Sander Riemslag Baas en Menno Weij
Vrijwel dagelijks is de anti-witwas regelgeving onderwerp van diverse media, de Wet ter voorkoming van witwassen en financieren van terrorisme (‘Wwft’). De oorzaak is vooral terug te herleiden naar 2018. Het jaar waarin de ING Bank N.V. een recordschikking trof met het Openbaar Ministerie naar aanleiding van falend Wwft-beleid [*1]. Sinds begin 2023 is ook kunstmatige intelligentie (Artificial Intelligence, ‘AI’) vrijwel dagelijks in het nieuws. De oorzaak hiervan is met name ChatGTP, een slimme robot toegankelijk voor het publiek. Dat technologie, zoals AI, hand in hand kunnen gaan ter naleving van de Wwft en daarmee de voorkoming en bestrijding van witwassen en terrorismefinanciering, heeft internetbank bunq recent aangetoond. Bunq won namelijk het hoger beroep tegen De Nederlandsche Bank (‘DNB’). Centraal in dit hoger beroep staat de manier waarop bunq op een – voor de financiële sector – vernieuwende en technologische wijze de Wwft naleeft [*2].
Het hoger beroep van bunq tegen DNB kreeg de nodige aandacht in diverse media [*3]. Dit hoger beroep is namelijk om twee redenen interessant. Ten eerste, omdat banken nauwelijks procederen tegen DNB, ondanks dat er veel kritiek is op de rigide wijze waarop DNB op kan treden als toezichthouder van de Wwft [*4]. En ten tweede, omdat de technologie van bunq is onderworpen aan het oordeel van het College van Beroep voor het bedrijfsleven (‘CBb’) en dit oordeel relevant kan zijn voor de gehele bancaire sector.
Het oordeel van het CBb en de opkomst van AI rechtvaardigt een beschouwing over de inzet van technologie in de financiële sector ter naleving van de Wwft. In dit artikel gaan wij daarom eerst in op de kernverplichtingen van de Wwft. Daarna volgt een korte uiteenzetting over hoe de Financial Action Task Force (‘FATF’) [*5] technologie als middel ziet ter voorkoming en bestrijding van witwassen en terrorismefinanciering. Hierna volgt de essentie van hoger beroep van bunq tegen DNB en de relevantie daarvan in het kader van een impactvolle wens van de wetgever en bancaire sector: gezamenlijke transactiemonitoring. Tenslotte zoomen wij kort in op komende Europese wetgeving rondom kunstmatige intelligentie en de impact op de financiële sector.
De kernverplichtingen uit hoofde van de Wwft
Diverse aangewezen financiële instellingen en beroepsbeoefenaars moeten voldoen aan de Wwft. Denk hierbij onder meer aan banken, beleggingsondernemingen, aanbieders van bewaarportemonnees en registeraccountants (hierna tezamen genoemd ‘instelling’) [*6]. Deze instellingen worden beschouwd als poortwachters van het financiële stelsel [*7]. Oftewel, zonder deze instellingen kan vermogen niet worden verplaatst van bijvoorbeeld de ene rechthebbende naar de andere rechthebbende.
Van deze instellingen wordt verwacht dat zij witwassen of terrorismefinanciering kunnen voorkomen. Ter uitvoering van deze preventieve functie van de Wwft, dient een instelling cliëntonderzoek te verrichten voordat een relatie met een cliënt wordt aan gegaan. Dit is dan ook de eerste kernverplichting uit hoofde van de Wwft.
Het cliëntonderzoek dient de instelling in staat te stellen om: [*8]
- de cliënt te identificeren en diens identiteit te verifiëren;
- de uiteindelijk belanghebbende van de cliënt te identificeren en redelijke maatregelen te nemen om zijn identiteit te verifiëren; [*9]
- indien de cliënt een rechtspersoon is, redelijke maatregelen te nemen om inzicht te verwerven in de eigendoms- en zeggenschapsstructuur van de cliënt;
- het doel en de beoogde aard van de zakelijke relatie vast te stellen;
- een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen, teneinde te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel, met zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden;
- vast te stellen of de natuurlijke persoon die de cliënt vertegenwoordigt daartoe bevoegd is en in voorkomend geval de natuurlijke persoon te identificeren en diens identiteit te verifiëren;
- redelijke maatregelen te nemen om te verifiëren of de cliënt ten behoeve van zichzelf optreedt dan wel ten behoeve van een derde.
De instelling is vrij het cliëntonderzoek in te richten zoals zij prudent vindt, mits het resultaat van het cliëntonderzoek maar leidt tot de hiervoor genoemde punten. Het cliëntonderzoek heeft daarom ook een principle based benadering. Zonder te ver uit te wijden over de wijze waarop het cliëntonderzoek wordt ingericht, is als achtergrondinformatie relevant te weten dat de diepgang van het cliëntonderzoek afhankelijk is van de door de instelling geïdentificeerde risico’s bij een cliënt [*10]. Denk hierbij aan een vestigingsland van de cliënt, waar een hoger risico van witwassen bestaat, zoals de Kaaimaneilanden of de Verenigde Arabische Emiraten [*11]. Het cliëntonderzoek kan daarom worden onderverdeeld in vereenvoudigd, standaard en verscherpt cliëntonderzoek [*12]. Ter duiding en invulling van principle based benadering en de relevante risico’s voor instellingen geven diverse toezichthouders, waaronder DNB, leidraden uit.
