Gepubliceerd: 20 oktober 2022
Indiener(s): Sigrid Kaag (viceminister-president , minister financiƫn) (D66)
Onderwerpen: criminaliteit financieel toezicht financiƫn openbare orde en veiligheid
Bron: https://zoek.officielebekendmakingen.nl/kst-36228-3.html
ID: 36228-3

Nr. 3 MEMORIE VAN TOELICHTING

ALGEMEEN

§ 1. Inleiding

Het voorkomen en bestrijden van witwassen en financieren van terrorisme is van groot belang voor de effectieve preventie en repressie van allerlei vormen van (ondermijnende) criminaliteit. Het verhullen van de criminele herkomst van opbrengsten van misdrijven stelt daders van deze misdrijven in staat om buiten het bereik van onder meer overheidsinstanties te blijven en ongestoord van het vergaarde vermogen te genieten. Ook kunnen deze illegale opbrengsten worden gebruikt voor de financiering van dezelfde of nieuwe criminele activiteiten. Het opgebouwde vermogen biedt hen tevens de mogelijkheid om posities te verwerven in bonafide ondernemingen en in sommige gevallen het gezag van de overheid te ondermijnen. Het misbruik van het financiële stelsel door criminelen tast de integriteit van dit stelsel aan. Het is daarom cruciaal dat het gebruik van legale financiële kanalen voor criminele doeleinden wordt tegengegaan.

Het kabinet heeft een plan opgesteld waarin maatregelen zijn aangekondigd om de aanpak van witwassen effectiever te maken.1 Deze maatregelen verhogen de barrières voor witwassen, vergroten de effectiviteit van de poortwachtersfunctie en het toezicht op de naleving en versterken de opsporing en vervolging. De maatregelen uit het plan van aanpak witwassen komen voort uit de bredere inzet van het kabinet om de integriteit van de financiële sector te vergroten, ook op het terrein van het voorkomen en bestrijden van financieren van terrorisme. In het onderhavige wetsvoorstel zijn enkele maatregelen opgenomen uit het plan die een wijziging vereisen van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de Wet op economische delicten.

Dit wetsvoorstel is onder te verdelen in vier onderdelen:

  • 1. Een verbod voor beroeps- of bedrijfsmatige handelaren in goederen om transacties vanaf € 3.000 in contanten te verrichten;

  • 2. Gegevensdeling mogelijk maken tussen instellingen behorend tot dezelfde categorie in het kader van het cliëntenonderzoek bij een hoger risico op witwassen of financieren van terrorisme;

  • 3. Gezamenlijk monitoren van transacties mogelijk maken voor banken;

  • 4. Verduidelijking van het gebruik van bijzondere categorieën persoonsgegevens en persoonsgegevens van strafrechtelijke aard in het kader van verplichtingen op grond van de Wwft, ter voorkoming van witwassen en financieren van terrorisme.

Deze wijzigingen worden ieder afzonderlijk toegelicht in de tweede paragraaf van deze toelichting. In de derde paragraaf wordt nader ingegaan op de gegevensbescherming. Paragraaf vier ziet op de handhaafbaarheid en uitvoerbaarheid van deze wijzigingen, waarbij met name aandacht wordt besteed aan de handhaving van het verbod op contante betalingen bij beroeps- of bedrijfsmatige handelaren in goederen. De financiële gevolgen en administratieve lasten van dit wetsvoorstel worden beschreven in paragraaf vijf en in paragraaf zes wordt ingegaan op de consultatiereacties op dit wetsvoorstel. In het tweede deel van deze toelichting worden de artikelen afzonderlijk toegelicht.

Deze toelichting wordt mede gegeven namens de Minister van Justitie en Veiligheid.

§ 2. Inhoud wetsvoorstel

§ 2.1. Verbod op contante betalingen vanaf € 3.000

Een van de maatregelen om de barrières voor witwassen te verhogen, is het beperken van het gebruik van grote sommen contant geld. Uit verschillende studies blijkt dat contant geld bij het witwassen van geld een belangrijke rol speelt.2 Ook de supranationale risicobeoordeling, uitgevoerd door de Europese Commissie, bevestigt dat contant geld nog steeds het meest gebruikte instrument is om geld wit te wassen.3 De voornaamste reden hiervoor is dat contant geld moeilijk traceerbaar is en daarom aantrekkelijk om de herkomst van crimineel vermogen te verhullen. Met de introductie van een verbod op contante betalingen vanaf € 3.000 wordt beoogd een balans te treffen tussen de noodzaak om deze risico’s beter te adresseren en het belang van het in stand houden van een toegankelijk betalingsverkeer. Deze maatregel moet ertoe leiden dat het witwassen van grote sommen illegale middelen via contant geld moeilijker wordt.

Het huidige systeem ten aanzien van contante betalingen ziet er als volgt uit. Beroeps- of bedrijfsmatige handelaren, kopers en verkopers van goederen, vallen onder de reikwijdte van de Wwft, indien de betaling van de goederen in contanten plaatsvindt voor een bedrag van € 10.000 of meer, ongeacht of de transactie plaatsvindt in een handeling of door middel van meer handelingen waartussen een verband bestaat.4 Dit betekent dat voor handelaren van goederen bij contante betalingen vanaf een bedrag van € 10.000 de verplichtingen van de Wwft gelden, zoals volgt uit artikel 2, derde lid, onder e van de (gewijzigde) vierde anti-witwasrichtlijn. In die gevallen moeten de handelaren onderzoek doen naar hun cliënten en ongebruikelijke transacties melden bij de FIU-Nederland. Een transactie is ongebruikelijk indien de transactie handelaren aanleiding geeft om te veronderstellen dat deze verband kan houden met witwassen of financieren van terrorisme (subjectieve indicator)5. Indien een transactie plaatsvindt waarbij één of meerdere voertuigen, schepen, kunstvoorwerpen, antiquiteiten, edelstenen, edele metalen, sieraden of juwelen gekocht of verkocht worden tegen geheel of gedeeltelijke contante betaling, waarbij het contant te betalen bedrag € 20.000 of meer bedraagt, moeten voornoemde handelaren hiervan altijd een melding doen bij de FIU-Nederland (objectieve indicator).6

Het systeem in Nederland zorgt ervoor dat contante betalingen onder € 10.000 bij beroeps- en bedrijfsmatige handelaren in goederen volledig buiten beeld blijven, terwijl er ook aan lagere bedragen risico’s op witwassen en financieren van terrorisme verbonden zijn. Bovendien heeft het merendeel van de Europese lidstaten maatregelen getroffen om risico’s bij lagere contante betalingen aan te pakken. Momenteel zijn er in totaal negentien lidstaten die een grens hanteren op contante betalingen, waaronder België en Frankrijk. Doordat de regels voor contante betalingen in Nederland soepeler zijn dan in deze landen, is Nederland aantrekkelijker voor criminelen om contant geld wit te wassen. Dit kan grofweg op twee manieren tegengegaan worden. Allereerst door het verlagen van de grens voor het verrichten van cliëntenonderzoek en het melden van ongebruikelijke transacties, ten tweede door het introduceren van een verbod op contante betalingen. In het kader van het plan van aanpak witwassen is de wenselijkheid en effectiviteit van beide maatregelen onderzocht. Uit overleg met diverse belanghebbenden, waaronder toezichthouders, opsporingsinstanties en private partijen, komt een verbod op contante betalingen naar voren als de meest effectieve maatregel. Daarbij is van belang dat een verbod op betalingen in contanten vanaf een bepaald bedrag duidelijk en goed uitvoerbaar is, terwijl het verlagen van de grens waarbij cliëntenonderzoek moet worden verricht, leidt tot meer lasten voor een grotere groep handelaren en cliënten.

Een belangrijke factor om rekening mee te houden bij het tegengaan van witwasrisico’s in verband met contante betalingen is een mogelijk waterbedeffect. Om de kans hierop effectief te verminderen, is het noodzakelijk dat de Nederlandse inrichting van het verbod aansluit op de manier waarop de ons omringende landen een dergelijk verbod hebben ingericht. Om die reden is in onderhavig wetsvoorstel een verbod op contante betalingen vanaf een bedrag van € 3.000 voor beroeps- en bedrijfsmatige handelaren in goederen opgenomen. Deze inrichting van het verbod sluit aan bij de wijze waarop België het verbod op contante betalingen heeft vormgegeven, waar het verbod ook op € 3.000 is gesteld. De overweging daarbij is dat bij de introductie van een verbod op contante betalingen het belang van een toegankelijk betalingsverkeer in ogenschouw moet worden genomen. In dat licht is het onwenselijk om contante betalingen onnodig te beperken. Om die reden is de hoogte van het verbod vastgesteld op € 3.000 en niet, zoals bijvoorbeeld in Frankrijk, op een bedrag van € 1.000. Duitsland is hierbij buiten beschouwing gelaten, aangezien daar geen extra maatregelen gehanteerd worden ten opzichte van contant geld. Het is vooraf lastig te kwantificeren wat de effecten zullen zijn van het verbod op omringende landen. De kans bestaat dat door de invoering van het verbod er een verschuiving zal plaatsvinden naar landen waar geen extra restricties gelden ten opzichte van contant geld. Het mogelijk optreden van een waterbedeffect naar andere landen zal meegenomen worden in de evaluatie van het verbod.

Het verbod geldt voor betalingen in contanten die in of vanuit Nederland worden verricht en geldt hoofdzakelijk voor beroeps- of bedrijfsmatige kopers en verkopers van goederen (handelaren). Deze partijen hebben nu al te maken met de Wwft bij contante betalingen van meer dan € 10.000. Met de inwerkingtreding van deze wet, vervalt de huidige verplichting voor handelaren tot het verrichten van cliëntenonderzoek, transactiemonitoring en het melden van ongebruikelijke transacties. Het verbod heeft geen invloed op de objectieve meldgrenzen en subjectieve meldplicht die gelden voor andere instellingen dan handelaren. Daarnaast geldt het ook voor handelaren in kunstvoorwerpen en pandhuizen voor zover zij goederen aan- of verkopen in contanten. Handelaren zijn professionele partijen die bedrijfs- of beroepsmatig met financiële stromen te maken hebben bij het verkopen of kopen van goederen. Het verbod geldt dus niet voor particulieren en heeft geen betrekking op diensten. De leidraad van Bureau Toezicht Wwft (BTWwft),7 die toezicht houdt op deze groep, geeft meer informatie over welke partijen onder het begrip «handelaar» vallen.

Vijf jaar na inwerkingtreding van het verbod, zal de effectiviteit van het verbod geëvalueerd worden. Hierbij zal in ieder geval aandacht besteed worden aan de reikwijdte van het verbod, zowel ten aanzien van de maximale hoogte van toegestane contante betalingen als de doelgroep. Ook zal een eventueel waterbedeffect naar andere sectoren en landen worden bezien, alsmede de uitvoering en de handhaving van het verbod.

§ 2.2. Vergroten samenwerking en informatie-uitwisseling instellingen

Instellingen8 vervullen een poortwachtersfunctie ten behoeve van de bescherming van de integriteit van het financiële stelsel. Deze poortwachtersfunctie wordt internationaal en Europees gezien als de meest effectieve manier om het gebruik van het financiële stelsel voor witwassen en financieren van terrorisme te voorkomen. Deze instellingen hebben immers direct contact met de cliënt bij het aangaan van een zakelijke relatie en hebben veelal doorlopend zicht op de cliënt na het aangaan van die zakelijke relatie. Zij zijn daarmee bij uitstek in staat om te beoordelen wanneer een transactie niet past binnen het profiel van een cliënt en om die reden als ongebruikelijk moet worden aangemerkt. De vervulling van de poortwachtersfunctie is zodoende een belangrijke maatschappelijke taak, die kennis en investeringen vereist. Met de introductie van de onderstaande twee maatregelen, krijgen instellingen de mogelijkheid om hun kennis en capaciteit effectiever te bundelen. Dit zal leiden tot een verbetering van hun informatiepositie, die cruciaal is voor effectief cliëntenonderzoek en het monitoren van transacties en zodoende zal leiden tot een meer adequate invulling van hun poortwachtersfunctie.

Hieronder wordt ten eerste de maatregel toegelicht die ziet op het instellen van een onderzoeksplicht voor instellingen behorend tot dezelfde categorie om bij vorige dienstverleners na te gaan of deze een hoger risico op witwassen of financieren van terrorisme heeft vastgesteld ten aanzien van een bepaalde cliënt en, indien van toepassing, relevante gegevens te delen. Daarna wordt de maatregel toegelicht waarmee gezamenlijk monitoren van transacties mogelijk wordt gemaakt voor banken.

§ 2.2.1. Gegevensdeling tussen instellingen bij cliëntenonderzoek

Vanuit meerdere partijen, waaronder instellingen, toezichthouders en opsporingsinstanties, is gewezen op de risico’s van het probleem dat cliënten die bij een instelling geweigerd zijn of waaraan de dienstverlening is gestaakt vanwege risico’s op witwassen of financieren van terrorisme, vervolgens opnieuw dienstverlening kunnen aanvragen bij andere instellingen («shopgedrag»). In dergelijke gevallen zullen opeenvolgende instellingen cliëntenonderzoek moeten doen zonder de wetenschap dat andere instellingen bij deze cliënt reeds risico’s op witwassen of financieren van terrorisme hebben geconstateerd. Ook als er aanwijzingen zijn dat de cliënt eerder is afgewezen door een andere instelling, kan er geen gegevensdeling plaatsvinden en zal een instelling van vooraf aan onderzoek moeten doen naar de cliënt. Dit vormt niet alleen een onnodige werklast voor instellingen, maar het is ook een risico voor de integriteit van het financiële stelsel en ondergraaft de effectiviteit van de Wwft. Hierdoor wordt de kans vergroot dat kwaadwillende cliënten door middel van shopgedrag uiteindelijk toch toegang krijgen tot het financiële stelsel.

De wetgeving inzake gegevensbescherming en de Wwft staan reeds toe dat instellingen op basis van toestemming van de cliënt informatie over cliënten kunnen uitwisselen met andere instellingen. Bij het ontbreken van deze toestemming kan deze informatie-uitwisseling op dit moment niet plaatsvinden. Om de kans te verkleinen dat een kwaadwillende cliënt door middel van shopgedrag toegang krijgt tot het financiële stelsel en om te voorkomen dat elke instelling van vooraf aan hoeft te beginnen met het verzamelen van relevante gegevens, is het noodzakelijk dat instellingen informatie uitwisselen bij een cliënt met indicaties van een hoger risico op witwassen of financieren van terrorisme. Hiertoe wordt in dit wetsvoorstel de verplichting opgenomen voor instellingen om, indien een zakelijke relatie of transactie naar haar aard een hoger risico op witwassen of financieren van terrorisme met zich meebrengt, er sprake is van factoren die duiden op een hoger risico genoemd in bijlage III van de vierde anti-witwasrichtlijn en in het kader van het verscherpt cliëntenonderzoek, te onderzoeken of de cliënt een andere instelling uit dezelfde categorie om dienstverlening heeft verzocht, bij deze instelling dienstverlening heeft afgenomen of op dit moment afneemt.9 Indien hier sprake van is, dient de instelling navraag te doen bij de andere instelling naar gebleken risico’s op witwassen of financieren van terrorisme. Indien de andere dienstverlener dergelijke risico’s heeft geconstateerd, is deze gehouden de relevante gegevens onverwijld te verstrekken. Het gaat hier met nadruk om één op één uitwisseling tussen instellingen. Instellingen dienen, voorafgaand aan de dienstverlening, hun cliënten te informeren over deze verplichting.

§ 2.2.1.1 Dezelfde categorie van instellingen

De verplichting tot het verrichten van onderzoek naar eerdere (geweigerde) dienstverlening of huidige dienstverleners geldt alleen met betrekking tot dezelfde categorie van de verschillende instellingen, zoals opgenomen in artikel 1a, tweede, derde en vierde lid, van de Wwft. Een bank hoeft dus alleen onderzoek te doen naar eerdere dienstverlening door andere banken en niet naar bijvoorbeeld dienstverlening door een advocaat en vice versa. In de artikelsgewijze toelichting wordt verder uiteengezet wanneer instellingen onder dezelfde categorie vallen. Hier is voor gekozen omdat instellingen uit dezelfde categorie over het algemeen soortgelijke producten of diensten aanbieden en daardoor ook te maken hebben met soortgelijke risico-inschattingen. Gegevensuitwisseling tussen deze instellingen zal zodoende het grootste effect sorteren. Daarnaast is een verplichting om onderzoek te verrichten en gegevens uit te wisselen tussen alle categorieën instellingen niet proportioneel, noch vanuit het oogpunt van lasten voor de instelling en cliënt, noch vanuit het oogpunt van gegevensbescherming. Wel is het denkbaar dat gegevensuitwisseling tussen specifieke verschillende categorieën van instellingen wenselijk zou kunnen zijn, bijvoorbeeld omdat er vergelijkbare of sterk verweven diensten worden aangeboden of omdat in de praktijk blijkt dat er veel shopgedrag plaatsvindt tussen deze verschillende categorieën van instellingen. In het wetsvoorstel is daarom een grondslag opgenomen om bij algemene maatregel van bestuur uitwisseling tussen verschillende categorieën van instellingen mogelijk kunnen te maken. Daarnaast bestaat er de mogelijkheid dat instellingen weliswaar formeel binnen dezelfde categorie vallen, maar in de praktijk weinig overeenkomsten kennen in hun dienstverlening. In dergelijke gevallen zou informatie-uitwisseling niet effectief en niet proportioneel zijn. De voornoemde grondslag voorziet derhalve ook in de mogelijkheid om de onderzoeksplicht alleen te laten gelden voor specifieke instellingen binnen dezelfde categorie.

§ 2.2.1.2 Inspanningsverplichting

De onderzoeksplicht van instellingen naar eerdere dienstverlening is een inspanningsverplichting. Dit betekent dat een instelling redelijke maatregelen moet hebben getroffen om na te gaan of een cliënt eerder bij een andere instelling uit dezelfde categorie diensten heeft afgenomen. Wat redelijk is, hangt af van de context van het specifieke geval. In zijn algemeenheid kan gesteld worden dat het niet redelijk is om te verlangen dat een instelling op goed geluk alle andere instellingen uit haar categorie benadert om navraag te doen. Binnen het redelijke valt bijvoorbeeld wel het nagaan bij de cliënt bij welke andere instellingen deze momenteel of in het verleden soortgelijke diensten heeft afgenomen, alsook het raadplegen van openbare bronnen en bronnen van informatie die instellingen tot hun beschikking hebben, zoals databases met verschillende nieuwsbronnen. Op basis hiervan kan worden bepaald bij welke andere instellingen uit dezelfde categorie de gebleken risico’s op witwassen of het financieren van terrorisme moet worden nagegaan.

Daarnaast kunnen groepen instellingen of sectoren behorend tot dezelfde categorie ter uitvoering van deze verplichting een centraal registratiesysteem opzetten waarbij geconstateerde risico’s op witwassen en financiering van terrorisme worden geregistreerd en uitgewisseld wanneer de verplichting van toepassing is. Indien een dergelijk registratiesysteem persoonsgegevens van strafrechtelijke aard bevat, dient hiervoor een vergunning aangevraagd te worden bij de Autoriteit Persoonsgegevens.10 Een dergelijk registratiesysteem kan een effectief middel zijn om shopgedrag tussen instellingen te voorkomen.

De inspanningsverplichting om onderzoek te doen naar eerdere dienstverlening gaat terug tot dienstverlening die uiterlijk vijf jaar geleden is beëindigd. Hiermee wordt aangesloten bij de reeds geldende bewaartermijn voor bewijsstukken uit artikel 33, derde lid, van de Wwft. Aangezien een instelling vijf jaar na het beëindigen van de zakelijke relatie de gegevens dient te vernietigen, heeft het geen zin om navraag te doen naar oudere gegevens. Bij de inwerkingtreding van het wetsvoorstel zal er geen sprake zijn van terugwerkende kracht. Dit betekent dat de onderzoeksplicht zal gelden voor nieuwe cliënten en voor bestaande cliënten in het kader van het voortdurende cliëntenonderzoek (zie voor de toelichting onder paragraaf 2.2.1.3) en dat bij navraag enkel de gegevens mogen worden verstrekt waar de instelling na inwerkingtreding van dit wetsvoorstel de beschikking over heeft verkregen.

§ 2.2.1.3 Navraagplicht

De gegevensuitwisseling is uit overwegingen van proportionaliteit beperkt tot gevallen waarbij een zakelijke relatie of transactie naar haar aard indicaties van een hoger risico op witwassen of financieren van terrorisme met zich meebrengt, er sprake is van de risicofactoren genoemd in bijlage III van vierde anti-witwasrichtlijn en in het kader van het verscherpt cliëntenonderzoek. In de artikelsgewijze toelichting bij dit artikel wordt nader ingegaan op het verschil tussen deze drie categorieën.

De aanwezigheid van (indicaties van) een hoger risico rechtvaardigt dat informatie over de cliënt wordt gedeeld en de lasten die bij de instellingen worden neergelegd met deze maatregel. Het zou zowel vanuit het oogpunt van gegevensbescherming als vanuit het oogpunt van lasten voor instellingen en cliënten, niet proportioneel zijn als instellingen bij alle cliënten onderzoek zouden moeten doen. Door de beperking van deze maatregel tot de gevallen waarin sprake is van (indicaties van) een hoger risico, is de kans groter dat de navraag leidt tot deling van gegevens over risico’s op witwassen of financieren van terrorisme. Deze gegevensdeling zal in de praktijk ook kunnen leiden tot een lastenverlichting voor de vragende instelling, aangezien deze gebruik kan maken van de informatie die de andere dienstverlener reeds heeft verzameld.

De verplichting om onderzoek te doen en de mogelijkheid om gegevens te delen geldt overigens niet uitsluitend in het geval dat er cliëntenonderzoek wordt gedaan voordat de zakelijke relatie wordt aangegaan of een transactie wordt uitgevoerd, maar ook bij reeds bestaande cliënten. De gegevens verzameld in het kader van het cliëntenonderzoek dienen immers, met inachtneming van het risicoprofiel van de cliënt, actueel gehouden worden door instellingen op grond artikel 3, elfde lid van de Wwft. Niet alleen bij aanvang van de zakelijke relatie, maar ook gedurende die zakelijke relatie kan er aanleiding bestaan om onderzoek te verrichten, bijvoorbeeld als er gedurende de zakelijke relatie indicaties ontstaan dat de cliënt betrokken is bij witwassen of financieren van terrorisme. Ook in de gevallen dat een instelling gedurende de zakelijke relatie cliëntenonderzoek verricht en er (indicaties van) een hoger risico op witwassen of financieren van terrorisme naar voren komt, moet deze instelling onderzoek doen naar dienstverlening door andere instellingen uit dezelfde categorie en kunnen er gegevens gedeeld worden indien er sprake is van gebleken risico’s op witwassen of financieren van terrorisme. De instelling dient, op grond van het vierde lid van artikel 3b, de cliënt te informeren over het bestaan van deze verplichting.

§ 2.2.1.4 Gegevensdeling

Bij het doen van navraag bij een andere instelling verstrekt de verzoekende instelling slechts de bij wet genoemde gegevens. De instelling bij wie navraag wordt gedaan over een bepaalde cliënt, deelt uitsluitend informatie over de cliënt in het geval dat deze risico’s op witwassen of financieren van terrorisme heeft geconstateerd ten aanzien van de cliënt en geleid hebben tot het nemen van aanvullende maatregel, waaronder in ieder geval weigering of beëindiging van de relatie verstaan wordt. Hierbij worden uitsluitend de gegevens gedeeld die destijds relevant waren voor het nemen van deze maatregelen. Het desgevraagd delen van deze gegevens is een verplichting voor de instelling bij wie een verzoek wordt gedaan. Deze verplichting ontslaat de instelling echter niet van het tipping-off verbod neergelegd in artikel 23 van de Wwft. Dit betekent dat die instelling bij het verstrekken van de gegevens de vragende instelling niet mag informeren over meldingen en inlichtingen verstrekt aan de FIU-Nederland. Alleen de uitzondering van artikel 23, zesde lid, van de Wwft – waarin bepaalde instellingen, onder voorwaarden en binnen dezelfde categorie, gegevens kunnen uitwisselen – kan hier in individuele gevallen van toepassing zijn.

De gegevens dienen onverwijld na ontvangst van het verzoek verstrekt te worden. Dit betekent dat de instelling zo snel mogelijk de gegevens verstrekt. Om shopgedrag te voorkomen is het van belang dat de vragende instelling zo snel mogelijk de beschikking krijgt over de gegevens, zodat deze zo snel mogelijk betrokken kunnen worden bij het cliëntenonderzoek en facilitering van witwassen of financiering van terrorisme voorkomen kan worden. Als deze gegevens langer op zich laten wachten, wordt de doelstelling van de maatregel ondergraven.

De instelling die de geconstateerde risico’s ontvangt, kan deze gebruiken ten behoeve van haar eigen afweging ten aanzien van de risico’s op witwassen of financieren van terrorisme bij de cliënt. De verstrekte gegevens ontslaan de verzoekende instelling niet van de verplichting om een eigen afweging te maken ten aanzien van de risico’s van de cliënt. De verstrekte gegevens kunnen zodoende als hulpmiddel dienen bij de eigen afweging, maar mogen nooit in de plaats komen van de eigen afweging van de verzoekende instelling. De verzoekende instelling dient op grond van haar eigen risicobeoordeling vast te stellen of haar dienstverlening zodanig is ingericht dat de risico’s afdoende te mitigeren zijn. Dat kan bijvoorbeeld betekenen dat de bevraagde instelling op grond van de geconstateerde risico’s in het verleden heeft besloten af te zien van dienstverlening of dienstverlening te staken, terwijl de verzoekende instelling de risico’s kan mitigeren met aanvullende maatregelen en wel tot dienstverlening overgaat.

