Een juridische opinie van advocatenkantoor Prakken d’Oliveira stelt dat vijf grote Nederlandse banken (ING, Rabobank, ABN AMRO, de Volksbank en Triodos) in hun samenwerking onder Transactiemonitoring Nederland (TMNL) mogelijk strafbaar hebben gehandeld. Stichting Human Rights in Finance is al jaren kritisch op het project en sleepte De Nederlandsche Bank voor de rechter om handhaving af te dwingen. Maar de schade is eigenlijk al aangericht; na drie jaar onwettige verwerking heeft TMNL naar schatting tien miljard transactiegegevens opgeslagen en geanalyseerd.
Samenwerken om fraude te bestrijden die anders niet ontdekt had kunnen worden, zo klonk de rechtvaardiging van de jarenlange samenwerking onder TMNL. Concreet bewijs voor deze aanname is er tot op de dag van vandaag niet. Wel wijzen experts op de risico’s die publiek-private samenwerking met zich mee brengt. Bovendien gaat het over één van de meest gevorderde en verstrekkende AI toepassingen tot nu toe, aangezien vrijwel elke Nederlander – direct of indirect – onderworpen is geweest aan de algoritmes van TMNL.
Alvorens in te gaan op details, een samenvatting van het TMNL project. Het project bestond uit een samenwerking tussen de vijf banken, het Ministerie van Financiën, de Nederlandse Vereniging van Banken (NVB) en De Nederlandsche Bank (DNB). Onder het samenwerkingsverband TMNL zijn zo’n drie jaar lang gegevens gedeeld, vermoedelijk zonder wettelijke grondslag, in wat de Raad van State een ‘ongekende schaal van gegevensdeling’ noemde.
Simon Lelieveldt, directeur van stichting Human Rights in Finance (HRIF), schat dat de banken in de afgelopen drie jaar zo’n 10 miljard transactiegegevens hebben verwerkt. De stichting stelt bovendien dat de banken het uitbestedingsverbod uit de Wet witwassen financiering terrorisme (Wwft) overtreden. Deze stelling is bekrachtigd door de juridische opinie van mensenrechtenadvocaat dr. mr. Kris Zeegers, die tevens stelt dat de banken strafrechtelijk hebben gehandeld. Voor directeur van stichting Human Rights in Finance Simon Lelieveldt is het duidelijk: ”Transactiemonitoring Nederland is een wolf in schaapskleren, die door juridische kletskoek wordt goedgepraat.”
De vijf banken reageren in een gezamenlijke verklaring aan PONT | Data & Privacy op de juridische opinie. De banken ontkennen dat sprake is geweest van gegevensuitwisseling tussen banken onderling en stellen dat geen uitbesteding van transactiemonitoring aan TMNL heeft plaatsgevonden.
Oprichting Transactiemonitoring Nederland
Witwas- en fraudebestrijding aanpakken doormiddel van gezamenlijke monitoring door banken en Artificial Intellegence (AI), dat was de schets voor het project Transactiemonitoring (TMNL). Het werd een wereldwijde uitschieter in de strijd tegen groeiende criminele geldstromingen, onder leiding van het kabinet Rutte III-IV. De oprichting komt voort uit de ambities van het Ministerie van Financiën om wereldwijd koploper te worden wat betreft fraudebestrijding. Als de grootste vijf banken via de woordvoerder van het project – de Nederlandse Vereniging van Banken (NVB) -– in 2021 de samenwerking aankondigen, reageren het Ministerie van Financiën en de toezichthouder enthousiast.
Op dat moment geldt er nog een verbod op gezamenlijke transactiemonitoring op grond van de Wwft. Er komt een wetsvoorstel om dit toch mogelijk te maken en de toezichthouder laat de samenwerking toe. Bijzonder is dat De Nederlandsche Bank betrokken is in de oprichting en naar eigen zeggen bijdraagt door kennis te delen met TMNL. In een rapport schrijft de toezichthouder dat initiatieven zoals TMNL moeten worden aangemoedigd;1 dit schuurt met het wettelijke verbod op uitbesteding van monitoring van zakelijke klanten. Deze monitoring moet volgens de leidraad Wwft en Sw van De Nederlandsche Bank worden uitgevoerd door banken zelf. Op haar website zegt TMNL zelf dat het bedrijf ‘momenteel alleen transacties van zakelijke klanten monitort.’
