Dit wetsvoorstel heeft betrekking op het gebruik van het burgerservicenummer bij de uitvoering van het depositogarantiestelsel. Voorgesteld wordt de bestaande grondslag in artikel 3:17, zesde lid, van de Wet op het financieel toezicht (Wft) aan te passen. Die schrijft voor dat banken bij het verwerken van persoonsgegevens in hun administratie gebruikmaken van het burgerservicenummer (BSN) voor het voeren van een administratie die zodanig is dat deze ingeval van toepassing van het depositogarantiestelsel geen belemmering vormt of kan vormen voor de uitbetaling van vergoedingen uit hoofde van het depositogarantiestelsel binnen de daarvoor gestelde wettelijke termijn. De bestaande grondslag vergt dat banken in hun administratie gebruikmaken van het BSN, indien zij daarover beschikken. Om echter tijdige en betrouwbare uitbetaling van vergoedingen te kunnen bewerkstelligen, is het in sommige gevallen noodzakelijk het BSN van een wettelijke of in het geval van een rechtspersoon diens rechtsgeldige vertegenwoordiger die een depositohouder moet vertegenwoordigen vast te leggen en te gebruiken. De reden hiervoor is dat deze vertegenwoordigers zich in voorkomend geval namens degenen die zij vertegenwoordigen melden bij de Nederlandsche Bank (DNB) voor de uitbetaling van vergoedingen uit hoofde van het depositogarantiestelsel. In het geval deze vertegenwoordiger zelf geen klant is bij de bank, beschikt de bank niet over diens BSN en biedt de huidige wettekst op dit moment onvoldoende houvast voor banken om het BSN van die vertegenwoordigers vast te leggen. Daar het BSN een persoonsidentificerend nummer is, waarvan het gebruik bij wet geregeld wordt, wordt voorgesteld dit te verduidelijken.
Daarnaast beoogt het wetsvoorstel te verduidelijken op welke wijze gebruikmaking van het BSN in de bankadministratie nodig is voor de uitvoering van het depositogarantiestelsel. Zoals hierna zal worden toegelicht gaat het om noodzakelijkerwijs breder gebruik dan gebruikmaking enkel voor, in geval van toepassing van het depositogarantiestelsel, het niet belemmeren van uitbetaling van vergoedingen binnen de wettelijke termijn, zoals op dit moment is bepaald.
Op grond van de richtlijn depositogarantiestelsels1 is er een depositogarantiestelsel dat deposito’s garandeert tot € 100.000 per depositohouder bij banken met een Nederlandse bankvergunning en andere banken die verplicht deelnemen. Het doel van het depositogarantiestelsel is tweeledig: enerzijds worden depositohouders beschermd en anderzijds wordt het vertrouwen in het financieel stelsel en daarmee de financiële stabiliteit bevorderd. Doordat depositohouders het vertrouwen hebben dat hun tegoeden tot een bepaald bedrag steeds gegarandeerd zijn, worden bank runs, die het financiële stelsel ingrijpend kunnen destabiliseren, voorkomen.
Banken dragen de kosten van het depositogarantiestelsel. Sinds begin 2016 betalen zij ieder kwartaal bijdragen aan het Depositogarantiefonds, dat deze bijdragen beheert.2 Het Depositogarantiefonds dient medio 2024 een doelomvang van 0,8% van de gegarandeerde deposito’s te bereiken.3 DNB stelt de hoogte van de bijdragen vast. Evenals de doelomvang van het fonds, wordt de hoogte van de bijdragen (mede) bepaald op basis van de hoeveelheid gegarandeerde deposito’s die bij iedere bank wordt aangehouden. Indien – kort gezegd – een bank faalt en depositohouders niet meer bij hun deposito’s kunnen, kent de Nederlandsche Bank (DNB) vergoedingen toe uit hoofde van dit stelsel en keert die uit. Het Depositogarantiefonds stelt hiervoor geld beschikbaar uit het fondsvermogen, zo nodig aangevuld met buitengewone bijdragen die worden geheven van de andere banken.
De termijn waarbinnen DNB en het Depositogarantiefonds in staat moeten zijn om vergoedingen toe te kennen en beschikbaar te maken voor uitkering, is thans twintig werkdagen. Een korte uitkeringstermijn, die ook daadwerkelijk wordt gehaald, is essentieel voor het functioneren van het depositogarantiestelsel. In de kern beoogt het depositogarantiestelsel depositohouders immers het vertrouwen te geven dat hun betaal- en spaartegoeden veilig zijn. Zolang depositohouders erop kunnen vertrouwen dat als een bank in de problemen komt, zij snel weer over hun tegoeden kunnen beschikken, zullen zij minder geneigd zijn hun tegoeden massaal tussentijds weg te halen en elders onder te brengen. Tegen deze achtergrond is de afgelopen jaren de uitkeringstermijn al verkort van drie maanden naar twintig werkdagen en wordt deze komende jaren verder verkort. Uit artikel 8, eerste lid, van de herschikte richtlijn depositogarantiestelsels, waarvan de implementatie is voltooid in 2015, volgt dat de uitkeringstermijn uiteindelijk zeven werkdagen zal bedragen. Bij de implementatie is ervoor gekozen gebruik te maken van de mogelijkheid die de richtlijn biedt om de uitkeringstermijn stapsgewijs terug te brengen, van vijftien werkdagen per 1 januari 2019 naar tien werkdagen per 1 januari 2021 naar uiteindelijk zeven werkdagen per 1 januari 2024.4 DNB en de banken hebben in gezamenlijk overleg ertoe besloten om uitvoeringstechnische redenen af te zien van het geleidelijk terugbrengen van de uitkeringstermijn; vanaf 1 januari 2019 hanteren zij een nieuwe werkwijze waarmee een uitkeringstermijn van zeven werkdagen gehaald moet kunnen worden. De periode tot 2024 zal worden gebruikt om deze werkwijze te perfectioneren, zodat de termijn ook daadwerkelijk wordt gehaald.