§ 2.2.1.5 Gezamenlijke register

Instellingen behorend tot dezelfde categorie kunnen ten behoeve van de uitvoering van deze verplichting een eigen register instellen waarbinnen instellingen risico’s kunnen uitwisselen. Belangrijk daarbij is dat een dergelijk register voldoet voorwaarden voor uitwisseling die volgen uit de verplichting en de algemene voorwaarden die uit de Algemene Verordening Gegevensbescherming (AVG) en de uitvoeringswet AVG volgen. Naast de algemeen geldende verplichtingen betreffende zoals het gebruik van technologische hulpmiddelen, beveiliging en toegang tot het systeem en de rechten van betrokkenen, is het uitgangspunt van dataminimalisatie in dit verband bijzonder relevant. Zoals hierboven beschreven geldt de verplichting slechts in beperkte gevallen, namelijk indien er indicaties zijn voor een hoger risico. Voorts dienen instellingen bij het doen en beantwoorden van een verzoek slechts beperkt gegevens uitwisselen, namelijk de geconstateerde risico’s en de bij wet voorgeschreven gegevens van de cliënt. Bovendien mogen alleen instellingen die een verzoek doen en een verzoek ontvangen gegevens uitwisselen. Een gezamenlijk register dient aan deze voorwaarden van de verplichting te voldoen en moet met inachtneming van deze grenzen ingericht worden. De verplichting vormt geen grondslag voor een algemene database met informatie over cliënten waar elke instelling met toegang vrijelijk gegevens uit kan opvragen.

§ 2.2.2. Gezamenlijke transactiemonitoring door banken

Op grond van de Wwft hebben banken de plicht om de transacties van hun cliënten te monitoren. Het doel hiervan is tweeledig. Ten eerste faciliteert het monitoren van transacties banken in hun taak als poortwachters van het financiële stelsel. Zij dienen het gebruik van het financiële stelsel voor witwassen of financieren van terrorisme te voorkomen door de risico’s van hun cliënten te mitigeren. Het monitoren van de transacties en identificeren van ongebruikelijke transacties stelt banken in staat te beoordelen of de getroffen maatregelen in afdoende mate de risico’s van hun cliënten mitigeren. Ten tweede faciliteert het monitoren van transacties en het melden van ongebruikelijke transacties onderzoeken door diverse (bijzondere) opsporingsinstanties en inlichtingen- en veiligheidsdiensten. De FIU-Nederland analyseert de gemelde ongebruikelijke transacties in samenhang met andere informatie om te bezien of deze gegevens van belang kunnen zijn voor het voorkomen en opsporen van misdrijven. Hierbij bepaalt de FIU-Nederland of transacties als verdacht moeten worden aangemerkt. De verdachte transacties worden vervolgens verstrekt aan de hiervoor genoemde autoriteiten.

Banken monitoren op basis van de huidige wet- en regelgeving de transacties van hun cliënten teneinde zich ervan te verzekeren dat de transacties voldoen aan het risicoprofiel van de cliënt dat door de bank is opgesteld of dat er geen indicatoren aanwezig zijn die kunnen duiden op vermoedens van witwassen of financieren van terrorisme. Op dit moment verrichten banken deze monitoring individueel en baseren zich hierbij voornamelijk op hun eigen en openbare informatie. Deze vorm van transactiemonitoring biedt criminelen de kans om onder de radar te blijven door transacties via verschillende partijen en verschillende banken te laten lopen. Door een groot netwerk te creëren, waarbij het criminele geld doelbewust middels een veelvoud van verschillende transacties via verschillende instellingen wordt geleid, verkleinen criminelen de kans dat een individuele bank in staat zal zijn om de ongebruikelijkheid van de transactie vast te stellen. Een bank heeft immers slechts het deel van het netwerk in beeld dat via de eigen bank is gelopen.

Om te onderzoeken of deze beperking aan het individueel monitoren van transacties opgelost zou kunnen worden, heeft een vijftal banken in 2018 een pilot uitgevoerd, waarbij de transacties van een geselecteerde groep van midden- en kleinbedrijven gezamenlijk is gemonitord.11 De Nederlandse Vereniging van Banken (NVB) geeft aan dat uit deze pilot naar voren kwam dat gezamenlijke transactiemonitoring leidt tot meer en nauwkeuriger detectie dan individuele transactiemonitoring.12 Doordat bij gezamenlijke transactiemonitoring vaker informatie beschikbaar is over beide partijen in transacties, is meer detectie te bereiken dan bij monitoring van individuele transactiemonitoring. Daarnaast werden in de pilot cases zichtbaar die individuele banken niet hadden kunnen identificeren, omdat niet de volledige context zichtbaar is voor de individuele bank. Bovendien liet een steekproef zien dat de onderzoekswaardigheid van alerts bij gezamenlijke transactiemonitoring hoger bleek dan bij individuele transactiemonitoring. Zodoende was een van de conclusies van de banken dat gezamenlijke transactiemonitoring leidt tot meer, nieuwe en unieke detectie van cases. Bovendien leidt het tot scherpere detectie, omdat het leidt tot minder vals-positieve resultaten. De NVB geeft aan dat dit beeld wordt bevestigd door de eerste uitkomsten van de testfase van Transactie Monitoring Nederland (TMNL)13. Ook hieruit blijkt dat TMNL met diverse netwerken kan detecteren die mogelijk als ongebruikelijke transactie(s) kunnen worden aangemerkt en die voor individuele banken niet of niet in het geheel zichtbaar zijn.

Daarnaast hebben de FIU-Nederland en TMNL binnen de Fintell Alliance14 in 2021 een pilot gedaan om ondergrondse banknetwerken te identificeren. De FIU-Nederland en de NVB geven aan dat hierbij binnen TMNL een model is ontworpen op basis van risico-indicatoren die zijn opgesteld aan de hand van informatie van de FIU-Nederland. Met dit model konden bedrijven worden geïdentificeerd die mogelijk betrokken waren bij ondergronds bankieren. De transacties zijn als alerts aangeleverd bij individuele banken, die de alerts nader hebben onderzocht en, zo nodig, als ongebruikelijke transactie gemeld aan de FIU-Nederland. De FIU-Nederland en NVB geven aan dat bijna 95% van deze circa 275 alerts onderzoekswaardig bleek te zijn.

Het blijkt zodoende dat als banken transacties gezamenlijk monitoren in plaats van individueel dit een positief effect heeft op de effectiviteit van de monitoring. Ongebruikelijke transacties worden vaker en eerder ontdekt, doordat het samenvoegen van de informatie van de verschillende banken leidt tot een breder en beter beeld van criminele netwerken. Dit maakt het moeilijker voor criminelen om de monitoring van banken te omzeilen door transacties via verschillende banken laten lopen. Bovendien kan de publiek-private samenwerking tussen de FIU-Nederland en de banken effectiever worden ingericht, doordat er een feedbackloop ontstaat.

De Financial Action Task Force (FATF)15 onderkent deze notie. In een verkenning naar het combineren van data16 komt de FATF tot de conclusie dat het combineren en gezamenlijk analyseren van gegevens het potentieel heeft om financiële instellingen beter in staat te stellen om risico’s te begrijpen, beoordelen en te mitigeren. Dit wordt ondersteund door de voortschrijdende technologie waarmee dit proces kan plaatsvinden met adequate waarborgen voor gegevensbescherming. In een recent rapport onderschrijft de FATF bovendien dat criminelen gebruik maken van de beperkingen van individuele financiële instellingen om de gehele puzzel te zien en het belang van gezamenlijke analyse en het bijeen brengen van data om dit tegen te gaan.17

Het gezamenlijk monitoren van transacties door banken biedt zodoende een oplossing voor een beperking die inherent is aan het individueel monitoren van transacties en biedt banken de mogelijkheid om meer ongebruikelijke transactiepatronen in beeld te krijgen. Daarom wordt met dit wetsvoorstel een grondslag opgenomen in de Wwft voor banken om een gezamenlijke voorziening in te richten ten behoeve van de verplichting om transacties te monitoren. In deze voorziening kunnen de transactiegegevens van cliënten van de individuele banken worden gecombineerd en in samenhang worden gemonitord. Hierbij worden de transactiegegevens in samenhang geanalyseerd en kunnen er alerts18 worden vastgesteld. Indien binnen de gezamenlijke voorziening wordt vastgesteld dat er sprake is van een alert bij een specifieke (serie van) transactie(s), worden de banken die betrokken zijn bij deze specifieke (serie van) transactie(s) hierover geïnformeerd. Deze banken kunnen vervolgens de alert verder onderzoeken, mede op basis van andere informatie over de cliënt, om vast te stellen of er daadwerkelijk sprake is van een ongebruikelijke transactie. Dit laatste gebeurt buiten de gezamenlijke voorziening om, omdat anders niet alleen de transactiegegevens van cliënten, maar ook alle informatie die individuele banken over hun cliënten bijhouden in de gezamenlijke transactievoorziening opgenomen zou moeten worden. Dit laatste is niet proportioneel. Bovendien is het ook niet noodzakelijk, omdat de bij de transactie(s) betrokken banken – als er eenmaal een alert is gegenereerd – deze gezamenlijk kunnen onderzoeken buiten de gezamenlijke voorziening om. Dit onderzoek kan leiden tot de conclusie dat de banken nadere maatregelen dienen te treffen om de risico’s van de desbetreffende client te mitigeren en indien er sprake is van een ongebruikelijke transactie deze te melden bij de FIU-Nederland. Dit laatste dienen de betrokken banken zelfstandig te doen.

Ten slotte is van belang om te vermelden dat hoewel het gezamenlijk monitoren van transacties tegemoet komt aan een beperking die inherent is aan het individueel monitoren van transacties en die tot een meer effectieve aanpak van witwassen en financieren van terrorisme zal leiden, het ook een meer verdergaande verwerking van gegevens door banken dan bij individuele transactiemonitoring met zich meebrengt. Bij de vormgeving van de grondslag is daarom uitdrukkelijk aandacht besteed aan afwegingen van proportionaliteit en evenredigheid die hebben geleid tot beperking van de grondslag en de introductie van extra privacy waarborgen. Hier zal in paragraaf 3.2 nader op worden ingegaan. Hiermee is een goede balans getroffen tussen een effectieve aanpak van witwassen en financieren van terrorisme en de privacy van burgers.

§ 2.2.2.1 Uitbesteding

Naast het introduceren van een wettelijke grondslag voor gezamenlijke transactiemonitoring door banken, wordt met dit wetsvoorstel ook een wettelijke belemmering weggenomen. De gezamenlijke voorziening waarin de banken de gegevens delen dient weliswaar door de banken opgezet te zijn, maar heeft ook een aparte rechtspersoonlijkheid. Om mogelijk te maken dat het monitoren van transacties binnen de gezamenlijke voorziening plaats vindt, dient mogelijk gemaakt te worden dat banken het monitoren van transacties kunnen uitbesteden aan de gezamenlijke voorziening. Ook hierin voorziet het wetsvoorstel. Van belang is hierbij te benadrukken dat het hierbij uitsluitend gaat om de uitbesteding van het genereren van alerts. De opvolging van deze alerts kan niet worden uitbesteed aan de gezamenlijke voorziening. Dat betekent dat de banken zelf dienen te onderzoeken of de transactie ongebruikelijk is. Als dit het geval blijkt te zijn, ligt de verantwoordelijkheid bij de individuele bank die bij de transactie betrokken is om het opleggen van nadere mitigerende maatregelen te overwegen en een melding van een ongebruikelijke transactie te doen bij de FIU-Nederland.

Het feit dat de huidige Wwft het uitbesteden van het monitoren van transacties niet toestaat, volgt niet uit de (gewijzigde) vierde anti-witwasrichtlijn. De richtlijn laat ruimte voor deze vorm van uitbesteding en stelt alleen regels over het kunnen afgaan op cliëntenonderzoeken die zijn verricht door een derde. De richtlijn geeft daarbij expliciet aan dat die regels geen verband houden met uitbesteding.19 Bij uitbesteding blijft de verantwoordelijkheid immers bij de uitbestedende instelling liggen. Alles wat de derde partij doet, doet deze namens de instelling. Hierbij is het van belang om te onderstrepen dat bij uitbesteding de banken altijd zelf verantwoordelijk blijven voor de naleving van de op hen rustende wettelijke verplichtingen. Een bank kan zodoende te allen tijde aangesproken worden, door bijvoorbeeld de toezichthouder, als de derde aan wie de uitvoering is uitbesteed, niet voldoet aan de verplichtingen van de wet.

§ 2.2.2.2 Gebruik burgerservicenummer

Om transacties in een gezamenlijke voorziening te kunnen monitoren is het noodzakelijk dat zekerheid bestaat over de persoon die de transactie verricht. De Nederlandse banken hebben gezamenlijk 35 miljoen cliënten, waarvan 31 miljoen retailcliënten, die over één of meer (al dan niet aan elkaar gekoppelde) rekeningen beschikken. De NVB geeft aan dat er 12 miljard transacties plaats hebben gevonden in 2021 bij Nederlandse banken. Elke bank kent een eigen administratiesysteem van cliënten. Er zijn geen unieke nummers die uniform door de banken gebruikt worden waaruit de identiteit van een cliënt overkoepelend kan worden afgeleid.

Voor een effectieve werking van de monitoring in een gezamenlijke voorziening is het noodzakelijk dat unieke nummers aan een cliënt gekoppeld kunnen worden. Het ontbreken van een overkoepelend uniek nummer leidt ertoe dat aan elke transactie een groot aantal persoonsgegevens zou moeten worden verbonden om vast te stellen dat verschillende transacties van verschillende banken bij dezelfde cliënt horen. Hoewel het op voorhand onmogelijk is om aan te tonen in hoeveel van de gevallen het niet mogelijk zal zijn om een cliënt te identificeren, zonder gebruik van een uniek nummer, zijn er meerdere redenen om aan te nemen dat dit om een substantieel aantal zal gaan. Ten eerste zijn initialen en achternaam onvoldoende onderscheidend. Ook in combinatie met woonadres en/of geboortedatum is nog steeds niet in alle gevallen te bepalen of het dezelfde persoon betreft. Ten tweede is er een verscheidenheid aan registraties bij deze gegevens. Zo is de schrijfwijze van namen niet altijd uniform, zeker als het buitenlandse namen betreft. Ook wisselen namen van dezelfde personen, bijvoorbeeld doordat zij in het huwelijk treden. Bij de ene bank kan daardoor dezelfde persoon onder een andere naam zijn geregistreerd als bij een andere bank. Verder zijn woonadressen niet altijd gelijk bij dezelfde personen. Ten derde bestaat er in algemene zin bij de invoer van gegevens altijd een bepaalde foutmarge. Bij het combineren van gegevens neemt deze marge aanzienlijk toe naarmate meer gegevens nodig zijn om vast te stellen of sprake is van dezelfde persoon.

Het ontbreken van een uniek nummer en het als gevolg daarvan niet met zekerheid kunnen vaststellen of sprake is van dezelfde cliënt, leidt op meerdere vlakken tot problemen.

Allereest zorgt dit voor een minder effectieve monitoring van transacties. Transacties zullen onterecht als ongebruikelijk worden aangemerkt doordat verschillende personen als dezelfde persoon worden aangezien (false positives). Andersom zullen transacties onterecht als gebruikelijk worden aangemerkt omdat het niet duidelijk is dat het om dezelfde persoon gaat (false negatives). De verwachting is dat zonder toepassing van een uniek nummer er een aanzienlijke uitval zal zijn in vergelijking met gecombineerde transactiemonitoring waarbij wel een uniek nummer wordt gebruikt.

Ten tweede kan het vaststellen of sprake is van dezelfde cliënt, zonder gebruik van een uniek nummer, ertoe leiden dat er onevenredig veel persoonsgegevens verwerkt moeten worden. Bovendien wordt hierdoor de foutmarge vergroot, aangezien de hiervoor genoemde problematiek van een verscheidenheid aan registraties hierdoor wordt versterkt. Een uniek nummer verkleint deze foutmarge en maakt het mogelijk om minder persoonsgegevens te verwerken. Een uniek nummer is noodzakelijk voor de effectiviteit van het voorkomen en bestrijden van witwassen en financieren van terrorisme (doelbinding) en is in lijn met de principes van dataminimalisatie en juistheid van gegevensverwerking.

De hiervoor genoemde problemen kunnen op twee manieren worden ondervangen, namelijk door: i) banken gezamenlijk een uniek nummer te laten ontwikkelen of ii) wettelijk toe te staan dat banken het burgerservicenummer (BSN) mogen verwerken ten behoeve van het gezamenlijk monitoren van transacties. Beide mogelijkheden zijn tegen elkaar afgewogen. De conclusie is dat het gebruik van het BSN in dit geval de voorkeur verdient. Daar liggen diverse redenen aan ten grondslag. Zo is onderzocht of banken zelf tot een uniek nummer zouden kunnen komen. De set van gegevens die hiervoor nodig is en de beheerfaciliteit daarachter zou echter voor een onevenredige verwerking van persoonsgegevens zorgen. Daarnaast zou hier een grote kosteninvestering mee gemoeid zijn. Tegelijkertijd beschikken banken meestal al over het unieke BSN van cliënten. Dit nummer zijn zij ook verplicht te gebruiken voor het verrichten van specifieke wettelijke taken, indien ze over het BSN beschikken. Het gaat dan om taken in het kader van de uitvoering van fiscale wetten (renseignering), het Deposito Garantiestelsel en het Verwijzingsportaal bankgegevens. Bovendien speelt mee dat banken ervaring hebben met het gebruik van het BSN en over vereiste waarborgen beschikken om de bescherming van de gegevens te verzekeren. Ook is van belang dat banken een vergunning hebben op grond van de Wet financieel toezicht (Wft), aan strenge eisen ten aanzien van de bedrijfsvoering (waaronder beveiligingseisen) moeten voldoen en onder doorlopend toezicht van De Nederlandsche Bank (DNB) staan.

Gezien het bovenstaande wordt geregeld dat banken die in het kader van transactiemonitoring binnen een gezamenlijke voorziening transacties delen, voor dat doel het BSN mogen gebruiken, indien zij daar reeds over beschikken. Op grond van artikel 34b, zesde lid, onder a, dient het BSN gepseudonimiseerd en versleuteld te worden.

§ 2.3 Verduidelijking gebruik bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard

Bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard zijn in bepaalde gevallen onlosmakelijk verbonden met een cliënt of transactie. Instellingen hebben op grond van de Wwft de wettelijke verplichting tot het uitvoeren van taken waarvoor die gegevens in bepaalde gevallen zeer relevant zijn omdat deze een indicatie op witwassen of het financieren van terrorisme vormen. In deze paragraaf wordt dit nader uiteengezet middels enkele concrete voorbeelden. De Wwft laat zich op dit moment niet expliciet uit over de mogelijkheid van gebruik van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard in het kader van de wettelijke taken van de Wwft. Mede naar aanleiding van het advies van de Autoriteit Persoonsgegevens (AP) inzake een concept van dit wetsvoorstel (zie paragraaf 3.4.1 van deze toelichting), is gebleken dat er onduidelijkheid bestaat over het gebruik van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard in het kader van de verplichtingen die voortvloeien uit de Wwft. Op grond van de artikelen 9 en 10 van de AVG is verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard verboden, tenzij sprake is van een in dat artikel genoemde uitzondering. Bij bijzondere categorieën van persoonsgegevens is dat onder meer het geval als sprake is van een zwaarwegend algemeen belang (artikel 9, tweede lid, onderdeel g, van de AVG). Dit is aan de orde bij het voorkomen van witwassen en financieren van terrorisme. Op grond van artikel 10 van de AVG mogen persoonsgegevens van strafrechtelijke aard alleen worden verwerkt als aan in dat artikel genoemde voorwaarden wordt voldaan. Om de onduidelijkheid over het verwerken van deze persoonsgegevens zowel voor de betrokkenen als voor de verwerkers weg te nemen, is in onderhavig wetsvoorstel een specifieke grondslag opgenomen voor de verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard voor zover dat noodzakelijk is voor de uitvoering van de wettelijke taken die voortvloeien uit de Wwft. Voor alle gegevens verzameld in het kader van de wettelijke taken in de Wwft geldt dat deze niet voor een ander doel gebruikt mogen worden.

§ 2.3.1 Verplichtingen voor instellingen op grond van de Wwft

De Wwft bevat twee hoofdverplichtingen: het uitvoeren van cliëntenonderzoek en melden van ongebruikelijke transacties. Met deze wijziging wordt beoogd om onduidelijkheid over de mogelijkheid van verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard ten aanzien van deze hoofdverplichtingen weg te nemen. Om witwassen en financieren van terrorisme te voorkomen, dienen instellingen op grond van artikel 3, eerste lid, van de Wwft, cliëntenonderzoek te verrichten. Dit onderzoek dient de instelling bijvoorbeeld in staat te stellen om de cliënt te identificeren en de identiteit te verifiëren (artikel 3, tweede lid, onder a, van de Wwft) en de aard en het beoogde doel van de zakelijke relatie vast te stellen (artikel 3, tweede lid, onder c, van de Wwft). Daarnaast dient een instelling een voortdurende controle uit te oefenen op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties, om te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel (artikel 3, tweede lid, onder d, van de Wwft). Vervolgens bepaalt de instelling op basis van ten minste de risicofactoren die zijn vastgelegd in de anti-witwasrichtlijn of de zakelijke relatie of transactie naar haar aard een laag (artikel 6 van de Wwft) dan wel een hoog (artikel 8 en artikel 9 van de Wwft) risico op witwassen of financieren van terrorisme met zich meebrengt. In het eerste geval kan volstaan worden met een vereenvoudigd cliëntenonderzoek, terwijl in het tweede geval een instelling een verscherpt cliëntenonderzoek dient uit te voeren. Bij een vereenvoudigd cliëntenonderzoek dient de instelling aantoonbaar voldoende gegevens te verzamelen om vast te kunnen stellen of er inderdaad sprake is van een laag risico (artikel 6, tweede lid, van de Wwft), dient de instelling redelijke maatregelen te nemen om ervoor te zorgen dat de gegevens actueel worden gehouden (artikel 6, derde lid, van de Wwft) en dient de instelling zorg te dragen voor een toereikende controle van de transacties of de zakelijke relatie om te verzekeren dat kan worden voldaan aan de verplichting om ongebruikelijke transacties te melden aan de FIU-Nederland (artikel 6, vierde lid, van de Wwft). Bij een verscherpt cliëntenonderzoek dient de instelling diepgaander onderzoek te doen naar de zakelijke relatie of transactie door een scala aan aanvullende cliëntenonderzoeksmaatregelen te nemen (artikel 8 en 9 van de Wwft). Een verrichte of voorgenomen ongebruikelijke transactie dient de instelling op grond van artikel 16, eerste lid, van de Wwft, te melden aan de FIU-Nederland. Het cliëntenonderzoek is zodoende essentieel voor de beoordeling van de instelling of de diensten van de instelling niet worden gebruikt voor witwassen of financieren van terrorisme en om te oordelen over voortzetting van de zakelijke relatie of het melden van een ongebruikelijke transactie en vormt zodoende een cruciaal onderdeel van het voorkomen van het gebruik van het financieel stelsel voor witwassen en financieren van terrorisme.

§ 2.3.2 Samenhang verplichtingen met de verwerking van persoonsgegevens

Afhankelijk van de omstandigheden van de cliënt, de diensten die de cliënt afneemt en de transacties die de cliënt verricht, kunnen bij het cliëntenonderzoek bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard betrokken zijn. Daar waar dit noodzakelijk is voor het uitvoeren van hun wettelijke taak tot het verrichten van cliëntenonderzoek en het melden van ongebruikelijke transacties, dienen instellingen bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard te kunnen verwerken om aan hun verplichtingen te kunnen voldoen. Het verwerken van deze persoonsgegevens kan zowel aan de orde zijn bij het bijhouden van de verrichte transactie(s), alsook bij het betrekken van deze gegevens bij de risicobeoordeling en de beoordeling van de ongebruikelijkheid van een transactie. Instellingen dienen het doel van de zakelijke relatie of de uiteindelijke belanghebbende (UBO) vast te stellen. Bij het voldoen aan deze verplichtingen kunnen bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard verwerkt worden. Het voldoen aan de verplichting om transacties te monitoren houdt eveneens reeds meerdere vormen van verwerking in. Een instelling moet daarvoor onder meer de transacties verzamelen, opslaan, ordenen en, indien daar aanleiding voor is, raadplegen. Voor de vaststelling dat een transactie ongebruikelijk is, is het raadplegen van (eventuele) eerder verrichte transacties door een cliënt kortom essentieel. Bovendien is, zoals hierboven beschreven, het uitoefenen van een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties een onderdeel van het cliëntenonderzoek. Om te kunnen beoordelen of een transactie voor een bepaalde cliënt past in diens risicoprofiel en als gebruikelijk dan wel ongebruikelijk aangemerkt moet worden, dient de transactie afgezet te kunnen worden tegen de activiteiten van de cliënt en de producten of diensten die de cliënt afneemt, alsook tegen het leveringskanaal en landen en geografische gebieden. Om dit volledig en adequaat te kunnen doen zijn alle gegevens die onderdeel uitmaken van een transactie relevant, alsmede de gegevens die van belang zijn om een risicoprofiel van de cliënt te bepalen.

