Gepubliceerd: 27 juni 2019
Indiener(s): Wopke Hoekstra (minister financiƫn) (CDA)
Onderwerpen: financieel toezicht financiƫn
Bron: https://zoek.officielebekendmakingen.nl/kst-35238-3.html
ID: 35238-3

Nr. 3 MEMORIE VAN TOELICHTING

ALGEMEEN

1. Inleiding

Dit wetsvoorstel strekt ertoe het proces van het verstrekken van bepaalde identificerende gegevens en andere gegevens door banken en andere betaaldienstverleners, alsmede het door bepaalde overheidsinstanties vorderen en opvragen van die identificerende gegevens bij die banken en andere betaaldienstverleners, te automatiseren en daarmee efficiënter te laten verlopen. Hiertoe wordt de Wet op het financieel toezicht (Wft) gewijzigd door de afdeling Verwijzingsportaal bankgegevens op te nemen, die partijen die rekeningen aanbieden met een Nederlands IBAN identificatienummer verplicht om aan te sluiten op een verwijzingsportaal bankgegevens. Dit verwijzingsportaal bankgegevens is een technische koppeling die het voor aangesloten banken en betaaldienstverleners mogelijk maakt om geautomatiseerd te voldoen aan bepaalde vorderingen of verzoeken van overheidsinstanties. Hiermee wordt ook de verplichting geïmplementeerd voor elke lidstaat van de Europese Unie (EU-lidstaat) om te voorzien in een centraal elektronisch systeem ter identificatie van cliënten van banken en andere betaaldienstverleners. Deze verplichting vloeit voort uit artikel 32bis van Richtlijn (EU) 2018/843 van het Europees Parlement en de Raad van 30 mei 2018 tot wijziging van Richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, en tot wijziging van de Richtlijnen 2009/138/EG en 2013/36/EU (PbEU 2018, L 156) (hierna: de richtlijn tot wijziging van de vierde anti-witwasrichtlijn).

2. Aanleiding en doel van het wetsvoorstel

2.1 Wenselijkheid van geautomatiseerde ontsluiting

Verschillende overheidsinstanties, in het bijzonder die zich bezighouden met het aanpakken en bestrijden van witwassen en terrorismefinanciering, alsmede de daaraan ten grondslag liggende delicten zoals corruptie en fiscale misdrijven waaronder belastingontduiking en -fraude, hebben daarvoor identificerende en andere gegevens nodig van cliënten van banken en andere betaaldienstverleners. Datzelfde geldt voor de Belastingdienst voor haar taken op het gebied van belastingheffing en -inning. Bij identificerende gegevens gaat het dan bijvoorbeeld om de naam, het registratienummer bij de Kamer van Koophandel, het adres en bij natuurlijke personen de geboortedatum. Bij andere gegevens gaat het hier om gegevens over de uiteindelijk belanghebbende en de openings- en sluitingsdatum van een rekening of kluis. De politie, de bijzondere opsporingsdiensten, het openbaar ministerie (OM), de Financiële inlichtingen eenheid (hierna: FIU-Nederland) en de Belastingdienst hebben voor het uitvoeren van bepaalde taken de bevoegdheid om die gegevens te vorderen of op te vragen op grond van het Wetboek van Strafvordering (Sv), de Wet op de economische delicten (Wed), de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), de Algemene wet inzake rijksbelastingen (AWR), de Invorderingswet 1990 (IW 1990) en de Algemene wet inkomensafhankelijke regelingen (Awir). Banken en andere betaaldienstverleners dienen de gevorderde of gevraagde gegevens op grond van de genoemde wetgeving te verstrekken.

Momenteel gebeurt het vorderen of opvragen van de betreffende gegevens bij banken door overheidsinstanties veelal handmatig en op individuele basis. Dit heeft verschillende nadelen. Een belangrijk nadeel is dat de levering en verwerking van de gegevens vertraging kan oplopen, waardoor de gevraagde gegevens reeds kunnen zijn gewijzigd voordat de betreffende instantie ze ontvangt. Dit beperkt de genoemde instanties steeds meer bij de uitvoering van hun taken. Het betalingsverkeer verloopt namelijk steeds sneller, het is in toenemende mate digitaal en niet gebonden aan grenzen. Ook zijn er meer soorten diensten beschikbaar en is het eenvoudiger om producten van verschillende banken en andere betaaldienstverleners af te nemen en om gegevens snel (online) te wijzigen. Al deze ontwikkelingen, die in de toekomst nog zullen doorzetten, maken het moeilijker en in veel gevallen onmogelijk om geldstromen in kaart te brengen zonder actuele gegevens. Het is daarom voor een goede taakuitoefening essentieel dat de betreffende gegevens snel en volledig bij de genoemde overheidsinstanties bekend zijn. Ook is het nodig dat de gegevens digitaal worden aangeleverd, zodat ze direct verwerkt kunnen worden. Er is geïnventariseerd op welke wijze het proces van vorderen en opvragen van de betreffende gegevens bij banken en andere betaaldienstverleners, alsmede het daaropvolgend door hen verstrekken van die gegevens, beter kan worden vormgegeven. Dit heeft geleid tot het voorstel om voor bepaalde overheidsinstanties voor bepaalde gegevens te gaan werken met een centraal elektronisch systeem.

Het zogenoemde verwijzingsportaal bankgegevens voorziet in het betrouwbaar, veilig, snel, gericht en efficiënt vorderen, opvragen en verstrekken van gegevens op een (in beginsel) uniforme wijze. Met de verplichte aansluiting van in de wet aangewezen banken en andere betaaldienstverleners op het verwijzingsportaal bankgegevens wordt voorkomen dat overheidsinstanties buiten het portaal om bij sommige partijen alsnog handmatig een vordering moeten indienen. Daarmee is het systeem zo effectief mogelijk.

2.2. Europese verplichting

Inmiddels heeft het wetsvoorstel niet meer alleen een nationale achtergrond. Op 19 juni 2018 is de hiervoor genoemde richtlijn tot wijziging van de vierde anti-witwasrichtlijn in werking getreden. Deze richtlijn wijzigt de vierde anti-witwasrichtlijn1. De vierde anti-witwasrichtlijn en de wijziging van die richtlijn strekken tot het voorkomen van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering voor de aan deze misdrijven ten grondslag liggende delicten zoals corruptie of voor fiscale misdrijven, waaronder belastingontduiking en -fraude. De richtlijn tot wijziging van de vierde anti-witwasrichtlijn bevat daartoe verschillende maatregelen, waaronder in artikel 32bis de verplichting voor elke EU-lidstaat om te voorzien in een centraal elektronisch systeem voor gegevensontsluiting, dat de tijdige identificatie mogelijk maakt van natuurlijke personen of rechtspersonen die houder zijn van of zeggenschap hebben over bank- en betaalrekeningen met een IBAN-identificatienummer2 of over een kluis bij een bank. Deze richtlijnverplichting valt in belangrijke mate samen met de nationale beleidsmatige wens om het verstrekken van identificerende gegevens door banken en andere betaaldienstverleners te automatiseren. Het beoogde verwijzingsportaal bankgegevens is immers een dergelijk geautomatiseerd centraal systeem en voldoet grotendeels aan de eisen van de richtlijn. Wel heeft het verwijzingsportaal bankgegevens een enerzijds breder toepassingsgebied dan de richtlijn voorschrijft en voldoet het anderzijds niet aan alle vereisten van de richtlijn. Het toepassingsbereik is breder doordat er meer overheidsinstanties zijn aangesloten en meer soorten identificerende gegevens kunnen worden opgevraagd dan de richtlijn voorschrijft. Dit is in de eerste plaats te verklaren doordat het opzetten van het verwijzingsportaal bankgegevens niet uitsluitend dient ter implementatie van de richtlijn, maar ook om te voldoen aan de nationale beleidsmatige wens om slagvaardiger op te kunnen treden bij het bestrijden van criminaliteit. Daarnaast is bij de keuze voor de gegevens die via het verwijzingsportaal bankgegevens verstrekt moeten worden aangesloten bij de reeds bestaande wettelijke bevoegdheden en de huidige praktijk van het handmatig vorderen van identificerende gegevens. Als in het onderhavige wetsvoorstel strikt zou zijn aangesloten bij de in de richtlijn genoemde gegevens, zou dat betekenen dat de aangesloten overheidsinstanties de overige gegevens, die zij op grond van de huidige Nederlandse wetgeving kunnen vorderen of opvragen, alsnog op de – inefficiënte – handmatige manier zouden moeten vorderen of opvragen. Dat zou het voordeel van het portaal teniet doen. Het verwijzingsportaal bankgegevens dat door het wetsvoorstel wordt geregeld voldoet daarmee aan alle vereisten van artikel 32bis van de richtlijn (zie ook de transponeringstabel in paragraaf 8).

De richtlijn tot wijziging van de vierde anti-witwasrichtlijn verplicht EU-lidstaten om uiterlijk op 10 september 2020 artikel 32bis, inhoudende de verplichting tot het opzetten van een centraal elektronisch geautomatiseerd systeem voor het ontsluiten van identificerende gegevens door banken en andere betaaldienstverleners, geïmplementeerd te hebben. De overige bepalingen van de richtlijn worden separaat geïmplementeerd, te weten in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).

2.3 Het verwijzingsportaal bankgegevens

Het verwijzingsportaal bankgegevens is een technische voorziening die het mogelijk maakt om identificerende bankgegevens van natuurlijke personen en rechtspersonen, identificerende gegevens behorend bij financiële producten alsmede gegevens over de uiteindelijk belanghebbende en de begin- en einddatum van een rekening of kluis, bijna real-time te vorderen of op te vragen, op basis van de huidige bevoegdheden van opsporingsambtenaren, de FIU-Nederland en van de Belastingdienst. Het verwijzingsportaal bankgegevens maakt het voor banken en andere betaaldienstverleners die rekeningen aanbieden tevens mogelijk om deze gevraagde of gevorderde gegevens vervolgens geautomatiseerd te verstrekken. Het verwijzingsportaal bankgegevens is daarmee te kwalificeren als een koppeling: het zoekt, op aanvraag, gegevens op in administraties van aangesloten banken en betaaldienstverleners en is geen database. Het slaat de gegevens die het heeft opgezocht slechts kort op (enkele minuten) ten behoeve van de verwerking door de aangesloten overheidsinstanties. Daarna worden de gegevens vernietigd. Aangesloten overheidsinstanties kunnen een vordering of verzoek gelijktijdig aan meerdere of aan alle banken en betaaldienstverleners richten. Het verwijzingsportaal bankgegevens stuurt de gegevens, zo nodig gebundeld, aan de vragende overheidsinstantie. Dit gehele proces is binnen enkele minuten afgerond. De technische inrichting van het verwijzingsportaal bankgegevens zorgt er verder voor dat de gegevens die worden ontsloten van goede kwaliteit zijn en dat er minder gegevens worden ontsloten van personen waarop de vordering of het verzoek geen betrekking heeft.

De manier waarop het verwijzingsportaal bankgegevens is ingericht brengt mee dat het wetsvoorstel de reeds bestaande wettelijke bevoegdheden voor de genoemde overheidsinstanties om de betreffende gegevens te vorderen of op te vragen niet wijzigt, inperkt of verruimt. Het wetsvoorstel schrijft alleen voor bepaalde partijen en bepaalde gegevens voor dat het verwijzingsportaal bankgegevens wordt gebruikt als middel voor verstrekking, voor zover er een wettelijke plicht daartoe bestaat.

2.4 Identificerende en andere gegevens

In het portaal kunnen identificerende gegevens van personen die in Nederland financiële producten, in de zin van de Wet op het financieel toezicht, afnemen van banken en andere betaaldienstverleners, alsmede gegevens over de uiteindelijk belanghebbende en de begin- en einddatum van een rekening of kluis worden ontsloten. Ook kunnen gegevens van personen, die namens een cliënt zeggenschap kunnen uitoefenen over financiële producten, bijvoorbeeld op basis van een volmacht, worden opgevraagd. Bij of krachtens algemene maatregel van bestuur zal worden uitgewerkt welke soorten gegevens via het verwijzingsportaal bankgegevens beschikbaar en opvraagbaar zullen zijn. Welke gegevens een aangesloten overheidsinstantie in een concreet geval kan opvragen of vorderen hangt af van de grondslag die daarvoor wordt gebruikt. De volgende identificerende gegevens zullen via het portaal beschikbaar zijn:

  • in geval van een natuurlijk persoon: naam, tenaamstelling van de rekening, de kluis of het financiële product, adres, woonplaats, postadres, geboortedatum, en administratieve kenmerken (is het product actief of beëindigd, is de betreffende persoon zelf cliënt of kan hij als gemachtigde namens een ander zeggenschap uitoefenen);

  • in geval van een rechtspersoon: naam, tenaamstelling van de rekening, de kluis of het financiële product, adres, vestigingsplaats, postadres, nummer van inschrijving bij de Kamer van Koophandel en administratieve kenmerken.

Daarnaast zullen – op een later moment – de volgende niet-identificerende gegevens via het portaal beschikbaar zijn:

  • gegevens over de uiteindelijk belanghebbende van een rekening of kluis;

  • de openings- en sluitingsdatum van een rekening of kluis.

