Wetsvoorstel aanpak witwassen betekent ‘vergaande inbreuk op de vertrouwelijkheid van zakelijke en particuliere cliëntgegevens’
In juni van dit jaar heeft de Raad van State zijn advies gepubliceerd over het wetsvoorstel Wet plan van aanpak witwassen. De Raad is uiterst kritisch op de inbreuk op de grondrechten van burgers en bedrijven die de voorgestelde wetswijziging maakt. Het wetsvoorstel maakt het mogelijk dat banken gegevens gaan delen in het kader van cliëntenonderzoek en transactiemonitoring. Het doel heiligt de middelen niet, aldus de Raad.
Naast een paar andere maatregelen, waaronder een verbod op contante betalingen vanaf € 3.000, bevat het wetsvoorstel kort gezegd de volgende maatregelen:
– mogelijk maken van gezamenlijk monitoren van transacties door banken;
– gegevensdeling mogelijk maken tussen instellingen behorend tot dezelfde categorie – dus bijvoorbeeld banken onderling – in het kader van het cliëntenonderzoek bij een hoger risico op witwassen of terrorismefinanciering.
Dit zijn de onderdelen waar de Raad van State in zijn advies op ingegaan is.
Niet proportioneel
De voorgestelde maatregelen dienen om de maatschappelijke orde te beschermen. Meer bijzonder om de integriteit van het financiële stelsel te beschermen en allerlei vormen van criminaliteit tegen te gaan. Tegelijkertijd doen de maatregelen afbreuk aan de maatschappelijke orde. De Raad van State vindt dat niet in balans.
Grote gevolgen
De Raad merkt op dat de gevolgen van cliëntenonderzoek en transactiemonitoring voor de cliënt zeer groot zijn als deze wordt uitgesloten van financiële dienstverlening. Adequate rechtsbescherming is daarom van groot belang. Die is in dit wetsvoorstel niet geregeld. Ook kan de meer principiële vraag gesteld worden of het wel aan private partijen overgelaten moet worden om op deze manier cliëntinformatie te gaan delen en onderzoeken.
Gezamenlijke transactiemonitoring
De samenwerking tussen een aantal banken is al sinds 2019 in voorbereiding in Transactie Monitoring Nederland (TMNL). Daarbij worden bijna 10 miljard transacties per jaar bij 35 miljoen cliënten gemonitord. Ook de cliënten waarbij een risico op witwassen niet aan de orde is. De ongekende schaal waarop wordt voorgenomen om dit te organiseren betekent volgens de Raad een vergaande inbreuk op de vertrouwelijkheid van zakelijke en particuliere cliëntgegevens.
Geen geautomatiseerde besluitvorming
De Raad gaat in het advies dieper in op een aantal aspecten als vertrouwelijkheid, geheimhouding, rechtsbescherming en de mogelijkheid om zwarte lijsten aan te leggen. De Raad is van mening dat alerts die uit een systeem komen door menselijke tussenkomst worden onderzocht. Dat onderzoek moet betekenisvol zijn. Er mag geen sprake zijn van geautomatiseerde besluitvorming.
Cybersecurity
De Raad wijst er verder op dat het samenbrengen van zoveel (bijzondere) persoonsgegevens en andere vertrouwelijke zakelijke en particuliere gegevens in één systeem ten behoeve van de transactiemonitoring op een veilige en verantwoorde manier moet zijn geregeld. De beoogde concentratie van gegevens in TMNL vormt een mogelijk aantrekkelijk doelwit voor cyberaanvallen. Daarmee zijn de beveiligingsrisico’s (kans én impact) aanzienlijk. Ook indien de beveiliging bij de individuele banken en TMNL op termijn wel goed is geregeld, is het een gegeven dat deze nooit 100% te garanderen valt. Dit vormt niet alleen een risico vanuit de AVG bezien maar ook voor de integriteit van het financiële systeem en het vertrouwen van burgers in het bankwezen.
Hoe nu verder?
De Raad van State komt tot het advies om de voorgestelde wettelijke grondslag voor gezamenlijke transactiemonitoring te schrappen en het wetsvoorstel niet in te dienen tenzij het is aangepast. Het is dus afwachten wat het Kabinet doet.
Raad van State – Afdeling advisering: Wet plan van aanpak witwassen, 16 juni 2022