§ 2.3.3. Voorbeelden van verplichte verwerking van bijzondere categorieën persoonsgegevens

Door de aard van de verplichtingen uit de Wwft geldt dat verwerking van alle bijzondere categorieën van persoonsgegevens aan de orde kan zijn; op voorhand is immers niet uit te sluiten dat deze gegevens onderdeel uitmaken van de informatie in een transactie of bij vastlegging van andere onderdelen van het cliëntenonderzoek. Voorbeelden van bijzondere categorieën van persoonsgegevens zijn gegevens over politieke opvattingen, godsdienst of levensovertuiging, lidmaatschap van een vakbond, gezondheid of het seksuele leven. Op grond van de verplichtingen uit de Wwft zijn instellingen verplicht informatie vast te leggen die dergelijke gegevens kunnen bevatten. Dat wil niet zeggen dat instellingen gericht bijzondere categorieën van persoonsgegevens verwerken. Al deze gegevens kunnen uiteindelijk wel relevant zijn in het kader van cliëntenonderzoek of het melden van ongebruikelijke transacties. Transacties zoals contributies voor het lidmaatschap van of donaties aan een politieke partij of een organisatie van levensbeschouwelijke of religieuze aard bevatten bijvoorbeeld bijzondere categorieën van persoonsgegevens. Het uitvoeren, vastleggen en opslaan van een dergelijke transactie is reeds verwerking van bijzondere categorieën van persoonsgegeven en is vereist om aan de Wwft te voldoen. Voor gegevens met betrekking tot lidmaatschap van een vakbond of gezondheid spelen vergelijkbare aspecten. Zo heeft de FIU-Nederland in 2018 1.300 meldingen van ongebruikelijke transacties ontvangen die te relateren waren aan zorgfraude. Hierin zag de FIU-Nederland aanleiding om hier nadrukkelijk verder in te investeren.20 Ook in 2019 zag de FIU-Nederland dat een deel van de ongebruikelijke transacties gerelateerd aan zorgfraude, mogelijk te maken had met terrorisme financiering, hoewel dit verhoudingsgewijs wel is gedaald in vergelijking met het voorgaande jaar.21 In een dergelijk geval kunnen transacties die medische gegevens bevatten relevant zijn bij de vaststelling dat een transactie als ongebruikelijk dient te worden beschouwd. Op dezelfde manier kan een transactie verricht in een seksclub gegevens bevatten over het seksuele gedrag of gerichtheid van een cliënt. Hoewel dergelijke informatie op zichzelf geen aanleiding geeft tot nader onderzoek, kan uit een dergelijke transactie, indien in samenhang bezien met andere risicofactoren, een ongebruikelijk transactiepatroon naar voren komen dat een indicatie kan zijn voor witwassen. Ook kunnen persoonsgegevens waar religieuze of levensbeschouwelijke overtuigingen uit blijken, een rol spelen bij de beoordeling van transacties in het kader van financieren van terrorisme, wanneer bijvoorbeeld donaties worden gedaan aan religieuze instellingen in het buitenland of radicale groeperingen. De instelling die het verzoek krijgt dergelijke transactie uit te voeren moet in staat zijn deze transactie te beoordelen, hetgeen verwerking inhoudt. Daarnaast zijn instellingen altijd verplicht om een cliënt te identificeren en doen dit middels een afschrift van een identiteitsbewijs. Het vastleggen van dit afschrift komt reeds neer op het verwerken van persoonsgegevens waaruit iemands ras of etnische afkomst kan worden afgeleid. Dit is ook het geval bij het vastleggen van camerabeelden bij pintransactie bij geldautomaten. Hierbij kan sprake zijn van verwerking van biometrische persoonsgegevens, zoals gezichtsafbeeldingen. Voorts dient een instelling de aard en het doel van een zakelijke relatie vast te stellen. In het geval dat de zakelijke relatie samenhangt met bijzondere categorieën van persoonsgegevens kan deze verplichting neerkomen op de verwerking van dergelijke gegevens. Bijvoorbeeld de oprichting van een specifieke rechtspersoon, zoals een vakbond, door een notaris. Een instelling is eveneens verplicht de uiteindelijke belanghebbende te vast te stellen indien de cliënt een rechtspersoon is. In het geval van een religieuze of levensbeschouwelijke organisatie kan het feit dat een persoon geïdentificeerd is als UBO van deze organisatie duiden op de religie of levensbeschouwing van deze persoon. Daarnaast dienen instellingen te bepalen of een persoon een politiek prominente functie bekleedt, zowel voor een binnenlandse of buitenlandse functie.

Daarnaast is van belang om op te merken dat elke juridische entiteit of constructie misbruikt kan worden voor witwassen of financieren van terrorisme en dat transacties zo vorm gegeven kunnen worden, bijvoorbeeld door het gebruik van bijzondere categorieën van persoonsgegevens, dat de herkomst van middelen wordt verhuld. Het niet kunnen betrekken van bijzondere categorieën van persoonsgegevens bij het cliëntenonderzoek zou derhalve leiden tot een beperkte blik op de cliënt en juist openingen bieden voor criminelen om witwassen of financieren van terrorisme buiten beeld te houden.

§ 2.3.4 Persoonsgegevens van strafrechtelijke aard

Voor persoonsgegevens van strafrechtelijke aard geldt dat instellingen in de regel zeer beperkt over deze gegevens beschikken. Een melding van een ongebruikelijke transactie alsook de informatie dat een dergelijke transactie als verdacht is aangemerkt, worden niet aangemerkt als een persoonsgegeven van strafrechtelijke aard, omdat het geen verdenking in de zin van artikel 27 van het Wetboek van Strafvordering betreft. Dit neemt niet weg dat ook een instelling de beschikking kan hebben over dergelijke gegevens. Zo kan een instelling in het verleden een aangifte hebben gedaan tegen een cliënt. Het ligt voor de hand om dit gegeven ook vast te leggen. Hiermee verwerkt een instelling een gegeven van strafrechtelijke aard. Ook dienen instellingen onderzoek te doen naar cliënten door middel van openbare bronnen. Uit deze openbare bronnen kunnen veroordelingen naar voren komen. Waar deze informatie relevant is voor het onderzoek naar de risico’s op witwassen en financieren van terrorisme van een cliënt, dient de instelling deze hierbij te kunnen betrekken.

Voorts dient opgemerkt te worden dat hoewel de bevoegdheid om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard te verwerken in principe voor alle instellingen geldt, er een groot verschil is tussen de instellingen in de mate waarin zij de beschikking hebben over deze gegevens. Waar in gegevens van transacties die door banken afgehandeld worden veelvuldig dit soort gegevens voorkomt, zal een makelaar of belastingadviseur er minder snel mee in aanraking komen. Dit neemt echter niet weg dat, als een makelaar bijvoorbeeld ontdekt dat een cliënt in het verleden is veroordeeld voor een financieel misdrijf, deze informatie onmisbaar is bij het opstellen van een risicoprofiel van deze cliënt. Omdat op voorhand niet te bepalen is welke bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard voor welke instellingen noodzakelijk kunnen zijn bij de uitvoering van hun wettelijke taken, is voorzien in een wettelijke grondslag voor alle instellingen voor het verwerken van dit soort gegevens.

§ 2.3.5 Alleen indien noodzakelijk

Tot slot is van belang te herhalen dat de verwerking alleen toegestaan is indien dit noodzakelijk is om aan de verplichtingen uit de Wwft te voldoen. Het is instellingen niet toegestaan om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard verkregen uit basale handelingen, zoals het opslaan van een afschrift van een identiteitsbewijs of het vastleggen van transacties, verder te verwerken zolang dit niet voortvloeit uit de verplichting uit de Wwft. Voor alle gegevens verzameld in het kader van de wettelijke taken in de Wwft geldt dat deze niet voor een ander doel gebruikt mogen worden. Om dit onderdeel van de verwerkingsgrondslag te borgen zijn waarborgen opgenomen. Allereerst dient een instelling te documenteren welke bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard verwerkt worden en waarom deze verwerking noodzakelijk is om aan de verplichting te voldoen. Ten tweede dient de instelling zijn cliënten te informeren over zijn beleid ten aanzien van de eventuele verwerking van bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard. De instelling kan daarbij verwijzen naar de eerder beschreven documentatie. Hier wordt nader op ingegaan in de artikelsgewijze toelichting bij onderdeel I.

Ten overvloede zij opgemerkt dat deze bepaling geen grondslag vormt voor geautomatiseerde besluitvorming in de zin van artikel 22, eerste lid, van de AVG op grond van het profiel van een cliënt. In een dergelijke grondslag wordt niet voorzien in de Wwft.

§ 3. Gegevensbescherming

In deze paragraaf wordt ingegaan op aspecten van gegevensbescherming ten aanzien van de hierboven beschreven maatregelen. Het verbod op contante betalingen vanaf € 3.000 wordt hier buiten beschouwing gelaten, aangezien gegevensbescherming ten aanzien van dit onderdeel niet relevant is, omdat er geen sprake is van verwerking van persoonsgegevens.

Informatie over de cliënt en transactiegegevens zijn persoonsgegevens in de zin van de AVG. Onder een persoonsgegeven wordt verstaan: alle informatie over een geïdentificeerde of identificeerbare persoon.22 Op de verwerking van persoonsgegevens is de AVG van toepassing. Omdat de voorgestelde maatregelen, op het verbod op contante betalingen vanaf € 3.000, betrekking hebben op de verwerking van persoonsgegevens, wordt hierna op de toepasselijke privacyregelgeving ingegaan en is de AP op grond van artikel 36, vierde lid, AVG gevraagd te adviseren over een concept van dit wetsvoorstel en separaat over onder meer het gebruik van het BSN door Wwft-instellingen. Op dit advies wordt in paragraaf 3.3 ingegaan. Op de verwerking van persoonsgegevens zijn artikel 8 van het Handvest van de grondrechten van de Europese Unie, artikel 16 van het Verdrag betreffende de werking van de Europese Unie, artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en artikel 10 van de Grondwet van toepassing. Op grond van deze bepalingen bestaat een recht op bescherming van persoonsgegevens. Het recht op bescherming van persoonsgegevens is echter geen absoluut recht, onder bepaalde voorwaarden kan dit recht wordt aangetast. Dit wordt hieronder toegelicht.

De regels rond het recht op de bescherming van persoonsgegevens worden verder uitgewerkt in de AVG en in de Uitvoeringswet AVG (UAVG). Persoonsgegevens moeten op grond van deze wetgeving worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Verder mogen persoonsgegevens slechts worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen ze vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt (doelbinding). Ook moet degene die verantwoordelijk is voor een verwerking bij het ontwikkelen van werkwijzen en systemen rekening houden met de gevolgen daarvan voor de bescherming van persoonsgegevens en de risico’s zoveel mogelijk beperken. Ten slotte is specifiek op het gebruik van het BSN de Wet algemene bepalingen burgerservicenummer van toepassing.

§ 3.1. Gegevensbeschermingseffectbeoordeling gegevensdeling tussen instellingen bij cliëntenonderzoek

A. Verwerking van persoonsgegevens

Op grond van artikel 3 van de Wwft zijn instellingen, onder andere, verplicht om de cliënt te identificeren en diens identiteit te verifiëren, alsmede de uiteindelijk belanghebbende van de cliënt te identificeren en redelijke maatregelen te nemen om zijn identiteit te verifiëren. Daarnaast dienen instellingen het doel en de beoogde aard van de zakelijke relatie vast te stellen en een voortdurende controle op de zakelijke relatie met de cliënt en de tijdens de duur van deze relatie verrichte transacties uit te oefenen. Het doel hiervan is om te verzekeren dat deze transacties overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel. Zo nodig dient de instelling ook een onderzoek uit te voeren naar de bron van de middelen die bij de zakelijke relatie worden gebruikt. Al deze gegevens dienen te worden aangemerkt als persoonsgegevens, aangezien met deze gegevens een natuurlijke persoon direct of indirect kan worden geïdentificeerd. In artikel 33, tweede lid van de Wwft zijn de gegevens opgenomen die door instellingen bij het cliëntenonderzoek moeten worden vastgelegd. Dat zijn onder andere geslachtsnaam, voornamen, geboortedatum, adresgegevens, de aard, het nummer en de datum en plaats van uitgifte van het document met behulp waarvan de identiteit is geverifieerd. Voor vennootschappen of andere juridische entiteiten geldt dat, onder andere, de rechtsvorm, de statutaire naam en de handelsnaam dienen te worden vastgelegd.

Indien een instelling achterhaalt dat een andere instelling uit dezelfde categorie momenteel diensten verleent, heeft verleend of heeft geweigerd aan de cliënt, bestaat de verplichting om bij die andere instelling navraag te doen naar de gebleken risico’s op witwassen of financieren van terrorisme. In dit geval zal de instelling de in artikel 33, tweede lid, onderdelen a en c, genoemde gegevens dienen te verstrekken om te verzekeren dat beide instellingen dezelfde cliënt voor ogen hebben en er geen gegevens gedeeld worden over een verkeerde cliënt. De grondslag voor deze gegevensverstrekking is gelegen in de wettelijke verplichting om onderzoek te doen naar dienstverlening door andere instellingen uit dezelfde categorie.

Indien een instelling een dergelijk verzoek ontvangt ten aanzien van een cliënt waarbij deze risico’s op witwassen en financieren van terrorisme en maatregelen om deze risico’s te beperken heeft vastgesteld, dient de instelling de vragende instelling hierover te informeren. In algemene zin betreft dit informatie die heeft geleid tot de conclusie dat de handelingen van de cliënt niet passen binnen het risicoprofiel dat deze instelling heeft opgesteld van de cliënt. Dat kunnen «gewone» transactiegegevens zijn, zoals onverklaarbare (contante) stortingen op of onverklaarbare overboekingen van en naar de betaalrekening van de cliënt. Daarnaast kunnen het ook persoonsgegevens van strafrechtelijke aard betreffen. Dit is het geval als de instelling heeft achterhaald dat de cliënt strafrechtelijk is veroordeeld. Indien deze informatie deel uitmaakt van de bij de cliënt gebleken risico’s op witwassen of financieren van terrorisme, dienen deze gegevens verstrekt te worden aan de instelling die hierom verzoekt.

B. Rechtmatigheid, noodzaak en evenredigheid gegevensverwerking

Hieronder wordt ingegaan op de rechtmatigheid, de noodzaak en de evenredigheid van de gegevensverwerking die plaatsvindt in het kader van de voorgestelde maatregel. Samengevat is de voorgestelde maatregel, te weten het delen van gebleken risico’s op witwassen of financieren van terrorisme bij de cliënt, noodzakelijk voor het te bereiken doel, namelijk het voorkomen en bestrijden van witwassen en financieren van terrorisme. Daarbij is de verwerking van persoonsgegevens van strafrechtelijke aard, zoals een eerdere veroordeling voor witwassen of financieren van terrorisme, onmisbaar. De rechten van betrokkenen zijn geborgd. Een instelling is verantwoordelijk voor de verwerking van de persoonsgegevens van een cliënt. Een betrokkene kan zich daarom altijd wenden tot de instelling indien hij van mening is dat hem betreffende persoonsgegevens onrechtmatig worden verwerkt door de instelling. De gegevensdeling vindt alleen plaats in gevallen waarin er sprake is van (indicaties van) een hoger risico op witwassen of financieren van terrorisme en in principe uitsluitend tussen de instellingen die binnen dezelfde categorie vallen.

Het voorgestelde artikel regelt de bevoegdheid van instellingen om gegevens over gebleken risico’s op witwassen en financieren van terrorisme van cliënten uit te wisselen met instellingen uit dezelfde categorie. Deze uitwisseling kan alleen plaatsvinden voor zover er sprake is van een zakelijke relatie of transactie die naar haar aard indicaties van een hoger risico op witwassen of financieren van terrorisme met zich meebrengt, er sprake is van de risicofactoren genoemd in bijlage III van vierde anti-witwasrichtlijn en in het kader van het verscherpt cliëntenonderzoek. Het doel van het cliëntenonderzoek is het voorkomen van witwassen en financieren van terrorisme. De voorgestelde maatregel is noodzakelijk voor dit doel, omdat instellingen bij aanvang van de dienstverlening ondanks een vergaande onderzoeksplicht niet altijd goed in staat zijn om een juist risicoprofiel van de cliënt op te stellen. Voor het vaststellen van de risico’s is een instelling namelijk ook afhankelijk van informatie die door de cliënt wordt verstrekt. Criminelen spelen hierop in door bewust onvolledige of onjuiste informatie te verstrekken, die geen aanleiding geeft tot nader onderzoek. Dit leidt ertoe dat pas na verloop van tijd kan worden vastgesteld dat de handelingen van de cliënt niet passen binnen het risicoprofiel van de cliënt. In de tussentijd is de cliënt in staat de dienstverlening van de instelling – en daarmee het financiële stelsel – te misbruiken voor witwassen of financieren van terrorisme. Om dit effectief te voorkomen is het noodzakelijk dat deze informatie bij aanvang van de dienstverlening bekend is, zodat een juist risicoprofiel van de cliënt kan worden opgesteld en zodoende voorkomen kan worden dat de dienstverlening van instellingen door middel van shopgedrag tussen instellingen wordt gebruikt voor witwassen of financieren van terrorisme.

Er is voor gekozen om de uitwisseling van gegevens over gebleken risico’s op witwassen of financieren van terrorisme te beperken tot die gevallen dat de zakelijke relatie of transactie naar haar aard een hoger risico met zich brengt, de risicofactoren bedoeld in bijlage III van de vierde anti-witwasrichtlijn van toepassing en als onderdeel van het verscherpt cliëntenonderzoek. Dit is een risico gebaseerde invulling van de maatregel, die aansluit op het systeem van de Wwft. De verplichting om navraag te doen geldt uitsluitend als sprake is van aanwijzingen voor een hoger risico op witwassen of financieren van terrorisme. Om de gegevensuitwisseling te beperken tot het strikt noodzakelijke worden bij uitvoering van de verplichting alleen de voorgeschreven beperkte gegevens over de cliënt gedeeld. Hiervoor is aangesloten bij de gegevens voorgeschreven in artikel 33, tweede lid, onderdelen a en c van de wet. Deze twee onderdelen bevatten de gegevens die een instelling dient vast te leggen bij het cliëntenonderzoek van natuurlijke personen en rechtspersonen. Aansluiting bij artikel 33 is noodzakelijk op basis van twee redenen. Ten eerste wordt hiermee de set gegevens beperkt, instellingen verzamelen deze gegevens al in het kader van cliëntenonderzoek en zullen dus reeds aanwezig zijn bij zowel de verzoekende instelling als de instelling die het verzoek ontvangt. Ten tweede garandeert deze set gegevens dat beide instellingen met zekerheid kunnen vaststellen dat het om dezelfde cliënt gaat en wordt voorkomen dat er uitwisseling van de verkeerde cliënt plaatsvindt of onterecht geconstateerd wordt dat het niet dezelfde cliënt betreft.

Daarnaast wordt voorgesteld dat delen van gegevens alleen mogelijk is tussen instellingen die behoren tot dezelfde categorie. Hier is voor gekozen omdat instellingen uit dezelfde categorie over het algemeen soortgelijke producten of diensten aanbieden en daardoor ook te maken hebben met soortgelijke risico-inschattingen. Gegevensuitwisseling tussen deze instellingen zal zodoende het grootste effect sorteren. Hieruit blijkt ook de meerwaarde van deze maatregel ten opzichte van een stelsel van zwarte lijsten. Een zwarte lijst bevat namen van cliënten die geweigerd zijn of ten aanzien van wie de dienstverlening is stopgezet wegens ernstige gevallen van fraude, witwassen of financiering van terrorisme, en leent zich minder voor het opnemen van een uitgebreide, inhoudelijke motivering van de redenen waarom een cliënt op die lijst is geplaatst. Het is echter juist deze inhoudelijke motivering van de redenen die bijdraagt aan de proportionaliteit, aangezien een instelling daardoor accurater kan beoordelen of zij in staat is om de risico’s te mitigeren. Dit leidt niet alleen tot het effectiever voorkomen van witwassen en financieren van terrorisme maar voorkomt ook dat instellingen ten onrechte dienstverlening weigeren aan cliënten.

Elke instelling is verplicht om, als verwerkingsverantwoordelijke in de zin van de AVG, haar cliënten te informeren over de verwerking van persoonsgegevens. Dit betekent dat ook informatie verstrekt moet worden over de verwerkingen die plaatsvinden in het kader van het uitwisselen van bij de cliënt gebleken risico’s op witwassen of financieren van terrorisme. Welke informatie verstrekt moet worden dient opgenomen te worden in een privacyverklaring van de instelling. Ook kan een betrokkene de instelling verzoeken om inzage in de verwerking van de op hem betrekking hebbende persoonsgegevens.23 Daarnaast hebben betrokkenen ook andere rechten, vermeld in hoofdstuk 2 van de AVG. Als een betrokkene van mening is dat een instelling in strijd met geldende wet- en regelgeving zijn persoonsgegevens verwerkt, kan hij een klacht indienen bij de AP.24 Daarnaast kan een betrokkene in dat geval ook beroep instellen bij de rechter.25

Bij deze maatregel is steeds gekozen voor het minst vergaande alternatief. Allereerst door de deling van gegevens over gebleken risico’s op witwassen en financieren van terrorisme te beperken tot die gevallen dat de zakelijke relatie of transactie naar haar aard een hoger risico op witwassen of financieren van terrorisme met zich brengt, de risicofactoren bedoeld in bijlage III van de vierde anti-witwasrichtlijn van toepassing en als onderdeel van het verscherpt cliëntenonderzoek en daadwerkelijk geleid hebben tot maatregelen om deze risico’s te beperken. Het verdergaande alternatief zou zijn om de uitwisseling van deze gegevens niet alleen in gevallen van een hoger risico voor te schrijven, maar in alle gevallen wanneer er cliëntenonderzoek wordt verricht. Bij een hoger risico op witwassen of financieren van terrorisme is het des te meer van belang dat de afweging om aan die cliënt wel of geen dienstverlening aan te bieden wordt genomen op grond van alle informatie die daarover beschikbaar is. Ten tweede is voor het minst vergaande alternatief gekozen door alleen risico’s uit te wisselen die tot concrete maatregelen hebben geleid om deze risico’s te beperken, waaronder in ieder geval het beëindigen van de klantrelatie of weigeren van klant wordt verstaan. Op deze manier wordt reikwijdte van te delen risico’s beperkt en gegarandeerd dat er niet willekeurige informatie wordt gedeeld. Ten derde is voor het minst vergaande alternatief gekozen door de uitwisseling van de gegevens te beperken tot instellingen behorend tot dezelfde categorie, in plaats van deze gegevensuitwisseling tussen alle instellingen mogelijk te maken. De reden hiervoor is dat er bij instellingen uit dezelfde categorie sprake is van soortgelijke dienstverlening, waardoor gegevensdeling tussen die instellingen het meest effectief zal zijn. Bovendien verklaart dit waarom niet kan worden volstaan met het alternatief van een stelsel met uitsluitend zwarte lijsten. Een dergelijk stelsel maakt het niet of slechts beperkt mogelijk om die achterliggende gebleken risico’s op witwassen of financieren van terrorisme tussen instellingen te delen, terwijl juist die onderliggende motivering noodzakelijk is om een juiste inschatting te maken van deze risico’s.

C. Risico’s en maatregelen

In het kader van de poortwachtersfunctie die instellingen op grond van de Wwft hebben, dienen zij een inschatting te maken van het risico op witwassen of financieren van terrorisme bij het accepteren van een cliënt. Tegelijkertijd is het van belang dat cliënten niet onterecht uitgesloten worden van het financiële stelsel. Een risico van de uitbreiding van de mogelijkheid om gegevens te delen is dat het zou kunnen leiden tot meer onnodige uitsluiting van cliënten (ook bekend als de-risking) door instellingen. Ten aanzien van de gegevensuitwisseling tussen instellingen ten behoeve van het cliëntenonderzoek is het belangrijk om te benadrukken dat de instelling een individuele risicoafweging per cliënt dient te maken. De gegevens die een eerdere dienstverlener verstrekt dienen als een niet-bindende aanvulling op het cliëntenonderzoek en ontslaan de verzoekende instelling dus niet van de verplichting tot het maken van een eigen individuele risicoafweging en eventuele vaststelling van beheersmaatregelen.

Daarnaast zouden instellingen, om praktisch uitvoering te geven aan deze maatregel, vaker gebruik kunnen gaan maken van centrale registratiesystemen (ook wel bekend als zwarte lijsten). De maatregel zou mogelijk kunnen leiden tot een verhoging van het gebruik van centrale systemen binnen categorieën instellingen waarin risico’s op witwassen en financieren van terrorisme van personen worden geregistreerd. Dit is in zichzelf niet een probleem, omdat dergelijke systemen kunnen bijdragen aan veilige en efficiënte gegevensuitwisseling. Dergelijke systemen kunnen bij verkeerd gebruik wel leiden tot onnodige uitsluiting van personen of onrechtmatige gegevensverwerking. Daarom is het gebruik van dergelijke systemen op grond van de AVG met waarborgen omkleed. Indien in deze systemen ook gegevens van strafrechtelijke aard worden verwerkt, is verkrijging van een vergunning van de AP noodzakelijk. Bovendien is in dit verband is het belangrijk te benadrukken dat het gebruik van dergelijke registratiesystemen met waarborgen is omkleed om onterechte opname in het systeem te voorkomen. Ook kent het gebruik van dergelijke registratiesystemen rechten toe aan de personen die hierop staan, zoals het recht op rectificatie en het recht op vergetelheid. Ten slotte dient ook bij de inrichting en gebruik van dergelijke systeem gewaarborgd worden dat deze niet leiden tot gegevensverwerking buiten de voorwaarden van de verplichting, zoals beschreven in paragraaf 2.2.1.5.