Zoals hierboven beschreven zijn deze gegevens gekozen om aan te sluiten bij de reeds bestaande bevoegdheden van de aangesloten overheidsinstanties en op basis van de bestaande praktijk tussen de overheidsinstanties en banken. Via het verwijzingsportaal bankgegevens wordt geen informatie verstrekt over het gebruik van de financiële producten. Er kan bijvoorbeeld via het portaal geen informatie worden opgevraagd over transacties die vanaf een bepaalde rekening zijn uitgevoerd of over het saldo op een bepaalde rekening. Voor zover de aangesloten overheidsinstanties andere gegevens dan de genoemde identificerende gegevens, gegevens over de uiteindelijk belanghebbende en de begin- en einddatum van een rekening of kluis vorderen of opvragen bij aangesloten banken en betaaldienstverleners, of gegevens van andere partijen dan van aangesloten partijen vorderen of verzoeken, blijven de bestaande, handmatige, procedures van kracht en verloopt de verstrekking dus niet via het verwijzingsportaal bankgegevens. Het is niet mogelijk deze gegevens via het verwijzingsportaal bankgegevens op te vragen.

De wijze waarop banken en andere betaaldienstverleners de bovenstaande gegevens geautomatiseerd dienen te verstrekken, zal worden uitgewerkt bij of krachtens algemene maatregel van bestuur behorend bij dit wetsvoorstel. Wel voorziet het wetsvoorstel in een grondslag voor de aangesloten private partijen om bij het opvragen van gegevens uit de eigen administratie, ten behoeve van verstrekking via het verwijzingsportaal bankgegevens, het burgerservicenummer te gebruiken. Het gebruik van dit nummer is noodzakelijk om snel en efficiënt gegevens te verzamelen, het helpt om de hoeveelheid uitgewisselde informatie te beperken en het voorkomt dat onnodig gegevens worden verstrekt van personen waar de vordering of het verzoek geen betrekking op heeft.

2.5 Aansluiting op het verwijzingsportaal bankgegevens: private partijen

Dit wetsvoorstel verplicht banken en andere betaaldienstverleners die rekeningen aanbieden met een IBAN-identificatienummer dat de landcode «NL» bevat, alsmede banken die kluizen aanbieden, aangesloten te zijn op het verwijzingsportaal bankgegevens. Deze afbakening vloeit voort uit de verplichting uit de richtlijn tot wijziging van de vierde anti-witwasrichtlijn om ervoor te zorgen dat in het verwijzingsportaal bankgegevens identificerende gegevens zijn op te vragen van natuurlijke personen en rechtspersonen die een rekening met een IBAN identificatienummer hebben en van personen die kluizen aanhouden bij banken in Nederland, alsmede gegevens over de uiteindelijk belanghebbende en de begin- en einddatum van bedoelde rekeningen en kluizen. Via het verwijzingsportaal bankgegevens dienen die banken en andere betaaldienstverleners deze gegevens betreffende hun cliënten bij een verzoek of vordering van de genoemde overheidsinstanties geautomatiseerd te verstrekken. Voor de aangesloten banken en betaaldienstverleners betekent dit concreet dat zij een automatische koppeling tussen het eigen (klant)systeem en het verwijzingsportaal bankgegevens dienen te realiseren. Hoe de aansluiting op het verwijzingsportaal bankgegevens dient plaats te vinden en welke gegevens via het verwijzingsportaal worden gevorderd en verstrekt, zal worden uitgewerkt bij of krachtens algemene maatregel van bestuur.

2.6 Aansluiting op het verwijzingsportaal bankgegevens: bevoegde overheidsinstanties

Via het verwijzingsportaal bankgegevens kunnen identificerende gegevens, alsmede gegevens over de uiteindelijk belanghebbende en de begin- en einddatum van een rekening of kluis worden opgevraagd op grond van artikelen uit het Wetboek van Strafvordering (Sv), de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), de Wet op de economische delicten (Wed), de Algemene wet inzake rijksbelastingen (AWR), de Invorderingswet 1990 (IW 1990) en de Algemene wet inkomensafhankelijke regelingen (Awir). Deze wetgeving bepaalt ook welke overheidsinstanties bevoegd zijn om via het portaal deze gegevens op te vragen. Niet elke organisatie die op grond van deze artikelen bevoegd is om deze gegevens te vorderen of op te vragen, is aangesloten op het portaal. Aangesloten zijn de Nationale Politie, het openbaar ministerie, de Koninklijke Marechaussee, de Rijksrecherche, de Fiscale Inlichtingen- en Opsporingsdienst, de Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit, de directie Opsporing van de Inspectie Sociale Zaken en Werkgelegenheid, de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport, de Belastingdienst (BD-heffing), BD (inning), BD (Toeslagen/ heffing) en BD (Toeslagen/ inning) en de FIU-Nederland. Deze partijen zijn geselecteerd vanwege hun rol bij de aanpak en het bestrijden van witwassen en terrorismefinanciering en de daaraan ten grondslag liggende delicten zoals corruptie en fiscale misdrijven waaronder belastingontduiking en -fraude. Deze partijen mogen het verwijzingsportaal bankgegevens ook gebruiken voor andere verzoeken en vorderingen op basis van de genoemde wettelijke grondslagen. Bij of krachtens algemene maatregel van bestuur zullen functionarissen van deze organisaties of de organisaties zelf aangewezen worden als bevoegde autoriteiten.

2.7 Het beheer van het portaal

Het portaal wordt beheerd door de Justitiële Informatiedienst. Bij of krachtens algemene maatregel van bestuur worden regels gesteld over dit beheer. Onderwerpen als de inrichting van het portaal en de manier waarop er wordt gerapporteerd over het gebruik en de werking van het verwijzingsportaal bankgegevens kunnen bij of krachtens deze algemene maatregel van bestuur worden uitgewerkt.

3. Wet op het financieel toezicht (Wft)

3.1 Motivering keuze

Hoewel de aansluitverplichting voor banken en andere betaaldienstverleners op het verwijzingsportaal bankgegevens op zich een nieuw element vormt in de Wft in de zin dat dit geen prudentieel of gedragsvereiste is zoals die nu zijn opgenomen in de Wft, is er toch voor gekozen om deze verplichting in de Wft op te nemen. Daarbij is in de eerste plaats van belang dat de Wft de primaire vindplaats is van eisen die aan banken en andere betaaldienstverleners worden gesteld. De aansluitverplichting ligt in het verlengde van de bedrijfsvoeringseisen die reeds in de Wft aan banken en andere betaaldienstverleners worden gesteld. Daarnaast heeft de aansluitverplichting ook raakvlakken met eisen inzake integere bedrijfsvoering, zoals gesteld in de artikelen 3.10 en 3.17 van de Wft. Zo is artikel 3.17, tweede lid, onderdeel b, Wft gericht op het tegengaan van gebruik van het financieel stelsel voor witwassen en terrorismefinanciering. Onderzocht is evenwel of het verwijzingsportaal bankgegevens in andere wetten zou kunnen worden geregeld, te weten in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), in het Wetboek van Strafvordering (Sv) of een van de andere wetten op grond waarvan gegevens via het verwijzingsportaal bankgegevens kunnen worden gevorderd of opgevraagd. Ten aanzien van de Wwft is geoordeeld dat de scope van die wet te beperkt is, waardoor de suggestie zou worden gewekt dat het verwijzingsportaal bankgegevens alleen van belang is voor de bestrijding van witwassen en terrorismefinanciering. De systematiek en de aard van het Wetboek van Strafvordering brengen met zich dat dat Wetboek geen logisch kader om daarin bedrijfsvoeringsverplichtingen voor banken en andere betaaldienstverleners op te nemen. Dit geldt ook voor de andere wetten op grond waarvan gegevens bij deze instellingen kunnen worden gevorderd. Daar komt bij dat het verwijzingsportaal bankgegevens voor verschillende doeleinden zal worden gebruikt. Het opnemen van een verplichting tot aansluiting op het verwijzingsportaal bankgegevens in sectorale wetgeving ligt niet voor de hand, aangezien dan in de verschillende wetten een bepaling zou moeten worden opgenomen, hetgeen de kenbaarheid en toegankelijkheid van de regelgeving omtrent het verwijzingsportaal niet ten goede komt. Verder is van belang dat bestuursrechtelijke handhaving van de aansluitverplichting op het verwijzingsportaal (zie hieronder) in dit geval het meest voor de hand ligt.

3.2 Wettelijke grondslagen voor vorderen en opvragen gegevens

De bevoegdheden van de aangesloten overheidsinstanties om door middel van het verwijzingsportaal bankgegevens gegevens te vorderen of op te vragen zijn geregeld in het Wetboek van Strafvordering (Sv), de Wet op de economische delicten (WED), de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), de Algemene wet inzake rijksbelastingen (AWR), de Invorderingswet 1990 (IW 1990) en de Algemene wet inkomensafhankelijke regelingen (Awir). Deze wetgeving en de daarop gebaseerde regels bepalen onder meer welke functionarissen gegevens kunnen opvragen, welke gegevens zij kunnen opvragen, met welk doel en welke procedures er bestaan voor het geven van goedkeuring voor een vordering of verzoek, voor zover nodig. Het wetsvoorstel brengt daar geen wijziging in. Voor een toelichting op de achtergrond van de bevoegdheden, het doel van de inzet daarvan, de gegevens die opgevraagd kunnen worden, de inrichting van de procedure van vorderen of verzoeken en andere genoemde aspecten wordt daarom verwezen naar de toelichting bij de betreffende wetgeving. Voor de inzichtelijkheid wordt in de artikelsgewijze toelichting wel kort op de verschillende bevoegdheden ingegaan.

3.3 Toezicht

In het wetsvoorstel is ervoor gekozen om de aansluitverplichting op het verwijzingsportaal bankgegevens op te nemen in de Wft en voor het toezicht op de naleving daarvan alsmede voor de handhaving aan te sluiten bij de Wft. De Wft kent hoofdzakelijk een bestuursrechtelijk handhavingskarakter. Bij de keuze hiervoor speelt in de eerste plaats een rol dat door het niet voldoen aan de aansluitverplichting de rechtsorde niet bijzonder geschokt zal zijn. Ook aan het criterium van de gesloten context wordt voldaan, aangezien sprake is van een bestaande relatie tussen DNB en de banken en andere betaaldienstverleners. Gelet hierop ligt het voor de hand DNB te vragen ook dit deel van het toezicht uit te oefenen. Daardoor wordt tevens een situatie voorkomen van bestuurlijke drukte als gevolg van veel verschillende toezichthouders. Bij de keuze voor DNB als toezichthouder is onderkend dat DNB deze taak alleen kan uitoefenen als zij beschikt over informatie van de Minister van Justitie en Veiligheid (Justid). Justid heeft een belangrijke rol in het toezicht, aangezien Justid als eerste signaleert of in voorkomende gevallen een instelling niet aan de aansluitverplichting voldoet. Deze informatie geeft Justid door aan DNB, waarna DNB onderzoek kan doet. Met het oog hierop is in Deel 1 van de Wft een bepaling opgenomen die DNB en de Minister van Justitie en Veiligheid, als verantwoordelijke voor Justid, verplicht om samen te werken ten behoeve van de goede uitoefening van het toezicht en de handhaving door DNB. Dit houdt onder meer in dat de Minister van Justitie en Veiligheid verplicht is om DNB tijdig te voorzien van de juiste informatie. Daarnaast kan het noodzakelijk zijn dat DNB met het oog op haar toezicht- en handhavingstaak inzake de aansluitverplichting in voorkomende gevallen ook toezichtvertrouwelijke informatie deelt met Justid. Ook daartoe zal een bepaling worden opgenomen in de Wft die dit mogelijk maakt.

Naar verwachting is met het opzetten van het toezicht en de handhaving van de aansluitverplichting door DNB gedurende het eerste jaar 1 fte extra gemoeid en is daarnaast een structurele capaciteitstoename van 1 fte nodig voor het uitvoeren van het toezicht en de handhaving. De extra toezichtkosten hiervan worden binnen het kostenkader van DNB opgevangen en via de systematiek van de Wet bekostiging financieel toezicht 2019 aan de sector doorberekend.

De Autoriteit Persoonsgegevens houdt op grond van bestaande wetgeving toezicht op de rechtmatigheid van de verwerking van persoonsgegevens die met het gebruik van het verwijzingsportaal bankgegevens is gemoeid.

4. Gegevensbescherming

Een gedeelte van de via het verwijzingsportaal bankgegevens te vorderen of op te vragen gegevens zijn persoonsgegevens.3 Onder een persoonsgegeven wordt verstaan: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.4Op het gebruik (de verwerking) van persoonsgegevens is privacyregelgeving van toepassing. Omdat de voorgestelde bepaling voor een belangrijk deel betrekking heeft op de verwerking van persoonsgegevens, wordt hierna op de toepasselijke privacyregelgeving ingegaan en is de Autoriteit Persoonsgegevens op grond van artikel 36, vierde lid, algemene verordening gegevensbescherming gevraagd te adviseren of het wetsvoorstel voldoet aan de geldende wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens. Op dit advies wordt in paragraaf 7.4 ingegaan.

4.1 Verwerking van persoonsgegevens in het portaal

Ten opzichte van de huidige praktijk, wijzigt het verwijzingsportaal bankgegevens op een paar punten de manier waarop persoonsgegevens worden verwerkt bij het voldoen aan vorderingen en verzoeken van aangesloten overheidsinstanties. Vanuit het oogpunt van bescherming van persoonsgegevens heeft dit zowel voordelen voor de betrokkenen als nadelen.

