Onlangs is een wetsvoorstel door het ministerie van Financiën bekendgemaakt dat grote impact zou kunnen hebben op de privacy van burgers. Het gaat om de wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd verstrekken en ontsluiten van identificerende gegevens door banken en betaaldienstverleners (Wet verwijzingsportaal bankgegevens).
Het gaat daarbij met name om het volgende artikel:
Afdeling 3.5.10. Verwijzingsportaal bankgegevens
Artikel 3:267i
- Banken en andere betaaldienstverleners die rekeningen aanbieden met een IBAN identificatienummer als bedoeld in de SEPA-verordening dat de landcode NL bevat, en banken die in Nederland kluizen aanbieden, zijn aangesloten op een door Onze Minister van Justitie en Veiligheid beheerd centraal elektronisch systeem voor de geautomatiseerde verstrekking en ontsluiting van bij algemene maatregel van bestuur aangewezen identificerende gegevens betreffende hun cliënten en van hun gemachtigden. Zij maken gebruik van dit systeem ter voldoening aan vorderingen of verzoeken om identificerende gegevens bij of krachtens:
De Privacy Barometer schreef hierover op 2 juli jongstleden een brief naar minister Hoekstra van Financiën:
Onlangs gaf u een voorstel in consultatie waarmee overheidsinstanties, waaronder opsporingsinstanties, makkelijker toegang krijgen tot identificerende gegevens bij banken.
Uit zowel het voorstel als uit de toelichting wordt duidelijk dat niet wordt onderkend dat het digitaal ontsluiten van gegevens een veel grotere impact op privacy van mensen heeft dan een handmatig proces. De indruk wordt gewekt alsof in de praktijk geen verschil maakt. Maar handmatig door een kaartenbak zoeken is echt wat anders dan digitale zoekopdrachten in de administratiesystemen van alle banken.
In algemene zin valt op dat het wetsvoorstel onnodig ruim is geformuleerd en de toelichting waarom dit noodzakelijk is ontbreekt. Veel waarborgen voor zorgvuldige omgang met de privacy van burgers zijn niet of onvoldoende ingevuld.
Hieronder treft u onze aanbevelingen voor dit voorstel aan.
Inhoudsopgave
1. Onderschat de privacy impact niet
2. Onderbouw of dit systeem wel noodzakelijk is
3. Baken op te vragen gegevens af
4. Voeg uiterste zoekperiode toe
5. Neem autorisatie en logging in wetsvoorstel op
6. Geef Tweede en Eerste Kamer inspraak
7. Creëer onafhankelijk toezicht
8. Rapporteer jaarlijks over het gebruik
9. Voeg een evaluatie- en horizonbepaling toe
Alleen punt 1 uit de brief van Privacy Barometer vermelden we hier:
1. Onderschat de privacy impact niet
U schrijft in de Memorie van Toelichting (MvT): “Het wetsvoorstel heeft geen directe gevolgen voor burgers. Gegevens die nu handmatig opgevraagd kunnen worden, kunnen dat straks via het portaal.”
Dit is een flinke onderschatting van de overgang van het “veelal handmatig en op individuele basis” opvragen van gegevens naar een geautomatiseerd proces. De laatste gepubliceerde gegevens over het aantal opvragingen dateren uit 2008 en spreken over 6000 vorderingen op basis van artikel 126nc Sv en 7000 op basis van artikel 126nd Sv.
Een vergelijkbaar systeem voor het opvragen van identificatiegegevens is het CIOT-systeem. Het gaat dan om identificerende gegevens bij telecombedrijven. Daar gebeurt de bevraging al geautomatiseerd wat leidt tot ruim 2 miljoen raadplegingen per jaar.
Het enorme verschil in aantallen geeft precies het verschil aan tussen een handmatig proces op individuele basis en een geautomatiseerd proces.
Onderkend zou moeten worden dat dit wetsvoorstel mogelijk leidt tot een explosieve groei in het aantal bevragingen en dat dit dus een navenant grote impact op de privacy van burgers heeft. Het wetsvoorstel dient daarom stevige criteria en waarborgen te bevatten om deze grotere inbreuk op de privacy tot het strikt noodzakelijke te beperken.
Volgens de toelichting is er al een Privacy Impact Assessment uitgevoerd. Deze PIA is niet bijgevoegd, maar duidelijk is wel dat de uitgevoerde PIA de grote gevolgen voor privacy niet heeft onderkend. Het is aan te bevelen een nieuwe PIA uit te laten voeren door een onafhankelijke deskundige partij.