Het halen van een strikte uitkeringstermijn van (uiteindelijk) zeven werkdagen stelt hoge eisen aan de voorbereiding door de aan het depositogarantiestelsel deelnemende banken en de uitvoerders van het depositogarantiestelsel: DNB en het Depositogarantiefonds. De kwaliteit van de administratie van banken moet zodanig zijn dat DNB op basis van die administratie binnen zeer korte termijn kan vaststellen welke deposito’s binnen de reikwijdte van het depositogarantiestelsel vallen, wat de omvang ervan is, wie de depositohouders zijn en hoe hoog de vergoeding is die zij uit hoofde van het depositogarantiestelsel van het Depositogarantiefonds dienen te ontvangen. Omdat het depositogarantiestelsel tegoeden garandeert per depositohouder moet DNB de aanspraken bepalen per individuele natuurlijke of rechtspersoon. Dit is complex omdat het gebruikelijk is dat personen meerdere bankrekeningen aanhouden bij een bank of dat er meerdere personen gerechtigd zijn tot een bankrekening (en/of-rekening). Bovendien handelen veel banken met één bankvergunning onder verschillende handelsnamen of labels, die over eigen administraties kunnen beschikken. Dit betekent dat bij inwerkingstelling van het depositogarantiestelsel verschillende producten van verschillende depositohouders in mogelijk meerdere administraties aan elkaar worden gekoppeld teneinde een eenduidig klantbeeld van elke depositohouder te maken. Thans stelt DNB dit individueel klantbeeld (IKB) op. Het IKB vormt de basis voor het vaststellen door DNB van vergoedingen die depositohouders uit hoofde van het depositogarantiestelsel ontvangen. DNB stelt deze vergoedingen vast aan de hand van het bepaalde in het Besluit bijzondere prudentiële maatregelen, beleggerscompensatie en depositogarantie Wft (Bbpm).
Een noodzakelijk hulpmiddel bij het snel en zo foutloos mogelijk herordenen van een bankadministratie tot IKB’s, is het BSN. Het BSN is een uniek nummer dat als ordeningsinstrument onontbeerlijk is bij het volbrengen van deze logistieke uitdaging. Door het BSN ter controle te combineren met andere (persoons)gegevens zoals de naam-, adres- en woonplaatsgegevens (de zogenaamde NAW-gegevens) en de geboortedatum in geval van natuurlijke personen, wordt de foutmarge beperkt bij het opstellen van de IKB’s. IKB’s kunnen hierdoor automatisch worden opgesteld en op grond daarvan kan worden bepaald waar depositohouders recht op hebben. Als onvoldoende gegevens beschikbaar zijn om tot een betrouwbaar IKB te komen, leidt dit «uitval» (informatie die niet automatisch tot een IKB leidt). Deze uitval moet handmatig worden verwerkt om alsnog tot kloppende IKB’s te kunnen komen. Dit kost veel tijd. Het met behulp van het BSN opstellen van IKB’s met een zo klein mogelijke foutmarge is daarom essentieel om te kunnen voldoen aan de wettelijke uitkeringstermijn.
Om deze reden is per 1 januari 2013 in artikel 3:17, zesde lid, Wft de verplichting voor banken opgenomen om een administratie te voeren die zodanig is dat, in geval van toepassing van het depositogarantiestelsel, deze geen belemmering vormt of kan vormen voor de uitbetaling van de vergoeding binnen de daarvoor wettelijk bepaalde termijn en daarbij gebruik te maken van het BSN, indien een bank daarover beschikt. Banken verstrekken op deze grond het BSN van depositohouders die natuurlijke personen zijn – dat zij op grond van andere wettelijke bepalingen reeds gehouden zijn te verzamelen en vast te leggen – aan DNB, waarna DNB met behulp daarvan IKB’s kan opstellen. DNB kan de gegevens van depositohouders, inclusief het BSN, ook opvragen in het kader van haar toezicht op de naleving van artikel 3:17, zesde lid. In dat verband is DNB bevoegd ingevolge artikel 26a van het Besluit prudentiële regels Wft (Bpr), dat zijn grondslag vindt in artikel 3:17, tweede lid, aanhef en onder d, Wft, alle voor de uitvoering van de vangnetregeling benodigde gegevens – die voortdurend actueel moeten worden bijgehouden en adequaat moeten worden vastgelegd – op te vragen.