– Gegevens van cliënten van banken en betaaldienstverleners

Zoals in paragraaf 2.3 van deze toelichting is beschreven is het verwijzingsportaal bankgegevens te kenmerken als een koppeling en bevat het maar gedurende zeer beperkte tijd – enkele minuten – gegevens van cliënten van banken en andere betaaldienstverleners. Wel zullen gegevens van cliënten in plaats van direct van de vorderende of verzoekende overheidsinstantie naar de aangesloten private partijen en andersom, door tussenkomst van een technische voorziening, worden verstrekt. Dit betekent dat er een extra verwerking van persoonsgegevens aan het huidige proces wordt toegevoegd. Het systeem maakt het mogelijk om sneller en efficiënter gegevens op te vragen. Gezien de ervaringen in andere landen met een geautomatiseerd systeem moet er rekening mee worden gehouden dat het automatiseren leidt tot meer bevragingen. Ook dit levert extra verwerkingen op. Hier staat tegenover dat het verwijzingsportaal bankgegevens het gebruik van persoonsgegevens beperkt, doordat persoonsgegevens gerichter kunnen worden opgevraagd en verstrekt. Hiertoe dient onder meer het gebruik van het burgerservicenummer, teneinde een vordering of verzoek van een overheidsinstantie te kunnen koppelen aan de betrokkene in het klantsysteem van de aangesloten bank of betaaldienstverlener. Hierdoor neemt het aantal verwerkingen af. Daarnaast neemt ook het aantal medewerkers van aangesloten private partijen, dat inzage heeft in de vorderingen, af. Ten opzichte van de huidige situatie levert het gebruik van het verwijzingsportaal bankgegevens daarnaast een vermindering van risico’s per verwerking op, doordat de praktijk van vorderen of opvragen per e-mail vervalt met de daarbij behorende risico’s voor de bescherming van persoonsgegevens en doordat minder medewerkers van de aangesloten banken en betaaldienstverleners bij de verwerkingen betrokken zijn.

– Gegevens ten behoeve van de beoordeling van de werking van het verwijzingsportaal bankgegevens

Het gebruik van het verwijzingsportaal bankgegevens brengt verder mee dat persoonsgegevens worden opgeslagen van de gebruikers van het portaal. Zo registreert het verwijzingsportaal bankgegevens van elk verzoek wie dit heeft gedaan. Dit gebeurt om te kunnen controleren dat het verwijzingsportaal rechtmatig wordt gebruikt, alsmede om de werking van het portaal te kunnen beoordelen.

4.2 Toepasselijke regelgeving bescherming persoonsgegevens

Op de verwerking van persoonsgegevens in het verwijzingsportaal zijn artikel 8 van het Handvest van de grondrechten van de Europese Unie, artikel 16 van het Verdrag betreffende de werking van de Europese Unie, artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en fundamentele vrijheden en artikel 10 van de Grondwet van toepassing. Op grond van deze bepalingen bestaat een recht op bescherming van persoonsgegevens dat alleen kan worden ingeperkt voor zover dat noodzakelijk is.

Deze regels worden verder uitgewerkt in de algemene verordening gegevensbescherming (AVG)5 en de Uitvoeringswet algemene verordening gegevensbescherming (UAVG). Op een deel van de gegevens die via het verwijzingsportaal bankgegevens worden verwerkt, is daarnaast de Wet politiegegevens van toepassing. Het gaat daarbij om de gegevens die de politie opneemt in de vordering die via het verwijzingsportaal bankgegevens aan banken en betaaldienstverleners wordt gericht. De Wet politiegegevens is herzien in verband met de implementatie van de richtlijn gegevensbescherming opsporing en vervolging6. Voor zover relevant, stelt deze wet vergelijkbare eisen aan de verwerking van deze gegevens als de AVG en de UAVG.

Persoonsgegevens moeten op grond van deze wetgeving worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Voorts mogen persoonsgegevens slechts worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen ze vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (doelbinding). Ook moet degene die verantwoordelijk is voor een verwerking bij het ontwikkelen van werkwijzen en systemen rekening houden met de gevolgen daarvan voor de bescherming van persoonsgegevens en de risico’s zoveel mogelijk beperken.

Op het gebruik van het burgerservicenummer door de aangesloten overheidsinstanties is verder de Wet algemene bepalingen burgerservicenummer (Wabb) van toepassing.

4.3 Gegegevensbeschermingseffectbeoordeling (PIA)

Voor het verwijzingsportaal bankgegevens is een zogenoemde gegevensbeschermingseffectbeoordeling (PIA) uitgevoerd. De PIA is er op gericht de noodzaak van de voorgenomen verwerking van persoonsgegevens te onderzoeken en de gevolgen en risico’s van het systeem op gestructureerde wijze in kaart te brengen. Hierbij is in het bijzonder aandacht besteed aan de beginselen van transparantie, gegevensminimalisering, doelbinding, het vereiste van een goede beveiliging en de rechten van de betrokkenen. De risico’s voor dit systeem zijn in drie categorieën in te delen: risico’s die te maken hebben met legitimiteit, risico’s die te maken hebben met privacy en risico’s die te maken hebben met informatiebeveiliging. Onder risico’s die te maken hebben met legitimiteit moet onder andere worden verstaan de kans dat via het verwijzingsportaal bankgegevens een vordering of verzoek wordt ingevoerd terwijl hieraan voorafgaand geen toetsing van de formele vereisten voor het indienen van een vordering of verzoek heeft plaatsgevonden. In de categorie privacy is een risico dat, indien een vordering of verzoek aan meerdere banken of betaaldienstverleners tegelijk wordt gericht, via het verwijzingsportaal ook persoonsgegevens van personen die niet in het klantenbestand van een aangesloten bank of betaaldienstverlener voorkomen, toch bij die partij terechtkomen. Risico’s met betrekking tot informatiebeveiliging hebben te maken met de toegang tot het systeem, door derden of door onbevoegde medewerkers van de aangesloten partijen. Deze risicoanalyse heeft gevolgen voor de eisen die aan het systeem worden gesteld en voor de werkwijze bij gebruik van het systeem. Een verslag van de PIA is als bijlage bij deze memorie van toelichting gevoegd7. Hieronder wordt een aantal bevindingen besproken.

4.4 Algemeen

De rechtsgrond voor de verwerking van persoonsgegevens in het kader van het gebruik van het verwijzingsportaal bankgegevens verschilt per betrokken partij. Hieronder een overzicht.

Organisatie

Rechtsgrond

Nationale Politie

art. 8,9 en 10 Wet politiegegevens

OM

art. 39b Wet justitiële en strafvorderlijke gegevens

Koninklijke Marechaussee

art. 8,9 en 10 Wet politiegegevens

Rijksrecherche

art. 8,9 en 10 Wet politiegegevens

Fiscale Inlichtingen- en Opsporingsdienst

art. 46 jo. art. 10 en 12 Wet politiegegevens

art. 10 Besluit politiegegevens bijzondere opsporingsdiensten in combinatie met 8 en 9 Wet politiegegevens

Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit

art. 46 jo. art. 10 en 12 Wet politiegegevens

art. 10 Besluit politiegegevens bijzondere opsporingsdiensten in combinatie met 8 en 9 Wet politiegegevens

directie Opsporing van de Inspectie Sociale Zaken en Werkgelegenheid

art. 46 jo. art. 10 en 12 Wet politiegegevens

art. 10 Besluit politiegegevens bijzondere opsporingsdiensten in combinatie met 8 en 9 Wet politiegegevens

Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport

art. 46 jo. art. 10 en 12 Wet politiegegevens

art. 10 Besluit politiegegevens bijzondere opsporingsdiensten in combinatie met 8 en 9 Wet politiegegevens

Belastingdienst (BD-heffing, BD-inning, Toeslagen heffing, Toeslagen-inning)

art. 6, eerste lid, onder e, jo. artikel 6, derde lid, AVG

FIU-Nederland

art. 6:6 van het Besluit politiegegevens

Banken en betaaldienstverleners

art. 6, eerste lid, onder c jo. Art. 6, derde lid, AVG

Het doel van de verzoeken die via het verwijzingsportaal bankgegevens worden ingediend, rechtvaardigt de inbreuk op de persoonlijke levenssfeer van de betrokkene. Gegevens worden immers opgevraagd ten behoeve van het voorkomen en opsporen van fraude en andere vormen van criminaliteit, het opsporen van (criminele) vermogens, het opleggen van financiële maatregelen en sancties door de daarvoor bevoegde opsporingsdiensten, het voorkomen van misbruik met toeslagen door de Belastingdienst en de belastingheffing en -inning. De actualiteit, kwaliteit en de volledigheid van de gegevens die worden verstrekt, zal met de komst van het verwijzingsportaal bankgegevens toenemen. Het elektronisch opvragen gaat namelijk sneller, het systeem bevat verschillende waarborgen om te zorgen dat degene die de gegevens opvraagt bij het opvragen de juiste gegevens gebruikt en het opvragen kan makkelijker bij verschillende banken of betaaldienstverleners tegelijk gebeuren, zodat een volledig beeld wordt verkregen. Hierdoor kunnen de aangesloten overheidsinstanties beter en sneller hun werkzaamheden uitvoeren. Dat betekent dat het verwijzingsportaal noodzakelijk is in het belang van de openbare veiligheid en het economisch welzijn, zodat een beperking van de rechten van betrokkenen op grond van wetgeving op het gebied van privacy is toegestaan.8 In het portaal kunnen alleen vorderingen of verzoeken worden ingediend als daar op basis van de reeds bestaande wetgeving een bevoegdheid voor bestaat. De bevoegdheden worden met de komst van het systeem niet uitgebreid. Door de efficiëntere werking van het verwijzingsportaal ten opzichte van de huidige handmatige werkwijze zal het aantal vorderingen of verzoeken naar verwachting wel toenemen, maar altijd plaatsvinden binnen de wettelijke kaders.

De voorgestelde bepaling is verder voldoende duidelijk en nauwkeurig, zodat de toepassing ervan voldoende voorspelbaar is. Hierdoor is het voor betrokkenen transparant dat en in hoeverre de hen betreffende persoonsgegevens (kunnen) worden vastgelegd, geraadpleegd of anderszins (verder) verwerkt. In de voorgestelde bepaling zijn de doeleinden waarvoor de persoonsgegevens kunnen worden verwerkt expliciet opgenomen in de vorm van een omschrijving van de grondslagen waarop vorderingen of verzoeken, die via het portaal worden gedaan, gegrond moeten zijn. Voor wat betreft het gebruik van het burgerservicenummer is opgenomen dat banken en betaaldienstverleners dit op grond van het wetsvoorstel alleen mogen gebruiken om gegevens in de administratie op te zoeken in het kader van het gebruik van het verwijzingsportaal bankgegevens.

Bij het gebruik van het verwijzingsportaal bankgegevens blijven de bestaande waarborgen in stand om te verzekeren dat vorderingen van overheidsinstanties rechtmatig zijn. De hiervoor geldende procedures vinden plaats voordat het systeem wordt gebruikt voor het vorderen of opvragen van gegevens. Onderkend is dat een systeem van fiattering buiten het verwijzingsportaal bankgegevens een verhoogde kans geeft op onnodige gegevensverstrekking. Om het risico daarop zoveel mogelijk te beperken is in overleg met de banken voorzien in extra waarborgen die nodig zijn voor een werkwijze van fiattering buiten het systeem. Zo is er een Gebruikersprotocol opgesteld waarin is beschreven hoe het verwijzingsportaal bankgegevens gebruikt moet worden, waaronder de wijze van fiatteren. Daarnaast zijn er op diverse plekken binnen het verwijzingsportaal bankgegevens waarborgen ingebouwd. Zo moet een opsporingsambtenaar telkens wanneer hij een bevraging via het verwijzingsportaal bankgegevens wil doen, in het systeem verklaren dat hij zich aan de regels houdt, waaronder die betreffende de fiattering. In dat kader moet hij voor elk verzoek in het verwijzingsportaal bankgegevens verklaren dat de schriftelijke vordering is geaccordeerd door de (hulp)officier van justitie/teamleider en door wie precies. Verder kan hij alleen een vordering of verzoek doen waartoe hij op grond van zijn functie bevoegd is. Dit hangt samen met zijn autorisatie.

Ook voor andere vorderingen of verzoeken via het portaal geldt dat het proces van vorderen, tot aan het moment van het versturen van de vordering – nu op papier of via e-mail, of soms elektronisch straks in het portaal –, ongewijzigd blijft. Voor de Belastingdienst zal dit worden vastgelegd in het Voorschrift informatie fiscus-banken. Ten aanzien van via het verwijzingsportaal bankgegevens ingediende informatieverzoeken door de Belastingdienst gelden eveneens extra waarborgen. Deze zijn vergelijkbaar met die welke gelden voor vorderingen/verzoeken door opsporingsambtenaren. Zo worden heffings- en invorderingsambtenaren die toegang krijgen tot het verwijzingsportaal bankgegevens daartoe aangewezen door hun directeur. Deze ambtenaren dienen vervolgens bij elke vordering in het verwijzingsportaal bankgegevens te verklaren dat zij tot het doen van de vordering zijn gemachtigd door hun directeur. Bij elke keer dat wordt ingelogd in het verwijzingsportaal bankgegevens dienen deze ambtenaar te verklaren dat zij zich houden aan de gestelde regels voor het gebruik van het verwijzingsportaal bankgegevens. Verder geldt eerdergenoemd Gebruikersprotocol ook voor de Belastingdienst. Hierin is onder meer beschreven hoe het verwijzingsportaal bankgegevens werkt moet worden gebruikt en hoe het gebruik is ingebed in het proces binnen de belastingadministratie.

De Minister van Justitie en Veiligheid zal in het kader van het beheer van het systeem laten beoordelen of het verwijzingsportaal bankgegevens op de juiste manier wordt gebruikt. Daarbij zal ook aan de orde komen of de aangesloten overheidsinstanties het portaal bevoegd gebruiken en of zij de juiste procedures in acht nemen.