§ 3.2 Gegevensbeschermingseffectbeoordeling gezamenlijke transactiemonitoring

A. Verwerking van persoonsgegevens

Het wetsvoorstel maakt mogelijk dat banken transactiegegevens van hun zakelijke en particuliere cliënten kunnen combineren binnen een gezamenlijke voorziening ten behoeve van gezamenlijke transactiemonitoring in het kader van de Wwft, voor zover deze transactiegegevens noodzakelijk zijn om gezamenlijk transacties te monitoren. Het derde lid van artikel 34b schrijft voor dat de transactiegegevens die gecombineerd mogen worden binnen de gezamenlijke voorziening voorgeschreven zullen worden bij algemene maatregel van bestuur en dat ze betrekking hebben op persoonsgegevens, transactie-informatie, productgegevens en door de bank reeds vastgestelde risico-indicatoren. Dergelijke transactiegegevens worden nu al gebruikt door banken om individueel transacties te monitoren. De transactiegegevens binnen de gezamenlijke voorziening zullen verder beperkt worden ten opzichte van het individuele monitoren van transacties door transacties tussen particulieren tot het bedrag van € 100 buiten de reikwijdte van de gezamenlijke voorziening te laten. Daarnaast zullen bij transacties tussen een zakelijke en een particuliere cliënt, slechts drie datavelden opgenomen worden in de gezamenlijke voorziening die zien op de particuliere cliënt: het IBAN-nummer, het BIC-nummer en de landencode.

De transactiegegevens kunnen ook bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard bevatten. Het gebruik van deze persoonsgegevens is mogelijk op grond van de in dit wetsvoorstel voorgestelde algemene grondslag voor het gebruik van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard om te voldoen aan verplichtingen gesteld bij of krachtens de Wwft. Dit is nader toegelicht in paragraaf 2.3.

B. Rechtmatigheid, noodzaak en evenredigheid gegevensverwerking

In paragraaf 2.2.2 is toegelicht dat de huidige verplichting voor banken om individueel transacties te monitoren er toe leidt dat banken slechts beperkte informatie hebben om vast te stellen dat een transactie ongebruikelijk is, met name als het gaat om transacties die via verschillende partijen en verschillende banken lopen. Criminelen maken gebruik van deze beperking door complexe netwerken van transacties in te richten waarbij crimineel geld via een scala van transacties en verschillende banken wordt geleid. Witwassen gebeurt zodoende zelden door een op zichzelf staande financiële handeling, maar overwegend via een (complex) samenstel van verschillende financiële handelingen. Doordat banken zich bij het individueel monitoren van transacties beperken tot de transacties die via hun bank gelopen zijn, kan daardoor de ongebruikelijkheid van transacties die via een groot netwerk lopen, onder de radar blijven. Een voorbeeld hiervan dat naar voren is gekomen bij de in paragraaf 2.2.2 genoemde pilot van de banken, is dat van een entiteit die actief is in de groothandel in voedingsmiddelen, waarbij transacties plaatsvinden over meerdere rekeningen bij verschillende banken. Bij verschillende banken komen over de tijd verschillende contante stortingen binnen, die bij elkaar een significant totaalbedrag aan instroom van contact geld vormen. Daarnaast vindt bij één van de rekeningen een significante instroom plaats van zowel een branchevreemde rekening als vanaf een rekening gevestigd in Oost-Europa. Vanaf dezelfde rekening vinden ook transacties plaats naar Latijns-Amerika. Samengesteld is hiermee sprake van meerdere risicofactoren binnen een bekende witwastypologie. Als onderdeel van individuele monitoring heeft de ene bank door haar beperkte blik deze casus niet als ongebruikelijk geïdentificeerd. De andere betrokken bank heeft een deel van de risico’s kunnen identificeren, maar ziet de transacties die via de andere bank lopen niet en kan daarmee niet het totaal aan risico’s niet op waarde beoordelen. Doordat de risico’s niet of slechts beperkt in beeld zijn, kunnen de banken noch de FIU-Nederland hier effectief op reageren. Hierdoor ontstaat een beperking die de effectiviteit van het systeem ondergraaft.

Om aan deze beperking tegemoet te komen wordt met dit voorstel een grondslag opgenomen in de Wwft voor banken om een gezamenlijke voorziening in te richten ten behoeve van de verplichting om transacties te monitoren. Door transacties van verschillende banken te combineren in de gezamenlijke voorziening, kunnen deze in samenhang gemonitord worden en kunnen netwerken die bij individuele transactiemonitoring buiten schot zouden blijven in kaart worden gebracht. Zoals toegelicht in paragraaf 2.2.2, gaat het hierbij om een meer verdergaande verwerking van gegevens door banken dan bij individuele transactiemonitoring, aangezien de transacties van de verschillende banken dienen te worden gecombineerd. Om een goede balans te treffen tussen aan de ene kant de een effectieve aanpak van witwassen en financieren van terrorisme en aan de andere kant de privacy van burgers, is bij de vormgeving van de grondslag daarom uitdrukkelijk rekening gehouden met afwegingen rond evenredigheid en proportionaliteit. De grondslag is daarom op de hieronder genoemde punten ingeperkt.

Alleen banken

De bevoegdheid om een gezamenlijke voorziening op te zetten geldt uitsluitend voor banken. Hieraan liggen zowel afwegingen rond effectiviteit als proportionaliteit ten grondslag. Bij veel transacties is een bankrekening, en daarmee ook een bank, betrokken. Zodoende hebben banken een centrale positie binnen het poortwachtersstelsel, waardoor criminele netwerken veelal gebruik maken van de diensten die banken leveren. Daarnaast is er bij banken veelal sprake van cliënten die doorlopende monitoring vereisen en is er beperkt sprake van incidentele transacties. De omvang is daarbij dusdanig, bijna 10 miljard transacties per jaar bij 35 miljoen cliënten, dat een effectievere inrichting van deze monitoring voor het stelsel voor het voorkomen van witwassen en terrorismefinanciering als geheel de meeste meerwaarde zal hebben.

Gegevens particulieren beperkt

De grondslag voor het combineren van transactiegegevens binnen de gezamenlijke voorziening geldt zowel voor zakelijke als voor particuliere relaties. Criminelen maken gebruik van verschillende soorten partijen in hun netwerken om zoveel mogelijk mist op te trekken over de herkomst van het geld. Daarom is het voor een effectieve werking van de monitoring binnen de gezamenlijke voorziening noodzakelijk om niet alleen de transacties van zakelijke relaties, maar ook die van particulieren, op te nemen. Tegelijkertijd kunnen juist de transacties van particulieren (gevoelige) persoonsgegevens bevatten. Daarom is in het kader van de hierboven genoemde afwegingen van evenredigheid en proportionaliteit, ervoor gekozen om transacties tot het bedrag van € 100 tussen particulieren buiten de reikwijdte van de grondslag voor het gezamenlijk monitoren van transacties te laten vallen. Transacties tussen particulieren tot het bedrag van € 100 zullen dus niet gezamenlijk, maar slechts individueel, gemonitord worden door banken. Daarnaast zullen bij transacties tussen een zakelijke en een particuliere cliënt, van de particuliere cliënt slechts drie datavelden26 opgenomen worden in de gezamenlijke voorziening. De schatting van de NVB op basis van een inventarisatie bij de bij TMNL betrokken banken is dat hiermee 60–70% van de transactiegegevens van particuliere cliënten en ongeveer 5% van alle transacties niet in de gezamenlijke voorziening zal worden verwerkt.

Transactiegegevens beperkt

De huidige grondslag voor het individueel monitoren van transacties schrijft niet voor welke gegevens banken hiervoor dienen te gebruiken. Uiteraard geldt hierbij wel de algemene eis uit de AVG om de gegevensverwerking te beperken tot de gegevens die noodzakelijk zijn voor het doel, in dit geval het voorkomen van witwassen en financieren van terrorisme. Voor het combineren van transactiegegevens binnen de gezamenlijke voorziening, zal bij algemene maatregel van bestuur vastgesteld worden welke transactiegegevens gedeeld zullen mogen worden binnen de gezamenlijke voorziening. Het derde lid van artikel 34b bevat een opsomming van het soort gegevens waar het hierbij om gaat: identificerende gegevens, transactie-informatie, productinformatie en eventuele risico-indicatoren die de bank al heeft kunnen vaststellen bij het individueel monitoren van transacties. In de artikelsgewijze toelichting wordt per categorie ingegaan op de noodzaak van dit soort gegevens voor het gezamenlijk monitoren van transacties.

Waarborgen privacy

Om te beginnen dient te worden onderstreept dat de AVG uiteraard onverkort geldt voor de gegevensdeling die plaatsvindt in het kader van het gezamenlijk monitoren van transacties. Dit betekent, onder andere, dat banken voor de verwerking van persoonsgegevens in het kader van het gezamenlijk monitoren van transacties een gegevensbeschermingseffectbeoordeling (GEB)27 dienen op te stellen, waarin onder meer de noodzaak van het gezamenlijk monitoren van transacties voor de betreffende bank wordt beoordeeld. Daarnaast geldt eveneens onverkort het tipping-off verbod, uit artikel 23, van de Wwft. Dit houdt in dat banken het gegeven dat van bepaalde transacties melding is gedaan bij de FIU-Nederland niet mogen delen met de gezamenlijke voorziening. Tussen banken onderling blijft de uitzondering op het tipping-off verbod uit artikel 23, zesde lid, onder 3°, van de Wwft overigens gewoon gelden. Op grond van deze uitzondering mogen de banken onderling het tipping-off verbod doorbreken, ten aanzien van een cliënt van beide banken en een transactie waar beide banken bij betrokken zijn.

Naast deze reeds bestaande waarborgen, worden met dit wetsvoorstel extra waarborgen getroffen ten aanzien van de verwerking van persoonsgegevens. In het zesde en zevende lid van artikel 34b worden verschillende maatregelen voorgeschreven die getroffen dienen te worden bij de opzet en gebruik van de gezamenlijke voorziening. Zo dienen alle persoonsgegevens die onderdeel uitmaken van de transactiegegevens die in de gezamenlijke voorziening worden opgenomen gepseudonimiseerd en versleuteld te zijn. Dit betekent dat binnen de gezamenlijke voorziening het niet mogelijk is om de transacties te herleiden naar een specifiek persoon. De versleuteling kan uitsluitend buiten de gezamenlijke voorziening opgeheven worden door de individuele bank die de gegevens heeft aangeleverd. Ook dient er sprake te zijn van een adequaat beveiligingsniveau, dienen uitsluitend geautoriseerde personen toegang te hebben tot systemen waarin persoonsgegevens worden verwerkt, is geautomatiseerde besluitvorming als bedoeld in artikel 22, eerste lid, van de AVG uitgesloten en dient er een functionaris voor gegevensbescherming te worden ingesteld bij de gezamenlijke voorziening.

Rechten betrokkenen

Het uitgangspunt is dat cliënten de bank bij wie ze diensten afnemen kunnen aanspreken op de omgang van de bank met hun persoonsgegevens, ook wat betreft het combineren van transactiegegevens binnen de gezamenlijke voorziening. De banken zijn verplicht om, als verwerkingsverantwoordelijken in de zin van de AVG, hun cliënten te informeren over de verwerking van persoonsgegevens.28 Dat betekent dat ook informatie verstrekt moet worden over de verwerkingen die plaatsvinden in het kader van (gezamenlijke) trasactiemonitoring die door banken zelf dan wel door derden (verwerkers) namens hen wordt uitgevoerd. Welke informatie verstrekt moet worden dient opgenomen te worden in een privacyverklaring van de bank. Ook kan een betrokkene zelf zijn bank verzoeken om inzage in de verwerking van op hem betrekking hebbende persoonsgegevens.29 Daarnaast hebben betrokkenen andere rechten, vermeld in hoofdstuk 2 van de AVG, zoals het recht op rectificatie, wissing, verbetering, aanvulling, vernietiging of afscherming. Als een betrokkene van mening is dat een bank in strijd met geldende wet- en regelgeving zijn persoonsgegevens verwerkt, kan hij daartegen een klacht indienen bij de AP.30 In dat geval kan een betrokkene ook beroep instellen bij de rechter.31

Een mogelijke complicerende factor bij gezamenlijke transactiemonitoring voor betrokkenen is dat het denkbaar is dat het niet direct duidelijk is welke bank een cliënt dient aan te spreken voor het gezamenlijke monitoren van transacties binnen de gezamenlijke voorziening. Dit kan zich voordoen als meerdere banken persoonsgegevens van een cliënt delen met de gezamenlijke voorziening. Om de betrokkene in een dergelijk geval te faciliteren, dienen banken de verantwoordelijkheid en aansprakelijkheid in het geval persoonsgegevens van een cliënt door meer dan één bank binnen de instelling worden gedeeld, vast te leggen en bekend te maken, zodat cliënten ermee bekend zijn en er desgewenst een beroep op kunnen doen.

Audit en evaluaties

Om te waarborgen dat er op verschillende wijzen vinger aan de pols wordt gehouden, zijn er verschillende vormen van evaluaties voorzien in het wetsvoorstel. Om te beginnen dienen de deelnemende banken zorg te dragen voor een tweejaarlijkse evaluatie van de naleving van de verplichtingen uit artikel 34b en de verplichtingen ten aanzien van het cliënten onderzoek en het melden van ongebruikelijke transacties. Daarnaast dienen de deelnemende banken jaarlijks een onafhankelijke audit uit te laten voeren naar de naleving van de regels met betrekking tot de bescherming van persoonsgegevens. Deze audit dient tevens gedeeld te worden met de AP. Tenslotte is ook voorgeschreven dat vier jaar na inwerkingtreding van de wet, de Ministers van Financiën en Justitie en Veiligheid een evaluatie uitvoeren naar de effectiviteit van gezamenlijke transactiemonitoring en de naleving van de regels ten aanzien van de gegevensbescherming. De AP, DNB en de FIU-Nederland zullen nauw betrokken worden bij deze evaluatie in een adviserende rol. De evaluatie zal met de Staten-Generaal gedeeld worden.

Burgerservicenummer

Het wetsvoorstel maakt mogelijk dat het BSN wordt gebruikt om bij het uitvoeren van gezamenlijke transactiemonitoring de koppeling te maken tussen een cliënt die rekeningen aanhoudt bij verschillende banken om vast te kunnen stellen dat het om dezelfde persoon gaat. De AVG bepaalt dat de lidstaten zelf voorwaarden mogen stellen aan het verwerken van een nationaal identificatienummer. In Nederland is dit geregeld in de Uitvoeringswet AVG (UAVG) en de Wet algemene bepalingen BSN. Op grond van die wetten mag het BSN alleen verwerkt worden door overheidsorganen ter identificatie en, kort samengevat, door andere instellingen dan overheidsorganen wanneer dat bij wettelijke maatregel is bepaald. Banken hebben de wettelijke taak om te voorkomen dat hun dienstverlening wordt gebruikt voor witwassen en het financieren van terrorisme. Dit betreft een taak van algemeen belang. Zoals hierboven aangegeven is voor het vergroten van de effectiviteit van het uitvoeren van die taak het noodzakelijk dat banken transacties combineren om ongebruikelijke transactiepatronen naar boven te krijgen die bij individuele monitoring minder goed verkregen kunnen worden.

Het gebruik van BSN door deze afgebakende groep wordt voor deze specifieke taak als proportioneel beoordeeld. Een inrichting zonder uniek nummer zou niet effectief zijn en een verwerking van een grotere hoeveelheid data met zich brengen. Het zelf tot stand brengen van een uniek nummer wordt niet proportioneel geacht gezien de grote hoeveelheid persoonsgegevens die daarvoor nodig is en de grote investering. Daarbij is van belang dat banken reeds ervaring hebben met het gebruik van het BSN en over vereiste waarborgen beschikken om de bescherming van de gegevens te verzekeren. Een beperking van het gebruik van het BSN door deze instellingen en voor dit specifieke gebruik sluit aan op adviezen van de AP over het gebruik van het BSN.

De AP heeft erop gewezen dat het BSN kan worden opgevat als een «gevoelig» persoonsgegeven. Lidstaten kunnen op grond van de AVG voorzien in regels omtrent het gebruik. Daarbij moet rekening worden gehouden dat het risico op misbruik toeneemt naarmate het BSN breder bekend en toegankelijk is. Daarom moeten maatregelen worden getroffen om de kans op onrechtmatige verspreiding van het BSN te minimaliseren en om te voorkomen dat het BSN zich ontwikkelt tot een algemeen persoonsnummer. In de hier voorgestelde verwerking beperkt dit zich tot partijen die al over het BSN beschikken met het oog op de uitvoering van andere specifieke wettelijke taken en bewezen hebben hiermee zorgvuldig om te gaan. Tot slot is van belang dat voor de instellingen waaraan het gebruik wordt toegekend aanvullende waarborgen bestaan. Zo moeten zij over een vergunning beschikken op grond van de Wft, aan strenge bedrijfsvoeringseisen voldoen en staan zij onder toezicht van DNB.

Daarnaast mag het BSN alleen gebruikt worden in de fase van uitwisseling, verrijking en pseudonimisering van gegevens. Slechts een beperkt aantal personen heeft toegang tot de gegevens, waaronder het BSN. Deze personen zijn vooraf door de banken gescreend, hebben een geheimhoudingsverklaring ondertekend en al hun activiteiten binnen de gezamenlijke voorziening worden gelogd en zijn dus herleidbaar.

Bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard

De verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard ten behoeve van het monitoren van transacties door individuele banken en de noodzaak daartoe is toegelicht in paragraaf 2.3. In het kader van de voorgestelde maatregel komt daar de verwerking bij dat de individuele banken bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard, die zich in transactiegegevens bevinden, kunnen delen met andere banken die deelnemen aan een voorziening ten behoeve van het gezamenlijk monitoren van transacties. Het voorgestelde nieuwe eerste lid van artikel 34a biedt hiervoor een wettelijke grondslag.

Binnen een voorziening voor gezamenlijke transactiemonitoring worden alerts gegenereerd die zien op mogelijke ongebruikelijke transacties, zoals nu al plaatsvindt bij transactiemonitoring door individuele banken. Daarbij is het noodzakelijk dat ook bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard kunnen worden verwerkt, aangezien deze in bepaalde gevallen noodzakelijk zijn ten behoeve van het monitoren van transacties. Op de noodzaak hiervan wordt nader ingegaan in paragrafen 2.3 en 3.3. Het is vooraf niet goed te voorspellen welke bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard precies relevant zijn, aangezien dit sterk kan wisselen. Criminelen vinden telkens nieuwe manieren om illegaal verkregen gelden wit te wassen of om gelden voor terroristische aanslagen door te sluizen. Elke categorie bijzondere persoonsgegevens kan daarbij relevant zijn. Het is daarom aan de individuele banken om, voorafgaand aan een voorgenomen gebruik van bepaalde bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard, een GEB uit te voeren en aan de hand daarvan te onderbouwen waarom het gebruik van die gegevens noodzakelijk en proportioneel is, en zo nodig voorafgaand aan de verwerking de AP te raadplegen conform artikel 36, eerste lid, AVG. In deze onderbouwing door individuele banken dient ook te worden ingegaan op de maatregelen die worden genomen om de rechten van de betrokkenen te waarborgen, onder meer waar het gaat om de bescherming van persoonsgegevens.

C. Risico’s en maatregelen

De risico’s die zich kunnen voordoen bij gezamenlijke transactiemonitoring zien op legitimiteit, privacy en informatiebeveiliging. Bij risico’s die zien op legitimiteit moet gedacht worden aan het risico dat banken ook andere gegevens combineren in de gezamenlijke voorziening dan de transactiegegevens die toegestaan zijn op grond van de wet. Bij privacy gerelateerde risico’s kan gedacht worden aan het risico dat via gezamenlijke transactiemonitoring gegevens van een persoon gekoppeld worden aan de gegevens van een andere persoon, waardoor een onjuist beeld ontstaat van de betreffende cliënt(en). Risico’s betreffende informatiebeveiliging zien bijvoorbeeld op de toegang tot gedeelde transactiegegevens door derden of onbevoegde medewerkers. Om dergelijke risico’s te mitigeren is bij de vormgeving van de grondslag voor gezamenlijke monitoring beperkt en zijn er extra waarborgen getroffen. Op deze beperkingen en waarborgen is hierboven uitgebreid ingegaan.

§ 3.3 Verduidelijking verwerking bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard

A. Verwerking van persoonsgegevens

Deze maatregel ziet op de verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard, voor zover dit noodzakelijk is om te kunnen voldoen aan de verplichtingen die voortvloeien uit de Wwft ter voorkoming van witwassen en financieren van terrorisme, te weten het verrichten van (doorlopend) cliëntenonderzoek en het melden van ongebruikelijke transacties.

B. Rechtmatigheid, noodzaak en evenredigheid gegevensverwerking

In paragraaf 2.3 is ingegaan op de noodzaak voor instellingen om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard te verwerken. Bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard zijn onontbeerlijk voor het uitvoeren van het (doorlopend) cliëntenonderzoek en het melden van ongebruikelijke transacties. Met name bij het monitoren van transacties en het opstellen van een effectief risicoprofiel (dit is een onderdeel van het cliëntenonderzoek op grond van artikel 3, tweede lid, onder d, van de Wwft) kan het noodzakelijk zijn om deze gegevens te verwerken. Hierbij is van belang dat een specifieke categorie bijzondere persoonsgegevens of een persoonsgegeven van strafrechtelijke aard in de regel op zichzelf geen aanleiding zal zijn een transactie als ongebruikelijk te beoordelen. Zo zal uitsluitend het gegeven dat iemand een bepaalde godsdienst aanhangt of politieke opvatting heeft een transactie niet ongebruikelijk maken. In de regel zal juist de combinatie van dit gegeven met andere gegevens die een instelling heeft over een cliënt, de doorslag geven bij de beoordeling of een transactie ongebruikelijk is.

C. Risico’s en maatregelen

De verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard is uitdrukkelijk alleen toegestaan indien dat noodzakelijk is om te voldoen aan de verplichtingen uit de Wwft. Instellingen dienen in het kader van hun dienstverlening zelfstandig te beoordelen welke vorm van verwerking noodzakelijk is om te voldoen aan verplichtingen uit de wet. Hierbij dienen specifieke en passende waarborgen, te worden geboden ter bescherming van de rechten en vrijheden van betrokkenen.

Om de risico’s van de verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard te mitigeren, wordt een documentatieplicht ingesteld voor instellingen en dienen instellingen hun cliënten te informeren over hun beleid ten aanzien van de verwerking van bijzondere categorieën van persoonsgegeven en persoonsgegevens van strafrechtelijke aard. Daarnaast worden middels een delegatiebepaling waarborgen gesteld aan, in ieder geval, de beveiliging van persoonsgegevens en de uitoefening van rechten van betrokkenen. Hier wordt nader op ingegaan in paragraaf 2.3 van de toelichting en de artikelsgewijze toelichting bij onderdeel I.

§ 3.4 Adviezen Autoriteit Persoonsgegevens32

De AP heeft twee adviezen uitgebracht die relevant zijn voor dit wetsvoorstel. Hieronder worden deze adviezen afzonderlijk besproken.

§ 3.4.1 Advies conceptwetsvoorstel

Op 12 maart 2020 heeft de AP geadviseerd over twee maatregelen uit het conceptwetsvoorstel plan van aanpak. Het ging hierbij om de introductie van de verplichting om onderzoek te doen naar eerdere dienstverlening en gegevens uit te wisselen en de introductie van de mogelijkheid om gezamenlijk transacties te monitoren.

§ 3.4.1.1 Gegevensdeling tussen instellingen bij cliëntenonderzoek

De AP wijst in haar advies op het ontbreken van de noodzaak voor de maatregel die ziet op het delen van risico’s die geconstateerd zijn bij het cliëntenonderzoek tussen instellingen uit dezelfde categorie, thans opgenomen in het nieuwe voorgestelde artikel 3b van de wet. De AP merkt op dat de omvang van het probleem en de bestaande mogelijkheden om dit te adresseren, waaronder het stelsel van «zwarte lijsten», in de toelichting niet worden besproken. Naar aanleiding van de opmerkingen van de AP is in de toelichting de rol van zwarte lijsten in het kader van deze maatregelen verduidelijkt. Hierbij is tevens van belang dat het hanteren van zwarte lijsten geen verplichting is en er beperkt gebruik wordt gemaakt van deze mogelijkheid. Voorts merkt de AP op dat het verstrekkende gevolgen kan hebben voor een persoon indien deze op een zwarte lijst is geplaatst of instellingen die de persoon eerder diensten hebben verleend geconstateerde integriteitsrisico’s met andere instellingen zullen delen. Naar aanleiding van deze opmerkingen is de reikwijdte van de maatregel beperkt tot instellingen behorend tot dezelfde categorie om de evenredigheid te borgen, zie paragraaf3.1 voor nadere toelichting. Daarnaast merkt de AP op dat de toelichting om de maatregel op te nemen als onderdeel van verscherpt cliëntenonderzoek niet overtuigend is. Om shopgedrag effectief tegen te gaan, is het noodzakelijk dat instellingen niet alleen navraag doen als er een hoger risico is vastgesteld ten aanzien van een bepaalde cliënten of transacties, maar juist ook in die gevallen waarin een instelling indicaties heeft van een hoger risico, maar over onvoldoende gegevens beschikt om dit vast te kunnen stellen. Een navraag bij een andere instelling uit dezelfde categorie kan in deze gevallen juist leiden tot de vaststelling dat een verscherpt cliëntenonderzoek nodig is, terwijl zonder deze gegevens het hoge risico dat de cliënt of de transactie met zich meebrengt later (of mogelijk helemaal niet) naar boven zou komen. Daarom is in dit wetsvoorstel bepaald dat een instelling navraag dient te doen wanneer de zakelijke relatie of de transactie naar haar aard een indicatie van een hoger risico met zich meebrengt, de risicofactoren bedoeld in bijlage III van de vierde anti-witwasrichtlijn van toepassing en als onderdeel van het verscherpt cliëntenonderzoek.