De tweede kernverplichting die wij kort willen aanstippen is de transactiemonitoring en de daar- uit voortvloeiende meldplicht van ongebruikelijke transacties ingevolge artikel 16 Wwft. Een instelling dient namelijk de transacties van zijn of haar cliënt te monitoren teneinde transacties te identificeren die mogelijk verband kunnen houden met het witwassen van geld of financieren van terrorisme. Op het moment dat een transactie daartoe verband houdt en dus een ongebruikelijk karakter heeft, dient de instelling deze transactie te melden aan de Financial Intelligence Unit Nederland (‘FIU’) [*13]. De FIU onderzoekt vervolgens of de ongebruikelijke transactie een verdacht karakter heeft die dientengevolge doorgestuurd wordt aan opsporingsdiensten [*14].
Of een transactie een ongebruikelijk karakter heeft, wordt bepaald door twee ‘hoofdindicatoren’: de objectieve indicator die per instelling verschilt en de subjectieve indicator [*15]. De objectieve indicator is een soort transactie waarvan is voorgeschreven dat deze te allen tijde gemeld dient te worden aan de FIU. Denk bijvoorbeeld aan een contante storting voor een bedrag van € 10.000,– of meer ten gunste van een credit card [*16]. De subjectieve indicator is een transactie waarbij de instelling aanleiding heeft om te veronderstellen dat deze verband kan houden met witwassen of financieren van terrorisme [*17]. Het melden van een ongebruikelijke transactie op grond van een subjectieve indicator vereist dus nader onderzoek van de instelling. Om de miljarden transacties die jaarlijks plaatsvinden te kunnen monitoren, ontkomen instellingen er dus niet aan om hiervoor (slimme) technologie te gebruiken. Ook is voorgesteld om banken samen te laten werken bij deze transactiemonitoring. [*18]. Hierover later meer.
Data en technologie volgens de FATF
Volgens de FATF is moderne technologie bijzonder relevant voor de bestrijding van witwassen en terrorismefinanciering. Bijvoorbeeld door de inzet van data pooling van financiële instellingen en AI. Hierover zegt de FATF het volgende [*19].
Door gegevens te bundelen (‘data pooling’) en gezamenlijke analyses uit te voeren, kunnen instellingen de risico’s van witwassen en terrorismefinanciering beter begrijpen, beoordelen en beperken. Hierdoor wordt het gemakkelijker en efficiënter om deze risico’s te identificeren. Ook kan het aantal ‘false positives’ worden verminderd. Het voordeel hiervan is mede dat de naleving van de wet- en regelgeving minder arbeidsintensief is.
Volgens de FATF kan data pooling ook helpen voor- komen dat criminelen gebruik maken van hetgeen instellingen niet van elkaar weten. Criminelen gebruiken namelijk vaak meerdere binnenlandse en internationale (financiële) instellingen. Elk hebben zij een beperkt beeld van de transacties. Zonder nauwkeurigere en consistentere informatie wordt het voor individuele instellingen steeds moeilijker om risico’s op witwassen en terrorismefinanciering op te sporen. Door gezamenlijke analyses te gebruiken, gegevens samen te brengen of andere initiatieven voor het op verantwoorde wijze delen van gegevens te ontwikkelen, kunnen financiële instellingen een duidelijker beeld van de situatie schetsen ten- einde de risico’s van witwassen en financiering van terrorisme beter te begrijpen, te beoordelen en te beperken.
De FATF onderkent eveneens het gevaar op misbruik van data en de inbreuk op individuele en fundamentele rechten van de mens. Misbruik van gegevens, onnodige uitwisseling of een gebrek aan bescherming kunnen negatieve gevolgen hebben voor personen die niet betrokken zijn bij criminele activiteiten. Daarom is het volgens de FATF noodzakelijk dat bij elke uitwisseling van informatie de nationale en internationale rechtskaders voor gegevensbescherming en privacy in acht worden genomen. Deze kaders worden nu geschetst met het wetsvoorstel van gezamenlijke transactiemonitoring en gegevensdeling tussen financiële instellingen [*20]. Hierover is het laatste woord echter nog niet gezegd, maar nu eerst het hoger beroep van bunq tegen DNB.
Het hoger beroep van bunq tegen DNB
Binnen de bancaire sector is er regelmatig discussie geweest over de eisen die DNB stelt aan de naleving van de Wwft, [*21] maar zover wij weten, hebben banken daarover niet eerder tegenover DNB gestaan bij het CBb [*22]. Deze discussies hebben vooral betrekking op de strenge eisen van DNB en de ogenschijnlijke weinig flexibele houding van DNB om op een andere wijze (dan DNB voorschrijft) invulling te geven aan de Wwft. DNB’s leidraad over de invulling van de Wwft is daarmee de facto dan ook eerder verkapte wetgeving in plaats van daadwerkelijke guidance [*23]. Dit lijkt op gespannen voet te staan met de inrichting van de Wwft: principle based en afhankelijk van de geïdentificeerde risico’s [*24].
Juist de principle based benadering van bunq kwam aan de orde in het hoger beroep tegen DNB. DNB was het namelijk niet eens met de wijze waarop bunq het cliëntonderzoek verrichtte. De essentie van het hoger beroep tussen bunq en DNB is als volgt [*25].
Net als alle andere banken met een bankvergunning staat bunq onder toezicht van DNB. Bunq is echter, anders dan de traditionele grootbanken, een online bank. In 2019 legt DNB bunq een aanwijzing op om geconstateerde tekortkomingen in de naleving van de Wwft te herstellen op de wijze die DNB van bunq verlangt. DNB eist hierbij een herziening van bunq’s beleid, procedures en maatregelen inzake het doel en de aard van de zakelijke relatie en de voortdurende controle op zakelijke relatie en verrichtte transacties. Volgens DNB stelt bunq haar beleid, procedures en maatregelen niet zodanig vast dat de beschikbare informatie overeenkomt met de toegekende risico- classificatie van de cliënt. Daarnaast zou het transactiemonitoringssysteem van bunq niet effectief genoeg zijn om een ongebruikelijke transactie te identificeren en melden, mede omdat het doel en de aard van de zakelijke relatie niet adequaat vastgesteld zou worden. Hierdoor ontbreekt een individueel referentiepunt. Deze tekortkoming zou vervolgens doorwerken in de voortdurende controle op de klant.