Van de gelegenheid wordt gebruikgemaakt om het volgende te verduidelijken. Bij de totstandkoming van artikel 3:17, zesde lid, Wft is reeds opgemerkt dat een kortere uitkeringstermijn dan twintig werkdagen nog veel verdergaande eisen zou stellen aan de administraties van de banken en van DNB.5 Nu daadwerkelijk de uitkeringstermijn verder wordt verkort, is DNB zich (samen met de bankensector) hierop aan het voorbereiden. Gebleken is dat inderdaad verdergaande eisen moeten worden gesteld aan de administraties van de banken en van DNB om uiteindelijk binnen zeven werkdagen na inwerkingstelling van het depositogarantiestelsel uitkeringen te kunnen doen. Hierbij is de vraag opgekomen of de huidige grondslag wel volstaat. Bij de invoering van artikel 3:17, zesde lid, Wft is beoogd een grondslag te creëren voor het verstrekken van de gehele, ongeordende klantadministratie van een bank, inclusief het BSN van depositohouders, aan DNB, die er vervolgens een IKB van maakt. Dit proces is hiervoor uiteengezet. Zo is in de memorie van toelichting hierover opgemerkt:
«De verwerking van het BSN door de banken is op grond van het onderhavige wetsvoorstel uitsluitend toegestaan ter verstrekking aan DNB in verband met de uitvoering van het DGS.»6
In de verdere parlementaire geschiedenis wordt als volgt opgemerkt:
«Het onderhavige wetsvoorstel beoogd [sic] om op grond van artikel 24, Wbp een wettelijke grondslag te scheppen voor het verstrekken van het BSN van depositohouders door de banken aan DNB. Het wetsvoorstel ziet dan ook uitsluitend toe op de verstrekking van de banken aan DNB. Het is de banken op grond van dit wetsvoorstel dan ook niet toegestaan om het BSN voor andere doeleinden – zoals interne administratie – te gebruiken.»7
Echter, bij een uitkeringstermijn vanaf zeven werkdagen, ervan uitgaande dat een bank de klantgegevens binnen drie werkdagen kan overdragen aan DNB, resteren er effectief vier werkdagen om de gegevens per depositohouder in IKB’s te ordenen en op basis daarvan per depositohouder de vergoedingen vast te stellen. Aangezien het ordenen een tijdrovend en foutgevoelig proces is, is die termijn te kort voor DNB om tot betrouwbare vergoedingen te komen. Om tijdigheid en betrouwbaarheid te kunnen garanderen, is het noodzakelijk dat niet DNB, maar banken zelf de klantgegevens aan de hand van (onder andere) het BSN ordenen in IKB’s en deze IKB’s, verzameld in een IKB-bestand, overdragen aan DNB. Concreet vergt dit dat banken een systeem ontwikkelen waarmee de klantgegevens vanuit verschillende bronadministraties van verschillende branches en eventueel verschillende «labels» waaronder bankactiviteiten worden ontplooid, op het moment dat dit voor het depositogarantiestelsel noodzakelijk is worden samengebracht om centraal te worden verwerkt tot IKB’s. De verdere verkorting van de uitkeringstermijn heeft aldus gevolgen voor de wijze waarop banken hun administratie dienen te organiseren en in voorkomend geval over te dragen aan DNB. De huidige formulering van artikel 3:17, zesde lid, Wft biedt voldoende ruimte voor banken om het BSN te gebruiken om klantadministratie te ordenen in IKB’s. Immers, het criterium is dat banken een zodanige administratie moeten voeren dat deze – kort gezegd – geen belemmering vormt voor de uitbetaling van vergoedingen binnen de wettelijke termijn, ofwel de uitvoering van het depositogarantiestelsel. In de praktijk loopt men echter aan tegen de oorspronkelijke bedoeling van de wetgever zoals deze in de geciteerde passage uit de parlementaire geschiedenis tot uitdrukking komt, die restrictiever lijkt omdat wordt uitgegaan van (enkel) verstrekking van de ongeordende bankadministratie, inclusief BSN, aan DNB.8 De consequentie van een kortere wettelijke uitkeringstermijn is evenwel dat er andere eisen aan de inrichting van de administratie van banken worden gesteld dan dat, het vergt namelijk dat banken zelf in staat zijn om indien noodzakelijk IKB’s van hun depositohouders op te stellen aan de hand van onder andere het BSN.
Opgemerkt zij dat het gebruik door banken van het BSN voor het opstellen van IKB’s niet hetzelfde is als het gebruik door banken ten behoeve van het doel «interne administratie», zoals in het voorgaande citaat uit de parlementaire geschiedenis wordt aangehaald. Immers, het verwerken van het BSN en het aan de hand daarvan opstellen van IKB’s bij de uitvoering van het depositogarantiestelsel is niet hetzelfde als het gebruiken van het BSN als klant- of relatienummer door banken, enkel en alleen ten behoeve van de interne administratie. Niettemin hebben banken maar beperkt de mogelijkheid om een IKB op te stellen met behulp van het BSN. Omdat het BSN alleen gebruikt kan worden voor het opstellen van een IKB voor de genoemde doelstellingen, kunnen banken het IKB niet doorvoeren in hun interne administratie. Zij zullen de IKB’s moeten opstellen buiten de eigen administratie, in een afzonderlijk IKB-bestand. Niettemin zal het proces van het opstellen van IKB’s wel leiden tot verbetering van de kwaliteit van de interne administratie van banken. Zo zullen door het testen van het systeem waarmee banken IKB’s maken onjuist vastgelegde klantgegevens en andere fouten in de klantadministratie naar verwachting naar boven komen die banken kunnen verbeteren. Dat is ook een van de redenen dat wordt getest. De verbetering van de klantadministratie is uiteindelijk nodig om in de toekomst sneller tot kwalitatief betere IKB’s te komen en bij inwerkingtreding van het DGS tijdig tot uitkering over te kunnen gaan.
Overigens zal het IKB ook worden gebruikt voor afwikkelingsdoeleinden. Dergelijk gebruik stoelt echter op een andere en op zichzelf toereikende grondslag, namelijk op artikel 3A:63 Wft en artikel 7j Bbpm, zodat daarop hier voor het overige niet op in wordt gegaan.