4.5 Verwerkingsverantwoordelijkheid en relatie met verwerker

Verzenden verzoek of vordering om informatie:

Het verwijzingsportaal bankgegevens is een centrale voorziening waarlangs vragen van de respectievelijke bevragende organisaties bij de banken worden uitgezet conform de reeds bestaande en ongewijzigde wettelijke bevoegdheden. De bevragende organisaties zijn elk afzonderlijk verwerkingsverantwoordelijke voor het verzenden van hun verzoek of vordering om informatie aan het verwijzingsportaal bankgegevens. De gegevens die in het verwijzingsportaal bankgegevens worden opgeslagen (voor ongeveer drie minuten) vallen onder de verwerkingsverantwoordelijkheid van de bevragende organisatie. Hieronder een overzicht:

Bevragende organisatie

Verwerkingsverantwoordelijke

Nationale Politie

de korpschef (artikel 1, aanhef en onderdeel f, onder 1◦, en artikel 6c Wet politiegegevens)

OM

het College van procureurs-generaal

Koninklijke Marechaussee

de Minister van Defensie (artikel 1, aanhef en onderdeel f, onder 3◦, Wet politiegegevens)

Rijksrecherche

het College van procureurs-generaal (artikel 1, aanhef en onderdeel f, onder 2◦, en artikel 6c Wet politiegegevens)

Fiscale Inlichtingen- en Opsporingsdienst

Directeur FIOD

Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit

Directeur NVWA-IOD

Directie Opsporing van de Inspectie Sociale Zaken en Werkgelegenheid

Directeur Opsporing

Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport

De Minister van Infrastructuur en Waterstaat

Belastingdienst

DG Belastingdienst namens de Minister van Financiën

FIU-Nederland

Voor verwerking gegevens betreffende ongebruikelijke transacties: het hoofd FIU namens de Minister van Justitie & Veiligheid (artikel 12, derde lid, Wwft)

De Justitiële Informatiedienst (Justid), vallend onder de verantwoordelijkheid van de Minister van Justitie en Veiligheid, is verwerker voor deze partijen (zie hieronder).

Ontvangst verzoek of vordering en verstrekking door banken en andere betaaldienstverleners:

Banken kijken vervolgens in hun eigen klantsystemen of de gevraagde persoonsgegevens bij hen bekend zijn. Als dat het geval is worden de resultaten via het verwijzingsportaal bankgegevens naar de bevragende organisaties gestuurd. De verstrekkende partijen (banken en andere betaaldienstverleners) zijn steeds verwerkingsverantwoordelijke als het gaat om de ontvangst van het verzoek of de vordering van het verwijzingsportaal en het naar aanleiding daarvan verstrekken van gegevens aan het verwijzingsportaal. Vanaf het moment dat de vraag via het verwijzingsportaal bankgegevens bij het koppelvlak van de bank is aangekomen en de bank gegevens verwerkt waarmee de vraag kan worden beantwoord, is de bank verwerkingsverantwoordelijke. Dit koppelvlak, waarmee de bank op het verwijzingsportaal bankgegevens wordt aangesloten, wordt onder verantwoordelijkheid van de bank ontwikkeld. Verzoeken en vorderingen worden via het koppelvlak automatisch gekoppeld aan de gegevens uit de klantadministratie van de bank. Indien de bank over gegevens van de betrokkene beschikt, worden deze automatisch verstuurd. Dit betekent dat de bank als verwerkingsverantwoordelijke enkel achteraf kan controleren of het proces goed is verlopen. Daarom is het portaal zo ingericht dat enkel verzoeken en vorderingen die aan alle vereisten voldoen, aan de bank kunnen worden gestuurd. Daarnaast wordt, in overleg met de banken, een auditproces vormgegeven waarmee onder andere wordt getoetst of alle processtappen juist worden doorlopen. Banken krijgen periodiek inzage in de uitkomst van de audit.

De bank stuurt (persoons)gegevens als antwoord op een zoekopdracht naar het verwijzingsportaal bankgegevens. Vanaf het moment dat deze gegevens worden ontvangen door het verwijzingsportaal bankgegevens, is de bevragende organisatie ten aanzien van de persoonsgegevens die zijn opgenomen in de vordering of het verzoek verwerkingsverantwoordelijke, dus ook verantwoordelijk voor de verdere verwerking van deze gegevens in de eigen systemen.

Loggingsgegevens:

Ten aanzien van de loggingsgegevens die door het verwijzingsportaal bankgegevens worden bewaard, is de Minister van Justitie en Veiligheid verwerkingsverantwoordelijke. Deze gegevens worden beheerd door Justid-IBO.

Beheer verwijzingsportaal bankgegevens:

Het beheer van het verwijzingsportaal bankgegeven wordt uitgevoerd door de Justitiële Informatiedienst, met instemming van de Minister van Justitie en Veiligheid (Justid in de rol van systeembeheerder, en derhalve verwerker in de zin van artikel 4, onderdeel 8, van de AVG, en verwerker in de zin van artikel 1, onderdeel i, van de Wet politiegegevens). Het verwijzingsportaal wordt beheerd door de Justitiële Informatiedienst, afdeling IBO (Justid-IBO). Aangezien Justid-IBO onder verantwoordelijkheid valt van de Minister van Justitie en Veiligheid en er geen sprake is van een gezagsverhouding tussen ministeries onderling, maakt Justid-IBO per aangesloten partij (bevragende organisatie) verwerkersafspraken over onder meer de rechten en plichten van de verschillende partijen ten aanzien van de gegevens, het melden van een datalek, het toegang geven van personen tot het verwijzingsportaal bankgegevens binnen Justid (medewerkers hebben alleen in zeer uitzonderlijke gevallen volgens vastgestelde procedures toegang tot persoonsgegevens), uitvoeren van audits en feitelijke werkplekken van beheerders. Justid-IBO heeft kortom de rol om de gegevens technisch te verbinden en bij de in beheer name de taken uit te voeren die zijn opgenomen in de verwerkersafspraken.

4.6 Dataminimalisatie

Gegevensverwerking moet worden beperkt tot wat noodzakelijk is voor de doeleinden waarvoor persoonsgegevens worden verwerkt.9 Dit heeft betrekking op de hoeveelheid verzamelde gegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen (en vervolgens vernietigd) en de toegankelijkheid daarvan.

Mede vanuit het oogpunt van dataminimalisatie is gekozen voor een systeem in de vorm van een koppeling, in plaats van bijvoorbeeld een database die wordt gevuld met klantgegevens van banken waarin overheidsinstanties kunnen zoeken. Een dergelijke database vergt een regelmatige overdracht van een bestand met alle klantgegevens van banken, zodat de gegevens die worden opgevraagd steeds actueel zijn. Binnen de gekozen oplossing wordt daarentegen enkel naar aanleiding van een specifieke vordering of verzoek de noodzakelijke informatie verstrekt. Ook wordt bij het gebruik van het verwijzingsportaal bankgegevens telkens zo veel mogelijk informatie over de betrokkene ingevuld, zodat zo gericht mogelijk vragen kunnen worden gesteld en de kans zo klein mogelijk is dat gegevens worden verstrekt over personen waarop het verzoek geen betrekking heeft. Een uitzondering hierop is het opvragen van gegevens met behulp van het burgerservicenummer. Als dat nummer beschikbaar is wordt er, vanwege de beperkte foutgevoeligheid, juist voor gekozen om geen andere gegevens toe te voegen bij het opvragen van informatie. Aan het systeem zijn verder enkele technische eisen gesteld die ertoe dienen het verstrekken van onnodig veel persoonsgegevens te voorkomen. Zo is er bijvoorbeeld een maximaal aantal zoekresultaten per bank en worden vorderingen en verzoeken die betrekking hebben op personen die niet bij de bank bekend zijn direct vernietigd.

Gelet hierop draagt het verwijzingsportaal bankgegevens ook bij aan een effectievere (snellere), kwalitatief betere (minder fouten) en veiligere manier van gegevensverstrekking van banken aan de bevragende organisaties.10

4.7 Gebruik burgerservicenummer

Het wetsvoorstel maakt mogelijk dat het burgerservicenummer wordt gebruikt om de koppeling te maken van een vordering of een verzoek in het portaal met de administratie van een aangesloten bank of betaaldienstverlener. Vanwege het unieke karakter van het burgerservicenummer en het brede gebruik van het nummer binnen de overheid, zijn aan het gebruik van het burgerservicenummer door private partijen risico’s verbonden voor de betrokkenen. In het onderhavige geval zijn deze risico’s voor betrokkenen afgewogen tegen de risico’s voor betrokkenen die bestaan als in het portaal geen burgerservicenummer zou worden gebruikt. De uitkomst hiervan is dat de risico’s van het gebruik van het burgerservicenummer opwegen tegen de risico’s als geen burgerservicenummer zou worden gebruikt.

Het gebruik van het burgerservicenummer is noodzakelijk om gericht en snel informatie uit de administratie van aangesloten banken en betaaldienstverleners te kunnen opvragen ten behoeve van verstrekking via het verwijzingsportaal. Voor het gebruik van het burgerservicenummer is gekozen in het kader van dataminimalisatie: naarmate gerichter gezocht kan worden, worden de zoekresultaten specifieker. Indien wordt gezocht met gebruik van een uniek nummer, het burgerservicenummer, dat ook een beveiliging bevat tegen typefouten, is er maximaal kans op één uniek zoekresultaat. Dit betekent dat alleen gegevens van die betrokkene door de bank aan de vragende instantie worden verstrekt. In het wetsvoorstel is uitdrukkelijk beschreven dat het burgerservicenummer op grond van dit wetsvoorstel aan de kant van banken en betaalinstellingen alleen mag worden gebruikt om identificerende gegevens geautomatiseerd in de eigen administratie op te zoeken ten behoeve van een vordering of verzoek op grond van het verwijzingsportaal bankgegevens. Banken en betaaldienstverleners kunnen het burgerservicenummer hiervoor alleen gebruiken als zij daarover al beschikken op grond van een andere wettelijk voorschrift. Daarbij dienen zij zich te houden aan de Wabb.

4.8 Overige maatregelen

Het verwijzingsportaal bankgegevens is zo ingericht dat het naast de genoemde waarborgen nog verschillende andere waarborgen bevat om de verwerking van persoonsgegevens te beperken, de kwaliteit van de gegevens te waarborgen en de verwerkingen te beveiligen. Deze maatregelen worden vastgelegd bij of krachtens algemene maatregel van bestuur, in een vorderingsprotocol en een verwerkersovereenkomst en zijn periodiek onderwerp van een audit.

Om ongeoorloofde toegang tot het systeem te voorkomen, is het systeem niet toegankelijk via het internet. Het verwijzingsportaal bankgegevens heeft een eigen fysieke infrastructuur, die met een firewall is afgeschermd van het netwerk van het Ministerie van Justitie en Veiligheid. Ook is er een autorisatie- en inlogvoorziening voor medewerkers die bevoegd zijn gegevens op te vragen en worden de beheerders van het systeem door de AIVD gescreend. De identificatie, authenticatie en autorisatie verloopt voor onderdelen van de rijksoverheid via de gebruikelijke systemen die de rijksoverheid hiervoor gebruikt. De opsporingsdiensten zijn verantwoordelijk voor het gebruikersbeheer van de eigen organisatie. De autorisatie binnen het verwijzingsportaal bankgegevens wordt bepaald op basis van de rol die gebruiker heeft binnen zijn eigen organisatie. Dit betekent dat een geautoriseerde medewerker van de Belastingsdienst die inlogt op het portaal daarin alleen die gegevens kan vorderen die hij op grond van de voor hem geldende vorderingsgrondslag ook mag vorderen.

Voordat het verwijzingsportaal bankgegevens in gebruik zal worden genomen, wordt een penetratietest uitgevoerd.

Aansluiting op het verwijzingsportaal bankgegevens brengt ook risico’s met zich mee voor klantadministraties van aangesloten banken en andere betaaldienstverleners en voor gegevensbestanden van de betrokken overheidsinstanties. Om deze risico’s zoveel mogelijk te beperken zijn in nauw overleg met de banken een aantal beveiligingsmaatregelen getroffen. Ten eerste wordt de beveiligde verbinding tussen verwijzingsportaal bankgegevens en banken tweezijdig door middel van beveiligingscertificaten afgedwongen. Daarnaast kan het koppelvlak van de bank alleen via het verwijzingsportaal bankgegevens bevraagd worden; andere verbindingen kunnen van dit koppelvlak geen gebruik maken. Verder worden als onderdeel van het aansluitproces naast technische testen ook functionele testen uitgevoerd om vast te stellen dat een bank niet meer (of minder) informatie geeft dan mag conform de vordering/verzoek. Ten slotte wordt, voordat een bank definitief wordt aangesloten op het verwijzingsportaal bankgegevens, vereist dat de bank een zogenaamde penetratietest uitvoert, waaruit geen kwetsbaarheden blijken. Deze tetst moet de bank periodiek herhalen.

Voor de betrokken overheidsinstanties geldt dat twee verschillende typen koppelingen in gebruik worden genomen, te weten 1) een rechtstreekse verbinding met het verwijzingsportaal bankgegevens via de beveiligde webinterface en 2) via een beveiligde system-to-system koppeling. In het eerste geval wordt gebruik gemaakt van een beveiligde https-verbinding tussen de webbrowser van de overheidsinstantie en het verwijzingsportaal bankgegevens. Toegang verkrijgen tot het verwijzingsportaal bankgegevens op deze manier valt onder de scope van de penetratietesten die al met goed resultaat op het verwijzingsportaal bankgegevens zijn uitgevoerd en die nog kort voor het in gebruik nemen van het portaal worden herhaald. In het tweede geval wordt tussen het verwijzingsportaal bankgegevens en het systeem van de overheidsinstantie een tweezijdig beveiligde verbinding opgezet. Ook hiervoor geldt dat alleen in het verwijzingsportaal bankgegevens geregistreerde systemen toegang krijgen tot het verwijzingsportaal bankgegevens. Het testen van de veiligheid van de door de opsporingsinstanties gebruikte systemen, wordt uitgevoerd door deze instanties zelf. Voor beide opties geldt dat de systemen en de gegevensbestanden in beveiligde of hoog beveiligde omgevingen van de opsporingsdiensten staan.