Bunq voert onder meer aan dat uit de Wwft niet volgt dat de beoogde aard en het doel van de zakelijke relatie volledig vastgesteld moet worden voordat de zakelijke relatie wordt aangegaan. Ook volgt volgens haar niet uit de Wwft dat bunq bij elke klant een uitvraag moet doen naar de aard en het doel van de te openen rekening. Bunq stelt de aard en het doel van de relatie namelijk onder meer vast door middel van peer grouping en toekenning van een standaard profiel (‘regular user profile’) aan nieuwe klanten, tenzij tijdens de onboarding antwoorden van nieuwe cliënten een ‘trigger’ opleveren. Na het aangaan van de zakelijke relatie kan nieuwe informatie uit het (transactie)gedrag van de klant leiden tot een wijziging van de beoogde aard en het doel.
Aan de orde is of de werkwijze van bunq overeenkomstig de Wwft is. DNB verwijt bunq dat er geen sprake is van een onderzoek ter vaststelling van het doel en de aard van de beoogde relatie, vanwege haar standaardprocedure om aan iedere cliënt hetzelfde ‘regular user profile’ toe te kennen.
Het CBb oordeelt dat DNB niet duidelijk maakt waarom de door bunq via statistisch onderzoek en data-analyse verkregen informatie, ontoereikend is om het doel en de beoogde aard van de zakelijke relatie vast te stellen voor particuliere klanten die een betaalrekening willen openen en die vallen binnen het ‘regular user profile’. Ook deelt het CBb niet de stelling dat bunq het doel en de beoogde aard van de zakelijke relatie pas vaststelt aan de hand van het transactiegedrag ná het aangaan van de relatie. Bunq stelt bij de onboarding van nieuwe klanten diverse vragen en legt persoonsgegevens vast. Bunq kan deze informatie bijstellen zodra uit transactiegedrag blijkt dat het doel en de beoogde aard van de relatie onjuist is vastgesteld. Het CBb is dus van oordeel dat bunq voldoet aan de vaststelling van het beoogde doel en de aard van de zakelijke relatie, waarbij de risicogebaseerde benadering centraal staat:
‘Daartoe is van belang dat, zoals hiervoor ook is overwogen, artikel 3, tweede lid, aanhef en onder c, van de Wwft niet voorschrijft op welke wijze het cliëntenonderzoek moet worden verricht, maar dat het inwinnen van informatie over het doel en de beoogde aard van de zakelijke relatie een instelling in staat moet stellen om eventuele risico’s die de dienstverlening aan een cliënt oplevert in te schatten’ [*26].
Het CBb gaat vervolgens kort in op de transactiemonitoring van bunq. DNB voert aan dat de tekortkomingen in het cliëntonderzoek inzake het doel en de beoogde aard van de relatie doorwerkt in de transactiemonitoring. Deze stelling deelt het CBb niet, omdat bunq voldoet aan de wijze waarop zij het doel en de aard van de zakelijke relatie vastlegt voorafgaand aan en tijdens de zakelijke relatie.
Helaas voor de rechtsontwikkeling wordt hetgeen bunq naar voren brengt over haar machine learning niet beoordeeld door het CBb [*27]. In het vervolg van de uitspraak gaat het CBb in op de vraag of bunq voldoet aan overige eisen van DNB, zoals het onderzoek naar de bron van de middelen en Politically Exposed Persons, of bunq overeenkomstig het Besluit prudentiële regels handelt en of DNB mocht eisen van bunq dat zij een onafhankelijke partij de herstelwerkzaamheden van bunq liet toetsen (validatie). Deze laatste onderwerpen laten wij buiten beschouwing.
Wat maakt dit hoger beroep zo interessant?
Interessant aan de uitspraak is dat de door DNB geëiste invulling van het cliëntenonderzoek niet wordt gedeeld door het CBb. Het CBb benoemt expliciet dat de Wwft niet voorschrijft op welke wijze het cliëntenonderzoek moet worden verricht, maar dat het inwinnen van informatie over het doel en de beoogde aard van de zakelijke relatie een instelling in staat moet stellen om eventuele risico’s die de dienstverlening aan een cliënt oplevert in te schatten [*28]. Dat bunq op een innovatieve wijze informatie vergaart over de cliënt en dit afstemt met het risicoprofiel van de cliënt is dus toegestaan. Het roept daarmee de vraag op of alle technologische mogelijkheden die de huidige wetgeving biedt, wel worden benut. Wereldwijd staan de traditionele grootbanken bekend om hun verouderde software en data [*29]. Hierdoor blijven kansen onbenut, ook op commercieel gebied. Bunq bewijst dat moderne technologie behulpzaam is ter uitvoering van de verplichtingen uit de Wwft. Hierbij valt te denken aan AI.
De werkwijze van bunq kan als voorbeeld dienen om op een innovatieve wijze invulling te geven aan de verplichtingen uit de Wwft. Of deze werkwijze vervolgens ook leidt tot een effectieve witwasbestrijding is nog niet bekend, maar dat is ook niet bekend over de werkwijze zoals de meeste banken nu invulling geven aan de verplichtingen uit de Wwft [*30].