Voorts merkt de AP op dat het open begrip «integriteitsrisico’s» ruimer is dan het primaire doel is van de Wwft. Naar aanleiding van deze opmerking is het wetsvoorstel aangepast. In artikel 3b, vierde lid, is het begrip «integriteitsrisico’s» vervangen door «risico’s op witwassen of het financieren van terrorisme». Ook wijst de AP erop dat het concept geen beperking naar tijd bevat, hetgeen disproportioneel is. Naar aanleiding van deze opmerking is de toelichting op deze maatregel aangepast. In de toelichting is verduidelijkt dat de verplichting zich beperkt tot vijf jaar, overeenkomstig de bewaartermijn uit artikel 33, derde lid, van de wet. Daarnaast geldt de verplichting om geconstateerde risico’s te delen met een verzoekende instellingen uit artikel 3b, derde lid, niet met terugwerkende kracht. In artikel III is daarom opgenomen dat deze verplichting niet geldt voor informatie gebleken voor inwerkingtreding van de wet.

Ten slotte merkt de AP op dat in de toelichting aandacht besteed zou moeten worden aan de gevolgen van de maatregel voor de betrokkene. Naar aanleiding hiervan is de toelichting in paragrafen 2.2.1.4 en 3.1 aangepast.

§ 3.4.1.2 Gezamenlijke transactiemonitoring door banken

De AP wijst er in haar advies op dat de gezamenlijke monitoring van alle transacties van alle instellingen een gigantische beperking van de bescherming van persoonsgegevens tot gevolg heeft, omdat hierdoor de gehele financiële handel en wandel van betrokkene en al zijn binnenlandse transacties bij alle WWFT-instellingen tezamen worden gemonitord, temeer in combinatie met het voorstel om de transactiemonitoring uit te besteden aan een derde partij. Het AP wijst er daarbij op dat dit «mass surveillance-karakter» voor het Hof van Justitie EU een belangrijk punt vormde om de dataretentierichtlijn onrechtmatig te verklaren. Daarnaast merkt de AP op dat onduidelijk is waarom de maatregel voor alle instellingen moet gelden.

Naar aanleiding van deze opmerkingen is het wetsvoorstel aangepast. Ten eerste is de mogelijkheid om transacties te delen beperkt tot banken. Daarnaast is deze bevoegdheid verbonden aan de voorwaarde dat deze plaatsvindt in een gezamenlijke voorziening waarvoor aanvullende voorwaarden gelden om de bescherming van persoonsgegevens te borgen. Naar aanleiding van het advies is in artikel 10 de grondslag voor de uitbesteding van transactiemonitoring aangepast en is toegevoegd dat bij algemene maatregel van bestuur aanvullende regels kunnen worden gesteld aan deze vorm van uitbesteding. Tot slot dient jaarlijks verslag te worden uitgebracht over de effectiviteit van de voorziening en zal na twee jaar na ingebruikname een onafhankelijke audit plaatsvinden of regels betreffende gegevensbescherming worden nageleefd. In paragraaf 3.2 wordt de noodzaak en evenredigheid nader toegelicht en bij artikel I, onderdeel J, wordt ingegaan op de waarborgen. Voorts merkt de AP op dat de noodzaak voor het verwerken van bijzondere persoonsgegevens bij het delen van transacties onduidelijk is en wijst de AP erop dat het delen niet beperkt is naar tijd. Naar aanleiding van deze opmerking is het wetsvoorstel aangepast door middel van de toevoeging van een nieuw artikel 34a, eerste lid. In paragrafen 2.3 en 3.3 wordt de noodzaak voor de verwerking van bijzondere persoonsgegevens of persoonsgegevens van strafrechtelijke aard om te voldoen aan de verplichtingen uit de Wwft, nader toegelicht. Daarnaast is in artikel 34b, vierde lid, opgenomen dat de verwerking wordt beëindigd indien dat niet langer noodzakelijk is om te voldoen aan de meldplicht. Tot slot valt het de AP op dat de grondslag voor de algemene maatregel van bestuur om nadere regels te stellen over het delen van transactiegegevens facultatief is, en niet dwingend. Mede naar aanleiding hiervan is in het wetsvoorstel een imperatieve grondslag opgenomen voor een algemene maatregel van bestuur voor het stellen van regels ten aanzien van het gebruik van bijzondere persoonsgegevens en persoonsgegevens van strafrechtelijke aard.

§ 3.4.1.3 Evenredigheid en bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard

De AP plaatst in haar advies vraagtekens bij de evenredigheid van de voorgestelde maatregelen om persoonsgegevens te delen en wijst daarbij op een aantal andere maatregelen die op moment van het advies in behandeling waren: de implementatiewet wijziging vierde anti-witwasrichtlijn; de implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten; en het verwijzingsportaal bankgegevens. Dit maakt dat ook moet worden gekeken naar de evenredigheid van dit wetsvoorstel in relatie tot het stelsel van wettelijke maatregelen in het kader van de aanpak van witwassen. In dat kader is van belang dat de Europese Commissie uiterlijk op 11 januari 2022 en vervolgens om de drie jaar een verslag opstelt over de toepassing van de vierde anti-witwasrichtlijn. Dit verslag legt zij voor aan het Europees Parlement en de Raad. Het verslag zal onder meer een evaluatie bevatten van de wijze waarop de in het Handvest van de grondrechten van de Europese Unie erkende grondrechten en beginselen zijn geëerbiedigd. De AP heeft in haar advies van 7 maart 2019 over het wetsvoorstel ter implementatie van de gewijzigde vierde anti-witwasrichtlijn onder meer geadviseerd om daarbij naar vermogen te bevorderen dat bij die gelegenheid de evenredigheid van de vierde anti-witwasrichtlijn in relatie tot het recht op bescherming van persoonsgegevens ten gronde wordt geadresseerd.

Bij de beoordeling van de evenredigheid van de voorgestelde maatregelen is de effectiviteit van de maatregelen van belang. Uit de hiervoor genoemde proef blijkt dat het gezamenlijk monitoren van transacties effectiever is. In het wetsvoorstel is een verplichting opgenomen voor banken die deelnemen aan een gezamenlijke voorziening voor transactiemonitoring om jaarlijks een verslag te maken over de naleving van de regels gesteld bij of krachtens de hoofdstukken 2 en 3 van de Wwft met het oog op de beoordeling van de effectiviteit van de maatregel. Daarnaast wordt voorgesteld dat banken verplicht twee jaar na inwerkingtreding van deze wet en vervolgens elke vijf jaar, een onafhankelijke audit uitvoeren ten aanzien van de werking van de gezamenlijke voorziening. Deze audit heeft in elk geval betrekking op de naleving van de regels gesteld bij of krachtens de artikelen 10, 34a en 34b en de regels met betrekking tot de bescherming van persoonsgegevens. De verslagen en resultaten van de audits dienen vervolgens als input voor een evaluatie op nationaal niveau van de wijze waarop de in het Handvest van de grondrechten van de Europese Unie erkende grondrechten en beginselen zijn geëerbiedigd.

De AP wijst in haar advies verder op het ontbreken van een duidelijke grondslag voor het verwerken van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. In haar advies op de implementatiewet wijziging van de vierde anti-witwasrichtlijn stipte de AP eerder aan dat de richtlijn geen onderscheid maakt naar de aard en mate van gevoeligheid van gegevens.33 In navolging van deze opmerkingen is in dit wetsvoorstel een expliciete wettelijke grondslag opgenomen voor het door instellingen verwerken van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard, voor zover dat noodzakelijk is om te voldoen aan de verplichtingen uit de wet. In paragraaf 2.3 en 3.3 wordt deze grondslag nader toegelicht.

Deze en de in de vorige paragraaf genoemde aanpassingen maken dat de door de AP genoemde vergelijking met het mass surveilance-karakter van de dataretentierichtlijn voor de voorgestelde maatregel niet opgaat.

§ 3.4.2 Advies gebruik BSN, BRP, UBO-register

Als onderdeel van het plan van aanpak witwassen is aan de AP advies gevraagd over de toegang van poortwachters tot een aantal bronnen om hun informatiepositie te verbeteren en zo de effectiviteit van de uitvoering van hun wettelijke taak te vergroten. Dit betrof gebruik van het BSN, toegang tot de Basisregistratie personen en toegang tot de afgesloten gegevens in het UBO-register. Op 16 december 2019 heeft de AP advies uitgebracht.34

Naar aanleiding van het advies is besloten om met dit wetsvoorstel te voorzien in het gebruik van het BSN door banken die gebruikmaken van een gezamenlijke voorziening voor transactiemonitoring. Hieronder wordt ingegaan op het advies van de AP over gebruik van het BSN en de wijze waarop hieraan gevolg is gegeven. Daarnaast wordt, aan de hand van het advies, de toegang voor banken en notarissen tot BRP-gegevens in de vorm van een hit/no hit-voorziening nader onderzocht. Bij een dergelijke voorziening ontvangt de instelling na invoering van een adres het bericht of dit adres overeen komt met het adres in het BRP. Dit vereist een wijziging van het Besluit basisregistratie personen en de bouw van de technische voorziening, in lijn met het beginsel van dataminimalisatie. In de toelichting bij de wijziging van dat besluit zal nader ingegaan worden op het advies van de AP. Tot slot is besloten om vooralsnog niet te voorzien in toegang voor poortwachters tot de afgesloten gegevens in het UBO-register. De noodzaak voor toegang zou vooral gelegen zijn in een juiste uitvoering van de verplichting om discrepanties in het register te melden. De vraag is of hiervoor de set openbare gegevens niet al voldoende is. Samen met de banken zal gemonitord worden of de enkele toegang tot de openbare gegevens voldoende is voor het melden van discrepanties.35

§ 3.4.2.1 Overwegingen AP bij het gebruik van het BSN

Aan de AP is gevraagd om een beoordeling van de proportionaliteit en subsidiariteit van het verwerken van het BSN door de instellingen voor het uitvoeren van de wettelijke taak tot het voorkomen van het gebruik van het financieel stelsel voor witwassen, de onderliggende delicten en financieren van terrorisme. Aanvullend is gevraagd of in het geval sprake is van voldoende noodzaak, het gebruik verplichtend voorgeschreven moet worden of dat kan worden volstaan met het uitsluitend regelen van de bevoegdheid tot het gebruik.

In haar advies geeft de AP als algemene opmerking mee om de omvang en aard van de problemen en bij welke instellingen zij zich voordoen, nader in kaart te brengen, alsmede mogelijke oplossingen door een beter gebruik of uitvoering van het bestaande instrumentarium aan te geven alvorens tot wetgeving over te gaan. Ten aanzien van het gebruik van het BSN overweegt de AP dat het BSN kan worden opgevat als een «gevoelig» persoonsgegeven, met name gelet op de mogelijkheid in de AVG dat lidstaten kunnen voorzien in regels daaromtrent. Het risico op misbruik neemt toe naarmate het BSN breder bekend en breder toegankelijk is. De AP wijst er daarbij op dat de groep instellingen zeer omvangrijk en divers is en dat een groot deel van deze groep geen ervaring heeft met de verwerking van dit gevoelige gegeven, hetgeen extra risico’s met zich brengt. In dat verband acht de AP de noodzaak om ten behoeve van de algemene naleving van de Wwft het BSN te gebruiken onvoldoende onderbouwd.

Daarnaast merkt de AP op dat uit de adviesaanvraag niet bleek of minder ingrijpende alternatieven onderzocht zijn. De AP denkt aan het gebruik van het rekeningnummer van banken of meer inzet van personeel bij cliënten met hoge risico’s. Daarbij geeft de AP aan dat overeenkomstig uitspraken van het Europees Hof van Justitie bij de afweging met alternatieven een «extreem verschil» in kosten een relevante factor kan zijn. Verder merkt de AP op dat in de adviesaanvraag niet is ingegaan op de waarborgen tegen oneigenlijk gebruik. Het gaat dan om het voorkomen van gebruik door onbevoegden of voor andere werkzaamheden.

Ten aanzien van het voorschrijven als een verplichting of als een bevoegdheid geeft de AP aan dat het in de wetgeving op beide manieren gebeurd en dat bepalend is wat passender is in het licht van het doel en de reikwijdte.

§ 3.4.2.2 Verwerking opmerkingen AP

Aan de hand van de opmerkingen van de AP is het gebruik van het BSN enerzijds beperkt tot een concrete wettelijke taak binnen de Wwft en anderzijds tot een beperkte groep. Het gebruik van het BSN is in dit wetsvoorstel enkel toegestaan voor transactiemonitoring en dan alleen in het geval dit is ingericht met een gezamenlijke voorziening. In de toelichting is opvolging gegeven aan de opmerking van de AP om de noodzaak nader te onderbouwen. Zonder uniek nummer is gezamenlijke monitoring niet effectief. Daarbij is ook ingegaan op de mogelijke alternatieven. Deze alternatieven zijn beperkt in effectiviteit, vergen meer verwerkingen van persoonsgegevens en vragen een aanzienlijke investering, zeker als een eigen systeem opgezet zou moeten worden om overkoepelend unieke nummers uit te geven.

De verwerking van het BSN is uitsluitend toegestaan voor banken die aan de gezamenlijke voorziening voor transactiemonitoring deelnemen. Daarmee is de groep instellingen beperkt en is geen sprake meer van een omvangrijke en diverse groep. Vooralsnog betreft het initiatief voor de gezamenlijke transactiemonitoring vijf banken. Daarnaast betreft dit instellingen die, zoals de AP ook aangeeft, ervaring hebben met het verwerken van dit gegeven. Dit brengt met zich dat er geen nieuwe instellingen zijn die het BSN gaan verwerken en dat deze instellingen ervaring hebben met het beveiligen en zorgvuldig gebruik van het BSN. In deze toelichting is daarnaast nader ingegaan op de waarborgen die de banken treffen voor onbevoegd gebruik.

§ 4. Uitvoering en handhaafbaarheid

DNB en BTWwft hebben een uitvoeringstoets uitgevoerd naar aanleiding van dit wetsvoorstel. Hieronder zal ingegaan worden op de uitvoeringstoetsen van beide toezichthouders. Daarnaast wordt ingegaan op het effect dat het verbod op contante betalingen vanaf € 3.000 zal hebben op de taakuitoefening van de FIU-Nederland.

§ 4.1 Bureau Toezicht Wwft

BTWwft heeft naar aanleiding van dit wetsvoorstel in juli 2020 een uitvoeringstoets uitgevoerd voor het verbod op contante betalingen vanaf € 3.000 euro voor handelaren. In 2022 heeft een herijking plaatsgevonden van de uitvoeringstoets. Uit de uitvoeringtoets volgt dat het verbod uitvoerbaar is, mits de benodigde capaciteit op tijd kan worden geworven en de benodigde IV-capaciteit beschikbaar is.

De uitvoeringstoets stelt dat het verbod in zijn algemeenheid een barrière opwerpt tegen witwassen en het financieren van terrorisme. Wel benoemt BTWwft in de uitvoeringstoets een aantal risico’s. Het risico bestaat dat kwaadwillenden naar andere mogelijkheden zullen zoeken om contante transacties boven het drempelbedrag uit te voeren en dat illegale geldstromen daardoor buiten het gezichtsveld kunnen raken. Dit kan bijvoorbeeld door contante transacties boven de € 3.000 buiten de administratie te houden, transacties op te knippen, een transactie te presenteren als een transactie tussen twee particulieren terwijl er in feite een handelaar betrokken is, of door een mogelijke verschuiving van transacties in goederen naar dienstverlening tegen vergoeding in contanten. Ook vraagt BTWwft in de uitvoeringstoets aandacht voor de territoriale werkingssfeer van het verbod. BTWwft adviseert om het verbod te laten gelden indien handelaren in Nederland transacties in contanten verrichten of indien een in Nederland woonachtige of gevestigde handelaar transacties in contanten verricht. Op die manier wordt (deels) voorkomen dat het verbod omzeild wordt door transacties net over de grens te verrichten of te stellen dat transacties net over de grens zijn verricht (dit laatste is niet te controleren door de toezichthouder). De wetstekst is aangepast naar aanleiding hiervan.

Ontwijken van het verbod op contante betaling in Nederland zou echter nog steeds mogelijk zijn door «over de grens» een rechtspersoon op te richten. Omdat een nationaal verbod criminelen niet verhindert hun activiteiten over de grens voort te zetten, maakt het kabinet zich daarom in EU-verband sterk voor een EU-breed verbod. Een voorbeeld hiervan is het non-paper dat Nederland, samen met België, Frankrijk, Italië en Spanje op expertniveau heeft ingediend bij de Europese Commissie36. Voorts voorziet dit wetsvoorstel in een evaluatie over vijf jaar van de effectiviteit het verbod waarbij ook methoden om het verbod te omzeilen zullen worden betrokken.

§ 4.2 De Nederlandsche Bank t.a.v. samenwerking en informatie-uitwisseling instellingen

DNB heeft een uitvoeringstoets uitgevoerd naar aanleiding van dit wetsvoorstel.37 Ten aanzien van de uitvoerbaarheid en handhaafbaarheid van de uitbreiding van gegevensuitwisseling in het kader van het cliëntenonderzoek, heeft DNB aangegeven een aantal knelpunten te signaleren. Het voorstel en de toelichting zijn op een aantal punten aangepast om deze knelpunten weg te nemen. Om te beginnen is artikel 3b aangepast zodat er niet meer naar «integriteitsrisico’s» wordt verwezen, maar naar «risico’s op witwassen of financieren van terrorisme», aangezien de term integriteitsrisico’s breder opgevat zou kunnen worden dan is bedoeld.

Daarnaast heeft DNB verzocht om de verwijzing naar het verscherpt cliëntenonderzoek te veranderen in een meer risico gebaseerde onderzoeksplicht, om beter aan te sluiten bij de systematiek van de Wwft en de wijze waarop DNB toezicht houdt. Volgens DNB wordt het vraagstuk van risicovolle cliënten die steeds wisselen van instelling, beter geadresseerd indien een instelling ook navraag kan doen als daar een redelijke aanleiding toe is, maar er (nog) geen sprake is van een verscherpt cliëntenonderzoek. Om hieraan tegemoet te komen is ervoor gekozen om de verplichting om navraag te doen in te stellen voor de gevallen waarin sprake is van indicaties van een hoger risico op witwassen of financieren van terrorisme, de risicofactoren bedoeld in bijlage III van de vierde anti-witwasrichtlijn van toepassing en als onderdeel van het verscherpt cliëntenonderzoek. Hiermee wordt een meer risico gebaseerde benadering gekozen, terwijl de evenredigheid van de maatregel ermee is gediend.

DNB heeft ook verzocht om meer invulling te geven in de toelichting aan de onderzoeksplicht. De toelichting is hierop uitgebreid. Hierbij dient wel aangemerkt te worden dat de aanvulling handreikingen betreft. Aangezien deze verplichting geldt voor verschillende instellingen, is het niet mogelijk en wenselijk om op voorhand aan te geven hoe de onderzoeksplicht eruit dient te zien voor de verzoekende instelling en de instelling die bevraagd wordt. Aangezien redelijkheid hierbij leidend is, kan het per soort instelling en per geval verschillen. Om deze reden wordt «onverwijld» ook niet vervangen door een vaste termijn, ondanks de wens van DNB hiertoe.

Voorts heeft DNB aangegeven het wenselijk te vinden dat bij de uitbreiding van de mogelijkheid tot uitbesteding, net als in het reeds bestaande artikel hieromtrent, in het wetsvoorstel wordt geëxpliciteerd dat de verantwoordelijkheid voor de naleving van de wettelijke verplichtingen altijd bij de uitbestedende instelling blijft. Hieraan is tegemoet gekomen. DNB heeft aangegeven dat het wenselijk is om een grondslag op te nemen voor nadere regelgeving met aanvullende voorwaarden voor deze vorm van uitbesteding. Hier is gevolg aan gegeven door een grondslag op te nemen voor een algemene maatregel van bestuur om aanvullende regels te stellen voor deze uitbesteding in verband met het toezicht, de beheersing van risico’s en de voorwaarden voor de overeenkomst om uit te besteden.

DNB merkt op dat de bevoegdheid om gegevens te delen in het gezamenlijke transactiemonitoring zich niet slechts dient uit te strekken tot het melden van bancaire transacties, maar ook tot transactiemonitoring. Dit is verduidelijkt in het wetsvoorstel en de toelichting. Ten slotte is de reikwijdte van artikel 34b, dat ziet op het gezamenlijk monitoren van transacties verduidelijkt.

§ 4.3 Financial Intelligence Unit en het verbod op contante betalingen vanaf € 3.000

Met de invoering van het verbod voor handelaren op contante betalingen vanaf € 3.000, komt de meldplicht voor handelaren te vervallen. Zoals FIU ook aangeeft in zijn consultatiereactie, ligt het in de lijn der verwachting dat er hiermee minder ongebruikelijke transacties gemeld zullen worden voor deze groep. Tegelijkertijd kunnen andere partijen uit de Wwft-keten nog wel melding maken over deze groep en kan er door invoering van een verbod sprake zijn van een waterbedeffect naar andere sectoren, waardoor er mogelijk juist meer meldingen van ongebruikelijke transacties zullen plaatsvinden. Om die reden is het onduidelijk wat het uiteindelijke effect zal zijn van het verbod op het totale aantal ongebruikelijke transacties en op de taakuitoefening van de FIU.

§ 5. Financiële gevolgen en regeldruk

Hieronder zal opeenvolgend ingegaan worden op de gevolgen van dit wetsvoorstel voor het bedrijfsleven en de adviezen van het Adviescollege Toetsing en Regeldruk.38

§ 5.1 Gevolgen voor het bedrijfsleven

In het navolgende wordt toegelicht welke gevolgen en nalevingskosten dit wetsvoorstel met zich mee brengt voor het bedrijfsleven. Dit wetsvoorstel bevat twee nieuwe verplichtingen voor instellingen, namelijk (1) het verbod op contante betalingen vanaf € 3.000 voor beroeps- of bedrijfsmatige handelaren van goederen, en (2) de verplichting voor instellingen om in het kader van het cliëntenonderzoek navraag te doen naar gebleken risico’s op witwassen en financieren van terrorisme bij eerdere dienstverlening.

§ 5.1.1 Verbod op contante betalingen vanaf € 3.000

Het verbod op contante betalingen vanaf € 3.000 voor beroeps- of bedrijfsmatige handelaren als kopers en verkopers in goederen heeft gevolgen voor de regeldruk. De huidige verplichtingen uit de Wwft, die gelden voor deze handelaren indien zij contante betalingen verrichten van € 10.000 of meer, komen te vervallen. Dit betekent dat deze handelaren geen cliëntenonderzoek meer hoeven te verrichten en geen ongebruikelijke transacties meer hoeven te melden bij de FIU-Nederland. Het vervallen van deze verplichtingen brengt voor die handelaren een vermindering van de structurele nalevingskosten met zich. De vermindering van deze structurele regeldrukkosten wordt geschat op € 93 per cliënt (twee uur per cliënt, uitgaande van een uurtarief tussen € 39 en € 54). Op dit moment ligt het aantal handelaren onder toezicht op circa 95.000. Dit zou betekenen dat er een totale vermindering van structurele regeldrukkosten is van € 8,8 miljoen.

Wel moeten deze handelaren zich houden aan het verbod op contante betalingen vanaf € 3.000. De verwachting is dat dit verbod niet leidt tot eenmalige of structurele administratieve lasten voor deze handelaren. Het verbod heeft immers tot gevolg dat contante betalingen vanaf € 3.000 moeten worden geweigerd, dan wel dat deze betalingen anderszins op legale wijze moeten plaatsvinden. Gezien het huidige Nederlandse betaallandschap is het aannemelijk dat het bij deze handelaren ook mogelijk is om giraal te betalen.

