden gedetecteerd. Dit blijkt uit bevindingen van de FATF, maar ook uit recente pilots van onder meer een aantal banken en de Fintell Alliance.
Banken blijven zelf melden
De werkwijze die volgens de Memorie van Toelichting wordt beoogd is dat transacties van verschillende partijen in samenhang worden geanalyseerd waarbij alerts kunnen worden gegenereerd. Die alerts worden dan vervolgens door de betrokken banken zelf onderzocht en op basis daarvan kan eventueel een melding ongebruikelijke transactie worden verricht.
Tipping off ook hier verboden
De Memorie van Toelichting maakt duidelijk dat het zogenaamde tipping-off verbod uit artikel 23 WWFT onverminderd van toepassing is op meldingen die voortvloeien uit gezamenlijke transactiemonitoring. Dit betekent dat als een transactie als ongebruikelijk wordt aangemerkt, de banken elkaar hier niet over mogen informeren, behoudens de uitzonderingen zoals opgenomen in het zesde lid van voornoemd artikel van de WWFT. Het melden van ongebruikelijke transacties blijft de verantwoordelijkheid van de individuele instellingen.
Alleen banken
Gezamenlijke transactiemonitoring wordt dus alleen mogelijk gemaakt voor banken. Dat is in het wetsvoorstel via een omweg geregeld. Het nieuwe artikel 34b introduceert de gezamenlijke voorziening, waaraan alleen instellingen als bedoeld in artikel 1a, tweede lid WWFT – dus banken – kunnen deelnemen. Ten behoeve van de gezamenlijke monitoring heeft een aantal Nederlandse banken al in 2020 Transactiemonitoring Nederland (TMNL) opgericht.
Uitzonderingen voor kleinere transacties
Voor de gezamenlijke transactiemonitoring gelden twee uitzonderingen voor transacties tot € 100.
- transacties tussen particuliere personen worden niet binnen de gezamenlijke voorziening gecombineerd
- bij transacties tussen een particulier persoon en een zakelijke rekening worden van de particuliere persoon alleen het IBAN-nummer, het BIC-nummer en de landencode binnen de gezamenlijke voorziening verwerkt.
Gegevens combineren
Datzelfde artikel 34b (nieuw) regelt de gegevens die banken in de gezamenlijke voorziening kunnen combineren. Die gegevens worden in een algemene maatregel van bestuur vastgesteld en mogen alleen betrekking hebben op:
- de identiteit van de client;
- transactie-informatie;
- productinformatie; en
- door de instelling reeds vastgestelde risico-indicatoren.
Gebruik burgerservicenummer (BSN)
Waar tot op heden in het kader van de WWFT het BSN geen rol speelt en dus ook niet geregistreerd mag worden op grond van de AVG (het verwerken van persoonsgegevens is immers alleen toegestaan wanneer de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting – artikel 6 lid 1 onder c AVG), gaat dit volgens het voorstel wel het geval zijn in het kader van de gezamenlijke transactiemonitoring. Het wetsvoorstel gaat uitvoerig in op het gebruik van het BSN. Naar schatting hebben in 2021 12 miljard transacties plaatsgevonden bij Nederlandse banken, die gezamenlijk circa 35 miljoen cliënten hebben. Om zekerheid te hebben over de persoon die een transactie verricht, is volgens het wetsvoorstel een uniek nummer nodig. Anders zouden te veel persoonlijke gegevens moeten worden gebruikt, waarbij het foutrisico nog steeds te hoog is. Daarom wordt er voor gekozen banken toe te staan het BSN te gebruiken, aangezien zij daar toch al over moeten beschikken op grond van andere regels, zoals fiscale wetten. Banken mogen het BSN alleen gebruiken als identificatienummer om de persoon achter de transactie te identificeren en transacties afkomstig uit verschillende systemen te koppelen aan de juiste persoon. Zij mogen het BSN niet gebruiken voor andere doeleinden, afgezien van de verplichtingen uit andere wetten uiteraard. Het BSN-nummer dient overigens wel gepseudonimiseerd en versleuteld te worden binnen de gezamenlijke voorziening.
Pseudonimisering en versleuteling
Zoals hiervoor aangegeven dient het BSN-nummer binnen de gezamenlijke voorziening gepseudonimiseerd en versleuteld te worden. Dat geldt ook voor andere persoonsgegevens. Dit leidt ertoe dat binnen de gezamenlijke voorziening de identiteit van de persoon of onderneming, waarvan de transactie binnen de voorziening gecombineerd wordt, niet vastgesteld kan worden. Alleen de individuele bank wiens cliëntgegevens het betreft kan, na het ontvangen van een alert van de voorziening over deze cliënt, zien door of met wie de transactie is uitgevoerd.
Geen geautomatiseerde besluitvorming
Het wetsvoorstel schrijft voor dat bij de gezamenlijke transactiemonitoring geen sprake mag zijn van geautomatiseerde besluitvorming als bedoeld in artikel 22, eerste lid AVG. Dit betekent dat cliënten van deelnemende banken niet mogen worden onderworpen aan uitsluitend op geautomatiseerde verwerking gebaseerde besluiten. Dit gaat onder meer profilering tegen.
Algoritmes
Voor de analyse mogen geen algoritmes gehanteerd waarvan de uitkomsten niet navolgbaar en controleerbaar zijn.
Beveiliging
De systemen die de verwerking uitvoeren moeten voorzien zijn van een adequaat beveiligingsniveau. Het beveiligingsniveau wordt niet voorgeschreven. In kader van de AVG en de UAVG gelden al regels voor de beveiliging van persoonsgegevens. Zo dienen de verwerkingsverantwoordelijke en de verwerker, op grond van artikel 32 AVG, passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Organisatorische waarborgen
Het wetsvoorstel bevat organisatorische waarborgen op grond waarvan alleen geautoriseerde personen toegang hebben tot de gegevens en de verwerking niet verder verwerkt worden dan het doel op grond van de wet. Verder geldt dat de gegevensverwerking moet worden vastgelegd, voor controle en toezicht op de verwerking.
* Philip Ruys is fiscaal jurist en hoofdredacteur van RadarLaw