Voorstellen wetswijzigingen gaan voor nu te ver
De effectiviteit van de huidige witwasaanpak staat volop ter discussie [*31]. Deze discussie is opnieuw aangewakkerd naar aanleiding van het gewijzigde wetsvoorstel inzake gezamenlijke transactiemonitoring [*32]. Gezamenlijke transactiemonitoring zou namelijk het identificeren van ongebruikelijke transacties eenvoudiger, effectiever en efficiënter moeten maken [*33]. Hiervoor is voorgesteld dat banken transacties van (rechts)personen gezamenlijk monitoren op ongebruikelijke transacties. Deze transacties zouden in geanonimiseerde vorm worden gebundeld in een daartoe ingerichte voorziening die, mede op basis van technologie, transacties onderzoekt. Met behulp van gezamenlijke transactiemonitoring geeft de wetgever invulling aan de wijze waarop data en technologie volgens de FATF gebruikt zou moeten worden.
Het wetsvoorstel inzake gezamenlijke transactiemonitoring krijgt echter veel kritiek te verduren. De Raad van State, Autoriteit Persoonsgegevens en professionals uit de praktijk vinden het een te vergaande inbreuk op de privacy van burgers [*34]. De Autoriteit Persoonsgegevens sprak van ‘ongekende massasurveillance door banken’ en de Raad van State vroeg zich af of alle (technologische) mogelijkheden die de huidige wetgeving biedt, al zijn benut [*35]. Kortom, het is de vraag of gezamenlijke transactiemonitoring wel noodzakelijk en proportioneel is. De kritiek heeft geleid tot verschillende aanpassingen in het wetsvoorstel waarna het alsnog in gewijzigde vorm is ingediend bij de Tweede Kamer. Het is de vraag of gezamenlijke transactiemonitoring proportioneel en daarmee noodzakelijk is om tot een betere identificatie van mogelijke witwasrisico’s te komen.
Ingevolge de huidige Wwft monitoren banken transacties op basis van hun eigen en openbare informatie. Zij dienen, zoals gezegd, op basis van deze informatie ongebruikelijke transacties te identificeren en te melden aan de FIU. Deze transactiemonitoring stelt banken in staat om 1) maatregelen te ne men om geïdentificeerde risico’s te mitigeren en 2) de FIU in staat te stellen de ongebruikelijke trans acties te beoordelen op hun verdachte karakter. Op het moment dat sprake is van een verdacht karakter kan deze (verdachte) transactie worden doorgestuurd naar opsporingsdiensten teneinde een onderzoek te starten.
Om te onderzoeken of deze beperking aan het individueel monitoren van transacties opgelost kan worden, is in 2018 een pilot uitgevoerd door een vijftal banken waarbij transacties van een geselecteerde groep van midden- en kleinbedrijven gezamenlijk is gemonitord [*36]. De Nederlandse Vereniging van Banken (‘NVB’) concludeerde uit deze pilot het volgende [*37]:
- Gezamenlijke transactiemonitoring leidt tot meer en nauwkeuriger detectie dan individuele transactiemonitoring.
- In de pilot werden cases zichtbaar die individuele banken niet konden identificeren, omdat de individuele bank niet over alle informatie beschikte.
- Een steekproef liet zien dat de onderzoekswaardigheid van alerts bij gezamenlijke transactiemonitoring hoger bleek dan bij individuele transactiemonitoring.
- Gezamenlijke transactiemonitoring leidt daardoor tot meer, nieuwe en unieke cases.
- Bovendien waren er minder ‘false positives ‘.
Kortom, de FATF, wetgever en de NVB zien het voordeel in van gezamenlijke transactiemonitoring. Dat het voordelen oplevert betwisten wij ook niet. Het is alleen de vraag of dit voldoende proportioneel is en noodzakelijk is om witwassen en terrorismefinanciering beter te voorkomen en bestrijden.
Net als de Raad van State zien de verenigde Europese privacytoezichthouders (de European Data Protection Board, ‘EDPB’) die noodzakelijkheid niet. Zij hebben recent een oproep gedaan aan, onder andere, het Europees Parlement om de bevoegdheid tot datadelen tegen witwasbestrijding juist níet op te nemen [*38]. Ook het Europees Parlement wil namelijk instellingen in staat stellen informatie te delen met elkaar. Deze maatregel is onderdeel van een veelomvattend anti-witwas pakket waarover de onderhandelingen tussen de lidstaten nog lopen [*39].
De EDPB uit ernstige zorgen over de rechtmatigheid, noodzaak en evenredigheid van de voorstellen. Volgens de EDPB, leiden de voorstellen zeer waarschijnlijk tot buitenproportionele gegevensverwerkingen. In haar persbericht over deze brief, verwoordt de Autoriteit Persoonsgegevens de kritiek van de EDPB als volgt: ‘De risico’s voor burgers zijn ernstig, en de gegevensverwerking kan aanzienlijke impact hebben op mensen. Zij kunnen bijvoorbeeld op zwarte lijsten terechtkomen en uitgesloten worden van financiële diensten. De EDPB dringt er dan ook op aan om deze bepalingen niet op te nemen in het definitieve voorstel van de wet’ [*40].
Een serieus aandachtspunt is dat de bestrijding van het witwassen van geld mede wordt belegd bij instellingen in de vorm van publiek-private samenwerkingen, terwijl dit een taak is van de overheid [*41]. In haar recente brief verwoordt de EDPB dit als volgt: ‘The setting up of public-private partnerships (‘PPPs’) aiming to allow private parties (i.e. the obliged entities) to monitor subjects (i.e. their customers), on the basis of operational information provided by law enforcement authorities, and possibly related to ongoing law enforcement investigations, would entail significant risks from a data protection perspective.6 In particular, the EDPB recalls that the combatting of crime is in essence a public task and that the allocation of the said task to private enterprises or PPP’s should be strictly limited and thoroughly scrutinized. From a privacy and data protection perspective, limiting the flow of information from obliged entities to public authorities constitutes a safeguard for individuals. Therefore, the processing operation concerning information on possible offences arising from the reported suspicious transactions should be, in principle, limited to public authorities, given their sensitive nature and their impact on the fundamental rights of the concerned individuals.’