In het verwijzingsportaal bankgegevens worden verder verschillende maatregelen genomen om de inbreuk op de persoonlijke levenssfeer te beperken, bijvoorbeeld het versleuteld versturen van (persoons)gegevens. Hiermee is gekozen voor een oplossing die zo min mogelijk risico’s met zich brengt.

4.9 Rechten van betrokkenen

De betrokkene kan bij de bank of betaaldienstverlener terecht voor een antwoord op de vraag over welke gegevens de bank van de betrokkene beschikt. De bank of betaaldienstverlener moet deze informatie in beginsel verstrekken op grond van artikel 12 AVG (transparantiebeginsel). Welke informatie verstrekt moet worden is veelal opgenomen in een privacyverklaring. De meeste banken hebben een privacyverklaring. Daarin is vaak ook opgenomen dat een bank op basis van wettelijke verplichtingen gegevens moet verwerken; verstrekken is een vorm van verwerken. Op grond van artikel 23 AVG kunnen aan de reikwijdte van de verplichtingen en rechten van betrokkenen (onder voorwaarden en in bepaalde situaties) beperkingen gelden. In de gevallen waar het in dit wetsvoorstel om gaat zal dat veelal de in artikel 23, eerste lid, onderdeel d, genoemde situatie zijn: «de voorkoming, de opsporing en de vervolging van strafbare feiten...». Indien de betrokkene vraagt of de bank of betaaldienstverlener deze informatie aan derden heeft verstrekt, mag de bank of betaaldienstverlener hier geen antwoord op geven voor zover hiervoor in de (specifieke) wet geheimhouding is voorgeschreven. Zie bijvoorbeeld artikel 126bb Sv voor een dergelijke wettelijke geheimhoudingsplicht.

De betrokkene kan eveneens aan de aangesloten overheidsinstanties vragen over welke informatie zij beschikken. Zij zullen dit verzoek eveneens toetsen aan de hand van de wettelijke kaders die van toepassing zijn.

5. Uitvoeringsgevolgen

Het verwijzingsportaal bankgegevens is nodig voor de volledig geautomatiseerde doorgeleiding van identificerende gegevens, alsmede gegevens over de uiteindelijk belanghebbende en de begin- en einddatum van een rekening of kluis. De kosten voor de ontwikkeling en ingebruikname worden begroot op totaal circa 9,1 mln. euro. De jaarlijkse exploitatie- en onderhoudskosten worden thans geschat op 1,2 mln. euro. Deze kosten worden deels betaald uit een Europese subsidie. De overige kosten komen voor rekening van het Ministerie van Justitie en Veiligheid en het Ministerie van Financiën.

Met de introductie van het verwijzingsportaal bankgegevens wijzigt het proces van het versturen van een vordering of verzoek aan een bank of andere betaaldienstverlener en het ontvangen van de betreffende gegevens. Dit heeft zowel organisatorische als technische gevolgen voor de overheidsinstanties die bij het verwijzingsportaal bankgegevens zijn aangesloten. De voorzieningen bij de overheidsinstanties komen voor rekening van deze organisaties. Hier staat tegenover dat de verwachting is dat het automatiseren van het proces voor de opsporingsdiensten tijdwinst per opsporingszaak zal opleveren, omdat er per vordering of verzoek minder handelingen verricht hoeven te worden. Hierdoor kunnen in dezelfde periode meer vorderingen of verzoeken worden gedaan in vergelijking met de huidige situatie. Hiermee kan sneller worden gereageerd in specifieke zaken en is meer actuele informatie voorhanden. Verwacht mag worden dat opsporingsdiensten adequater en sneller kunnen acteren en daarmee het succes van opsporingsonderzoeken kunnen vergroten.

Het wetsvoorstel is voor een uitvoeringstoets voorgelegd aan de Justitiële Informatiedienst, de politie, het OM, FIU-Nederland, de FIOD en de Belastingdienst. Op grond van de uitvoeringstoetsen is geconcludeerd dat het wetsvoorstel voor deze organisaties uitvoerbaar is. De uitvoeringstoetsen hebben dan ook niet geleid tot aanpassing van het wetsvoorstel.

5.1 Gevolgen voor ICT

Het verwijzingsportaal is bedoeld om het proces voor het vorderen, opvragen en verstrekken van identificerende gegevens alsmede gegevens over de uiteindelijk belanghebbende en de begin- en einddatum van een rekening of kluis bij banken en betaaldienstverleners geautomatiseerd te laten plaatsvinden. Opsporingsdiensten, de Belastingdienst en FIU-Nederland kunnen via het verwijzingsportaal gegevens opvragen, indien nodig bij meerdere banken tegelijkertijd. Het portaal wordt hiertoe gekoppeld aan de systemen van banken. Banken worden wettelijk verplicht om bevragingen via het portaal geautomatiseerd te beantwoorden.

5.2 BIT advies

Op 10 december 2018 heeft het BIT advies uitgebracht over het verwijzingsportaal bankgegevens. Het BIT onderschrijft het nut en de noodzaak van het VB. Het verwijzingsportaal bankgegevens zoals het nu is ontworpen, vindt zij echter nog geen robuuste oplossing om het huidige proces goed te vervangen. Ter onderbouwing hiervan heeft het BIT op vier onderdelen bevindingen gedaan: (i) het ontbreken van inzicht voor opsporingsambtenaren of de door banken aangeleverde gegevens compleet zijn; (ii) het ontbreken van enkele noodzakelijke beveiligingsmaatregelen; (iii) de gewenste beschikbaarheid van het verwijzingsportaal bankgegevens kan nog niet worden gegarandeerd; en (iv) het verwijzingsportaal bankgegevens is nog niet direct te gebruiken voor bevragingen bij alle banken, omdat banken waarschijnlijk niet allemaal tijdig zijn aangesloten. Om het verwijzingsportaal bankgegevens tot een succes te maken adviseert het BIT om vóór grootschalige inzet een aantal verbeteringen door te voeren ten aanzien van het ontwerp, de beveiliging, de beschikbaarheid en de bruikbaarheid van het verwijzingsportaal bankgegevens. Voor de nadere uitwerking van de adviezen wordt verwezen naar het BIT-advies d.d. 10 december 2018 (bijlage bij Kamerstuk 26 643, nr. 592).

Reactie op BIT advies:

Mede gelet op de adviezen van het BIT is de planning van de implementatie van het verwijzingsportaal bankgegevens een half jaar vooruitgeschoven, van 1 juli 2019 naar 1 januari 2020. Het ontwerp is inmiddels op belangrijke punten aangepast en aanvullende maatregelen zijn gepland om de robuustheid van het verwijzingsportaal bankgegevens te verbeteren. Binnen het project verwijzingsportaal bankgegevens zijn gedurende het afgelopen jaar al concrete maatregelen genomen om het verwijzingsportaal bankgegevens als systeem en de processen daaromheen te verbeteren en de aansluiting van banken goed voor te bereiden. De uitwerking daarvan heeft deels parallel gelopen met het onderzoek en de presentatie van de uitkomsten van het BIT. Om die reden is een belangrijk deel van de door het BIT geadviseerde maatregelen al geadresseerd of zelfs gerealiseerd. De doorgevoerde aanpassingen zijn voor elk van de vier delen van het BIT advies toegelicht door de Minister van Justitie en Veiligheid in zijn brief aan de Tweede Kamer van 5 februari 2019.11

6. Regeldruk

Banken en andere betaaldienstverleners verstrekken ook op dit moment, naar aanleiding van een vordering of een verzoek, gegevens aan de politie, de bijzondere opsporingsdiensten, het openbaar ministerie, de FIU-Nederland en de Belastingdienst. Het aantal vorderingen en verzoeken dat banken en andere betaaldienstverleners nu ontvangen, verschilt sterk per partij. Afhankelijk van de hoeveelheid ontvangen vorderingen en verzoeken, alsmede van de wijze waarop de interne organisatie van de bank of betaaldienstverlener is ingericht, levert het gebruik van het verwijzingsportaal bankgegevens een besparing op, omdat medewerkers van banken of betaaldienstverleners de gevraagde of gevorderde gegevens niet meer handmatig hoeven te verstrekken. Daarvoor wordt op dit moment een onkostenvergoeding uitgekeerd, die zal komen te vervallen, zodat deze kostenbesparing geen regeldrukeffect heeft.

De aansluiting op het verwijzingsportaal bankgegevens vergt een eenmalige ICT-aanpassing, die vervolgens moet worden onderhouden en beheerd. De kosten voor deze ICT-aanpassing en het beheer verschillen per bank en betaaldienstverlener en komen voor rekening van de betreffende bank en betaaldienstverlener. De omvang van de kosten is onder andere afhankelijk van het aantal (klant)systemen dat op het verwijzingsportaal bankgegevens moet worden aangesloten en het huidige ontwerp van deze systemen. De omvang van een ICT systeem kan worden uitgedrukt in functiepunten. ICTU heeft in 2017 in een onderzoek ingeschat dat de koppeling die banken moeten ontwikkelen 34 functiepunten telt. ICTU gebruikt standaard productiviteitscijfers van NESMA (17 uur per functiepunt) en vermenigvuldigt het aantal uren met een factor 1,5 vanwege de complexiteit. Hieruit volgt een geraamde impact van 867 ontwikkeluren per bank. Met een intern uurtarief voor hoogopgeleide medewerkers van € 54 zijn de kosten voor ontwikkeling geraamd op € 46.818. Op basis van een pilot met ABN AMRO bestaat de aansluiting voor de helft uit ontwikkelkosten, de andere helft bestaat uit kosten voor vooronderzoek, informatiebeveiliging en coördinatie. Wanneer deze uren (867) geraamd worden tegen het tarief voor managers en leidinggevenden (€ 77) leidt dit tot € 66.759 aan overige kosten. Verder dient de bank een penetratietest uit te voeren om de beveiliging te toetsen. De kosten hiervan worden ingeschat op € 20.000. Hiermee komen de incidentele kosten per bank op € 133.597. Naar verwachting vallen 87 banken binnen de verplichting om aan te sluiten, waarmee de totale incidentele kosten voor de bankensector: € 11.622.939 bedragen.

Opgemerkt moet worden dat uit het onderzoek van ICTU uit 2017 een andere kostenindicatie volgde: de totale ontwikkelkosten voor een grote bank zijn toen door ICTU voorlopig geschat op (afgerond) € 729.000, de kosten per middelgrote bank werden ingeschat op gemiddeld € 110.000 en per kleine bank op gemiddeld € 55.000. ABN AMRO heeft daarentegen aangegeven voor aansluiting op het systeem vooralsnog op € 1,2 miljoen in te schatten. Dat is wel inclusief een extra inspanning die geleverd is bij deelname aan een pilot.

De daadwerkelijke financiële consequenties kunnen per bank sterk uiteenlopen en zijn afhankelijk van de omvang van de klantadministratie en de complexiteit van de technische infrastructuur bij banken.

De structurele lasten voor banken voor het beheer en onderhoud van de verbinding met het verwijzingsportaal bankgegevens worden geschat ten opzichte van de ontwikkelkosten. Op basis van de «handreiking voor kosten-baten analyses voor ICT projecten» van Ecorys uit 2007 worden de structurele lasten ingeschat op 20% van de ontwikkelkosten. De structurele lasten worden derhalve per bank op € 9.364 per jaar geschat en voor de totale bankensector op € 814.633.

Door de aansluiting op het verwijzingsportaal bankgegevens worden de administratieve lasten verlicht die nu gepaard gaan met het beoordelen en beantwoorden van vorderingen.

Het wetsvoorstel heeft geen financiële gevolgen voor burgers.

7. Consultatie en advies

Het wetsvoorstel is binnen het project verwijzingsportaal bankgegevens afgestemd met de betrokken overheidsinstanties en een vertegenwoordiging van de banken en de Nederlandse Vereniging van Banken (NVB). Over de gevolgen van het verwijzingsportaal voor de ICT heeft het BIT op 10 december 2018 een advies uitgebracht. Voor een korte beschrijving van dit advies en de wijze waarop met het advies is omgegaan wordt verwezen naar paragraaf 5.2.

7.1 Internetconsultatie

Voor dit wetsvoorstel heeft van 14 juni tot 14 juli 2018 internetconsultatie plaatsgevonden. De consultatieversie van het wetsvoorstel zag alleen op de bevoegdheid van het vorderen/opvragen en verstrekken van identificerende gegevens via het verwijzingsportaal bankgegevens. Naar aanleiding van het advies van de Afdeling advisering van de Raad van State is het wetsvoorstel aangepast in de zin dat daarin de bevoegdheid is opgenomen om ook een aantal niet-identificerende gegevens te kunnen vorderen/opvragen en verstrekken via het verwijzingsportaal bankgegevens,

Er zijn dertien openbare reactie binnengekomen en drie niet openbare reacties. Van de openbare reacties zijn er negen afkomstig van particulieren. De overige vier reacties zijn van de Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBG), de Stichting Privacy First, de NVB en de Piratenpartij.

7.2 Consultatiereacties

Uit de meeste reacties komen zorgen naar voren over de bescherming van de persoonsgegevens bij het gebruik van het verwijzingsportaal bankgegevens. Dit onderwerp heeft bij de ontwikkeling van het verwijzingsportaal bankgegevens veel aandacht gehad. Naar aanleiding van de reacties wordt hier in de toelichting uitgebreider op ingegaan. Ook is het verslag van de uitgevoerde gegevensbeschermingseffectbeoordeling (PIA) als bijlage bij deze memorie van toelichting gevoegd. Daarin staat in detail beschreven hoe aan de regels op het gebied van gegevensbescherming wordt voldaan.