§ 5.1.2 Gegevensdeling tussen instellingen bij cliëntenonderzoek

Het wetsvoorstel voorziet daarnaast in een verplichte gegevensdeling bij cliëntenonderzoek tussen instellingen die behoren tot dezelfde categorie. Deze verplichting leidt tot structurele nalevingskosten. In de eerste plaats wordt het cliëntenonderzoek verzwaard indien de instelling indicaties van een hoger risico op witwassen of financieren van terrorisme vaststelt bij een cliënt, de risicofactoren bedoeld in bijlage III van de vierde anti-witwasrichtlijn van toepassing zijn en als onderdeel van het verscherpt cliëntenonderzoek. Er wordt namelijk van instellingen verlangd dat zij in dergelijk gevallen nagaan of de cliënt de afgelopen vijf jaar gebruik heeft gemaakt van dienstverlening van een andere instelling behorend tot dezelfde categorie. De invulling van deze onderzoeksplicht dient redelijk te zijn en hangt af van de context van de situatie. Het is aannemelijk dat de onderzoeksplicht in ieder geval een extra verzoek om informatie aan de cliënt behelst. De structurele nalevingskosten hiervan worden geschat op ongeveer € 11,63 per keer (een kwartier per cliëntenonderzoek met een hoger risico op witwassen of financieren van terrorisme, uitgaande van een uurtarief tussen € 39 en € 54). Daarnaast bestaat de verplichting voor instellingen om navraag te doen naar gebleken risico’s op witwassen of financieren van terrorisme bij de instelling waar de cliënt diensten afneemt of heeft afgenomen of waar deze is geweigerd. Die instelling is vervolgens verplicht om de informatie over deze risico’s te delen met de instelling die hierom verzoekt. De structurele nalevingskosten voor de instelling die om informatie verzoekt, worden geschat op € 23,25 (een half uur per cliënt, uitgaande van een uurtarief tussen € 39 en € 54). De structurele nalevingskosten voor de instelling die het verzoek ontvangt en die de beschikbare informatie moet verstrekken, worden geschat op € 46,50 (een uur per cliënt, uitgaande van een uurtarief tussen € 39 en € 54). Daarmee komen de totale structurele nalevingskosten per cliëntenonderzoek met een hoger risico op witwassen of financieren van terrorisme neer op € 69,75. Omdat het op voorhand onduidelijk is bij hoeveel transacties of zakelijke relaties instellingen zullen vaststellen dat deze binnen de reikwijdte van dit artikel vallen, zijn de totale kosten van de verplichting niet kwantificeerbaar. Dit is in hoge afhankelijk van een aantal specifieke factoren die per instelling sterk verschillen zoals het soort dienstverlening, de mate waarin deze dienstverlening blootstaat aan risico’s en de beoordeling van risico’s door de instelling.

§ 5.2 Adviescollege Toetsing en Regeldruk

Het Adviescollege Toetsing en Regeldruk heeft in haar advies aandacht gevraagd voor de eerste twee onderdelen van het wetsvoorstel. Om te beginnen adviseert het college om na de invoering van het verbod op contante betalingen vanaf € 3.000 te monitoren in hoeverre het verbod werkbaar is voor de cliënten van handelaren voor wie dit verbod geldt. Mede naar aanleiding van dit advies, is besloten om deze maatregel vijf jaar na inwerkingtreding te evalueren. Hierbij zal ook oog zijn voor de gevolgen voor de cliënten.

Daarnaast adviseert het college om, in het kader van de maatregel die ziet op het mogelijk maken van gegevensuitwisseling tussen instellingen bij het cliëntenonderzoek, ondersteuning te organiseren voor cliënten van instellingen aan wie vanwege de poortwachtersfunctie ten onrechte dienstverlening is geweigerd. Om hieraan tegemoet te komen is in de toelichting verduidelijkt dat de individuele risicoafweging nog steeds leidend is bij een gegevensuitwisseling tussen instellingen. Dit betekent dat de gegevens die een dienstverlener aanreikt slechts dienen als een aanvulling en de instelling dus niet van de verplichting ontslaan tot het maken van een eigen individuele risicoafweging. Overigens kunnen consumenten en kleinzakelijke ondernemers die onterecht zijn uitgesloten van dienstverlening, een klacht indienen bij het Klachteninstituut Financiële Dienstverlening.

Het college adviseert ten slotte ook om de analyse van de regeldrukeffecten uit te werken conform de Rijksbrede methodiek. In reactie op dit advies is de berekening in de voorgaande paragraaf aangepast.

§ 6. Openbare consultatie

In de periode van 2 december 2019 tot en met 14 januari 2020 is een concept van dit onderdeel van het wetsvoorstel publiek geconsulteerd. Naar aanleiding van de publieke consultatie zijn 67 reacties ontvangen, waarvan er 62 openbaar zijn. De reacties komen van uiteenlopende partijen. Reacties zijn ingestuurd door toezichthouders, zoals de Kansspelautoriteit, alsook een aantal andere publieke partijen, zoals het Openbaar Ministerie, de G4 en de FIU-Nederland. Daarnaast hebben veel branche- en vakorganisaties gereageerd op het conceptwetsvoorstel, zoals Detailhandel NL, de NVB, de Nederlandse Vereniging voor Rechtspraak en Netwerk Notarissen. Ook individuele instellingen hebben gebruik gemaakt van de gelegenheid om een reactie in te sturen, waaronder advocatenkantoren, accountancykantoren en Holland Casino. Ten slotte heeft ook een aantal particulieren een reactie gegeven op het conceptwetsvoorstel.

Naar aanleiding van de consultatiereacties zijn de wettekst en de memorie van toelichting op verscheidene punten aangepast en aangevuld. Hierna zullen de ontvangen reacties, voor zover relevant voor dit wetsvoorstel, per thema worden beschreven.

§ 6.1 Algemeen

Enkele respondenten geven aan dat de inzet van de overheid in de strijd tegen witwassen achterblijft en dat er te veel wordt verwacht van de poortwachters. In haar plan van aanpak witwassen – waar dit wetsvoorstel een uitwerking van is – heeft het kabinet aangegeven dat het voorkomen en bestrijden van witwassen een gezamenlijke opgave is van zowel publieke als private partijen. Daarom is in de aanloop naar het plan uitgebreid gesproken met verschillende betrokken partijen. Zij scharen zich achter dit plan. Met dit wetsvoorstel krijgen poortwachters bevoegdheden die hun poortwachtersrol zullen versterken en hen zullen helpen bij de invulling van deze rol.

In een van de reacties wordt verzocht om de informatie-uitwisseling voor poortwachters verder uit te breiden om het tegengaan van witwassen te faciliteren. Met dit wetsvoorstel worden stappen gezet in deze richting. Bij uitbreiding van informatie-uitwisseling is van belang rekening te houden met het recht op privacy en gegevensbescherming. De nut, noodzaak, subsidiariteit en proportionaliteit zal bij elke uitbreiding van de bevoegdheden op het gebied van informatie-uitwisseling nauwkeurig onderzocht moeten worden.

In een aantal reacties wordt verzocht om bepaalde andere beroepsgroepen onder de reikwijdte van de Wwft te brengen of om bepaalde instellingen extra bevoegdheden te geven in het kader van de Wwft. Aangezien dit buiten de reikwijdte van dit wetsvoorstel valt, worden deze reacties hier buiten beschouwing gelaten.

§ 6.2 Verbod op contante betalingen vanaf € 3.000

Een aantal respondenten gaf aan dat het onvoldoende duidelijk is voor wie het verbod geldt en wanneer er sprake is van samenhangende transacties. Deze punten zijn verduidelijkt in paragraaf 2.1 van de toelichting. Daarnaast is een omissie bij de beschrijving van de objectieve indicator in paragraaf 2.1 rechtgezet.

Uit een aantal reacties kwam naar voren dat er onvoldoende bewijs is dat contant geld een risico vormt voor witwassen en het nut van het verbod daarom onvoldoende onderbouwd is. Hoewel er geen precieze cijfers beschikbaar zijn van de bijdrage van contant geld in het witwasprobleem, wordt in de meest recente National Risk Assessment (NRA) aangegeven dat contant geld witwassen via diensten/goederen van (grootwaarde)handelaren door experts als een van de witwasdreigingen met de grootste potentiële impact wordt gezien.39 Ook bij andere risico’s op witwassen die genoemd worden in de NRA wordt contant geld veelvuldig genoemd.

Daarnaast wijzen verschillende partijen op het belang van contant geld in de samenleving – zoals het borgen van anonimiteit, de mogelijkheid tot betalen voor toeristen, de terugvalfunctie en contant geld als oppotmiddel – en vragen zij zich af in hoeverre de effectiviteit van dit verbod opweegt tegen de beperking van de hiervoor genoemde rollen van contant geld. Een respondent gaf aan het brede debat over contant geld te missen. Binnen het Maatschappelijk Overleg Betalingsverkeer (MOB) vindt het maatschappelijk debat plaats over (het gebruik van) contant geld en de functies die contant geld vervult. Ook het Ministerie van Financiën, aanwezig bij het MOB, is zich bewust van de functies van contant geld en hecht hier ook belang aan. Daarnaast hecht het kabinet ook aan het tegengaan van witwassen en is het dus belangrijk om hier een balans in te vinden. Daar is bij de invulling van deze maatregel, bijvoorbeeld bij de vaststelling van de grens van € 3.000, rekening mee gehouden.

Veel van de reacties zien op de gekozen grens van het verbod en de reikwijdte van de maatregel en vragen om uitbreiding of juist uitzondering van bepaalde diensten (zoals het huren, verhuren en leasen van luxegoederen en diensten) of sectoren (cryptocurrency, waardetransport). Zoals beschreven in paragraaf 2.1 van deze toelichting, zijn deze keuzes gemaakt vanuit het oogpunt van effectiviteit en uitvoerbaarheid en is er bovendien rekening gehouden met het belang van en toegankelijk betalingsverkeer in de samenleving. Ook geven diverse partijen aan dat onvoldoende bewezen is dat deze maatregel effectief zal zijn en dat er gekeken moet worden naar een Europees verbod gezien het mogelijk optreden van waterbedeffecten naar andere landen en sectoren. Hoewel een Europees verbod de voorkeur heeft van het kabinet en het kabinet zich hard maakt voor een verbod op Europees niveau, is bij gebrek hieraan op dit moment gekozen voor een nationaal verbod zoals in het merendeel van de andere lidstaten al van toepassing is. Om tegemoet te komen aan deze reacties en na te gaan of de invulling van de maatregel ook het meest effectief is in de praktijk, is besloten om een evaluatiebepaling op te nemen, waarbij binnen vijf jaar na inwerkingtreding van het wetsvoorstel, het verbod geëvalueerd zal worden op effectiviteit en uitvoerbaarheid. Indien de evaluatie daar aanleiding toe geeft, kan de reikwijdte van de bepaling aangepast worden.

Een aantal partijen merkt op dat dit wetsvoorstel onvoldoende uitvoerbaar is, waarbij zowel de uitvoerbaarheid vanuit de toezichthouder als de uitvoerbaarheid door de winkelier benoemd wordt. Daarnaast wordt gesteld dat er geen extra middelen gereserveerd zijn voor overheidsinstellingen zoals de FIU-Nederland, politie en het Openbaar Ministerie. In paragraaf 4 van deze toelichting is aandacht besteed aan de uitvoerbaarheid en handhaving van deze maatregel. Een verbod dient goed gehandhaafd te worden. Om het witwasprobleem zo goed mogelijk aan te pakken zijn er binnen het plan van aanpak witwassen reeds extra middelen toegekend voor overheidsinstellingen zoals de FIU-Nederland, de politie, en het Openbaar Ministerie. Wat betreft de uitvoerbaarheid voor de winkelier, zou het verbod juist kunnen leiden tot een vermindering aan administratieve lasten. Er hoeft tenslotte geen cliëntenonderzoek meer verricht te worden en er hoeven geen ongebruikelijke transacties meer gemeld te worden bij de FIU-Nederland. Bij de evaluatie van de maatregel zal ook aan deze punten aandacht worden besteed.

§ 6.3 Gegevensdeling tussen instellingen bij cliëntenonderzoek

Veel van de reacties zien op de invulling van de onderzoeksplicht. In reactie hierop is de memorie van toelichting aanzienlijk uitgebreid ten aanzien van deze maatregel. Respondenten gaven, onder andere, aan dat de administratieve lasten onredelijk hoog zouden liggen, aangezien instellingen verplicht worden om bij alle instellingen uit dezelfde categorie navraag te doen. In de wetstekst en toelichting is verduidelijkt dat de onderzoeksplicht een inspanningsverplichting is en dat instellingen uitsluitend redelijke maatregelen dienen te nemen in het kader van hun onderzoeksplicht. Ter illustratie zijn in de toelichting voorbeelden gegeven van hetgeen als redelijk verondersteld kan worden en waar dat niet voor geldt. Ook gaven respondenten aan dat het onduidelijk is hoe snel een eerdere dienstverlener dient te reageren, welke gegevens uitgewisseld dienen te worden, de relatie met het tipping-off verbod en wat er wordt bedoeld met «gebleken risico’s». Ook ten aanzien van deze punten is de memorie van toelichting aangevuld.

Een aantal respondenten geeft aan dat de beperking van deze maatregel tot het verscherpt cliëntenonderzoek onvoldoende risico gebaseerd is en ertoe zou kunnen leiden dat instellingen minder geneigd zouden zijn om verscherpt cliëntenonderzoek uit te voeren. Om tegemoet te komen aan deze reacties is allereerst de tekst van het wetsvoorstel aangepast. De maatregel is uitgebreid naar gevallen waarin een zakelijke relatie of transactie naar haar aard een hoger risico op witwassen of financieren van terrorisme met zich meebrengt, de risicofactoren bedoeld in bijlage III van de vierde anti-witwasrichtlijn van toepassing zijn en als onderdeel van het verscherpt cliëntenonderzoek. Hiermee sluit deze maatregel meer aan bij de risico gebaseerde benadering van de Wwft.

Sommige respondenten stellen voor om onderscheid te maken tussen de verschillende instellingen door de reikwijdte van de maatregel te beperken tot een aantal instellingen of sommige instellingen in plaats van een onderzoeksplicht op te leggen, de bevoegdheid te geven om navraag te doen. De maatregel geldt voor alle instellingen, omdat shopgedrag in alle sectoren voor kan komen. Bovendien zou een beperking tot bepaalde instellingen mogelijk tot een waterbedeffect kunnen leiden. Aangezien de maatregel slechts verplicht tot het treffen van redelijke maatregelen in het kader van de onderzoeksplicht, geeft dit verschillende instellingen ruimte om deze plicht in te richten op een bij de soort instelling passende wijze. Zodoende is de brede reikwijdte van de maatregel gerechtvaardigd. Daarnaast is in de toelichting naar aanleiding van deze reacties aandacht besteed aan de reden voor de keuze voor een onderzoeksplicht in plaats van een bevoegdheid tot het doen van onderzoek. Een verplichting is niet alleen een geëigend middel in het kader van het tegengaan van shopgedrag, het is bovendien noodzakelijk voor de grondslag voor het delen van persoonsgegevens.

Daarnaast geeft een paar respondenten aan een voorkeur te hebben voor een verplichting om een register te voeren. In de toelichting is verduidelijkt dat de huidige wet- en regelgeving er niet aan in de weg staat dat instellingen een gezamenlijk register opstellen en dat dit een effectief middel kan zijn om te voldoen aan de onderzoeksplicht. Een respondent vroeg of de opvolger van een oud notaris verplicht is te voldoen aan de plicht om geconstateerde »risico’s op witwassen of financieren van terrorisme te delen indien een andere instelling dat verzoekt. Aangezien de opvolger het cliëntendossier en bijbehorende aktes onder zich heeft gekregen, heeft deze daarmee ook de plicht verkregen om de geconstateerde risico’s die uit het dossier blijken te delen met de verzoekende partij.

Voorts stelt een aantal respondenten voor om de mogelijkheid om gegevens te delen te verruimen naar andere categorieën instellingen. Vanwege de proportionaliteit van de maatregel is ervoor gekozen om de maatregel te beperken tot dezelfde categorie instelling. Aangezien het denkbaar is dat in de praktijk blijkt dat gegevensuitwisseling tussen specifieke verschillende categorieën van instellingen wenselijk is, is een grondslag opgenomen in het wetsvoorstel om dergelijke uitzonderingen mogelijk te maken bij lagere regelgeving om tegemoet te komen aan deze reacties. Daarnaast stelt een aantal respondenten dat onduidelijk is wanneer instellingen tot dezelfde categorie behoren, in het bijzonder de bemiddelaars in uiteenlopende volumineuze goederen uit artikel 1a, vierde lid, onderdeel h. Om hieraan tegemoet te komen, is gekozen om, op basis van de voornoemde grondslag, ook mogelijk te maken om binnen de huidige categorieën nadere groepen instellingen als afzonderlijke categorie aan te wijzen.

Ten slotte vraagt een aantal respondenten aandacht voor de bescherming van cliënten tegen onnodige uitsluiting door instellingen. In reactie hierop wordt in de toelichting aandacht besteed aan dit risico.

§ 6.4 Gezamenlijke transactiemonitoring door banken

Een respondent heeft de suggestie gedaan om aan artikel 10 toe te voegen dat bij verwerking betrokkenen op de hoogte worden gesteld, conform de artikelen 1 tot en met 14 van de AVG. Aangezien de eisen van de artikelen 12 tot en met 14 van de AVG sowieso gelden, is het niet nodig deze nogmaals te regelen in het voorgestelde artikel 10. In de toelichting bij artikel 10 is hier overigens wel naar verwezen.

Een respondent adviseert om de uitbesteding van het cliëntenonderzoek van toepassing te laten zijn op het gehele artikel 3, in plaats van alleen op het eerste en tweede lid van dat artikel. Dit is niet nodig, omdat in de rest van artikel 3 steeds wordt verwezen naar het cliëntenonderzoek als bedoeld in het eerste lid. Daarmee is het hele artikel 3 gedekt als het gaat om de mogelijkheid van uitbesteding aan een derde.

In een van de reacties werd de suggestie gedaan om de mogelijkheid van gezamenlijke transactiemonitoring onder te brengen bij een overheidsentiteit. Hier is niet voor gekozen, aangezien het hierbij gaat om het profiel van de cliënt, die poortwachters kennen en overheidsinstanties niet. Op basis van dat profiel kan een poortwachter het beste beoordelen wat wel en niet gebruikelijk is.

Een van de respondenten stelt voor om in het wetsvoorstel expliciet op te nemen dat de entiteit die de gezamenlijke transactiemonitoring uitvoert, ongebruikelijke transacties mag melden aan de FIU-Nederland en om dit onderdeel van het wetsvoorstel na twee jaar te evalueren. Het eerste voorstel is overgenomen, met de kanttekening dat artikel 33 van de vierde anti-witwasrichtlijn voorschrijft dat instellingen individueel verantwoordelijk zijn voor het melden van ongebruikelijke transacties aan de FIU-Nederland. Naar aanleiding van het tweede voorstel uit deze reactie en het AP-advies is in wetsvoorstel is opgenomen dat bij algemene maatregel van bestuur regels worden gesteld over monitoring van deze maatregel. Dit zal plaatsvinden in de vorm van een verplichting voor banken die deelnemen aan gezamenlijke transactiemonitoring om jaarlijks een verslag te publiceren over de resultaten van de gezamenlijke transactiemonitoring en uit een vijfjaarlijks uit te voeren audit naar de werking van de maatregel.

§ 6.5 Gegevensbescherming

§ 6.5.1 Gegevensdeling tussen instellingen bij cliëntenonderzoek

Een aantal respondenten verzocht om verduidelijking ten aanzien van de gegevensdeling, zoals welke instellingen gegevens dienen uit te wisselen en welke gegevens dienen te worden uitgewisseld. De toelichting is op dit punt aangevuld.

Een aantal respondenten gaf terecht aan dat de verplichte uitwisseling van gegevens een doorbreking vormt van de geheimhoudingsplicht van advocaten en notarissen en dat dit expliciet geregeld dient te worden. Het wetsvoorstel is hierop aangepast.

Ten slotte werd door een aantal van de respondenten aandacht gevraagd voor de positie van de cliënt. In reactie hierop is in de toelichting aandacht besteed aan de verplichting voor instellingen, op grond van de AVG, om hun cliënten te informeren over de verwerking van hun persoonsgegevens en het risico op onnodige uitsluiting van dienstverlening.

§ 6.5.2 Gezamenlijke transactiemonitoring door banken

Een van de respondenten heeft opgemerkt dat omdat het voorgestelde artikel 34b, eerste lid, niet geformuleerd is als een verplichting, artikel 6 eerste lid, onderdeel c, van de AVG niet als grondslag kan dienen. Anderzijds merkte de respondent op dat een verplichting onwerkbaar is. In artikel 3, eerste lid, onderdeel d, is de verplichting voor onder meer banken opgenomen om transacties te monitoren ten behoeve van het uitvoeren van cliëntenonderzoek. Het in het wetsvoorstel voorgestelde artikel 34b maakt het uitsluitend voor banken mogelijk om in het kader van het verplichte cliëntenonderzoek transactiegegevens te delen met andere banken ten behoeve van het gezamenlijk uitvoeren van transactiemonitoring met het oog op het melden van ongebruikelijke transacties aan de FIU-Nederland. Dit vormt een voldoende grondslag voor het verwerken van persoonsgegevens op basis van artikel 6, eerste lid, onderdeel c, AVG. De grondslag is in paragraaf 3.2 onder het kopje «Noodzaak» verduidelijkt.

Een aantal partijen heeft aangegeven dat in het wetsvoorstel te weinig aandacht is besteed aan subsidiariteit en proportionaliteit van de voorgestelde gegevensverwerking voor transactiemonitoring. Naar aanleiding hiervan is in paragraaf 3.2 ingegaan op de afweging van een aantal alternatieve maatregelen voor gezamenlijke transactiemonitoring in het kader van de subsidiariteitstoets. In paragraaf 3.2 is ook de proportionaliteitstoets inzake transactiemonitoring meer uitgebreid. Zo is onder meer aangegeven dat de maatregel beperkt is tot banken.

Een aantal partijen heeft de suggestie gedaan om de onderwerpen die genoemd zijn in het voorgestelde artikel 34b, vierde lid, op te nemen in het wetsvoorstel en niet in een algemene maatregel van bestuur. Het wetsvoorstel regelt een deel van de hier bedoelde onderwerpen thans alleen waar het gaat om de verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard (voorgesteld artikel 34a, eerste lid, Wwft). Het is niet noodzakelijk en ook niet wenselijk deze onderwerpen geheel te regelen op wetsniveau, aangezien het hier gaat om maatregelen van technische en administratieve aard die mogelijk met enige regelmaat zullen wijzigen en aangepast moeten kunnen worden aan technische ontwikkelingen, zoals op het gebied van gegevensbeveiliging. Regeling op het niveau van een algemene maatregel van bestuur ligt in dat geval meer voor de hand.

Een aantal partijen heeft gewezen op de relatie van de voorgestelde maatregel met het beroepsgeheim van het notariaat en de advocatuur. Nu de voorgestelde maatregel in het wetsvoorstel is beperkt tot banken, en geen betrekking heeft op de advocatuur en notariaat, is deze relatie niet meer aan de orde.

Een respondent heeft gevraagd of poortwachters ook het BSN mogen verwerken in het kader van gezamenlijke transactiemonitoring. Het wetsvoorstel is op dit punt aangepast in de zin dat daarin wordt voorgesteld dat banken die gebruik maken van gezamenlijke transactiemonitoring daarbij ook gebruik mogen maken van het BSN, voor zover zij daar al over beschikken. Dit is toegelicht in paragraaf 3.2 van deze toelichting.

Verder heeft een respondent aangegeven een GEB en een oordeel van de AP onlogisch te vinden, aangezien het parlement op dit punt de afweging maakt. Op grond van artikel 35 van de AVG is het in dit geval verplicht om zowel voor het wetsvoorstel als voor de uitvoering van de maatregel een gegevensbeschermingseffectbeoordeling uit te voeren. Aangezien de voorgestelde maatregel een regeling betreft die gevolgen heeft voor de verwerking van persoonsgegevens, dient het wetsvoorstel voor advies voorgelegd te worden aan de AP. Inmiddels heeft de AP advies uitgebracht.

In een van de reacties werd de suggestie gedaan om de principes en bepalingen van de AVG en UAVG specifiek uit te werken in dit wetsvoorstel, zodat rechtsbescherming en bescherming van persoonsgegevens al in het wetgevingsproces uitgewerkt zijn. In paragraaf 3.2 van deze toelichting is een meer uitgebreide beoordeling en afweging opgenomen van de aspecten en beginselen van gegevensbescherming uit de AVG en de UAVG. Daarbij is met name ingegaan op de beginselen van proportionaliteit en subsidiariteit. Daarnaast is ingegaan op de diverse onderdelen van de voor dit onderdeel van het wetsvoorstel uitgevoerde gegevensbeschermingseffectbeoordeling. Aangezien het wetsvoorstel alleen het delen van transactiegegevens tussen banken ten behoeve van gezamenlijke transactiemonitoring mogelijk maakt, maar niet de uitvoering daarvan regelt, is het aan banken om de principes en bepalingen uit de AVG en UAVG concreet uit te werken en toe te passen bij de uitvoering van de maatregel, indien zij daarvan gebruik willen maken.

Een respondent heeft opgemerkt dat er geen waarborgen in het wetsvoorstel zijn opgenomen voor de verwerking van gegevens van strafrechtelijke aard. Bij algemene maatregel van bestuur zullen onder meer regels worden gesteld over waarborgen op dit punt.

Verder heeft een respondent gevraagd waarom sprake is van een zwaarwegend algemeen belang waardoor instellingen bijzondere categorieën van persoonsgegevens mogen uitwisselen. In paragraaf 2.3. van deze toelichting is de verwerking van bijzondere categorieën van persoonsgegevens en de noodzaak daarvan voor transactiemonitoring toegelicht. Tevens is toegelicht waarom hierbij sprake is van een zwaarwegend algemeen belang. In par. 3.3 is toegelicht waarom verwerking van deze gegevens ook noodzakelijk is voor gezamenlijke transactiemonitoring.

De betreffende respondent heeft verder de suggestie gedaan om het vereiste van strikte noodzakelijkheid van inbreuken op digitale grondrechten toe te passen door nader te specificeren welke bijzondere categorieën van persoonsgegevens noodzakelijk zijn voor transactiemonitoring. In paragraaf 2.3. is aan de hand van voorbeelden toegelicht dat in beginsel verwerking van alle bijzondere categorieën persoonsgegevens aan de orde kunnen zijn voor transactiemonitoring en dat daarom niet op voorhand bepaalde categorieën zijn aan te wijzen die daarvoor gebruikt mogen worden.