Inzet technologie voldoende benut?
Het is, net zoals de Raad van State oordeelde, dus de vraag of alle technologische mogelijkheden die de huidige wetgeving biedt voldoende zijn benut. Zo blijkt uit de bunq uitspraak dat technologie wel degelijk kan bijdragen aan de uitvoering van het cliëntonderzoek. In een andere rechtszaak is bunq eveneens (ambtshalve) genoemd als voorbeeld bij het identificeren van ongebruikelijke transacties [*42].
In deze andere zaak was aan de orde of ING Bank N.V. (‘ING’) een alert had moeten krijgen naar aan- leiding van transacties die mogelijk te maken hadden met fraude. De ING ontving geen alert en was daarom van mening dat zij geen nader onderzoek moest verrichten naar de transacties, gevolgd door eventuele te nemen maatregelen. De rechtbank overweegt hierbij het volgende: [*43] ”Het roept bij de rechtbank vragen op dat de betalingen en geldopnames geen alerts hebben opgeleverd. Er was sprake van een particuliere betaalrekening, die slechts enkele maanden eerder was geopend en waarop nauwelijks transacties hebben plaatsgevonden. Vóór 9 april 2020 bedroeg de allerhoogste binnengekomen girale betaling € 3. Vervolgens werden vanaf een buitenlandse bankrekening bedragen bijgeschreven van bij elkaar meer dan € 86.000. Uit die feiten blijkt niet dat sprake is van fraude, maar er lijkt sprake van een risico dat de betaalrekening wordt gebruikt door fraudeurs. Dat geldt des te meer als de overgemaakte bedragen vervolgens in hoog tempo contant worden opgenomen. Daarbij komt dat de rechtbank, zoals op de zitting al is besproken, ambtshalve bekend is met een zaak waarin bij bunq een binnengekomen betaling van iets meer dan € 40.000 van een buitenlandse (in dat geval: Griekse) zakelijke rekening op een één maand eerder geopende particuliere betaalrekening waar nog geen activiteit op had plaatsgevonden, wél een alert genereerde, nog voordat er iets met het binnengekomen geld was gebeurd. De vraag is waarom het geautomatiseerde systeem van bunq zo’n betaling er wel uitlicht, en het systeem van de bank niet.”
De reden waarom bunq wel een alert genereert en de ING niet, blijkt niet uit de uitspraak. Dit heeft echter alles te maken met de gebruikte technologie en data om een alert te genereren. Bunq oprichter Niknam geeft hierbij aan dat zijn manier van transactiemonitoring effectiever is om fraude te herkennen en dat hetgeen DNB vraagt van banken ouderwets is [*44].
Dat het bunq kennelijk wel lukt om fraudegevallen (beter) te herkennen, leert ons dat je twijfel kunt hebben bij de wijze waarop de ‘traditionele’ banken de transacties monitoren. Bunq krijgt hier ook steun uit andere hoeken, zo blijkt uit een artikel over de rechtszaak op Banken.nl: [*45]
”Overigens kan bunq in zijn rechtszaak tegen de toezichthouder rekenen op de steun van de Nederlandse Vereniging van Banken. Een woordvoerder van de brancheorganisatie stelt in de krant dat het toezicht op de naleving van de Wet ter voorkoming van witwassen en financieren van terrorisme meer op het resultaat gericht zou moeten zijn, en minder op het formele proces zelf. Ook vanuit de politiek klinkt steun voor het ‘verzet’ van bunq. Volgens Tweede kamerlid Henk Nijboer (PvdA) kan én moet de aanpak van foute transacties beter. ‘Bunq heeft natuurlijk gelijk dat er een papieren veiligheid ontstaat als je een crimineel vraagt wat hij van plan is.’ Het FD schrijft dat de rechtszaak op de voet wordt gevolgd door het ministerie van Financiën – een woordvoerder stelt dat men bij de toezichthouder zal informeren of het toezicht ‘nog voldoende aansluit op de huidige praktijk van vergaande digitale dienstverlening’. “
De gezamenlijke transactiemonitoring moet leiden tot kwalitatievere meldingen van ongebruikelijke transacties. Desalniettemin kun je je afvragen of de huidige kwaliteit van de ongebruikelijke transacties niet het gevolg is van de lage melddrempel van ongebruikelijke transacties. Er zijn namelijk geen concrete feiten of omstandigheden vereist om te moeten overgaan tot een melding aan de FIU. Een instelling hoeft slechts ‘aanleiding [te hebben, aanvulling auteurs] om te veronderstellen dat deze verband kan houden met witwassen of financieren van terrorisme’ [*46]. Wij vragen ons dus af of het de taak is van banken om met behulp van gezamenlijke transactiemonitoring tot kwalitatievere meldingen te komen. Wij scharen ons hier achter de zorgen die de EDPB hierover heeft geuit, zoals hiervoor al besproken. Of zou het meer noodzakelijk zijn om de melddrempel te verhogen waarbij concretere feiten en omstandigheden moeten uitmaken van de melding? Of is het juist de taak van de FIU-NL om het kaf van het koren te scheiden? Het is wat ons betreft begrijpelijk dat banken hun eigen transacties monitoren op mogelijke witwasrisico’s. Een bank zou zich immers niet moeten laten misbruiken voor criminele activiteiten en zij zijn in het financiële verkeer als een spin in het web. De gezamenlijke transactiemonitoring gaat echter verder en neigt naar het daadwerkelijk opsporen van criminele activiteiten, inclusief de daarbij behorende inbreuk op de persoonlijke levenssfeer. Opsporen is echter een taak waartoe specifiek opsporingsautoriteiten zijn belast en waartoe vele maatregelen bestaan om onrechtmatige inbreuk op de persoonlijke levenssfeer te voorkomen.