Het onderhavige voorstel beoogt de in artikel 3:17, zesde lid, Wft opgenomen wettelijke grondslag voor het gebruik van het BSN door banken aan te passen om voldoende houvast te bieden voor het opvragen, vastleggen en verwerken van het BSN van wettelijke vertegenwoordigers of, in het geval van rechtspersonen, van rechtsgeldige vertegenwoordigers van depositohouders door banken, ook voor vertegenwoordigers die geen klant zijn van de bank in kwestie. Hun BSN is noodzakelijk om vast te leggen en te koppelen aan de depositohouders die zij vertegenwoordigen. De reden hiervoor is dat deze vertegenwoordigers zich moeten melden om uitkering te bewerkstelligen voor de depositohouders die zij vertegenwoordigen. De vertegenwoordigers loggen daarvoor in op een portal. Om vast te kunnen stellen dat de vertegenwoordiger daadwerkelijk is wie hij of zij beweert te zijn (authenticatie) wordt DigID gebruikt. Dit is bij onderzoek op dit moment het enige geschikte authenticatiemiddel gebleken. Om DigID te kunnen inzetten is vereist dat DNB beschikt over het BSN van degene die inlogt. Het voorliggende wetsvoorstel vult daarom de bestaande grondslag in dit opzicht aan.
Daarnaast wordt voorgesteld de doelstelling scherper te formuleren. De implementatie van de herziene richtlijn depositogarantiestelsels heeft ingrijpende wijzigingen met zich gebracht voor de uitvoering van het Nederlands depositogarantiestelsel. Een van de meest in het oog springende is de overgang van ex post financiering naar ex ante financiering van het stelsel. Dat houdt in dat banken periodieke bijdragen betalen aan het Depositogarantiefonds, zodat een fonds wordt opgebouwd dat uiteindelijk een bedrag ter grootte van 0,8% van de gegarandeerde deposito’s van de deelnemende banken zal bevatten.
De huidige grondslag bestemt het BSN-gebruik door banken voor het halen van de wettelijke uitkeringstermijn in geval van toepassing van het depositogarantiestelsel (en het toezicht daarop). Deze benadering is achterhaald omdat de noodzaak tot het gebruik van het BSN bij de uitvoering van het depositogarantiestelsel inmiddels meer omvat dan het gebruik bij het moment van inwerkingstelling van het depositogarantiestelsel. Zo dient niet enkel bij inwerkingstelling van het depositogarantiestelsel te blijken wat de omvang is van het bedrag aan gegarandeerde deposito’s die worden aangehouden bij een bank. De totale hoeveelheid van gegarandeerde deposito’s van alle deelnemende banken gezamenlijk is namelijk ook bepalend voor de doelomvang van het Depositogarantiefonds van 0,8% van de gegarandeerde deposito’s. Inzicht in de totale hoeveelheid door het Nederlandse depositogarantiestelsel gegarandeerde deposito’s is dus tevens van belang voor het bepalen van de periodieke bijdragen die banken betalen aan het fonds. Bovendien vergt artikel 13, eerste lid, van de richtlijn depositogarantiestelsels9 dat de periodieke bijdragen van banken mede worden gebaseerd op het bedrag aan gegarandeerde deposito’s dat wordt aangehouden bij een bank. In het voorgaande is uiteengezet dat om te kunnen bepalen welk deel van deposito’s gegarandeerd wordt door het depositogarantiestelsel, het noodzakelijk is dat IKB’s worden gemaakt. Immers, de depositogarantie geldt per depositohouder. De informatie uit de IKB’s wordt geaggregeerd samengebracht in een IKB-bestand. Het totaalbedrag aan gegarandeerde deposito’s dat daaruit volgt kan worden gebruikt als basis voor de vaststelling van de bijdragen. Banken zijn ingevolge artikel 26a Bpr reeds gehouden deze gegevens voortdurend actueel bij te houden en adequaat vast te leggen en tevens om deze gegevens op verzoek aan DNB te verstrekken op een door DNB te bepalen wijze. Bij het maken van de IKB’s ten behoeve van het vaststellen van de bijdragen aan het depositogarantiestelsel moeten banken het BSN verwerken. Dit vindt dan echter niet plaats om uitkeringstermijn te halen, maar wel degelijk in het belang van de goede uitvoering van het depositogarantiestelsel, wat weer in het belang van depositohouders is.
De huidige doelstelling is daarom te beperkt geformuleerd. Voorgesteld wordt beter tot uitdrukking te brengen dat het BSN dient te worden gebruikt bij de uitvoering van het depositogarantiestelsel, namelijk ten behoeve van tijdige uitbetaling, het vaststellen van de bijdragen en het toezicht hierop.
Bij de invoering van artikel 3:17, zesde lid, is rekenschap gegeven van hoe de bepaling zich verhoudt tot – kort gezegd – het recht op privacy en bescherming van de persoonlijke levenssfeer dat is neergelegd in artikel 10 Grondwet, dat was uitgewerkt in de Wet bescherming persoonsgegevens. Hieruit volgt dat er sprake moet zijn van een welbepaald doel dat tevens gerechtvaardigd dient te zijn en dat de gegevens (vervolgens) niet mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Aan deze voorwaarden is voldaan doordat de gegevens (het BSN) worden verwerkt voor de in het wetvoorstel opgenomen specifieke onderdelen van de uitvoering van het depositogarantiestelsel. De snelle, correcte en betrouwbare uitvoering van het depositogarantiestelsel indien een bank failleert is in het belang van depositohouders want alleen dan kunnen zij binnen korte tijd weer beschikken over hun spaartegoeden. Daarnaast is het in het belang van de stabiliteit van het financieel stelsel, zoals hiervoor uiteengezet. Vanuit het oogpunt van proportionaliteit en subsidiariteit zijn alternatieven overwogen. Gebleken is echter dat het zonder het gebruik van het BSN niet mogelijk is de wettelijke termijn van 20 werkdagen te halen. Dit geldt te meer bij de verdere verkorting van de uitkeringstermijn die in het verschiet ligt. Ook voor het gebruik van het BSN van wettelijke of, in het geval van rechtspersonen, rechtsgeldige vertegenwoordigers zijn alternatieven overwogen in de vorm van andere authenticatiemiddelen. Daarbij is gebleken dat DigID het enige geschikte en voldoende veilige authenticatiemiddel is. Voor het gebruik van DigID is vereist dat de partij die authenticatie vraagt over het BSN beschikt van degene die inlogt.