Op een aantal specifieke vragen en opmerking uit de reacties wordt hieronder nog ingegaan.

Twee reacties stellen aan de orde dat de gegevens die via het portaal bij een bank worden opgevraagd beter bij de rekeninghouder zelf opgevraagd kunnen worden.

In het geval van de Belastingdienst gebeurt dit op grond van het Voorschrift informatie fiscus/banken in principe ook eerst bij de belastingplichtige zelf. Indien de informatie niet via de belastingplichtige zelf kan worden verkregen, krijgt hij de gelegenheid om dit zelf bij de bank op te vragen. Pas als dat niet tot het gewenste resultaat leidt vraagt de Belastingdienst de gegevens op bij de bank via het verwijzingsportaal bankgegevens. Bij gebruik van het portaal door de Belastingdienst op grond van artikel 62bis Invorderingswet (één bankrekeningnummer) controleert de Belastingdienst gegevens die van de rekeninghouder zelf zijn verkregen. Ook bij het vorderen van gegevens door opsporingsdiensten zal eerst worden afgewogen of er geen andere manier is om aan de benodigde gegevens te komen; een wijze die minder inbreuk maakt op het recht op bescherming van persoonsgegevens. Daarbij is het wel belangrijk om te beseffen dat opsporingsdiensten de informatie opvragen ten behoeve van het voorkomen en opsporen van fraude en andere vormen van criminaliteit en het opsporen van (criminele) vermogens. Het is in het algemeen niet mogelijk dit onderzoek uit te voeren als de betrokkenen daarvan op de hoogte zijn.

In een van de reacties wordt gevraagd of in de wet kan worden benoemd welke gegevens via het verwijzingsportaal bankgegevens opgevraagd kunnen worden en met welk doel. Voorgesteld wordt om dit bij of krachtens een algemene maatregel van bestuur voor te schrijven.

In het wetsvoorstel is nadrukkelijk benoemd dat aangesloten overheidsinstanties via het verwijzingsportaal bankgegevens alleen identificerende gegevens, alsmede gegevens over de uiteindelijk belanghebbende en de begin- en einddatum van een rekening of kluis kunnen opvragen van cliënten van banken en betaaldienstverleners en van personen die namens hen zeggenschap kunnen uitoefenen over financiële producten die zij afnemen. Verder is beschreven welke vorderingen of verzoeken de aangesloten overheidsinstanties via het portal kunnen doen; de grondslagen van de vorderingen die via het portaal gedaan kunnen worden, staan immers opgesomd. Hiermee is voldoende omlijnd welke gegevens via het portaal kunnen worden verstrekt en met welk doel. Bij of krachtens algemene maatregel van bestuur wordt nog een opsomming gegeven van alle mogelijke categorieën gegevens die via het portaal uitgevraagd kunnen worden. Deze gegevens worden ook in paragraaf 2.5 van deze toelichting benoemd. Welke categorieën gegevens in een specifiek geval precies kunnen worden opgevraagd en met welk doel, hangt af van de gebruikte grondslag. De grondslag van het verzoek of de vordering bepaalt dit immers. De opsomming betreft onder meer een technische uitwerking van het begrip identificerende gegevens, zodat een algemene maatregel van bestuur een geschikte plaats is om dit te regelen. Dit levert ook de nodige flexibiliteit op als de bevoegdheden wijzigen of als besloten wordt dat op dezelfde grondslagen nog andere gegevens via het verwijzingsportaal bankgegevens opgevraagd moeten kunnen worden. Vanwege de kaders van de wet kunnen alleen gegevens, die gevorderd kunnen worden op grond van de wettelijke grondslagen die zijn opgesomd in de wet, worden toegevoegd. Andere wijzigingen of uitbreidingen in de op te vragen gegevens vergen een wetswijziging.

De NVB vraagt wat de gevolgen zijn van de introductie van het verwijzingsportaal bankgegevens voor de aansprakelijkheid van aangesloten banken en betaaldienstverleners als blijkt dat zij ten onrechte gegevens hebben verstrekt. Een andere partij vraagt of de Minister van Justitie en Veiligheid daarvoor aansprakelijk is.

Het wetsvoorstel laat bestaande regels en systemen voor het vaststellen van aansprakelijkheid onverlet. Alle betrokken partijen zijn en blijven er zelf voor verantwoordelijk dat zij bij het verwerken van gegevens de regels in acht nemen die daarbij gelden. Voor de partijen die persoonsgegevens via het portaal verstrekken, geldt dat zij dit doen op grond van een wettelijke verplichting, zodat daarvoor een rechtsgrond bestaat (artikel 6, eerste lid, onderdeel c, algemene verordening gegevensbescherming). Banken en betaaldienstverleners mogen er daarbij vanuit gaan dat de vorderingen en verzoeken die hen via het systeem bereiken rechtmatig zijn gedaan en dat zij dus verplicht zijn daaraan te voldoen. De werking van het systeem bevat verschillende waarborgen om dat te verzekeren.

De NVB benadrukt dat banken graag toegang zouden krijgen tot de Basisregistratie Persoonsgegevens (BRP) om op basis van hit/no hit gegevens van hun cliënten te verifiëren voordat zij die via het verwijzingsportaal verstrekken.

Voor de werking van het verwijzingsportaal bankgegevens zou de controle die de NVB voorstelt van toegevoegde waarde zijn. Die controle zorgt ervoor dat de gegevens die via het portaal worden verstrekt beter betrouwbaar zijn. Ook voorkomt het dat geen gegevens worden gevonden omdat bij de bank bijvoorbeeld niet de juiste adresgegevens geregistreerd staan. Of banken voor een dergelijke controle toegang zouden moeten krijgen tot het BPR vraagt echter om een bredere afweging van de noodzakelijkheid en de proportionaliteit van die verwerking. Daarbij moet worden afgewogen of de positieve effecten voor de werking van het verwijzingsportaal opwegen tegen de inbreuk op de rechten van betrokkenen. Bij een dergelijke afweging zal ook moeten worden bekeken of er nog andere positieve of negatieve effecten van een dergelijke controle zijn. Een en ander gaat het bestek van dit wetsvoorstel te buiten.

In een van de reacties wordt de vraag opgeworpen hoe het huidige wetsvoorstel zich verhoudt tot eerdere voornemens om het opvragen van informatie van banken efficiënter in te richten.

De behoefte om het proces van het vorderen of opvragen van gegevens van banken efficiënter in te richten bestaat al lange tijd. Om verschillende redenen is dit eerder niet doorgegaan. Door de ontwikkelingen in het betalingsverkeer nam intussen wel de noodzaak toe om snel actuele gegevens te kunnen opvragen. Ook namen de mogelijkheden toe om een technische faciliteit als het verwijzingsportaal te beveiligen, alsmede om waarborgen te scheppen voor de bescherming van de privacy. Deze gewijzigde omstandigheden maken dat het verwijzingsportaal bankgegevens nu wordt ingericht.

Verschillende partijen vragen hoe wordt beoordeeld of het verwijzingsportaal bankgegevens effectief is en wordt gebruikt zoals het is bedoeld. Zij vragen of en hoe de Minister van Justitie en Veiligheid het systeem laat toetsen en daarover rapporteert.

Deze technische aspecten zullen worden geregeld bij of krachtens algemene maatregel van bestuur. Een concept voor een algemene maatregel van bestuur is in het kader van de internetconsultatie gepubliceerd. Daaruit volgt dat de Minister van Justitie en Veiligheid jaarlijks een verslag opstelt waaruit het aantal opvragen volgt en op welke grondslag die zijn gedaan. Verder laat hij elke twee jaar een audit uitvoeren waarbij wordt beoordeeld of het verwijzingsportaal bankgegevens voldoet aan de regels uit de wet en gesteld bij of krachtens algemene maatregel van bestuur.

De NVB wijst erop dat veel opsporingsdiensten de bevoegdheid hebben om identificerende gegevens op te vragen op grond van artikel 19 van de Wed. Zij verzoekt artikel 19 van de Wed aan te passen, zodat het voor degene die een vordering op grond van de Wed ontvangt duidelijker is waarop die vordering is gebaseerd en hij kan controleren of die vordering bevoegd is gedaan.

In paragraaf 3 over de bescherming van persoonsgegevens is al beschreven dat de procedures voor het goedkeuren van een vordering en het vastleggen daarvan buiten het verwijzingsportaal om plaatsvinden. Deze wijzigen ook niet door dit wetsvoorstel. Dat geldt ook voor de procedures voor vorderingen op grond van de Wed. Verder is van belang dat niet alle partijen die op grond van artikel 19 van de Wed de bevoegdheid hebben om gegevens op te vragen, ook zijn aangesloten op het verwijzingsportaal. Alleen de opsporingsambtenaren van de Fiscale Inlichtingen- en Opsporingsdienst, de Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit, de directie Opsporing van de Inspectie Sociale Zaken en Werkgelegenheid en de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport zullen de mogelijkheid krijgen om via het portaal gegevens op te vragen op grond van artikel 19 van de Wed. Voor ambtenaren van deze diensten gelden dezelfde waarborgen voor autorisatie en gebruik van het verwijzingsportaal bankgegevens als voor de politie.

De NVB merkt op dat het op grond van het wetsvoorstel onvoldoende duidelijk is voor welke taken de FIU-Nederland identificerende gegevens in het verwijzingsportaal bankgegevens kan opvragen.

De FIU-Nederland kan in het portaal gegevens opvragen op grond van artikel 17 van de Wwft. Uit dat artikel volgt dat de FIU-Nederland die gegevens kan opvragen in het kader van haar taak om gegevens te verzamelen om te bezien of meldingen van ongebruikelijke transacties van belang kunnen zijn voor het voorkomen en opsporen van misdrijven en om anderen van relevante gegevens te voorzien. Door de verwijzing naar artikel 17 van de Wwft blijkt dit voldoende duidelijk uit de wet. Net als in de huidige situatie, waarbij de FIU-Nederland handmatig vordert, is het primair de verantwoordelijkheid van de FIU-Nederland om ervoor te zorgen dat zij alleen gegevens vordert via het portaal als zij daartoe bevoegd is. In het kader van de audits naar de werking van het systeem zal dit worden beoordeeld.

De NVB stelt aan de orde dat de kosten voor het aansluiten op het verwijzingsportaal bankgegevens disproportioneel zijn voor banken die in Nederland maar weinig cliënten hebben. De NVB vraagt of nog nader onderzocht kan worden wat de mogelijkheden zijn om die kosten te beperken. Ook met betrekking tot specifieke klantgroepen, waarvoor het complex kan zijn om gegevens via het portaal aan te leveren, vraagt de NVB om andere oplossingen te onderzoeken.

Zoals de NVB zelf ook aangeeft, wordt momenteel gezamenlijk met de bij het project betrokken partijen onderzocht hoe de kosten van het aansluiten voor kleine partijen beperkt kunnen worden. Ook met betrekking tot specifieke klantgroepen kan gezamenlijk worden bekeken of er mogelijkheden zijn voor een aangepaste werkwijze. Op grond van de richtlijn tot wijziging van de vierde anti-witwasrichtlijn bestaat wel de verplichting dat identificerende gegevens via een centraal elektronisch systeem geautomatiseerd opvraagbaar zijn. Aan deze minimumeis zal dus voldaan moeten worden.

De NVB wijst erop dat op dit moment geen Europese standaard bestaat voor de inrichting van het portaal en verzoekt om dit wel te bevorderen, zodat banken die in verschillende lidstaten opereren geen kosten hoeven maken voor de implementatie van verschillende systemen.

Op dit moment bestaat nog geen duidelijk beeld van de manier waarop de verschillende lidstaten het centrale elektronische systeem, dat de richtlijn tot wijziging van de vierde anti-witwasrichtlijn voorschrijft, in willen richten. Wel is duidelijk dat hier verschillende ideeën over bestaan. Dit kan worden verklaard doordat de richtlijn als doel heeft om nationale procedures voor het opvragen van identificerende gegevens te centraliseren en te automatiseren, zonder direct in te grijpen op vormgeving van die procedures zelf. Omdat die procedures per lidstaat verschillen, zal dat naar verwachting ook zo zijn als zij geautomatiseerd plaatsvinden. Daar komt nog bij dat veel lidstaten al beschikken over een geautomatiseerd systeem (dat aansluit op hun nationale procedures). Deze landen zullen bij de implementatie waarschijnlijk zoveel mogelijk bij dit bestaande systeem willen aansluiten. Om te bevorderen dat andere lidstaten aansluiten bij de vorm die in Nederland is gekozen, heeft Nederland wel een presentatie voor de andere lidstaten gegeven in Brussel.

De NVB vraagt tot slot om een kostendekkende vergoeding voor ontwikkeling van systemen om aan te sluiten op het portaal en een jaarlijkse bijdrage in de kosten.