Dat alle technologische middelen nog niet zijn benut ter uitvoering van de Wwft, blijkt ook uit een recente uitspraak van de Commissie van Beroep van het Klachten Instituut Financiële Dienstverlening (‘Kifid’). Hierin is namelijk bepaald dat een bank een onbewerkte kopie van het identiteitsbewijs mag verwerken én vastleggen. De uitspraak leidde op LinkedIn tot aardig wat discussie. En terecht trouwens. Het Kifid licht bij de uitspraak zelf toe dat het bewaren van het onbewerkte identiteitsbewijs door de bank volgens haar noodzakelijk is in het kader van de identificatieplicht ingevolge de Wwft. De redenering luidt dat de bank aan de hand daarvan aan de toezichthouders kan laten zien dat het cliëntonderzoek heeft plaatsgevonden volgens de wettelijke vereisten. Maar daarvoor is het niet nodig een onbewerkte kopie te bewaren, voegen wij daaraan toe. Met behulp van technologie kan immers het kopie ook bewerkt worden opgeslagen waarbij gevoelige data worden afgeschermd. Het Kifid vervolgt haar uitleg dan met de stelling dat (i) banken wettelijk verplicht zijn om bij het verstrekken van informatie aan de Belastingdienst, het Burgerservicenummer (‘BSN’) te vermelden, en (ii) vanwege het depositogarantiestelsel, banken het BSN van hun rekeninghouders moeten delen met DNB. Dit is in onze ogen een klassiek geval van scope creep, of beter: het husselen van grondslagen met als gevolg een drogreden. Het gaat immers om of de Wwft het bewaren van een onbewerkte kopie rechtvaardigt. Door het ontbreken van een proportioneel en noodzakelijk belang luidt het antwoord op deze vraag ‘nee’.
Komende EU regulering van AI
Met de inzet van (internet) technologie en AI bij transactiemonitoring, komen er nog meer juridische aandachtspunten om de hoek kijken. Zo bevat de AVG49 in artikel 22 bijvoorbeeld een verbod op het nemen van besluiten, die uitsluitend zijn gebaseerd op een geautomatiseerde verwerking van persoonsgegevens. Maar dat is als zodanig niet nieuw. Dat geldt wel voor de AI Act50 die Europa wil gaan introduceren onvermijdelijk een rol gaan spelen. Op 6 december 2022 zijn alle EU-lidstaten het eens geworden over het finale concept, en is het stokje overgedragen aan de Europese Commissie en het Parlement om het voorstel af te ronden.
Het voorstel bevat geharmoniseerde regels voor de ontwikkeling, het in de handel brengen en het gebruik van AI-systemen in de Unie volgens een evenredige, risicogebaseerde aanpak. Het voorstel bevat verder een risicomethodologie om AI-systemen te definiëren, te weten van ‘hoog risico’ naar ‘laag risico’. Voor hoog risico AI-systemen gelden dwingende voorschriften moeten conformiteitsbeoordelingsprocedures worden gevolgd. Voor laag risico AI- systemen gelden slechts minimale transparantieverplichtingen.
Interessant is waar technologie en AI, die door ban- ken wordt gebruikt in het kader van identificatie en monitoring, onder de AI Act zal worden geclassificeerd. Dat is momenteel nog geen uitgemaakte zaak, maar het heeft er alle schijn van dat dit ‘hoog risico’ wordt. We lichten dit hierna kort toe.
Het Europese Parlement heeft al voorstellen aan de Europese Commissie gedaan om het kader van ‘hoog risico AI-systemen’ uit te breiden. Zo valt in overweging 35 van de AI Act het volgende te lezen: “technische onnauwkeurigheden van AI-systemen voor de biometrische identificatie op af- stand van natuurlijke personen kunnen tot ver- tekende resultaten leiden en discriminerende effecten met zich meebrengen. Dit is met name relevant wanneer het gaat om leeftijd, etniciteit, geslacht of handicaps. Daarom moeten biometrische systemen voor identificatie op af- stand ‘in realtime’ en ‘achteraf’ als systemen met een hoog risico worden aangemerkt. Gezien de risico’s die zij inhouden, moeten voor beide soorten systemen voor biometrische identificatie op afstand specifieke eisen inzake menselijk toezicht en het bijhouden van logbestanden gelden.”
Ook overweging 38 geeft nog een belangrijke aanwijzing. Het gaat weliswaar om instanties van rechtshandhaving die AI-systemen inzetten, maar de argumentatie kan wat ons betreft ook worden toegepast op de inzet van AI door de financiële sector in het kader van transactiemonitoring. Allereerst stelt overweging 38 dat ‘wanneer het AI-systeem niet is getraind met kwalitatief hoogwaardige data, niet voldoet aan toereikende voorschriften wat betreft de nauwkeurigheid of robuustheid ervan of niet goed is ontworpen en getest voordat het in de handel is gebracht of anderszins in gebruik is gesteld’ er discriminatie of onrechtvaardigheid kan optreden. De overweging vervolgt dat het daarom passend is ‘om een aantal AI-systemen dat bedoeld is voor gebruik in de context van rechtshandhaving, waar nauwkeurigheid, betrouwbaarheid en transparantie bijzonder belangrijk zijn om negatieve effecten te voorkomen, het vertrouwen van het publiek te behouden en de verantwoording en doeltreffende voorziening in rechte te waarborgen, als systemen met een hoog risico te classificeren.