Het recht op privacy en bescherming van de persoonlijke levenssfeer is tevens neergelegd in diverse internationale verdragen. Bij de invoering van artikel 3:17, zesde lid, is overwogen dat de bepaling voldoet aan drie cumulatieve voorwaarden die volgen uit artikel 8 EVRM, de artikelen 7, 8 en 52 van het EU Handvest voor de Grondrechten: de maatregel (i) steunt op een wettelijke grondslag en (ii) streeft een legitiem doel na, namelijk het economisch welzijn van het land, en (iii) is noodzakelijk in een democratische samenleving, waarbij om het beoogde doel te bereiken er niet verder wordt gegaan dan noodzakelijk (proportionaliteit) en er geen minder ingrijpende alternatieven beschikbaar zijn (subsidiariteit).
Vanaf 25 mei 2018 vervangen de Algemene verordening gegevensbescherming (AVG)10 en de Uitvoeringswet algemene verordening gegevensbescherming (UAVG)11 de Wbp. In materieel opzicht zullen de normen waaraan de verwerking van persoonsgegevens moet voldoen echter in grote lijnen gelijk blijven aan de Wbp.12 Dat betekent dat hetgeen is overwogen bij de invoering van artikel 3:17, zesde lid, Wft omtrent het grondrechtelijk kader en de verhouding tot de Wbp nog steeds toereikend is. Rechtsgrond voor de verwerking van het BSN door banken is een wettelijke verplichting in de zin van artikel 6, eerste lid, onderdeel c, AVG. Zoals voorgeschreven is het doel van deze verplichting, de in het wetvoorstel opgenomen onderdelen van de het uitvoeren van het depositogarantiestelsel, daarbij bepaald.
Van belang is nog op te merken dat artikel 87 AVG op het punt van de verwerking van een nationaal identificatienummer ruimte laat om bij lidstatelijk recht specifieke voorwaarden te stellen. In dat kader regelt artikel 46 Uitvoeringwet AVG dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Dit is een kapstokbepaling, waaraan in andere wetten invulling kan worden gegeven. Het BSN is geen algemeen persoonsnummer buiten het publieke domein.13 Voor de overheid is het gebruik van een uniek persoonsnummer, het BSN, geregeld in artikel 10 Wet algemene bepalingen burgerservicenummer (Wabb). Op die grond kan DNB het BSN verwerken in het kader van haar taken bij de uitvoering van het depositogarantiestelsel.
Echter, voor instellingen, zoals banken, die geen beroep kunnen doen op artikel 10 Wabb dient het gebruik te zijn voorgeschreven in sectorale wetgeving, zoals het geval is in artikel 3:17, zesde lid, Wft. Verdere verwerking van het BSN voor andere doelen dan ter uitvoering van artikel 3:17, zesde lid, oftewel de uitvoering van het depositogarantiestelsel, is niet toegestaan.
Het voorgaande neemt overigens niet weg dat banken op grond van andere wettelijke verplichtingen gehouden zijn gebruik te maken van het BSN. Zo hebben banken de wettelijke plicht om bepaalde persoonsgegevens te verzamelen in het kader van cliëntenonderzoek ter bestrijding van witwassen en financiering van terrorisme ingevolge artikel 3 en 33 van de Wet ter voorkoming van witwassen en financieren van terrorisme. In dit kader wordt ook het BSN verzameld. Ook in de belastingwetgeving zijn rechtsgronden te vinden voor het verzamelen van persoonsgegevens, waaronder het BSN, door banken. Het gaat om artikel 53, derde lid, Algemene wet inzake rijksbelastingen en artikel 38 Algemene wet inkomensafhankelijke regelingen. Artikel 3:17, zesde lid, Wft en het onderhavige wetsvoorstel moeten daar echter los van worden gezien, nu het om verwerking ten behoeve van verschillende doeleinden gaat, hetgeen verschillende eisen stelt aan de verwerkingen.
Omdat het voorliggende voorstel betrekking heeft op de verwerking van persoonsgegevens is er een gegevensbeschermingseffectbeoordeling of privacy impact assessment (PIA) gemaakt. Met behulp hiervan zijn op gestructureerde wijze de gevolgen van de voorgestelde wijzigingen op de gegevensbescherming in kaart gebracht.