Volgens stichting HRIF ziet de gegevensdeling echter op nagenoeg het gehele betalingsverkeer bij de vijf grootste banken van Nederland. Alleen overboekingen tussen particulieren en het betalingsverkeer van bedrijven met een jaaromzet van boven de 250 miljoen euro, zijn uitgesloten van monitoring door TMNL volgens de stichting.
De werkzaamheden van TMNL gaan door tot de juridische kwestie definitief wordt afgedaan door aanname van de Anti Money Laundering (AML) verordening door de Europese Raad dit voorjaar. Hierin wordt een andere route gekozen wat betreft gezamenlijke monitoring. Europa zet hiermee een definitieve streep door de plannen van het Ministerie, De Nederlandsche Bank en TMNL.
Strafbaar handelen
Het uiteindelijke doel van de samenwerking is om de Financial Intelligence Unit (FIU-Nederland) informatie te verstrekken zodat zij witwassende criminelen kunnen opsporen. Maar de gegevensdeling door banken aan TMNL kan volgens dr. mr. Krit Zeegers, advocaat financieel strafrecht bij Prakken d’Oliveira, mogelijk kwalificeren als cyberdelict. Het delen van automatisch geregistreerde niet-openbare gegevens is sinds 2019 namelijk een cyberdelict. In zijn juridische opinie concludeert Zeegers:
“Er is geen wettelijke grond of bevoegdheid voor het doorgeven van de transactiegegevens door banken aan TMNL – de oprichting van TMNL is een zelfstandig initiatief van de deelnemende banken. Het doorgeven van deze gegevens lijkt dan ook te kwalificeren als wederrechtelijk. Te meer nu, zoals hiervoor opgemerkt, de Wwft financiële instellingen verbiedt om hun verplichting tot transactiemonitoring uit te besteden aan derden. Althans, de bevoegdheid om onderdelen van het cliëntenonderzoek wel uit te besteden aan derden, sluit transactiemonitoring expliciet uit.
Het doorgeven van bancaire transactiegegevens van zakelijke klanten door ABN AMRO, ING, de Rabobank, Triodos Bank en de Volksbank aan TMNL (en, via TMNL, aan de andere deelnemende banken) vervult daarmee alle bestanddelen van de delictsomschrijving uit artikel 138c Sr en kan daarmee worden aangemerkt als strafbaar feit. Ook de terugmeldingen van TMNL aan individuele banken kwalificeert als zodanig nu zij voor de banken (de ander) een bewerking van de eerder onrechtmatige informatie doorgeeft.”
De opinie betwist de standpunten van TMNL en is duidelijk: ‘Gegevensdeling met TMNL is strafrechtelijk kwalificeerbaar onder artikel 138c Wetboek van Strafrecht.’ Volgens Lelieveldt doet de situatie denken aan een quote van Nietzsche: “Beware that, when fighting monsters, you yourself do not become a monster.”
De grootbanken zijn het echter oneens met de feitelijke en juridische stellingen zoals geformuleerd door Zeegers. In een reactie aan PONT | Data & Privacy laten de banken gezamenlijk het volgende over de juridische opinie weten:
“Allereerst delen de banken geen transactiedata met elkaar via Transactie Monitoring Nederland (TMNL), zoals onterecht wordt gesteld door het advocatenkantoor. De signalen die door TMNL worden afgegeven aan de individuele banken hebben enkel betrekking op de klanten van de desbetreffende bank. Hierbij zien de banken geen data van één van de andere banken.
Geen van de vijf deelnemende Nederlandse banken heeft bovendien ooit hun activiteiten aan TMNL ‘uitbesteed’, noch in juridische zin noch feitelijk, laat staan op een manier die in strijd zou zijn met de toepasselijke anti-witwaswet- en regelgeving, en/of zelfs het Nederlandse strafrecht, zoals uit de analyse van het advocatenkantoor ten onrechte naar voren komt.
