Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 20 maart 2019

Inleiding

Ik ben de vaste commissie voor Financiën erkentelijk voor de aandacht die zij aan het onderhavige wetsvoorstel heeft geschonken en voor de door haar daarover gestelde vragen. Deze vragen worden zoveel mogelijk beantwoord in de volgorde van het door de commissie uitgebrachte verslag. In een enkel geval worden ze om herhaling te voorkomen gezamenlijk beantwoord.

ALGEMEEN

De leden van de PVV-fractie willen weten met welk bedrag het depositogarantiestelsel inmiddels gevuld is. Kan de regering per jaar aangeven hoeveel de Nederlandse banken hieraan hebben bijgedragen en nog zullen bijdragen? Kan de regering hetzelfde overzicht geven van banken uit andere lidstaten?

De aan het Nederlandse depositogarantiestelsel deelnemende banken voldoen ieder kwartaal bijdragen aan het Depositogarantiefonds dat op grond van artikel 10, tweede lid, van de richtlijn depositogarantiestelsels1 medio 2024 een doelomvang dient te bereiken van 0,8% van de gegarandeerde deposito’s. Dit komt naar verwachting neer op een bedrag van ca. EUR 5 miljard. Inmiddels is sinds begin 2016 circa EUR 1,4 miljard door de banken afgedragen aan het fonds, oftewel ca. EUR 0,4–0,5 miljard per kalenderjaar.

De Europese Bankenautoriteit (EBA) publiceert sinds 2016 jaarlijks overzichten van de beschikbare financiële middelen van andere depositogarantiestelsels in Europese lidstaten. Deze overzichten zijn te vinden op de website van de EBA.2

Verder willen de leden van de PVV-fractie weten op welke wijze nationale depositogarantiestelsels in de toekomst worden overgezet naar een Europees depositogarantiestelsel. Wat gebeurt er verder als een nationaal depositogarantiestelsel onvoldoende gevuld is?

Het Europees depositogarantiestelsel is een belangrijke pijler binnen de bankenunie en wordt ook wel gezien als het sluitstuk hiervan. De vormgeving hiervan is momenteel onderwerp van (Europees) debat.3 Zodoende is de toekomstige relatie tot nationale depositogarantiestelsels nog onbeslist.

Ongeacht een Europees depositogarantiestelsel geldt het volgende: indien een nationaal depositogarantiestelsel medio 2024 niet de doelomvang bereikt die de richtlijn depositogarantiestelsels voorschrijft, komt de lidstaat in kwestie de verplichting uit de richtlijn niet na. Aan deze verplichting zal zo snel mogelijk alsnog moeten worden voldaan. In het uiterste geval kan niet-nakoming betekenen dat de Europese Commissie aanleiding ziet om een inbreukprocedure te starten bij het Europees Hof van Justitie.

§ 1. Inleiding

De leden van de SP-fractie hebben kennisgenomen van dit wetsvoorstel dat het gebruik van het BSN bij de uitvoering van het depositogarantiestelsel nader regelt. Zij vinden het opmerkelijk dat deze aanpassing nodig is. Hoe kan het dat deze waarborgen over het hoofd zijn gezien bij de implementatie van de richtlijn voor het depositogarantiestelsel?

Ten tijde van de implementatie van de richtlijn was nog niet ten volle duidelijk wat het halen van de kortere uitkeringstermijn (zeven werkdagen vanaf 2024) zou vergen van DNB als uitvoerder van het depositogarantiestelsel en ook van de banken. Het gaat dan met name over de precieze operationele aanpassingen van de wijze waarop uitkeringen voorbereid en uitgevoerd worden, zoals het opstellen van individuele klantbeelden (IKB’s) door de banken zelf in plaats van door DNB. Zo blijkt het nodig – om tijdige en betrouwbare uitkering te verzekeren – dat banken het BSN van wettelijke of – in het geval van rechtspersonen – rechtsgeldige vertegenwoordigers vastleggen en verder verwerken. Deze vertegenwoordigers moeten zich melden bij DNB voor de uitbetaling van vergoedingen van degenen die zij vertegenwoordigen. Om betrouwbaar de identiteit van deze vertegenwoordigers vast te stellen en binnen de gestelde termijn via het webportaal uit te kunnen betalen, moeten (ook) zij inloggen met hun DigiD, dat is gekoppeld aan het BSN. Om zeker te stellen dat het BSN van vertegenwoordigers kan worden vastgelegd, is het wenselijk de grondslag van artikel 3:17, zesde lid, Wft, dat het gebruik van het BSN door banken ten behoeve van het depositogarantiestelsel voorschrijft, te verduidelijken. Hierin voorziet het onderhavige wetsvoorstel.