Ten opzichte van de bestaande situatie zullen als gevolg van de wijziging maar weinig nieuwe gegevens worden verwerkt. Ook nu al worden in het kader van de uitvoering van het depositogarantiestelsel persoonsgegevens verwerkt door banken en DNB. Als gevolg van de wijzigingen komt daar het BSN bij van wettelijke of, in het geval van rechtspersonen, rechtsgeldige vertegenwoordigers die zelf geen klant zijn bij de betreffende bank. Daarnaast – hoewel dit geen direct gevolg is van het onderhavige wetsvoorstel, maar van de verkorting van de uitkeringstermijn van twintig naar uiteindelijk zeven werkdagen – zullen gegevens die ook nu al verwerkt worden vaker worden verwerkt ten opzichte van de huidige situatie. Banken leveren de gegevens in de huidige situatie nog ongeordend aan DNB. Zoals in het voorgaande uiteengezet, betekent de verkorting van de uitkeringstermijn echter dat banken zelf de verwerkingen zullen moeten doen om de gegevens te ordenen in IKB’s, die per bank worden samengevoegd in het IKB-bestand. In het kader van het toezicht op de systemen die banken hiervoor inrichten, op de kwaliteit van de IKB’s en het IKB-bestand en op de aansluiting van deze systemen op de systemen van DNB, zullen banken periodiek (ongeveer eenmaal per jaar) een IKB-bestand aan DNB leveren. Om de premiebasis aan DNB te kunnen verstrekken zullen banken in elk geval vier keer per jaar (ieder kwartaal) een IKB-bestand opstellen, waaraan de geaggregeerde hoeveelheid gegarandeerde deposito’s kan worden ontleend en aan DNB worden gerapporteerd. Om een compleet beeld te krijgen, zijn al deze verwerkingen in de PIA getoetst aan de beginselen van doelbegrenzing, noodzaak en evenredigheid, die ook zijn opgenomen in artikel 5 van de Algemene verordening gegevensbescherming en in die verordening verder worden uitgewerkt.
De beschreven verwerkingen zijn noodzakelijk om te voldoen aan de richtlijn depositogarantiestelsels en om de met die richtlijn beoogde doelstellingen te behalen. Deze zijn tweeledig: zowel bescherming van depositohouders als het bewaren van de financiële stabiliteit. Wat betreft het gebruik van het BSN van vertegenwoordigers zijn als alternatieven overwogen het gebruik van andere authenticatiemiddelen en het handmatig koppelen van de deposito’s aan de vertegenwoordiger. Beide alternatieven zijn ongeschikt. Andere authenticatiemiddelen waren niet veilig genoeg of niet geschikt omdat zij ervan afhankelijk zijn van of een bank nog going concern functioneert, hetgeen bij inwerkingtreding van het depositogarantiestelsel nu juist in beginsel niet het geval zal zijn. Handmatige koppeling kost veel tijd; dergelijke vertraging zou betekenen dat uitkering binnen de voorgeschreven termijn onvoldoende zeker is. Wat betreft het gebruik van het BSN ten behoeve van het vaststellen van de premiebasis, is als alternatief overwogen om een schatting te geven. Een schatting kan echter leiden tot een onvoldoende nauwkeurige vaststelling van de premie. Dit draagt ook het risico in zich dat de doelomvang van het Depositogarantiefonds, dat immers uiteindelijk 0,8% van de door het Nederlandse depositogarantiestelsel gegarandeerde deposito’s dient te bevatten, niet wordt gehaald. Wel zal bij de uitvoering gekozen moeten worden voor de minst ingrijpende variant, waarbij banken intern een IKB-bestand opstellen en daaruit geen persoonsgegevens, maar alleen de geaggregeerde gegevens, die niet herleidbaar zijn tot personen, verstrekken aan DNB.
Met het oog op de doelstellingen van het depositogarantiestelsel is de inperking van het recht op bescherming van persoonsgegevens van depositohouders en hun wettelijke of, in het geval van rechtspersonen, rechtsgeldige vertegenwoordigers die met het voorstel is gemoeid proportioneel.
Als risico bij het opstellen van het IKB-bestand is gesignaleerd dat function creep kan optreden. Het begrip function creep duidt aan dat gegevens of bestanden die eenmaal beschikbaar zijn gemakkelijker gebruikt worden voor andere doeleinden dan waarvoor zij zijn verkregen. Met andere woorden: als gegevens of bestanden er eenmaal zijn, is de verleiding groot ze ook voor andere doelen te gaan gebruiken. Function creep treedt sneller op bij grote hoeveelheden gegevens en gegevens die geschikt zijn voor meerdere toepassingen. Het IKB-bestand is hiervan een voorbeeld.
Om het risico van function creep zoveel mogelijk te beperken worden risicobeperkende maatregelen genomen. Zo wordt in de wettekst het doel van de verwerking duidelijker omschreven en afgebakend, zodat banken de IKB’s afzonderlijk van hun eigen administratie moeten opstellen. Ook zullen banken, gelet op de strikte doelbinding, IKB-bestanden die zij opstellen om de premiebasis vast te stellen of om DNB in staat te stellen toezicht te houden op de kwaliteit van de data, na gebruik moeten vernietigen. Tot slot blijft het IKB-bestand bij de banken en bij DNB afgescheiden van de rest van de administratie (chinese walls) en zullen alleen specifiek daartoe benoemde medewerkers bevoegd zijn om te werken met het IKB-bestand. Deze maatregelen kunnen het risico function creep niet helemaal wegnemen, maar wel dusdanig beperken dat het restrisico aanvaardbaar is.
De risico’s van onvoldoende beveiliging naar buiten, onbevoegd gebruik en onvoldoende transparantie nemen door de wijzigingen maar weinig toe, omdat er maar weinig nieuwe gegevens worden verwerkt en er aan de kant van de banken en aan de kant van DNB nauwelijks meer betrokkenen zijn dan in de huidige situatie.