Het gevolg is: een (flink) verhoogde mate van compliance. Denk aan een systeem voor risicobeheer [*49], vereisten omtrent data, datakwaliteit en beheer [*50], ‘verplichte logging [*51] en verplichte conformiteitsbeoordelingen en certificeringen. [*52]. En het zal aanpassingen vergen in afspraken met betrokken toeleveranciers, zoals producenten en distributeurs. Voor wat betreft aspecten rondom aansprakelijkheid, verwijzen wij graag naar het lezenswaardige artikel van Polo van der Putt en Reinoud Westerdijk in het Tijdschrift voor Internetrecht [*53].
Afrondend
De zaak van bunq tegen de DNB laat zien dat moderne technologie bruikbaar kan zijn om de verplichtingen uit de Wwft na te leven. Welke technologie daarvoor het meest geschikt is, zoals gezamenlijke transactiemonitoring of AI zoals bunq heeft gebruikt, is allemaal nog niet bekend. Wel leert discussie omtrent het hoger beroep tussen bunq en DNB dat de inzet van technologie nog onvoldoende wordt benut, en toezicht nog teveel gericht is geweest op de papieren werkelijkheid. De komst van de AI Act zorgt wel voor extra compliance verplichtingen en gezien de discussies rondom AI (neem alleen al Chat GPT) juichen wij regulering alleen maar toe.
De auteurs zijn beiden werkzaam bij BDO Nederland. De eerste, Mr. Sander Riemslag Baas is Economic Crime Officer bij BDO Nederland en Mr. Menno Weij is partner Tech & Privacy Law bij BDO Tax & Legal en tevens redactielid van het Tijdschrift voor Internetrecht. Menno Weij zal op 15 juni aanstaande tijdens het Risk & Compliance Jaarcongres het Professorendebat leiden tijdens het netwerkdiner.
[*1] Feitenrelaas ING | Besluit | Openbaar Ministerie (om.nl).
[*2] College van Beroep voor het bedrijfsleven 18 oktober 2022, ECLI:NL:CBB:2022:707.
[*3] Zie bijvoorbeeld Historisch hard oordeel rechter over witwasaanpak DNB in bunq-zaak (fd.nl).
[*4] Zie bijvoorbeeld F.M.A. ’t Hart ‘Verboden legaliteit’ FR 2019, nr. 9, R.K. Pijpers ‘Zomerzotheid’, FR 2019, nr. 9, F.M.A.’t Hart,’De bancaire strijd’, AA juni 2020, p. 541, D. Busch ‘Hoe ‘hard’ is soft law’?, FR 2021, nr. 11 en Legale belastingontwijking volgens DNB reden voor banken om klanten te weigeren (fd.nl).
[*5] De FATF is een intergouvernementeel orgaan dat is opgericht door de G7 landen in 1989. De FATF ontwikkelt internationale standaarden ter voorkoming en bestrijding van witwassen en terrorismefinanciering en wordt erkend door meer dan 200 landen. Europese anti- witwaswet- en regelgeving is mede gebaseerd op hetgeen de FATF ontwikkelt en uitvaardigt. Zie ook Who we are (fatf-gafi.org).
[*6] Art. 1a Wwft.
[*7] Kamerstukken II 2017/18, 34 808, nr. 3, par. 3.3.
[*8] Art. 3 lid 2 Wwft.
[*9] Indien de uiteindelijk belanghebbende lid is van het hoger leidinggevend personeel, noodzakelijke redelijke maatregelen te nemen om de identiteit te verifiëren van de natuurlijke persoon die lid is van het hoger leidinggevend personeel, waarbij de genomen maatregelen en de ondervonden moeilijkheden tijdens het verificatieproces worden vastgelegd.
[*10] Welke risico’s in ieder geval vastgesteld en beoordeeld moeten worden is vastgelegd in art. 2b Wwft.
[*11] Zie voor meer landen de bijlage van de Gedelegeerde Verordening (EU) 2023/410.
[*12] Vereenvoudigd cliëntonderzoek is vastgelegd in art. 6-7 Wwft, standaard cliëntonderzoek in art. 3-5 Wwft en verscherpt cliëntonderzoek in art. 8-9a Wwft. In bepaalde gevallen is overigens verscherpt cliëntonderzoek bij wet voorgeschreven.
[*13] Art. 16 lid 1 Wwft.
[*14] Hoe het onderzoek van de FIU in zijn werk gaat ter verdacht verklaring van ongebruikelijke transacties is uitgebreid beschreven in een eerdere publicatie van A.M. Riemslag Baas, ‘Verdacht verklaringen van de FIU. Beter een vogel in de hand dan tien in de lucht’, FRP juni 2022, nr. 4, p. 36-45.
[*15] Bijlage 1 Uitvoeringsbesluit Wwft 2018.
[*16] Bijlage 1 Uitvoeringsbesluit Wwft 2018.
[*17] Bijlage 1 Uitvoeringsbesluit Wwft 2018.
[*18] Kamerstukken II 2022/23, 36 228, nr. 2.
[*19] FATF,’Data Protection, Technology and Private Sector Information Sharing’ juli 2022 en FATF, ‘Stocktake on Data Pooling, Collaborative Analytics and Data Protection’ juli 2021.
[*20] Kamerstukken II 2022/23, 36 228, nr. 2.
[*21] Zie bijvoorbeeld Witwasbestrijding vereist wel degelijk fundamentele herziening (fd.nl), Het is tijd dat DNB zijn beleid verandert (fd.nl), DNB overstag: witwasaanpak moet efficiënter (fd.nl) en Opvallend harde kritiek DNB op witwasaanpak banken (fd.nl).