Tot slot heeft een aantal partijen gevraagd wat persoonsgegevens van strafrechtelijke aard zijn en waarom deze moeten worden uitgewisseld. Bij persoonsgegevens van strafrechtelijke aard kan in dit verband gedacht worden aan transactiegegevens waaruit blijkt dat de betrokkene strafrechtelijk is veroordeeld. Het is van belang dat deze gegevens kunnen worden uitgewisseld voor gezamenlijke transactiemonitoring, omdat dit gegeven in combinatie met andere gegevens kan leiden tot het oordeel of een transactie als ongebruikelijk aangemerkt moet worden voor een betrokkene.

ARTIKELSGEWIJS

ARTIKEL I (wijziging Wet ter voorkoming van witwassen en financieren van terrorisme)

Onderdeel A (wijziging artikel 1)

In verband met de vernummering van artikel 1f tot 1g wordt de verwijzing in de definitie van nationale risicobeoordeling gewijzigd.

Onderdeel B (wijziging artikel 1a)

Artikel 1a bevat een opsomming van alle instellingen waarop de Wwft van toepassing is. Beroeps- of bedrijfsmatige handelaren in goederen, voor zover zij transacties verrichten boven € 10.000, zijn opgenomen in het vierde lid, onderdeel i. Door het verbod op contante betalingen vanaf € 3.000 voor handelaren in goederen wijzigt de regelgeving voor deze categorie instellingen. Voortaan geldt voor deze categorie instellingen alleen het verbod op het verrichten van contante betalingen vanaf € 3.000, opgenomen in het nieuwe artikel 1f. De overige verplichtingen uit de Wwft komen voor deze categorie instellingen te vervallen. Dit wordt tot uitdrukking gebracht door toevoeging van de zinsnede aan het eerste lid van artikel 1a. In het nieuwe vierde lid, onderdeel i, wordt de Wwft van toepassing verklaard op alle natuurlijke personen, rechtspersonen of vennootschappen die beroeps- of bedrijfsmatig handelen als koper of verkoper van goederen. Nu voor deze groep instellingen de bepalingen uit de Wwft niet meer gelden, behoudens het verbod opgenomen in het nieuwe artikel 1f, is de grens van transacties boven € 10.000 in contanten niet meer relevant, deze vervalt daarom.

Onderdeel C (nieuw artikel 1f)

Het nieuwe artikel 1f bevat het verbod, voor natuurlijke personen, rechtspersonen of vennootschappen die beroeps- of bedrijfsmatig handelen als koper of verkoper van goederen, om betaling van deze goederen in contanten voor een bedrag vanaf € 3.000 te verrichten, ongeacht of de transactie plaatsvindt in een handeling of door middel van meer handelingen waartussen een verband bestaat. Het verbod geldt uitsluitend voor natuurlijke personen, rechtspersonen of vennootschappen die beroeps- of bedrijfsmatig handelen als koper of verkoper van goederen. Deze categorie instellingen is opgenomen in artikel 1a, vierde lid, onderdeel i. Op dit moment geldt nog dat deze categorie instellingen, voor zover zij transacties verrichten boven € 10.000 in contanten, aan de verplichtingen uit de Wwft dienden te voldoen met betrekking tot het cliëntenonderzoek en het melden van ongebruikelijke transacties. Met dit wetsvoorstel geldt voor hen op grond van de Wwft alleen nog het verbod om contante betalingen vanaf € 3.000 te verrichten. Naast de algemene categorie handelaren geldt het verbod ook voor handelaren in kunstvoorwerpen en pandhuizen, opgenomen in artikel 1a, vierde lid, onderdelen k en p, voor zover zij goederen aan- of verkopen in contanten. Aangezien deze instellingen ook voor andere handelingen dan contante transacties onder de wet vallen worden zij niet geheel uitgezonderd (zie toelichting onderdeel B).

Het verbod geldt niet voor particulieren onderling, maar alleen bij transacties tussen ondernemers onderling en tussen ondernemers en consumenten. Er mogen bij een bedrag vanaf € 3.000 geen contante betalingen meer worden verricht, ongeacht of de transactie plaatsvindt door middel van een enkele handeling of door middel van meerdere handelingen waartussen een verband bestaat. Deze eisen zijn identiek aan de huidige grens van € 10.000 in contanten voor deze categorie. De koper of verkoper van goederen moet bij het vaststellen van de hoogte van het bedrag, kijken of er sprake is van meerdere handelingen waartussen een verband bestaat. Indien er voor een instelling aanwijzingen zijn dat er een transactie plaatsvindt door middel van meerdere handelingen waartussen een verband bestaat, dient de instelling zich ervan te vergewissen dat er geen sprake is van een samengestelde transactie voordat de instelling de transacties uitvoert. Dit is om te voorkomen dat het verbod wordt omzeild door transacties op te splitsen. Dit element is reeds opgenomen in het artikel 1a, vierde lid, onder i, waar is opgenomen op welke transacties de Wwft van toepassing is en blijft ook van toepassing op transacties die vallen onder het verbod. Om handvatten te bieden bij de vaststelling of er sprake is van een samengestelde transactie, is in het tweede lid een grondslag opgenomen om bij algemene maatregel van bestuur een niet-limitatieve lijst van indicatoren vast te stellen die hierop kunnen wijzen.

Het verbod geldt voor betalingen in contanten die in of vanuit Nederland worden verricht. Voor de uitleg van «in of vanuit Nederland» geldt dezelfde maatstaf als reeds opgenomen in artikelen 3 en 23a van de wet. Een transactie wordt «in of vanuit» Nederland verricht wanneer (een deel van) de transactie in Nederland plaatsvindt. Hierbij wordt benadrukt dat «transactie» breder is dan de betaling. Het ziet op de volledige handeling van aanbieden van een goed in ruil voor contant geld. Zo is het verbod van toepassing indien een in Nederland geregistreerde instelling in Nederland goederen aanbiedt en de betaling in Nederland plaatsvindt. Het verbod is tevens van toepassing indien een instelling in Nederland geregistreerd is en vanuit Nederland goederen aanbiedt, ook als de betaling over de grens geschiedt. Het verbod is eveneens van toepassing als de instelling in het buitenland geregistreerd is en vanuit het buitenland goederen aanbiedt en de betaling in Nederland plaatsvindt. In de laatste twee gevallen vindt een deel van de transactie in Nederland plaats, waardoor het verbod van toepassing is.

Onderdeel D (wijziging artikel 3)

In artikel 3 vervalt het zesde lid, waarin de verplichtingen uit de Wwft voor instellingen als bedoeld in artikel 1a, vierde lid, onderdeel i zijn neergelegd. In navolging hiervan worden het zevende tot en met het veertiende lid vernummerd tot het zesde tot en met het dertiende lid.

Onderdeel E (nieuw artikel 3b)

Het nieuwe artikel 3b bevat de verplichting voor instellingen om bij cliëntenonderzoek te onderzoeken of de cliënt heeft verzocht om dienstverlening bij een instelling uit dezelfde categorie, indien een instelling indicaties heeft dat de zakelijke relatie of transactie naar haar aard een hoger risico op witwassen of financieren van terrorisme met zich brengt. Wanneer dit het geval is moet de instelling navraag doen bij die instelling. Een vergelijkbare regeling is opgenomen in artikel 68 van de Wet toezicht trustkantoren 2018, deze bepaling blijft gelden voor trustkantoren.

De verplichting opgenomen in het eerste lid bestaat uit verschillende componenten, deze worden hieronder toegelicht. Een instelling dient op grond van artikel 3 van de wet voorafgaand aan het aangaan van de zakelijke relatie of transactie een inschatting te maken van de risico’s op witwassen of financieren van terrorisme die dit met zich brengt. Wanneer er sprake is van verhoogd risico is omschreven in het eerste lid, onder a tot en c. Indien er sprake is van indicaties van een hoger risico, dient de instelling te onderzoeken of de cliënt eerder bij een andere instelling diensten heeft afgenomen of is geweigerd. Deze onderzoeksplicht van het eerste lid van de voorgestelde bepaling is een inspanningsverplichting. Dit houdt in dat een instelling redelijke maatregelen moet nemen om deze te achterhalen. Wat redelijk is hangt af van de context, voor de hand ligt dat de instelling in ieder geval bij de cliënt zelf informeert. Voorts kan een instelling gebruik maken van openbare bronnen of binnen een bepaalde beroepsgroep aanwezige registers. Zie paragraaf 2.2.1.2 van het algemeen deel voor verdere toelichting op de inspanningsverplichting. Deze verplichting ontstaat op het moment dat de instelling op grond van zijn eigen risico gebaseerde reguliere cliëntenonderzoek indicaties heeft dat de zakelijke relatie of transactie naar haar aard een hoger risico op witwassen of financieren van terrorisme met zich meebrengt, omschreven onder punten a tot en met c. Niet alleen bij aanvang van de zakelijke relatie, maar ook gedurende die zakelijke relatie kan er aanleiding bestaan om de cliënt aan een aanvullend onderzoek te onderwerpen, als er indicaties opkomen van betrokkenheid bij witwassen of financieren van terrorisme. Dit volgt uit de bestaande verplichting van artikel 3, elfde lid, om de gegevens verzameld in het kader van het cliëntenonderzoek te actualiseren. Ook in de gevallen dat een instelling gedurende de zakelijke relatie cliëntenonderzoek verricht en indicaties heeft dat er sprake zou kunnen zijn van een hoger risico, moet deze instelling onderzoek doen naar eerdere dienstverlening door andere instellingen uit dezelfde categorie.

Indien een instelling vaststelt dat bij een zakelijke relatie of transactie indicaties zijn van een hoger risico op witwassen of financieren van terrorisme, dient een instelling redelijke maatregelen te nemen om te onderzoeken of een instelling uit dezelfde categorie diensten verleent of heeft verleend, dan wel heeft geweigerd, aan deze cliënt. De verplichting is geen onderdeel van regulier cliëntenonderzoek, maar alleen indien in het kader daarvan indicaties op een hoger risico worden vastgesteld. Daarmee resulteert deze verplichting in wezen tot een nieuwe categorie cliëntenonderzoek tussen het reguliere cliëntenonderzoek en het verscherpt cliëntenonderzoek in.

Deze verplichting geldt in drie gevallen gegeven in onderdelen a tot en met c, te weten: a) indien de zakelijke relatie of transactie naar haar aard indicaties van een hoger risico op witwassen of financieren van terrorisme met zich brengt, b) indien de risicofactoren, bedoeld in bijlage III bij de vierde anti-witwasrichtlijn, van toepassing zijn; of c) de instelling het cliëntenonderzoek als bedoeld in artikel 8 verricht. Voor de eerste twee gevallen in onderdelen a en b is gekozen om een onderscheid te maken tussen subjectieve indicatoren en objectieve indicatoren, welke is gestoeld op de systematiek van de indicatoren voor de verplichting tot het melden van ongebruikelijke transacties. In het derde geval onder c is de verplichting onderdeel van het verscherpt cliëntenonderzoek uit artikel 8. Het eerste geval wanneer de verplichting geldt, onderdeel a, is een subjectieve indicator. Hier is sprake van wanneer een instelling indicaties heeft dat een zakelijke relatie of transactie een hoger risico op witwassen of financieren van terrorisme met zich brengt. Deze toets is vergelijkbaar met de subjectieve indicator voor ongebruikelijk transacties, waarbij van de instelling zelf gevergd wordt een inschatting te maken. Het tweede geval wanneer deze verplichting geldt, onderdeel b, is indien de in bijlage III van de vierde anti-witwasrichtlijn genoemde risicofactoren van toepassing zijn op de zakelijke relatie of transactie. Hierbij is sprake van meer objectieve indicaties op een hoger risico. Dit zijn bijvoorbeeld indien een cliënt afkomstig uit een hoog-risico land of indien een transactie in contanten plaatsvindt. Tot slot dient een instelling de verplichting altijd uit te voeren als onderdeel van het verscherpt cliëntenonderzoek. Bij verscherpt cliëntenonderzoek heeft een instelling immers reeds vastgesteld dat er sprake van een hoog risico. Dit is vastgelegd in onderdeel c.

De verplichting tot onderzoek strekt zich alleen uit tot instellingen behorend tot dezelfde categorie als de instelling zelf. Voor de indeling van deze categorieën wordt aangesloten bij de indeling uit artikel 1a, tweede, derde en vierde lid, van de Wwft. Banken als bedoeld in artikel 1a, tweede lid, van de Wwft worden als één categorie aangemerkt. Voor de financiële ondernemingen zoals opgesomd in de subonderdelen van artikel 1a, derde lid, van de Wwft geldt dat elk subonderdeel als afzonderlijke categorie wordt aangemerkt. Voor de overige instellingen zoals opgesomd in de subonderdelen van artikel 1a, vierde lid, geldt eveneens dat elk subonderdeel als afzonderlijke categorie wordt aangemerkt.

Het derde lid schrijft voor welke gegevens de verzoekende instelling dient te verstrekken ter mogelijke identificatie van de cliënt. Hiervoor is aangesloten bij de gegevens voorgeschreven in artikel 33, tweede lid, onderdelen a en c van de wet. Deze twee onderdelen bevatten de gegevens die een instelling dient vast te leggen bij het cliëntenonderzoek van natuurlijke personen en rechtspersonen. Deze omvatten voor natuurlijke personen onder meer de naam, geboortedatum, adres, woonplaats alsmede de gegevens van het document waarmee de persoon is geïdentificeerd. Voor rechtspersonen omvatten deze onder meer de naam, adres, land van statutaire zetel en, indien van toepassing, het registratienummer bij de Kamer van Koophandel. Daarnaast geldt dat ook de geregistreerde bestuurders van de rechtspersoon worden verstrekt. Aansluiting bij artikel 33 is noodzakelijk op basis van twee redenen. Ten eerste wordt hiermee de set gegevens beperkt, instellingen verzamelen deze gegevens immers al in het kader van cliëntenonderzoek en zullen dus reeds aanwezig zijn bij zowel de verzoekende instelling als de instelling die het verzoek ontvangt. Ten tweede garandeert deze set gegevens dat beide instellingen met zekerheid kunnen vaststellen dat het om dezelfde cliënt gaat en wordt voorkomen dat er uitwisseling van de verkeerde cliënt plaatsvindt of onterecht geconstateerd wordt dat het niet dezelfde cliënt betreft.

Het vierde lid schrijft voor dat een instelling die door een andere instelling wordt verzocht om informatie over een (eerdere) cliënt, is gehouden informatie over gebleken risico’s op witwassen of financieren van terrorisme onverwijld te verstrekken indien deze hebben geleid tot maatregelen om deze risico’s te beheersen, waaronder in ieder geval wordt verstaan het weigeren of beëindigen van de dienstverlening. Voor zover er informatie over geconstateerde risico’s wordt gedeeld, is het mogelijk dat hier persoonsgegevens van strafrechtelijke aard onderdeel van uitmaken. Dergelijke gegevens zijn relevant bij de afweging of de cliënt wel of niet aanvaard kan worden. Op grond van artikel 33, tweede lid, onderdeel a, van de UAVG is het instellingen toegestaan om zelf persoonsgegevens van strafrechtelijke aard te verwerken om te kunnen beoordelen of op grond van de Wwft diensten verleend kunnen worden aan de cliënt. Het kunnen delen van die persoonsgegevens van strafrechtelijke aard met andere instellingen is echter een afzonderlijke verwerking waarvoor een aparte grondslag is vereist. Het derde lid bevat die grondslag. Deze wettelijke grondslag past binnen de uitzonderingen om persoonsgegevens van strafrechtelijke aard te verwerken in artikel 10 van de AVG. Voorts geldt de bewaartermijn van minimaal vijf jaar, opgenomen in artikel 33, derde lid, van de Wwft onverkort. Voor de termijn tot wanneer deze verplichting geldt wordt daarom aangesloten bij deze termijn. Dat houdt in dat een instelling die een verzoek ontvangt alleen hoeft te informeren over geconstateerde risico’s tot vijf jaar na beëindiging van de zakelijke relatie. Daarnaast heeft deze verplichting geen terugwerkende kracht, zie daarvoor de toelichting op artikel III.

Omdat het hier vertrouwelijke gegevens over individuele cliënten betreft, dienen de cliënten van instellingen alvorens een zakelijke relatie aan te gaan met de instelling van de diensten geïnformeerd te worden over deze wettelijke verplichting voor instellingen. Dit wordt voorgeschreven in het vijfde lid. Ook reeds bestaande cliënten dienen hierover geïnformeerd te worden. Dit kan individueel of middels een wijziging van de algemene voorwaarden. Zodoende wordt voorkomen dat het nakomen van deze verplichting kan leiden tot een schending van een contractuele verplichting tot vertrouwelijkheid van deze cliënten. Daarbij is van belang dat de verplichting alleen geldt voor risico’s op witwassen of financieren van terrorisme die na inwerkingtreding van dit wetsvoorstel zijn gebleken.

In het zesde lid is een grondslag opgenomen om bij algemene maatregel van bestuur de groep instellingen waarbij een instelling onderzoek moet doen over gebleken risico’s op witwassen of financieren van terrorisme bij een cliënt te beperken of te verruimen. Ten eerste kan deze groep beperkt worden tot een specifieke groep instellingen binnen een bestaande categorie. Zo bestaat de mogelijkheid dat instellingen ingedeeld zijn in een categorie omdat zij vergelijkbare diensten aanbieden, maar dat deze instellingen in de praktijk in een andere sector opereren en een andere clientèle bedienen. In een dergelijk geval heeft de verplichting om geconstateerde risico’s op witwassen of financieren van terrorisme uit te wisselen vermoedelijk weinig meerwaarde en kan deze verplichting onnodig belastend zijn voor de instellingen in kwestie. Hierbij kan gedacht worden aan de categorie «bemiddelaars», uit artikel 1a, vierde lid, onderdeel j, waar zowel bemiddelaars in schepen als juweliers onder vallen. Daarnaast kan de groep instellingen uitgebreid worden naar andere categorieën. Indien instellingen onderverdeeld in verschillende categorieën vergelijkbare diensten aanbieden en daarbij vergelijkbare cliënten bedienen dan kan dit wenselijk zijn. Een voorbeeld hiervan is het aanbieden van beleggingsdiensten die door zowel beleggingsondernemingen, beleggingsinstellingen en banken kunnen worden aangeboden. In dergelijke gevallen is het denkbaar dat risico’s op witwassen of financieren van terrorisme geconstateerd bij een cliënt door een instelling uit een categorie relevant zijn voor de risicoafweging voor een instelling uit een andere categorie.

In het zevende lid is opgenomen dat de geheimhoudingsplicht voor advocaten en notarissen niet van toepassing is bij het voldoen aan een verzoek van een verzoekende instelling als bedoeld in het derde lid. Aangezien de verplichting alleen geldt voor instellingen uit dezelfde categorie onderling zal de verzoekende instelling altijd, respectievelijk, een andere advocaat of notaris zijn. Advocaten en notarissen zijn respectievelijk volgens artikel 11a van de Advocatenwet en artikel 22 van de Wet op het notarisambt gehouden aan een geheimhoudingsplicht. In afwijking van de geheimhoudingsplicht, dient de advocaat of notaris bij een verzoek als bedoeld in het derde lid de risico’s op witwassen of financieren van terrorisme bij de cliënt gebleken uit het cliëntenonderzoek in kwestie te verstrekken aan de verzoekende instelling. Artikel 1a, vijfde lid, schrijft voor dat de verplichtingen uit de Wwft niet van toepassing zijn in de gevallen waarin een advocaat of notaris wanneer zij voor een cliënt werkzaamheden verrichten betreffende de bepaling van diens rechtspositie, diens vertegenwoordiging en verdediging in rechte, het geven van advies voor, tijdens en na een rechtsgeding of het geven van advies over het instellen of vermijden van een rechtsgeding. Gegevens die daarmee verband houden mogen niet gedeeld worden. Advocaten en notarissen zijn vanwege hun geheimhoudingsplicht ook uitgezonderd van de mogelijkheid om bij algemene maatregel van bestuur categorieën instellingen aan te wijzen waarvoor de verplichting zich ook uitstrekt tot andere categorieën instellingen gegeven in het zesde lid.

Onderdeel F (wijziging artikel 5)

De vernummeringen in artikel 5 hangen samen met het vervallen van de verplichtingen uit de Wwft voor instellingen om cliëntenonderzoek en meldingen te doen, als bedoeld in artikel 1a, vierde lid, onderdeel i.

Onderdeel G (wijziging artikel 10)

Op grond van artikel 10 van de Wwft is het instellingen toegestaan om onderdelen van het cliëntenonderzoek uit te besteden aan een derde partij. Van belang daarbij is dat de verantwoordelijkheid bij de uitbestedende instelling blijft liggen; alles wat de derde partij doet, doet deze namens de uitbestedende instelling. Op grond van de huidige Wwft is het niet mogelijk om het uitoefenen van de voortdurende controle op de zakelijke relatie en tijdens de duur van deze relatie verrichte transacties, uit te besteden. De (gewijzigde) vierde anti-witwasrichtlijn staat niet in de weg aan het uitbesteden van dit onderdeel van het cliëntenonderzoek, waaronder de transactiemonitoring. Middels de wijziging van artikel 10 wordt het nu mogelijk gemaakt voor banken als bedoeld in artikel 34b, eerste lid, om een gezamenlijke voorziening voor het monitoren van transacties op te richten of eraan deel te nemen. Hiertoe wordt in het nieuwe tweede lid banken die de gezamenlijke voorziening op hebben gericht of die eraan deelnemen de bevoegdheid gegeven om transactiemonitoring, opgenomen in artikel 3, tweede lid, onderdeel d, uit te besteden aan de gezamenlijke voorziening. Het uitgangspunt dat de instelling zelf verantwoordelijk is, blijft ongewijzigd.

Indien een instelling verplichtingen uitbesteed waarbij persoonsgegevens worden verwerkt, wordt deze verwerking door een derde partij namens de verwerkingsverantwoordelijke verricht. De instelling blijft bij uitbesteding immers de verwerkingsverantwoordelijke. De partij waaraan de gegevensverwerking wordt uitbesteed is de verwerker. Indien meerdere instellingen dezelfde verplichtingen uitbesteden aan dezelfde partij, verdient dit vereiste extra aandacht. Bij dergelijke afspraken dienen de zelfstandige verantwoordelijkheden van de instellingen adequaat afgebakend van elkaar vastgelegd te worden. Daarbij is het van belang dat de instelling die verplichtingen uitbesteedt, dit ook periodiek controleert. Zowel de instelling als de derde partij dienen zich hierbij te houden aan artikel 28 en de overige relevante voorschriften van de AVG. In dat kader geldt onder meer dat instellingen ook verplicht zijn betrokkenen te informeren over de uitbesteding van de verwerking aan een derde, conform de artikelen 12 tot en met 14 van de AVG.

Aan het uitbesteden van werkzaamheden zijn risico's verbonden die adequaat moeten worden beheerst. Dit geldt voor alle vormen van uitbesteding, in het bijzonder voor controle op de zakelijke relatie en transactiemonitoring. Controle op de zakelijke relatie en transactiemonitoring is geen momentopname, maar betreft een voortdurend proces. Tevens worden er in dit kader voortdurend persoonsgegevens van de cliënt verwerkt. Uitbesteding van dit onderdeel van het cliëntenonderzoek aan een derde partij dient daarom met extra waarborgen omkleed te zijn. Daartoe kan bij of krachtens algemene maatregel van bestuur nader worden bepaald onder welke voorwaarden de uitbesteding van werkzaamheden kan plaatsvinden in het nieuwe vierde lid. Ten eerste kan het hierbij gaan om voorwaarden om adequaat toezicht door de Wwft-toezichthouder op de naleving van de verplichting te garanderen. Voorts kunnen aanvullende waarborgen worden voorgeschreven om risico’s die voortkomen uit de uitbesteding adequaat te beheersen. Tot slot kunnen nadere regels gesteld worden over de uitbestedingsovereenkomst.

Onderdeel H (wijziging artikel 16)

In verband met de vernummering van de leden in artikel 3 wordt de verwijzing naar artikel 3, veertiende lid, vervangen door dertiende lid.

Onderdelen I en J (wijzigingen artikelen 29 en 30)

In deze onderdelen wordt geregeld dat bij overtreding van de verplichtingen in de nieuw voorgestelde artikelen 1f, 3b, 34b en het gewijzigde artikel 10, derde en vierde lid van de Wwft, de aangewezen toezichthouder een last onder dwangsom of een bestuurlijke boete kan opleggen. Het betreft overtredingen van het verbod voor beroeps- en bedrijfsmatige handelaren als kopers en verkopers in goederen om contante betalingen vanaf een bedrag vanaf € 3.000 te verrichten uit het voorgestelde artikel 1f, de verplichting voor een instelling om onderzoek te doen naar eerdere dienstverlening door andere instellingen uit het voorgestelde artikel 3b, de verplichtingen voor instellingen in het kader van gezamenlijke transactiemonitoring uit artikel 34b en de voorgestelde verplichtingen omtrent uitbesteding uit artikel 10.

Onderdeel K (wijziging artikel 34a)

Middels het voorgestelde nieuwe eerste lid in artikel 34a wordt de grondslag voor het verwerken van persoonsgegevens in het kader van deze wet verduidelijkt. Daarbij wordt geregeld dat het toegestaan is om bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard te verwerken indien dit noodzakelijk is voor een instelling om te voldoen aan de verplichtingen van de wet. Op grond van artikel 9, tweede lid, onderdeel g, van de AVG is het verbod om bijzondere categorieën van persoonsgegevens als bedoeld in artikel 1 van de UAVG te verwerken niet van toepassing indien de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht. Het voldoen aan de verplichtingen van de Wwft is aan te merken als een zwaarwegend algemeen belang. Op grond van artikel 10 van de AVG is het verwerken van persoonsgegevens van strafrechtelijke aard slechts mogelijk in een beperkt aantal gevallen, waaronder indien dat is toegestaan bij lidstatelijke bepalingen. Met het voorgestelde nieuwe eerste lid van artikel 34a wordt van de in artikel 9, tweede lid, onderdeel g, en artikel 10 van de AVG geboden uitzonderingsmogelijkheden gebruik gemaakt.