Als poortwachters van het financiële stelsel hebben alle deelnemende banken altijd zelfstandig hun eigen cliëntenonderzoek uitgevoerd, inclusief doorlopende transactiemonitoring. De banken hebben voor dergelijke activiteiten nooit geleund op de diensten van TMNL, laat staan ter vervanging van hun eigen activiteiten alsof deze ‘uitbesteed’ zouden zijn aan TMNL als externe partij. Als zodanig vallen de TMNL-processen binnen het toegestane wettelijke kader en dit zal ook zo blijven, waarbij relevant is dat dit kader opnieuw wordt vormgegeven nu de Europese autoriteiten onlangs de nieuwe EU-anti-witwasverordening (Anti-Money Laundering Regulation – AMLR) hebben geïntroduceerd.”
De banken stellen dus dat er 1) geen transactiedata door banken onder elkaar via TMNL wordt gedeeld. En 2) dat geen sprake is van uitbesteding in feitelijke of juridische zin.
De verklaring is in strijd met de privacy statements en algemene voorwaarden van verschillende van de deelnemende banken. Zo verklaart de ABN AMRO in haar privacyverklaring uit 2021 het volgende:
Om financieel-economische criminaliteit beter te kunnen bestrijden hebben banken TMNL opgericht. TMNL helpt in opdracht van banken waaronder ABN AMRO met het verbeteren van de opsporing van financiële criminaliteit en terrorismefinanciering. 2
ING zegt in een jaarverslag data te leveren voor een gezamenlijke database:
Throughout 2022, ING continued to work in a consortium of Dutch banks on Transaction Monitoring Netherlands (TMNL). The initiative, which monitors transactions within a combined database, is operational and intersecting with thematic areas of focus for law enforcement, enabling us to better understand potential criminal money flows, and improve our detection controls in response to these insights.3
Ook in het privacy statement van de Rabobank stelt de bank dat zij TMNL als verwerker inschakelt om beter aan haar wettelijke verplichting te kunnen voldoen.
Wij kunnen ook andere partijen als verwerker inschakelen om beter aan onze eigen wettelijke verplichtingen te voldoen. Zo gebruiken wij Transactie Monitoring Nederland om de transactiemonitoring van de banken te verbeteren. 4
Kortom, hoewel de banken geen data met elkaar delen via TMNL, delen ze wel degelijk transactie-data met TMNL. Hierbij verricht TMNL werkzaamheden in opdracht van de banken en wordt zij als verwerker aangemerkt. De banken stellen echter dat geen sprake is van uitbesteding in juridische noch in feitelijke zin.
Volgens de wetsgeschiedenis Wwft is de Wft definitie van uitbesteding van toepassing. Daarin is de definitie als volgt:
uitbesteden: het door een financiële onderneming verlenen van een opdracht aan een derde tot het ten behoeve van die financiële onderneming verrichten van werkzaamheden:
- die deel uitmaken van of voortvloeien uit het uitoefenen van haar bedrijf of het verlenen van financiële diensten; of
- die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan.5
Wat betreft de juridische betekenis van uitbesteding lijkt de verklaring van de banken toch moeilijk verdedigbaar.
‘Ongekende massasurveillance’
‘Ongekende massasurveillance.’ Zo noemde de Autoriteit Persoonsgegevens (AP) het wetsvoorstel dat werd ingediend om het TMNL project te formaliseren op 26 januari 2023. De AP acht het wetsvoorstel een vorm van ongedifferentieerde massasurveillance door private partijen, strijdig met het evenredigheidsbeginsel en het Handvest voor de grondrechten van de Europese Unie, resulterend in onrechtmatige aantasting van fundamentele rechten.