Bij de implementatie van de richtlijn depositogarantiestelsels is ingegaan op de administratieve lasten en inhoudelijke nalevingskosten die dit met zich brengt. Daarbij is ook ingegaan op de impact van de gewijzigde rapportageverplichtingen voor banken aan DNB in verband met het berekenen van de kwartaalbijdragen en eventuele buitengewone bijdragen die banken aan het Depositogarantiefonds moeten voldoen. Daarnaast werd voorzien dat het terugbrengen van de uitkeringstermijn naar zeven werkdagen zou leiden tot eenmalige aanpassingen aan ICT-systemen, evenals periodiek onderhoud en controles. Als gevolg van deze nieuwe eisen en andere – zoals de invoering van plicht depositohouders te informeren over het toepasselijke depositogarantiestelsel – werd een beperkt eenmalige en structurele regeldruk verwacht.
Gebleken is dat deze verwachting kan worden geactualiseerd voor wat betreft de impact van de rapportageverplichtingen en benodigde ICT-aanpassingen bij banken om de kortere uitkeringstermijn te kunnen halen. In het voorgaande is uiteengezet dat dit concreet vergt dat banken een systeem ontwikkelen waarmee de klantgegevens van verschillende bronadministraties van verschillende branches en eventueel verschillende «labels» waaronder bankactiviteiten worden ontplooid, kunnen worden samengebracht om centraal te verwerken tot IKB’s. Deze inspanning voor de grootbanken is in onderstaande tabel inzichtelijk gemaakt, waarbij onderscheid wordt gemaakt tussen de kosten die voortvloeien uit de rapportageverplichtingen en de verkorting van de uitkeringstermijn. De uitsplitsing van werkzaamheden per verplichting toont dat de kosten om te voldoen aan de rapportageverplichting logischerwijs met name administratieve lasten behelzen (kosten die bedrijven en burgers moeten maken om te voldoen aan de informatieverplichtingen aan de overheid, voortvloeiend uit wet- en regelgeving) en de werkzaamheden nodig in het kader van de kortere uitkeringstermijn vooral resulteren inhoudelijke nalevingskosten (kosten die bedrijven moeten maken om te voldoen aan de inhoudelijke eisen die wet- en regelgeving stellen).
Verplichtingen |
incidenteel |
structureel |
|||
---|---|---|---|---|---|
Q (uren per jaar) |
P (kosten) |
Q (uren per jaar) |
P (kosten) |
||
Rapportage ex ante DGS |
|||||
– aanpassingen IT template |
6.550 |
655.000 |
– |
– |
|
– aanpassingen operationele processen |
8.700 |
870.000 |
– |
– |
|
– controleren en verstrekken rapportage |
4.850 |
485.000 |
4.200 |
420.000 |
|
Verkorting uitkeringstermijn |
|||||
– Aanpassen DGS programmatuur aan handleiding 1.0 en 2.0 |
42.700 |
4.270.000 |
– |
– |
|
– Aanpassen DGS programmatuur voor verkorting naar 7 dagen termijn |
69.500 |
6.950.000 |
6.000 |
600.000 |
|
– Onderhoud processen en programmatuur, inclusief datakwaliteit |
750 |
75.000 |
13.500 |
1.350.000 |
|
– Jaarlijkse proefrun en audit door accountantsdienst / Externe accountant |
2.400 |
240.000 |
7.100 |
250.000 |
|
Totaal |
166.450 |
16.645.000 |
41.600 |
4.320.000 |
De consultatieversie van dit wetsvoorstel is zes weken ter consultatie voorgelegd op de website www.internetconsultatie.nl. Hieronder wordt ingegaan op de consultatiereacties die zijn ingediend door DNB en door de Nederlandse Vereniging van Banken (NVB). Ook het Adviescollege toetsing regeldruk (ATR), dat de gevolgen voor de regeldruk beoordeelt, heeft gereageerd.
Zowel DNB als de NVB hebben aangegeven positief te zijn over het wetsvoorstel. De NVB had daarbij nog enkele opmerkingen, waarvan een aantal heeft geleid tot aanvulling van de toelichting. Hieronder worden opmerkingen besproken die niet tot wijzigingen hebben geleid.
Allereerst is de suggestie van de NVB voor nadere specificatie van de verschillende wijzen waarop (de NVB spreekt over doelstellingen) het wetsvoorstel een verruiming van de huidige wettelijke regeling vormt niet gevolgd, omdat uit de memorie van toelichting genoegzaam blijkt in welke opzichten dit het geval is.
Verder heeft de NVB nog opgemerkt dat het risico op function creep wat haar betreft met het wetsvoorstel niet groter wordt, omdat banken ook nu al over het BSN beschikken. Deze opmerking heeft niet tot wijzigingen geleid. Zoals ook volgt uit de toelichting is het niet zozeer het beschikken over het BSN, maar het opnemen van het BSN in het IKB – wat door het wetsvoorstel wordt ondersteund – dat het risico op function creep doet toenemen.
De ATR beoordeelt de gevolgen voor de regeldruk van het wetsvoorstel in beginsel positief, maar adviseert de in de memorie van toelichting bij het Implementatiebesluit depositogarantiestelsel in beeld gebrachte gevolgen voor de regeldruk te actualiseren en dit in het onderhavige wetsvoorstel op te nemen. Aan dit advies is gehoor gegeven in paragraaf 6.
Het wetsvoorstel is verder voor advies voorgelegd aan de Autoriteit Persoonsgegevens (AP)14. De AP acht het gebruik van het BSN proportioneel voor zover dat noodzakelijk is voor de werking van het depositogarantiestelsel. De AP wijst wel op het risico dat de enkele doelstelling «voor de uitvoering van het depositogarantiestelsel» zoals die in het haar voorgelegde wetsvoorstel was opgenomen, te breed kan worden toegepast door banken. Om die reden is in het wetsvoorstel en de toelichting nader gespecificeerd hoe het BSN precies door banken kan worden ingezet voor de uitvoering van het depositogarantiestelsel, namelijk voor het opstellen van IKB’s voor drie specifiek in het wetsvoorstel omschreven doelstellingen. Ook is verduidelijkt dat deze beperkte doelstellingen ertoe leiden dat IKB’s alleen buiten de interne bankadministratie in een los bestand kunnen worden opgesteld. Daarmee worden de bezwaren van de AP ondervangen en wordt het advies gevolgd.