De kern van het voorgestelde nieuwe eerste lid is dat de verwerking alleen toegestaan is indien dit noodzakelijk is voor het uitvoeren van een verplichting uit de Wwft, te weten het (doorlopend) cliëntenonderzoek uit hoofdstuk 2 of het melden van ongebruikelijke transacties uit hoofdstuk 3. Het uitgangspunt van de Wwft is dat instellingen zelf risico’s in hun dienstverlening identificeren en daarop hun cliëntenonderzoek aanpassen. De aard en achtergrond van de risico’s kunnen niet op voorhand voorspeld worden en zijn voortdurend aan veranderingen onderhevig. Criminelen zijn immers voortdurend op zoek naar nieuwe kanalen en constructies om toegang te verkrijgen tot het financiële stelsel. Van instellingen wordt verwacht dat zij hierop inspelen. Hieruit kan volgen dat op basis van de geconstateerde risico’s de gerichte verwerking van specifieke gegevens noodzakelijk is of dat de geconstateerde risico’s bij een specifieke cliënt samenhangen met bijzondere categorieën persoonsgegevens of persoonsgegevens van strafrechtelijke aard. Zie voor een uitgebreide toelichting op deze verplichtingen paragrafen 2.3 en 3.3 van het algemeen deel van deze toelichting. Uit het bovenstaande volgt dat het voor instellingen alleen is toegestaan om bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard te verwerken indien dat noodzakelijk is om aan de verplichtingen te voldoen, gesteld bij of krachtens deze wet. Instellingen dienen zelfstandig te beoordelen in welke mate gegevensverwerking noodzakelijk is om aan die verplichtingen te voldoen.

Met het voorgestelde vijfde lid wordt instellingen de verplichting opgelegd om mogelijke verwerking van bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard te documenteren en de noodzakelijkheid van de verwerking om aan de verplichtingen uit de wet te voldoen te onderbouwen. Allereerst dient een instelling zelfstandig na te gaan of hij bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard (mogelijk) verwerkt om te voldoen aan de verplichtingen van de Wwft. Indien dit het geval is dient een instelling deze verwerking(en) te documenteren. In deze documentatie dient, in ieder geval, te worden opgenomen welke bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard de instelling verwerkt, de wijze van verwerking, de verplichting op grond waarvan deze verwerking plaatsvindt en waarom de verwerking van bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard daarvoor noodzakelijk is. Deze documentatie hoeft niet afzonderlijk per verwerking plaats te vinden. De documentatie dient inzichtelijk te maken waarom, gelet op aard en omvang van de dienstverlening en afhankelijk van de specifieke dienstverlening, de instelling bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard worden verwerkt of verwacht te verwerken om aan de verplichtingen van de Wwft te voldoen. Een algemeen voorbeeld van dergelijke noodzakelijke verwerking is het monitoren van transacties waarin bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard (kunnen) voorkomen die met name voor betaaldienstverleners opgeld doet. Een specifiek voorbeeld zou kunnen zijn dat een instelling op basis van risicoprofielen extra aandacht heeft voor bepaalde categorieën van persoonsgegevens, bijvoorbeeld in het kader van zorgfraude. Voor een verdere toelichting wordt nogmaals verwezen naar paragrafen 2.3 en 3.3 van het algemeen deel van deze toelichting. Het voorgestelde zesde lid verplicht de instelling om cliënten te informeren over mogelijke verwerking van bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard conform artikelen 13 en 14 van de AVG. Het gaat hierbij niet zozeer over elke specifieke verwerking van de persoonsgegevens van de betreffende cliënt, maar hoe en waarom de instelling in het kader van zijn dienstverlening en verplichting op grond van de Wwft in zijn algemeenheid genoodzaakt kan zijn bijzondere categorieën van persoonsgegevens of persoonsgegevens van strafrechtelijke aard te verwerken. Hierbij kan verwezen worden naar de eerder beschreven documentatie. De instelling dient de cliënt te informeren voor aanvang van de dienstverlening en – indien van toepassing – gedurende de dienstverlening bij wijziging van het beleid.

Met het voorgestelde zevende lid van artikel 34a wordt invulling gegeven aan het bepaalde in artikel 9, tweede lid, onderdeel g, van de AVG betreffende passende en specifieke maatregelen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene en het bepaalde in artikel 10 van de AVG, betreffende passende waarborgen voor de rechten en vrijheden van de betrokkenen. Het betreft hier een uitwerking van de regels ter waarborging van de persoonlijke levenssfeer van de betrokkene, zoals gegeven in de AVG en UAVG. Bij de bij algemene maatregel van bestuur te stellen regels over de beveiliging van persoonsgegevens kan gedacht worden aan regels over de toegang tot bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard. Bij te stellen regels over de uitoefening van rechten van betrokkenen kan gedacht worden aan regels over de wijze waarop betrokkenen hun recht op inzage, rectificatie, verwijdering en beperking van de verwerking van hun gegevens (hoofdstuk III AVG) kunnen uitoefenen en bij welke partij, alsmede aan de openstaande rechtsbescherming tegen een beslissing op de uitoefening van een recht als hiervoor genoemd.

Onderdeel L (nieuw artikel 34b)

Het nieuwe artikel 34b voorziet in een kader voor een gezamenlijke voorziening opgezet door banken ten behoeve van transactiemonitoring. Op grond van het eerste lid kunnen banken een gezamenlijke voorziening oprichten of eraan deelnemen om te voldoen aan de verplichting uit artikel 3, tweede lid, onderdeel d, om transacties voortdurend te controleren. De zinssnede «of aan een gezamenlijke voorziening deelnemen» expliciteert dat het ook mogelijk is voor banken die niet betrokken zijn bij de oprichting van de gezamenlijke voorziening deel te nemen aan het gezamenlijk monitoren van transacties binnen de gezamenlijke voorziening. Alle verplichtingen van artikel 34b zijn ook en in dezelfde mate van toepassing op de banken die na de oprichting toetreden tot de gezamenlijke voorziening. Dit betekent dat hun rol binnen de voorziening zodanig dient te zijn vormgegeven, dat zij aan deze verplichtingen dienen te kunnen voldoen.

De voorgestelde maatregel schrijft voor dat indien banken gezamenlijke transactiemonitoring willen gaan uitvoeren, dit plaats dient te vinden binnen een daartoe opgerichte gezamenlijke voorziening. Hier is voor gekozen, omdat de bestaande systemen van banken voor het uitvoeren van transactiemonitoring niet ontworpen zijn voor gedecentraliseerde transactiemonitoring en gedecentraliseerde systemen onvoldoende geschikt zijn voor complexe analyses van grote hoeveelheden gegevens die zich op verschillende locaties bevinden. Daarnaast betekent een gedecentraliseerd systeem dat grote hoeveelheden gegevens vanuit verschillende locaties geïntegreerd en beveiligd moet worden, hetgeen zeer complex en kostbaar is. Een gecentraliseerd model heeft derhalve minder impact op de bestaande systemen van banken. Het gebruik van een dergelijke voorziening is een vorm van uitbesteding door de deelnemende banken op grond van artikel 10, tweede lid. De activiteiten van de gezamenlijke voorziening zien immers op de verplichting om een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen en zijn daarmee onderdeel van de verplichting opgenomen in artikel 3, tweede lid, onderdeel b. Aangezien het oprichten van een gezamenlijke voorziening geldt als uitbesteding, houdt dit tevens in dat hoofdstuk 5 van het Besluit prudentiële regels van toepassing is op de uitbesteding. Het lid heeft de vorm van een bevoegdheid in plaats van een verplichting, omdat banken zelf het beste in staat zijn om op basis van hun cliëntenbestand en de door hun cliënten verrichte transacties in te schatten wat de mogelijke risico’s zijn op witwassen en terrorismefinanciering en hoe deze risico’s gemitigeerd dienen te worden, is het aan de individuele banken om te bepalen of het gezamenlijk monitoren van transacties voor hen noodzakelijk is om te voldoen aan genoemde wettelijke verplichtingen van de Wwft.

In het tweede lid is opgenomen dat banken binnen deze gezamenlijke voorziening gegevens betreffende transacties kunnen combineren. Uit de twee eerste leden volgt dat de gegevens alleen voor het uitvoeren van transactiemonitoring mogen worden gebruikt. Ingevolge de richtlijn blijft de uitbestedende instelling verantwoordelijk voor het uitvoeren van deze verplichting. Het eerste en tweede lid van artikel 34b bieden ook geen grondslag voor verdere verwerking van transactiegegevens voor andere (commerciële) doeleinden. In de leden drie tot en met zeven wordt dit kader nader ingevuld door voor te schrijven welke gegevens gecombineerd mogen worden, welke beperkingen hier aan verbonden zijn, welke waarborgen in acht dienen te worden genomen, hoe verantwoording plaatsvindt en enkele specifieke organisatorische waarborgen.

Het zogenaamde tipping-off verbod uit artikel 23 van de Wwft is onverminderd van toepassing op meldingen die zijn gedaan op basis van dit artikel. Dit betekent dat als een transactie als ongebruikelijk wordt aangemerkt, bijvoorbeeld omdat deze als zodanig kwalificeert ten opzichte van transacties of gegevens bij andere banken en die transactie bij de FIU-Nederland wordt gemeld, de banken elkaar hier niet over mogen informeren, behoudens de uitzonderingen zoals opgenomen in het zesde lid van voornoemd artikel van de Wwft. Het melden van ongebruikelijke transacties blijft de verantwoordelijkheid van de individuele instellingen.

In het algemeen deel van de toelichting is reeds opgemerkt dat het combineren van transactie van meerdere banken risico’s voor de bescherming van persoonsgegevens met zich brengt, onder andere omdat het kan gaan om grote hoeveelheden data. Het is daarom van wezenlijk belang dat de voorschriften van de AVG hierbij in acht worden genomen. Hiervoor wordt verwezen naar paragraaf 3.2 van het algemeen deel van deze toelichting. Het is te allen tijde de verantwoordelijkheid van de bank om volledig te voldoen aan de eisen van de AVG en overige regelgeving ter bescherming van persoonsgegevens. Op grond van artikel 9 en 10 van de AVG dienen de banken waarborgen te garanderen met betrekking tot de beveiliging van gegevens, de bewaartermijn en hoe de uitoefening van de rechten van betrokkenen kan worden geborgd en wie waar verantwoordelijk voor is. Met betrekking tot de verwerking van bijzondere categorieën van persoonsgegevens en persoonsgegevens van strafrechtelijke aard geldt daarbij ingevolge voornoemde artikelen ook dat specifieke en passende maatregelen dan wel passende waarborgen moeten worden geboden ter bescherming van de rechten en vrijheden van betrokkenen.

In het derde lid is een grondslag voorzien om bij algemene maatregel van bestuur de gegevens vast te stellen welke binnen de gezamenlijke voorziening gecombineerd mogen worden. Alleen deze gegevens kunnen binnen de gezamenlijke voorziening gecombineerd worden. In het tweede lid is dit reeds beperkt tot alleen die gegevens die noodzakelijk zijn om te voldoen aan de verplichting om transacties te controleren. In het derde lid is voorgeschreven waarop deze gegevens uitsluitend betrekking hebben. Dit zijn ten eerste de gegevens die reeds onderdeel uitmaken van de reguliere transactiegegevens, deze zijn gegeven in onderdelen a tot en met d. Onderdeel a ziet op gegevens ten aanzien van de identiteit van de cliënt, waaronder bijvoorbeeld de naam en adresgegevens kunnen vallen. Deze gegevens zijn vereist om te verzekeren dat de gecombineerde transacties binnen de voorziening daadwerkelijk verband met elkaar houden en niet personen met dezelfde naam of adresgegevens onterecht gekoppeld worden. Het komt namelijk voor dat personen dezelfde voor- en achternaam delen. Daarnaast kunnen personen hetzelfde adres delen omdat ze samenwonen of men een verhuizing niet aan de bank heeft doorgegeven. In principe verzekert het gebruik van het BSN binnen de voorziening onterechte koppeling, maar niet elke cliënt beschikt over een BSN. Indien deze gegevens niet gecombineerd zouden kunnen worden, zou dit er toe kunnen leiden dat transacties ten onrechte aan elkaar gekoppeld worden, hetgeen de werking van de voorziening fundamenteel zou ondermijnen. Deze gegevens worden binnen de voorziening gepseudonimiseerd en versleuteld, zie daarvoor de toelichting op het vierde lid. Onderdeel b en c betreffen de transactie- en productinformatie. Transactie-informatie houdt onder meer de hoogte van de transactie, de valuta waarin de transactie wordt uitgevoerd en welke bank de transactie uitvoert in. Deze informatie is essentieel om binnen de gezamenlijke voorziening adequaat de transacties te kunnen beoordelen om vast te stellen dat er sprake is van mogelijke indicaties op witwassen en deze terug te koppelen aan de betrokken bank. Productinformatie betreft de producten waar de transactie direct aan verbonden is, bijvoorbeeld betaalrekeningen, beleggingsrekeningen, spaarrekeningen en leningen. Deze informatie is van belang om context te geven aan de transactie en nodig om vast te stellen of er indicaties zijn van ongebruikelijke transactiepatronen. Transactiepatronen van een reguliere betaalrekening en een beleggingsrekening lopen immers uiteen. Tot slot is in onderdeel d gegeven dat ook door de instelling reeds vastgestelde risico-indicatoren binnen de voorziening gecombineerd bij algemene maatregel van bestuur vastgesteld worden. Aangezien binnen de voorziening de transactiegegevens gepseudonimiseerd zijn en het niet is toegestaan andere informatie over de cliënt te verwerken, zal dit betekenen dat niet alle mogelijke reeds geïdentificeerde risico’s naar voren komen op basis van louter de transactiegegevens. Deze zijn echter wel relevant voor het effectief identificeren van ongebruikelijke transactiepatronen. Teneinde hieraan tegemoet te komen, kunnen deze risico-indicatoren bij algemene maatregel van bestuur vastgesteld worden. Deze indicatoren dienen generiek te worden omschreven en niet herleidbaar te zijn tot personen. Voorbeelden hiervan zijn indicatoren dat een cliënt actief is een bepaalde hoog-risicosector, afkomstig is uit een hoog-risico jurisdictie of onderdeel uitmaakt van een ondoorzichtige bedrijfsstructuur.

In het vierde lid is een beperking opgenomen ten aanzien van verwerking van transactiegegevens van particuliere personen binnen de gezamenlijke voorziening. Onder particuliere personen worden verstaan: natuurlijke personen die transacties uitvoeren voor niet-zakelijke doeleinden. In de praktijk komt dit neer op transacties uitgevoerd vanaf een privérekening. De verwerking van de gegevens voor deze transacties wordt op twee manieren beperkt. Ten eerste is het niet toegestaan om binnen de voorziening transactiegegevens van transacties tussen particulieren onderling onder de € 100 te combineren. Dit zijn bijvoorbeeld overmakingen tussen kennissen onderling. Deze beperking is gegeven onder a. Deze transacties blijven dus geheel buiten de voorziening. Daarnaast wordt het combineren van de transactiegegevens van transacties tussen particuliere personen en een zakelijke rekening onder de € 100 beperkt. Van deze transacties mogen van de particulier uitsluitend het IBAN-nummer (het rekeningnummer), het BIC-nummer (de bank identificatie code) en de landencode gecombineerd worden. Dit is gegeven onder b. Deze beperkte set gegevens is vereist om mogelijk relevante transactiepatronen vanaf een zakelijke rekening te kunnen herkennen. Bijvoorbeeld wanneer een onderneming zeer regelmatig kleine overboekingen doet naar dezelfde privérekening die tezamen een aanzienlijk bedrag vertegenwoordigen, hetgeen een indicatie kan zijn van witwassen, of wanneer een zakelijke rekening regelmatig kleine overboekingen doet naar landen met een erkend hoog risico op terrorisme, hetgeen kan duiden op terrorismefinanciering.

In het vijfde lid is de grondslag opgenomen voor het gebruik van het BSN binnen de gezamenlijke voorziening. Het BSN mag alleen gebruikt worden indien banken reeds over dit nummer beschikken en het BSN mag alleen gebruikt worden ten behoeve van het controleren van transacties. Dat betekent dat banken alleen het BSN mogen gebruiken als identificatienummer om de persoon achter de transactie te identificeren en transacties afkomstig uit verschillende systemen te koppelen aan de juiste persoon. Zij mogen het BSN niet gebruiken voor andere doeleinden.

In het zesde lid zijn aanvullende verplichtingen opgenomen ten aanzien van de verwerking van persoonsgegevens binnen de gezamenlijke voorziening. De deelnemende instellingen zijn als verwerkingsverantwoordelijken ieder zelfstandig verantwoordelijk voor de naleving van deze voorwaarden door de voorziening, zij gelden immers als verwerkingsverantwoordelijken in de zin van artikel 4, onderdeel 7, van de AVG. Onder a is gegeven dat de persoonsgegevens gepseudonimiseerd en versleuteld moeten zijn. Dit leidt er toe dat binnen de gezamenlijke voorziening de identiteit van de persoon of onderneming, waarvan de transactie binnen de voorziening gecombineerd wordt, niet vastgesteld kan worden. Alleen de individuele bank wiens cliëntgegevens het betreft kan, na het ontvangen van een alert van de voorziening over deze cliënt, zien door of met wie de transactie is uitgevoerd. Onderdeel b schrijft voor dat er geen sprake mag zijn van geautomatiseerde besluitvorming als bedoeld in artikel 22, eerste lid van de AVG. Dit betekent dat cliënten van deelnemende banken niet mogen worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hen rechtsgevolgen zijn verbonden of die hen anderszins in aanmerkelijke mate treffen naar aanleiding van de transactiemonitoring in de gezamenlijke voorziening. Onderdeel c schrijft voor dat voor de analyse geen algoritmes gehanteerd mogen waarvan de uitkomsten niet navolgbaar en controleerbaar zijn. Onderdeel d schrijft voor dat de systemen die de verwerking uitvoeren voorzien moeten zijn van een adequaat beveiligingsniveau. Het beveiligingsniveau wordt niet voorgeschreven. Het kader van de AVG en de UAVG biedt reeds regels voor de beveiliging van persoonsgegevens. Zo dienen de verwerkingsverantwoordelijke en de verwerker, op grond van artikel 32 van de AVG, passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. In onderdelen e en f zijn organisatorische waarborgen opgenomen zodat alleen geautoriseerde personen toegang hebben tot de gegevens en de verwerking niet verder verwerkt worden dan het doel op grond van het eerste lid van dit artikel. Onderdeel g schrijft voor dat de gegevensverwerking wordt vastgelegd (logging) dit is noodzakelijk voor controle en toezicht op de verwerking. Dit houdt in dat bijgehouden wordt wie wanneer welke gegevens heeft ingezien. In onderdeel h is opgenomen dat de onderlinge verstrekking van de gegevens, bedoeld in het eerste lid, dient te worden beëindigd als die verstrekking niet langer noodzakelijk dan om te voldoen aan het bepaalde in artikel 34. De gegevens dienen op dat moment vanzelfsprekend te worden verwijderd. Op grond van onderdeel i dienen de instellingen zorg te dragen voor de schriftelijke vastlegging van de hierboven gegeven waarborgen.

In het zevende lid zijn verplichtingen opgenomen omtrent de verantwoording van de activiteiten van de voorziening en de bepaalde organisatorische verplichtingen waarvoor de instellingen verantwoordelijk zijn. In onderdelen a en b is opgenomen dat de instellingen betrokken bij de gezamenlijke voorziening zorgdragen voor een jaarlijks verslag omtrent de effectiviteit van de voorziening en een periodieke onafhankelijke audit omtrent de naleving van de regels met betrekking tot gegevensbescherming. Het jaarlijkse verslag dient duidelijk te maken hoe effectief de gezamenlijke voorziening is in het kader van de uitvoering van de Wwft. Hierbij dient in ieder geval inzichtelijk te worden gemaakt welke gevolgen het gezamenlijk monitoren van transacties heeft op de «alerts» en ongebruikelijke transacties, ten opzichte van de individuele monitoring voorafgaand aan de inwerkingtreding van dit wetsvoorstel. Voorts dient het verslag in te gaan in hoeverre de informatie afkomstig van de voorziening heeft geleid tot herbeoordeling van cliënten en het beëindigen van zakelijke relaties. De onafhankelijke audit onderzoekt in hoeverre de gezamenlijke voorziening voldoet aan de regels voor uitbesteding, gesteld in artikel 10, en de regels omtrent gegevensbescherming, neergelegd in artikel 34a, en de AVG en UAVG. Omdat deze vorm van uitbesteding en gegevensdeling bijzonder gevoelig is, dient de eerste audit plaats te vinden een jaar na ingebruikname van de voorziening. Daarna dient deze ieder jaar plaats te vinden. Het jaarverslag en de resultaten van de onafhankelijke audit dienen openbaar te worden gepubliceerd. In onderdelen c en d worden enkele specifieke organisatorische verplichtingen voorgeschreven waarvoor de instellingen zorg moeten dragen binnen de voorziening. Onderdeel c stelt dat er tenminste één functionaris dient te worden aangewezen die verantwoordelijk is voor de gegevensbescherming binnen de voorziening. Daarnaast dienen de instellingen zorg te dragen voor een orgaan dat de verantwoordelijkheid en aansprakelijkheid vaststelt van de instellingen. De afzonderlijke instellingen zijn verwerkingsverantwoordelijken voor de verwerking binnen de voorziening. Door de gegevens binnen de voorziening te combineren, echter, kan deze verantwoordelijkheid onduidelijk worden. De voorziening verwerkt immers gegevens van de verschillende verwerkingsverantwoordelijke instellingen. Dit kan het voor de betrokkene mogelijk complex maken om zijn rechten uit te oefenen ten aanzien van de verwerkingsverantwoordelijken. Om dit te waarborgen zijn de instelling daarom verplicht een orgaan in te stellen dat bij klachten vaststelt welke instellingen als verwerkingsverantwoordelijke gelden.

ARTIKEL II (wijziging Wet op de economische delicten)

In de Wet op de economische delicten is een aantal bepalingen van de Wwft strafbaar gesteld. Met dit artikel worden hier twee toevoegingen aan gedaan. Het gaat om strafbaarstelling van het verbod voor beroeps- en bedrijfsmatige handelaren als kopers en verkopers van goederen om contante betalingen vanaf € 3.000 te verrichten uit het voorgestelde artikel 1f en om strafbaarstelling van niet naleving van de verplichting om onderzoek te doen naar eerdere dienstverlening bij andere instellingen in geval er sprake is van een hoger risico op witwassen of financieren van terrorisme uit het voorgestelde artikel 3b. Bij de strafbaarstelling is zoveel mogelijk aangesloten bij de strafbaarstelling van soortgelijke voorschriften uit, met name, de Wet toezicht trustkantoren 2018.

ARTIKEL III (overgangsrecht informatie-uitwisseling o.g.v. artikel I, onderdeel D)

Het voorgestelde artikel 3b, derde lid, bepaalt dat de instelling die een verzoek van een andere instelling ontvangt om informatie over gebleken risico’s op witwassen of financieren van terrorisme te verstrekken, onverwijld moet voldoen aan dit verzoek. Dit artikel regelt als overgangsrecht dat een instelling geen informatie over risico’s op witwassen of financieren van terrorisme hoeft te verstrekken als deze informatie is gebleken voor inwerkingtreding van artikel I, onderdeel D, van deze wet.

ARTIKEL IV (evaluatiebepaling artikel I, onderdelen A en B)

Het eerste lid van dit artikel bevat de evaluatiebepaling voor het verbod voor handelaren om contante transacties te verrichten vanaf € 3.000, opgenomen in artikel I, onderdelen A en B. Deze evaluatie wordt vijf jaar na inwerkingtreding uitgevoerd. Bij deze evaluatie wordt de effectiviteit van de maatregel en de gevolgen in de praktijk bezien.

Het tweede lid van dit artikel bevat de evaluatiebepaling voor gezamenlijke transactiemonitoring, opgenomen in artikel I, onderdeel L. Deze evaluatie wordt vier jaar na inwerkingtreding uitgevoerd. Uit het derde lid volgt dat bij de evaluatie in ieder geval de effectiviteit van het gezamenlijk monitoren van transacties en de bescherming van persoonsgegevens binnen de gezamenlijke voorziening betrokken dienen te worden. Ten slotte wordt in het vierde lid de toegang tot de benodigde gegevens om deze evaluatie uit te kunnen voeren verzekerd. Ook wordt verzekerd dat de verkregen gegevens niet voor andere doeleinden dan het uitvoeren van de evaluatie worden gebruikt.

ARTIKEL V (inwerkingtredingsbepaling)

Dit artikel regelt de inwerkingtreding. Het wetsvoorstel treedt in werking op een bij koninklijk besluit te bepalen tijdstip. Dit tijdstip kan verschillen voor de verschillende onderdelen van het wetsvoorstel, aangezien het wijziging van meerdere wetten betreft. Bij aanvaarding zal een geschikt inwerkingtredingsmoment moeten worden bepaald.

De Minister van Financiën, S.A.M. Kaag