[*22] Uitsprakenregister geraadpleegd op 25 april 2023. De meeste Wwft-gerelateerde uitspraken zijn tussen accountants en toezichthouder Bureau Financieel Toezicht.
[*23] Zie bijvoorbeeld F.M.A. ’t Hart ‘Verboden legaliteit’ FR 2019, nr. 9, R.K. Pijpers ‘Zomerzotheid’, FR 2019, nr. 9, F.M.A.’t Hart,’De bancaire strijd’, AA juni 2020, p. 541, D. Busch ‘Hoe ‘hard’ is soft law’?, FR 2021, nr. 11 en Legale belastingontwijking volgens DNB reden voor banken om klanten te weigeren (fd.nl).
[*24] Kamerstukken II 2017/18, 34 808, nr. 3, par. 2.1.
[*25] College van Beroep voor het bedrijfsleven 18 oktober 2022, ECLI:NL:CBB:2022:707.
[*26] College van Beroep voor het bedrijfsleven 18 oktober 2022, ECLI:NL:CBB:2022:707, r.o. 8.6.3.
[*27] Op de website van bunq stelt bunq hieromtrent met zoveel woorden dat zij gebruiken maken van supervised machine learning en unsupervised machine learning. In de eerste variant onderzoekt een ‘algoritme meer dan 500 datapunten per transactie […] en [maakt] honderden concurrerende beslisbomen om te bepalen of een transactie verdacht is of niet. Het algoritme leert op basis van jarenlange gelabelde transactiegegevens (…)’, zie ook Zo houdt machine learning jouw geld veilig | bunq.
[*28] Toevallig of niet, kort voor de uitspraak van het CBb publiceerde DNB een nieuwe studie over de witwasbestrijding: aanpakken van witwassen moet gerichter. De kern van deze studie is dat een risicogebaseerde aanpak (weer) centraal staat, zie ook Aanpak van witwassen moet ge- richter (dnb.nl).
[*29] Zie bijvoorbeeld ‘Banken moeten data gedreven werken omarmen voor betere klantervaring’, Aged IT exposes big banks to young challengers | Financial Times (ft.com) en het World Retail Banking Report 2022 World Retail Banking Report 2022 van Capgemini Invent en Efma.
[*30] Aanpak witwassen verbeterd, tijd voor volgende stap | Nieuwsbericht | Algemene Rekenkamer.
[*31] Zie bijvoorbeeld ook A.M. Riemslag Baas, ‘De bijdrage van banken aan het voorkomen en bestrijden van wit- wassen en terrorismefinanciering, FRP maart 2021, nr. 1.
[*32] Kamerstukken II 2022/23, 36 228, nr. 2
[*33] Kamerstukken II 2022/23, 36 228, nr. 3, par. 2.2.2.
[*34] Nieuwe wet opent deur naar ongekende massasurveillance door banken | Autoriteit Persoonsgegevens, Kamer- stukken II 2022/23, 36228, nr. 4 en zie ook bijvoorbeeld. R. Betlem & M. Rotteveel, ‘Nederlandse banken willen af van witwasdossiers, maar nieuwe wet stuit op bezwaren’, FD 23 oktober 2022.
[*35] Kamerstukken II 2022/23, 36228, nr. 4, par. 3.
[*36] Deze pilot is genaamd ‘Transaction Monitoring Netherlands’.
[*37] Kamerstukken II 2022/23, 36228, nr. 3, par. 2.2.2.
[*38] Brief van 28 maart 2023, zie https://edpb.europa.eu/sy stem/files/2023-04/edpb_letter_out2023-0017_aml_cft_c om_en.pdf.
[*39] Het anti-witwaspakket omvat onder meer een Europese toezichthouder op het gebied van de anti-witwaswetgeving. Ook bevat het pakket een nieuwe verordening en richtlijn inzake witwasbestrijding, zie Anti-money laundering and countering the financing of terrorism legislative package (europa.eu).
[*40] https://autoriteitpersoonsgegevens.nl/nl/nieuws/edpb-neem-bevoegdheid-om-data-te-delen-voor-witwasbestrijding-niet-op-wet.
[*41] Momenteel bestaan er al verschillende publiek-private samenwerkingen tussen banken en opsporingsdiensten, zoals het Financieel Expertise Centrum, Samen effectief – FEC-partners.
[*42] ECLI:NL:RBAMS:2022:5898, Rechtbank Amsterdam, r.o. 4.17.
[*43] ECLI:NL:RBAMS:2022:5898, Rechtbank Amsterdam, r.o. 4.17.
[*44] Rechtszaak bunq zet witwasaanpak DNB op scherp (banken.nl).
[*45] Zie voetnoot 21.
[*46] Bijlage 1 Uitvoeringsbesluit Wwft 2018.
[*47] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richt- lijn 95/46/EG (algemene verordening gegevensbescherming), eur-lex.europa.eu/legal-content/NL/TXT/?uri=cel ex%3A32016R0679.
[*48] Voorstel voor een Verordening tot vaststelling van ge- harmoniseerde regels betreffende artificiële intelligen- tie (2021/0106(COD), zie https://eur-lex.europa.eu/legal- content/NL/TXT/?uri=CELEX.
[*49] Zie artikel 9 AI Act.
[*50] Zie artikel 10 AI Act.
[*51] Zie artikel 12 AI Act.
[*52] Zie hoofdstuk 5 AI Act.
[*53] AI en aansprakelijkheid: stappen naar een nieuw regime, mr. P.G. van der Putt en mr. R.J.J. Westerdijk, Tijdschrift voor Internetrecht nr. 1, maart 2023, p. 5-12.
Dit artikel is eerder gepubliceerd in het Tijdschrift voor Internetrecht, nummer 2, mei 2023.