Uit stukken blijkt dat het ministerie van Financiën op 31 augustus 2021 wist dat de activiteiten van TMNL verder reikten dan was toegestaan en dat TMNL het Ministerie verkeerd had geïnformeerd:
“Naar aanleiding van het kritische advies van de RvS hebben wij intensief met de banken gesproken over de mogelijkheden om de wettelijke grondslag voor gezamenlijke transactiemonitoring te beperken. Uit deze gesprekken kwam naar voren dat de huidige activiteiten van TMNL verder reiken dan eerder bekend was bij het ministerie.” 6
Nog ongemakkelijker is het feit dat het Ministerie op dat 18 januari 2021 wist dat er bijzondere persoonsgegevens werden verwerkt door TMNL zonder wettelijke grondslag. In haar advies constateert de Raad van State ten opzichte van gezamenlijke transactiemonitoring door TMNL het volgende: “Er worden bijzondere en strafrechtelijke gegevens verwerkt”, waarop het Ministerie bevestigend reageert: “Dit is juist, transactiegegevens kunnen bijzondere en strafrechtelijke persoonsgegevens bevatten.” 7
Concluderend heeft het ministerie, onder leiding van Wopke Hoekstra (CDA), bewust gekozen om TMNL door te laten gaan met de onrechtmatige verwerking van bijzondere persoonsgegevens. De vraag is alleen nog op welke schaal. Wat wel bekend is, is dat TMNL niet is gestopt door de D66 ministers die Hoekstra opvolgden onder Rutte IV. De beëindiging van TMNL volgde namelijk pas op afgelopen 1 juli 2024.
Toezicht
In rapportage van Follow the Money geeft DNB geen antwoord op de vraag of de toezichthouder kan toelichten of TMNL en de banken het uitbestedingsverbod overtreden. Op de vraag of de samenwerking aan de wet is getoetst, antwoordt de woordvoerder dat dit ‘toezichtsvertrouwelijk’ is. Ook de AP laat weten dat de zij geen verklaringen kan doen over al dan niet lopende onderzoeken.
Hoewel TMNL heeft aangekondigd haar werkzaamheden af te gaan bouwen vanwege nieuwe Europese wetgeving, die gezamenlijke monitoring slechts in beperkte gevallen toestaat, is stichting Human Rights in Finance niet van plan te stoppen met procederen. Lelieveldt: “zodat DNB waarborgt dat alle transacties en algoritme’s volledig worden vernietigd en nimmer hergebruikt kunnen worden.”
De stichting heeft, vooruitlopend op een mogelijke massaclaim in de toekomst, een standaardbrief gepubliceerd, zodat personen die onderwerp worden van onderzoek door de banken én gemoeid zijn om hun privacy, bezwaar kunnen maken.
Het blijft de vraag waarom toezichthouders terughoudend blijven. Wat wel duidelijk is, is dat de publiek-private samenwerking in het kader van wat van oudsher een publieke taak was, namelijk opsporing, zorgt voor nieuwe problemen en spanningsvelden tussen de verschillende uitvoerende instanties, het bedrijfsleven en het publiek. Publiek-private samenwerking kan volgens experts leiden tot een surveillance- en intelligentie-apparaat dat voor opsporing kan worden gebruikt, buiten de relevante waarborgen van het strafrecht om.
Dit artikel is geschreven door nieuwsredacteur voor PONT | Data & Privacy, Christian Cordoba Lenis.
Link naar auteursprofiel: https://privacy-web.nl/auteur/christian-cordoba-lenis/
[1] https://www.dnb.nl/media/r1ens11b/jaarverslag-dnb-2021-pdf2a.pdf, pagina 43.
[2] Artikel 138c Wetboek van Strafrecht
[3] https://hrif.eu/wp-content/uploads/2024/07/HRIF-Zienswijze-138c-WvSr-incl.-vertaling-GERED.pdf
[4] https://www.abnamro.nl/nl/media/Privacyverklaring%202024_tcm16-225162.pdf, pagina 8.
[5] https://www.ing.com/MediaEditPage/2022-Annual-Report-ING-Bank-N.V..htm, pagina 124.
[6] https://media.rabobank.com/m/5122985e66bb9c88/original/Privacy-Statement-2023-NL.pdf, pagina 19.
[7] https://wetten.overheid.nl/BWBR0020368/2024-07-01
[8] https://open.overheid.nl/documenten/ronl-e333903480c1fbe1cf4f9b529d34f6030f405a42/pdf, pagina 33.
[9] https://open.overheid.nl/documenten/ronl-e333903480c1fbe1cf4f9b529d34f6030f405a42/pdf, pagina 27.