ARTIKEL I
A
Voorgesteld wordt artikel 3:17, zesde lid, Wft te wijzigen. Om redactionele redenen wordt voorgesteld het gehele zesde lid opnieuw vast te stellen. Materieel wordt de bepaling in drie opzichten gewijzigd.
Ten eerste wordt verduidelijkt dat indien een depositohouder wordt vertegenwoordigd door een wettelijke of in het geval van een rechtspersoon diens rechtsgeldige vertegenwoordiger, banken het BSN van deze vertegenwoordiger vastleggen en verwerken. Minderjarige kinderen, rechtspersonen en onder curatele gestelden zijn voorbeelden van personen die ingevolge de wet vertegenwoordigd moeten worden. Rechtspersonen kunnen rechtsgeldig vertegenwoordigd worden door bestuurders, werknemers, aandeelhouders of door derden, mits deze hiertoe bevoegd zijn. Door expliciet te bepalen dat ook gebruikgemaakt wordt van het BSN van vertegenwoordigers, wordt onder meer aangesloten bij artikel 13 Wabb dat eveneens melding maakt van (de verplichtingen van) de wettelijke vertegenwoordiger in relatie tot het verstrekken van het BSN.
Ten tweede wordt voorgesteld de doelstelling te verduidelijken, zoals uiteengezet in paragraaf 3 van het algemeen deel van de toelichting.
Ten derde wordt door de zinsnede »indien zij daarover beschikt» te laten vervallen tot uitdrukking gebracht dat op basis van deze bepaling banken daadwerkelijk verplicht zijn het BSN van depositohouders en, voor zover van toepassing, hun wettelijke of in het geval van een rechtspersoon diens rechtsgeldige vertegenwoordigers vast te leggen in hun administratie en vervolgens te verwerken. De toevoeging «indien zij daarover beschikt» wekt immers de suggestie dat enkel indien banken uit hoofde van andere wettelijke verplichtingen gehouden zijn het BSN vast te leggen en deswege daarover beschikken, banken gehouden zijn gebruik te maken van het BSN ten behoeve van de uitvoering van het depositogarantiestelsel. Uit de totstandkomingsgeschiedenis15 blijkt dat het deze zinsnede niet aldus is bedoeld door de wetgever. Bedoeld is tot uitdrukking te brengen dat slechts indien een depositohouder over een BSN beschikt, banken daarvan gebruikmaken in hun administratie. Bijvoorbeeld rechtspersonen of buitenlandse depositohouders zullen immers (in beginsel) niet over een BSN beschikken. In die gevallen gebruiken de banken het voor de buitenlandse depositohouders beschikbare Tax Identification Number of een vergelijkbaar nummer. Het wetsvoorstel laat dit onveranderd. Door voornoemde zinsnede te laten vervallen, is duidelijk dat artikel 3:17, zesde lid, een zelfstandige grondslag vormt voor vastlegging. Hoewel, zoals hiervoor opgemerkt, banken uit hoofde van andere wettelijke verplichtingen gehouden zijn het BSN van hun klanten vast te leggen, geldt dit immers niet voor eerdergenoemde vertegenwoordigers van die klanten die zelf geen klant zijn van de bank, zodat artikel 3:17, zesde lid, hiervoor een zelfstandige grondslag dient te vormen. Daarnaast is het vanwege het belang van het BSN voor de tijdige en betrouwbare uitvoering van het depositogarantiestelsel ook logisch om vastlegging daarvan niet afhankelijk te maken van vanwege andere doelstellingen bepaalde grondslagen voor vastlegging. Dit past ook beter bij het criterium dat BSN-gebruik uitsluitend is toegestaan als het noodzakelijk is (en er geen alternatieven zijn). Discretionair of anderszins niet-verplicht voorgeschreven gebruik past derhalve niet bij de aard van de regelgeving over het gebruik van het BSN.
Een vierde redactionele wijziging betreft de toevoeging dat een bank gebruikmaakt van het burgerservicenummer «bij het verwerken van persoonsgegevens». Deze toevoeging behelst geen materiële wijziging, maar hiermee wordt beoogd de bepaling qua bewoordingen beter aan te laten sluiten bij soortgelijke bepalingen waarin het gebruikmaken van het burgerservicenummer wordt geregeld, zoals artikel 10 Wabb en artikel 3A:63 Wft.
De wijziging van artikel 3:17, zesde lid, betekent dat ook het tweede lid, onder d, van datzelfde artikel daarmee in overeenstemming moet worden gebracht. Het tweede lid vormt een grondslag om bij algemene maatregel van bestuur regels te stellen met betrekking tot het in artikel 3:17, zesde lid, bepaalde.
B
In onderdeel B wordt geregeld dat de Nederlandsche Bank bij niet-naleving van de verplichting voor banken om het BSN te gebruiken voor de in artikel 3:17, zesde lid, omschreven doelen, een last onder dwangsom (artikel 1:79 Wft) dan wel een bestuurlijke boete (artikel 1:80 Wft) kan opleggen. Dit gebeurt door artikel 3:17, zesde lid, te plaatsen op de lijsten van de bijlagen bij de Wft.
De Minister van Financiën, W.B. Hoekstra