De kosten die banken maken voor de aansluiting op het portaal vloeien voort uit de richtlijn tot wijziging van de vierde anti-witwasrichtlijn, aangezien die voorschrijft dat identificerende gegevens van – kort gezegd – cliënten van banken opgevraagd kunnen worden via een centraal elektronisch informatiesysteem. Uitgangspunt is dat marktpartijen dergelijke kosten, die direct voortkomen uit Europese voorschriften, zelf dragen. Er is geen reden daar in dit geval een uitzondering op te maken. Het wetsvoorstel heeft weliswaar op onderdelen een bredere strekking dan de Europese richtlijn, maar de kern van het wetsvoorstel en de richtlijn is hetzelfde: het automatiseren en centraliseren van het proces van vorderen, opvragen en verstrekken van bepaalde gegevens met als doel tijdige identificatie mogelijk maken van natuurlijke of rechtspersonen. Het wetsvoorstel beoogt met de bredere strekking te voorkomen dat banken en bepaalde aangesloten overheidsdiensten voor vorderingen of bevragingen die onder de scope van de Europese richtlijn vallen wel van het VB gebruik kunnen maken en voor andere niet. Dit zou voor alle partijen extra kosten met zich meebrengen, omdat anders een deel van het proces nog op de oude «handmatige» wijze zou moeten worden voortgezet. De investerings-, exploitatie- en onderhoudskosten voor de centrale voorziening en de beheersorganisatie komen voor rekening van de overheid. De banken dragen zelf de investerings-, exploitatie- en onderhoudskosten voor de aansluiting op de centrale voorziening. Uit artikel 592, tweede lid, van het Wetboek van Strafvordering vloeit voort dat in de daar genoemde gevallen op dit moment al geldt dat investerings-, exploitatie- en onderhoudskosten om te kunnen voldoen aan een vordering niet voor vergoeding in aanmerking komen. Ook in het kader van het voldoen aan verzoeken om informatie van de FIU of de Belastingdienst is er momenteel geen sprake van vergoeding van kosten. In het kader van strafvordering is er wel een afspraak tussen de banken en het openbaar ministerie dat een bank een vergoeding krijgt van 10 euro per individuele vordering. In december 2014 is in het kader van het project Peseta tussen de toenmalige Minister van Justitie en Veiligheid en de voorzitter van de Nederlandse Vereniging van Banken (NVB) de afspraak gemaakt om de onkostenvergoeding van 10 euro per vordering te laten vallen, onder de voorwaarde dat eerst het automatisch aanleveren wordt gerealiseerd en dat het aantal bevragingen niet disproportioneel stijgt. Met de komst van het verwijzingsportaal bankgegevens is aan de eerste voorwaarde voldaan. Op de tweede voorwaarde houdt het openbaar ministerie toezicht. Het gebruik van het verwijzingsportaal bankgegevens zal daarnaast onderworpen worden aan een periodieke audit.

In twee reacties wordt gevraagd om toe te lichten wat de verhouding is van het wetsvoorstel tot de Wet op de inlichtingen en veiligheidsdiensten 2018 (Wiv 2018) en tot het wetsvoorstel gegevensverwerking in samenwerkingsverbanden (Wgs).

Het onderhavige wetsvoorstel heeft geen betrekking op bevoegdheden van inlichtingen- en veiligheidsdiensten en staat daarmee los van de Wiv. De inlichtingen- en veiligheidsdiensten kunnen het verwijzingsportaal bankgegevens niet raadplegen. Voor de Wgs geldt dat de wet erop is gericht om samenwerking tussen verschillende partijen te bevorderen indien dit een doel van zwaarwegend algemeen belang dient en indien het gaat om een samenwerkingsverband dat bij algemene maatregel van bestuur onder de werking van de Wgs is gebracht. Zonder een dergelijke algemene maatregel van bestuur staat de Wgs los van het onderhavige wetsvoorstel.

De KBG vraagt in haar reactie of ook gerechtsdeurwaarders de mogelijkheid kunnen krijgen om het verwijzingsportaal bankgegevens te raadplegen vanwege hun rol als informatie-instantie op grond van de Uitvoeringswet verordening Europees beval tot conservatoir beslag op bankrekeningen (Uitvoeringswet EAPO).

Zoals beschreven komt het onderhavige wetsvoorstel in eerste instantie voort uit de wens om effectiever op te kunnen treden tegen criminaliteit. Het project is gestart als onderdeel van de Rijksbrede aanpak criminaliteit. Met deze achtergrond zijn dan ook de overheidsinstanties geselecteerd die gegevens kunnen opvragen via het verwijzingsportaal bankgegevens. Eventuele toegang van gerechtsdeurwaarders tot het verwijzingsportaal bankgegevens kent een heel andere achtergrond en strekking. Dit vraagt dan ook om een nieuwe beoordeling van de noodzaak en proportionaliteit van toegang door gerechtsdeurwaarders tot het verwijzingsportaal. Dit valt buiten het bestek van dit wetsvoorstel.

7.3 Advies Adviescollege toetsing regeldruk

Op 19 juni 2018 is advies over het wetsvoorstel gevraagd aan het Adviescollege toetsing regeldruk. Het Adviescollege heeft op 5 juli advies uitgebracht. Het college adviseert om een berekening te maken van de structurele en eenmalige gevolgen voor regeldruk conform de daarvoor geldende landelijke systematiek en die toe te voegen. Naar aanleiding van dit advies is de paragraaf regeldruk aangevuld.

7.4 Advies Autoriteit Persoonsgegevens

Bij brief van 29 november 2018 heeft de Autoriteit Persoonsgegevens (AP) advies uitgebracht over het wetsvoorstel, op grond van artikel 36, vierde lid, van de Algemene verordening gegevensbescherming (AVG). De AP adviseert om in de memorie van toelichting de beoogde invulling van de verwerkingsverantwoordelijkheid en de vormgeving van de relatie met de beheerder/verwerker uiteen te zetten. Het advies is bij het wetsvoorstel betrokken en heeft tot een aanpassing in de toelichting geleid in de zin dat in paragraaf 4 een onderdeel is ingevoegd over de verwerkingsverantwoordelijkheid.

§ 8 Overgangsrecht en inwerkingtreding

Beoogd is om de wet op 1 januari 2020 in werking te laten treden. Er is niet voorzien in overgangsrecht, aangezien het systeem van het verwijzingsportaal bankgegevens alleen werkt als alle banken en andere betaaldienstverleners daarop zijn aangesloten. Als dat niet het geval is, moeten immers meerdere processen worden gevolgd om bij verschillende instellingen dezelfde informatie te halen, terwijl het wetsvoorstel juist tot doel heeft om het proces van opvragen/vorderen en verstrekken van gegevens efficiënter te maken. Daarnaast is de verwachting dat in geval van overgangsrecht banken en andere betaaldienstverleners zo laat mogelijk zullen aansluiten. Wel is voorzien in de mogelijkheid van latere inwerkingtreding van Artikel II. Reden hiervoor is dat de aanpassing van ICT-voorzieningen van banken, die het mogelijk moet maken dat gegevens over de uiteindelijk belanghebbende en de openings- en sluitingsdatum van een rekening of kluis kan worden opgevraagd en verstrekt, meer tijd vergt.

§ 9 Transponeringstabel

Artikel 32bis van richtlijn (EU) 2018/843 van het Europees Parlement en de Raad van 30 mei 2018 tot wijziging van Richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, en tot wijziging van de Richtlijnen 2009/138/EG en 2013/36/EU (PbEU 2018, L 156)

Bepaling EU-regeling

Bepaling in implementatieregeling of bestaande regeling:

Toelichting indien niet geïmplementeerd of naar zijn aard geen implementatie behoeft

Omschrijving beleidsruimte

Toelichting

32bis, lid 1

Artikel 3:267i Wft

 

32bis, lid 2

Artikel 3:267i Wft

 

Het verwijzingsportaal bankgegevens is direct toegankelijk voor de FIU en bevoegde autoriteiten.

32bis, lid 3

Artikel 3:267i Wft en

Besluit verwijzingsportaal bankgegevens

 

Betreft de informatie die via het verwijzingsportaal bankgegevens toegankelijk moet zijn.

32bis, lid 4

Besluit verwijzingsportaal bankgegevens

Lidstaatoptie om meer informatie toegankelijk te maken, hiervan is beperkt gebruik gemaakt.

In het verwijzingsportaal zijn ook enkele administratieve kenmerken van producten en cliënten beschikbaar. Daarnaast is informatie te vorderen en opvraagbaar over cliënten die andere producten afnemen dan betaalrekeningen en kluizen.

32bis, lid 5

 

Behoeft geen implementatie, betreft een verplichting van de Europese Commissie

ARTIKELSGEWIJS

ARTIKEL I (Wet op het financieel toezicht)

A

In het voorgestelde artikel 3:267i wordt verwezen naar de SEPA-verordening. Dit onderdeel voegt een definitie van deze verordening toe in artikel 1:1 van de Wft.

B

In het voorgestelde artikel 1:49a is een bepaling opgenomen die DNB en de Minister van Justitie en Veiligheid, als verantwoordelijke voor Justid, verplicht om samen te werken ten behoeve van de goede uitoefening van het toezicht en de handhaving door DNB. Dit houdt onder meer in dat de Minister van Justitie en Veiligheid verplicht is om DNB tijdig te voorzien van de juiste informatie. Dit is nodig, omdat DNB haar taak als toezichthouder op de naleving van de in artikel 3:267i opgenomen verplichtingen voor banken en andere betaaldienstverleners alleen kan uitoefenen als zij beschikt over informatie van de Minister van Justitie en Veiligheid (Justid). Zie ook paragraaf 3.3 van deze toelichting.

C

Met het eerste lid van het voorgestelde artikel 1:93h wordt mogelijk gemaakt dat DNB ten behoeve van het toezicht op de naleving en de handhaving van de in artikel 3:267i opgenomen aansluitverplichting voor banken en andere betaaldienstverleners toezichtvertrouwelijke gegevens kan delen met Justid, als beheerder van het verwijzingsportaal bankgegevens. Dit is noodzakelijk, omdat DNB in het kader van een (lopend) onderzoek of een handhavingsmaatregel Justid bijvoorbeeld moet kunnen informeren over eventuele afspraken met een instelling over de termijn waarbinnen een instelling (wederom) aangesloten dient te zijn. Dit kan bijvoorbeeld aan de orde zijn als een last onder dwangsom is opgelegd aan een instelling. Als DNB deze informatie niet met Justid kan delen zou Justid DNB ook niet de informatie kunnen geven die nodig is om te controleren of vervolgens aan de last is voldaan. Het gaat hierbij alleen om het delen van vertrouwelijke gegevens of inlichtingen die geen persoonsgegevens bevatten en die door DNB zijn verkregen in het kader van het toezicht en de handhaving van de verplichtingen uit artikel 3:267i.

D

Artikel 3:267i

Eerste lid, aangesloten private partijen

Banken en andere betaaldienstverleners die rekeningen aanbieden met een IBAN-identificatienummer dat de landcode «NL» bevat, alsmede banken die kluizen aanbieden, zijn verplicht om aan te sluiten op het verwijzingsportaal bankgegevens. Voor deze partijen is gekozen, omdat artikel 32bis van de richtlijn tot wijziging van de vierde anti-witwasrichtlijn voorschrijft dat in het verwijzingsportaal bankgegevens identificerende gegevens opvraagbaar moeten zijn van houders van rekeningnummers met een IBAN-identificatienummer dat op Nederlands grondgebied is uitgegeven en van houders van kluizen die worden aangehouden bij banken op Nederlands grondgebied, alsmede de uiteindelijk belanghebbende en de begin- en einddatum van bedoelde rekening of kluis. Voor het uitgeven van een rekening met een IBAN-identificatienummer is een zogenaamde Bank Identifier Code (BIC) nodig. Deze BIC wordt gedeeltelijk in het IBAN identificatienummer opgenomen. Als een financiële instelling in Nederland een rekening wil aanbieden met een IBAN-identificatienummer heeft zij daarvoor een Nederlandse BIC nodig. Deze is herkenbaar aan de letters NL in de code.

In het onderhavige wetsvoorstel wordt het begrip IBAN-identificatienummer gebruikt overeenkomstig de definitie in artikel 2, onder 15, van de zogenoemde SEPA-verordening12: een identificatienummer van een internationale betaalrekening, dat een individuele betaalrekening ondubbelzinnig identificeert in een lidstaat, en waarvan de elementen zijn omschreven door de Internationale Organisatie voor Normalisatie (International Standard Organisation – ISO). Op grond van de SEPA-verordening moeten bepaalde in die verordening beschreven rekeningen beschikken over een IBAN-identificatienummer.

Het eerste lid bepaalt dat het verwijzingsportaal bankgegevens wordt beheerd door de Minister van Justitie en Veiligheid.

Tweede lid, cliënten

In het verwijzingsportaal bankgegevens kunnen gegevens opgevraagd worden van houders van rekeningen of andere financiële producten en van personen die namens hen zeggenschap hebben over deze producten. Hiermee wordt bereikt dat de aangesloten overheidsinstanties via het portaal ruimer inzicht kunnen krijgen in welke natuurlijke personen daadwerkelijk over een bepaalde rekening of een bepaald product kunnen beschikken.

Gegevens over personen die zeggenschap hebben over een bepaald financieel product zijn niet altijd in de bankadministratie opgenomen. Net als voor andere identificerende gegevens zal dan ook bij de uitwerking van identificerende gegevens bij of krachtens algemene maatregel van bestuur worden bepaald dat de aangesloten banken en betaaldienstverleners de gegevens over eventuele personen die zeggenschap hebben over een financieel product alleen hoeven te verstrekken als die bekend zijn in hun administratie.

Derde lid, vorderingsgrondslagen

Aangesloten banken en andere betaaldienstverleners moeten identificerende gegevens, alsmede de uiteindelijk belanghebbende en de begin- en einddatum van een rekening of kluis, via het verwijzingsportaal bankgegevens verstrekken als zij een vordering of verzoek krijgen op grond van een van de in het derde lid genoemde grondslagen. De omvang van de bevoegdheid om via het portaal te vorderen of te verzoeken en de omvang van de verplichting om aan die vordering of dat verzoek te voldoen, worden bepaald door die wetgeving en de daarop gebaseerde bepalingen. Banken en betaaldienstverleners verstrekken met andere woorden alleen via het verwijzingsportaal bankgegevens die gegevens die zij op grond van de (reeds bestaande) wetgeving moeten verstrekken. Hieronder volgt een beknopte toelichting op de verschillende grondslagen voor vorderingen of verzoeken via het verwijzingsportaal bankgegevens.

– Artikel 126a van het Wetboek van Strafvordering

Artikel 126a kent opsporingsambtenaren in het kader van het strafrechtelijk financieel onderzoek een aantal bijzondere bevoegdheden toe. Deze bevoegdheden berusten op de rechterlijke machtiging ex artikel 126, derde lid, Wetboek van Strafvordering. De opsporingsambtenaren dienen bij de uitoefening van deze bevoegdheden een afschrift van die machtiging te tonen. De bevoegdheidsuitoefening is doelgebonden: zij moet ertoe (kunnen) strekken inzicht te verkrijgen in de vermogenspositie van de onderzochte persoon. Met dat doel voor ogen kunnen de bevoegde opsporingsambtenaren aan eenieder bevelen hun op de eerste vordering mondeling of schriftelijk bepaalde informatie te verstrekken. Schriftelijke bescheiden kunnen worden ingezien en kunnen zo nodig in beslag worden genomen. Het bevel kan ook inhouden dat degene tot wie het is gericht, de opsporingsambtenaar een kopie van de gevorderde informatie verstrekt. Voor zover de gevorderde informatie identificerende gegevens betreft, geschiedt de verstrekking via het verwijzingsportaal bankgegevens.

– Artikelen 126nc, 126uc, 126zk van het Wetboek van Strafvordering

De kern van deze artikelen bestaat uit de bevoegdheid van de opsporingsambtenaar om van degene, die daarvoor redelijkerwijs in aanmerking komt en die anders dan ten behoeve van persoonlijk gebruik gegevens verwerkt, te vorderen bepaalde opgeslagen of vastgestelde identificerende gegevens te verstrekken betreffende naam, adres, woonplaats, postadres, geboortedatum, geslacht, rekeningnummers en administratieve kenmerken behorende bij een persoon. In geval van een rechtspersoon kunnen daarnaast gegevens over rechtsvorm en vestigingsplaats worden gevorderd. De bevoegdheid tot het vorderen van identificerende gegevens bestaat in geval van verdenking van misdrijf en de bevoegdheid kan slechts worden uitgeoefend «in het belang van het onderzoek». Dit accentueert dat de bevoegdheid alleen mag worden gehanteerd indien deze bijdraagt aan de opsporing van het delict. De Aanwijzing opsporingsbevoegdheden bevat nadere regels over de inzet van deze bevoegdheid. Deze regels zijn ook van toepassing op vorderingen via het verwijzingsportaal bankgegevens.

– Artikel 126ii van het Wetboek van Strafvordering

Artikel 126ii geeft de officier van justitie de bevoegdheid om in het kader van een verkennend onderzoek naar terroristische misdrijven identificerende gegevens te vorderen. Met behulp van identificerende gegevens kan worden vastgesteld wie de personen zijn waarop het onderzoek zich richt en welke verbanden er zijn tussen personen en tussen situaties en personen.

– Artikel 577bb van het Wetboek van Strafvordering

In artikel 577bb, eerste lid, zijn de bevoegdheden opgesomd die zich lenen voor toepassing in het onderzoek naar het vermogen van de veroordeelde, waaronder het vorderen van bepaalde opgeslagen of vastgelegde identificerende gegevens in de zin van artikel 126nc, tweede lid. Hiertoe kan bijvoorbeeld ook een bankrekeningnummer gerekend worden (eerste lid, onderdeel b). De opsporingsambtenaar is de bevoegde autoriteit, bij bevel daartoe van de officier van justitie.

– Artikel 19 van de Wet op de economische delicten

Artikel 19 verleent opsporingsambtenaren de bevoegdheid inzage te vorderen van gegevens en bescheiden en daarvan kopieën te maken. Zij mogen op grond van deze bepaling ook korte tijd de gegevens en bescheiden meenemen. De bevoegdheid tot het vorderen van inzage van gegevens en bescheiden kan door opsporingsambtenaren «in het belang van de opsporing» en «voor zover dat redelijkerwijs voor de vervulling van hun taak nodig is» worden uitgeoefend.

– Artikel 17 van de Wet ter voorkoming van witwassen en financieren van terrorisme

Artikel 17 van de Wwft geeft de Financiële inlichtingen eenheid (FIU-Nederland) de bevoegdheid om bij een Wwft-instelling die een melding heeft gedaan, alsmede bij een Wwft-instelling die bij een transactie was betrokken en waarover de FIU-Nederland gegevens heeft verzameld, nadere inlichtingen vragen. FIU-Nederland kan die gegevens opvragen in het kader van haar taak om gegevens te verzamelen om te bezien of meldingen van ongebruikelijke transacties van belang kunnen zijn voor het voorkomen en opsporen van misdrijven en om anderen van relevante gegevens te voorzien. Voor zover de gevorderde informatie identificerende gegevens betreft, geschiedt de verstrekking via het Verwijzingsportaal.

– Artikel 53 van de Algemene wet inzake rijksbelastingen

In artikel 53, eerste lid, aanhef en onderdeel a, AWR is geregeld welke verplichtingen voor administratieplichtigen als bedoeld in artikel 52 AWR gelden ten behoeve van de belastingheffing van derden. Op grond van die bepaling zijn banken gehouden om op verzoek informatie te verstrekken ten behoeve van de belastingheffing van derden, om kort gezegd, het mogelijk te maken voor de Belastingdienst (de inspecteur) om derden effectiever te kunnen controleren. Banken kwalificeren in beginsel als administratieplichtigen. Een derde is ieder ander dan de administratieplichtige wiens administratie wordt geraadpleegd. In deze gevallen gaat het om een individuele derde of groepen van derden. Het zogenoemde voorschrift informatie fiscus/banken13 bevat beleidsregels met betrekking tot de toepassing van onder meer artikel 53, eerste lid, aanhef en onderdeel a, AWR en artikel 62 IW 1990 (zie ook hieronder). Hierin is aangegeven op welke wijze de Belastingdienst om informatie over derden verzoekt met betrekking tot bancaire activiteiten en op welke wijze de banken daaraan moeten voldoen. In verband met het gebruik van het verwijzingsportaal bankgegevens voor de genoemde artikelen zal het voorschrift waar nodig worden aangepast.

– Artikel 62 van de Invorderingswet 1990

Artikel 62 IW 1990 legt aan administratieplichtigen de verplichting op om ten behoeve van de invordering ten aanzien van derden op verzoek van de ontvanger gegevens en inlichtingen te verstrekken, dan wel boeken, bescheiden en andere gegevensdragers of de inhoud daarvan ter beschikking te stellen. Verder maakt het artikel het mogelijk om bij ministeriële regeling werkzaamheden aan te wijzen waarbij het gebruik van het burgerservicenummer verplicht is en tevens aan te wijzen wie in relatie tot die werkzaamheden tot gebruik van het burgerservicenummer verplicht is.

– Artikel 62bis van de Invorderingswet 1990

Artikel 62bis IW 1990 bevordert de controle door de Belastingdienst (de ontvanger) of een door de burger opgegeven bankrekening voor de uitbetaling van een teruggaaf inkomstenbelasting juist is. De banken dienen identificatiegegevens te verstrekken zodat de Belastingdienst kan controleren of een door een belastingschuldige opgegeven bankrekening op zijn naam staat. De banken hebben daarnaast de wettelijke bevoegdheid om burgerservicenummers te gebruiken om de juistheid van de geregistreerde gegevens, met name de combinatie van naam/adres/woonplaats (NAW)-gegevens en burgerservicenummer, te controleren. Dat moet (identiteits)fraude en onnodige fouten voorkomen.

– Artikel 38 van de Algemene wet inkomensafhankelijke regelingen

Artikel 38 Awir regelt de kosteloze verstrekking aan de Belastingdienst/Toeslagen van gegevens en inlichtingen waarvan de kennisneming van belang kan zijn voor de uitvoering van de Awir. Omdat de aanspraak op of de hoogte van een tegemoetkoming mede afhankelijk kan zijn van informatie die niet binnen de Belastingdienst of de Belastingdienst/Toeslagen voorhanden is, is in het eerste lid van genoemd artikel 38 voor decentrale overheden, bepaalde semi-overheidslichamen en voor bij of krachtens algemene maatregel van bestuur aangewezen natuurlijke personen, rechtspersonen en instellingen een verplichting tot informatieverstrekking opgenomen. Het zesde lid van genoemd artikel 38 voorziet ook in de mogelijkheid dat banken de burgerservicenummers van hun rekeninghouders gebruiken in hun eigen administratie ten behoeve van het voldoen aan de informatieverplichting.

– Artikelen 126hh, 126nd, 126ud, 126zl en 577bd van het Wetboek van Strafvordering

Deze grondslagen zien op de bevoegdheid van het openbaar ministerie om gegevens over de uiteindelijk belanghebbende en de openings- en sluitingsdatum van een rekening of kluis, bedoeld in het eerste lid, te vorderen of op te vragen. FIU-Nederland, de Belastingdienst en de FIOD kunnen deze gegevens opvragen op grond van artikel 19 van de Wet op de economische delicten, artikel 17 van de Wet ter voorkoming van witwassen en financieren van terrorisme, artikel 53, eerste lid, aanhef en onderdeel a, van de Algemene wet inzake rijksbelastingen, de artikelen 62 en 62bis van de Invorderingswet 1990 en artikel 38 van de Algemene wet inkomensafhankelijke regelingen. Hiermee wordt artikel 32bis, derde lid, tweede en derde aandachtsstreepje, van de richtlijn tot wijziging van de vierde anti-witwasrichtlijn geïmplementeerd.

Vierde lid, delegatiebepaling

In het vierde lid van artikel 3:267i is bepaald dat bij of krachtens algemene maatregel van bestuur regels worden gesteld aan het verwijzingsportaal bankgegevens. Het schrijft voor dat in elk geval regels worden gesteld over het beheer van het verwijzingsportaal bankgegevens, over welke identificerende gegevens via het portaal verstrekt kunnen worden, over welke overheidsinstanties zijn aangesloten en de technische eisen waaraan aansluiting moet voldoen. Verder kunnen regels worden gesteld over de vorm waarop vorderingen of verzoeken worden gedaan en de manier waarop de banken en betaaldienstverleners de gegevens via het portaal aanbieden.

Vijfde lid, gebruik burgerservicenummer

Het vijfde lid van het voorgestelde artikel 3:267i voorziet in een wettelijke grondslag voor het gebruik van het burgerservicenummer ten behoeve van het koppelen van een vordering of een verzoek aan de betrokkene in het klantsysteem van de bank of andere betaaldienstverlener. Het burgerservicenummer wordt via het verwijzingsportaal bankgegevens niet aan de vragende instantie verstrekt.

Artikel 87 AVG laat op het punt van de verwerking van een nationaal identificatienummer ruimte om bij lidstatelijk recht specifieke voorwaarden te stellen. In dat kader regelt artikel 46 Uitvoeringwet AVG dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Dit is een kapstokbepaling, waaraan in andere wetten invulling kan worden gegeven. Het burgerservicenummer is geen algemeen persoonsnummer buiten het publieke domein.14 Voor de overheid is het gebruik van een uniek persoonsnummer, het burgerservicenummer, geregeld in artikel 10 Wet algemene bepalingen burgerservicenummer (Wabb). Op die grond kunnen de aangesloten overheidsinstanties het burgerservicenummer gebruiken bij het vorderen of opvragen van gegevens uit het verwijzingsportaal bankgegevens.

Echter, voor aangesloten private partijen, die geen beroep kunnen doen op artikel 10 Wabb dient het gebruik te zijn voorgeschreven in sectorale wetgeving, zoals het geval is in artikel 3:267i, vijfde lid, Wft. Verdere verwerking van het burgerservicenummer voor andere doelen dan omschreven in dit artikellid is op grond daarvan niet toegestaan.

E

In dit onderdeel wordt geregeld dat bij niet-naleving van de verplichting voor banken of andere betaaldienstverleners om aan te sluiten op het verwijzingsportaal bankgegevens, zoals neergelegd in het eerste lid van artikel 3:267i, de toezichthouder – De Nederlandsche Bank – een last onder dwangsom (artikel 1:79 Wft) dan wel een bestuurlijke boete (artikel 1:80 Wft) kan opleggen. Dit gebeurt door artikel 3:267i te plaatsen op de lijsten van de bijlagen bij de Wft.

ARTIKEL II

Met deze wijziging van artikel 3:267i van de Wft wordt artikel 32bis, derde lid, tweede en derde aandachtsstreepje, van de richtlijn tot wijziging van de vierde anti-witwasrichtlijn geïmplementeerd. Deze wijziging is separaat opgenomen, omdat de aanpassing van ICT-voorzieningen van banken, die het mogelijk moet maken om gegevens over de uiteindelijk belanghebbende en de openings- en sluitingsdatum van een rekening of kluis te kunnen opvragen en verstrekken, meer tijd vergt. Dit artikel zal daarom op een later moment in werking treden dan de overige artikelen van het wetsvoorstel.

De toelichting op de grondslagen voor het opvragen van gegevens over de uiteindelijk belanghebbende en de openings- en sluitingsdatum van een rekening of kluis is gegevens is te vinden bij de artikelsgewijze toelichting van artikel II, onderdeel D, artikel 3:267i, derde lid.

Deze toelichting wordt ondertekend mede namens de Minister van Justitie en Veiligheid.

De Minister van Financiën, W.B. Hoekstra