De leden van de SP-fractie zijn verbaasd dat de toezichthouder gaat werken met individuele klantbeelden (IKB’s). Kan de regering eens uitleggen wat dat precies inhoudt?

Ook nu al werkt DNB in haar hoedanigheid van uitvoerder van het depositogarantiestelsel (een taak die moet worden onderscheiden van die van toezichthouder) met individuele klantbeelden. Deze IKB’s worden thans opgesteld door DNB en vormen de basis voor het bepalen van aanspraken uit hoofde van het depositogarantiestelsel. Het depositogarantiestelsel garandeert een bedrag tot in beginsel € 100.000 per depositohouder per bank, ongeacht het aantal rekeningen van een klant bij een bank. DNB moet daarom de aanspraken bepalen per individuele natuurlijke of rechtspersoon. Het is echter gebruikelijk dat personen meerdere bank- of spaarrekeningen aanhouden of dat er meerdere personen gerechtigd zijn tot een bankrekening. Bovendien handelen veel banken met één bankvergunning onder verschillende handelsnamen of labels, die over een eigen administratie kunnen beschikken. Dit betekent dat bij inwerkingstelling van het depositogarantiestelsel verschillende producten van verschillende depositohouders in mogelijk meerdere bankadministraties aan elkaar worden gekoppeld, om met behulp van het BSN als uniek ordeningsnummer een eenduidig klantbeeld van elke depositohouder te kunnen maken. Dit eenduidig klantbeeld is van belang omdat het de basis vormt voor het vaststellen van de vergoedingen waar depositohouders recht op hebben. De IKB’s worden samengebracht in een IKB-bestand. De geaggregeerde informatie die daaruit blijkt over de depositobasis van een bank, dat wil zeggen de hoeveelheid gegarandeerde deposito’s die bij een bank worden aangehouden, wordt gebruikt als basis voor het bepalen van de hoogte van de periodieke bijdragen die banken moeten betalen aan het depositogarantiestelsel. Dit is noodzakelijk om precies te kunnen vaststellen wat het totaalbedrag aan gegarandeerde deposito’s per bank en voor het Nederlandse depositogarantiestelsel als geheel is. Zonder deze informatie is niet duidelijk welk bedrag banken moeten afdragen aan het Depositogarantiefonds om tijdig de verplichte doelomvang van 0,8% van de gegarandeerde deposito’s te bereiken.

De leden van de SP-fractie willen weten wat er precies verandert in hetgeen een bank precies behoort te doen vanuit haar plichten als poortwachter. Het klopt toch dat een bank nu al moet weten wie de belanghebbende is van een rechtspersoon? Is die registratie niet op orde bij de banken? Is dat de reden dat het nodig is dat De Nederlandsche Bank (DNB), naast de banken, een IKB moet opbouwen?

De leden van de VVD-fractie vragen of de regering kan ingaan op de rol van het BSN in het tegengaan van witwassen in de financiële sector.

Het wetsvoorstel verandert niets aan de verplichtingen van banken als poortwachter op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), waaronder begrepen de plicht van banken om cliëntenonderzoek te doen als bedoeld in die wet.4 De aanleiding voor dit wetsvoorstel is ook niet dat nakoming van die plicht door banken niet op orde zou zijn – het onderhavige wetsvoorstel heeft betrekking op een hele andere plicht van banken, namelijk het zodanig inrichten van hun administratie dat deze geen belemmering vormt voor de tijdige uitbetaling van vergoedingen uit hoofde van het depositogarantiestelsel.

Het vastleggen van het BSN in het kader van de Wwft is onderdeel van het cliëntenonderzoek en draagt bij aan de betrouwbaarheid van de identificatie van de cliënt van de bank. Banken hebben zekerheid over de identiteit van hun cliënten nodig om onderzoek te kunnen doen naar het risico dat hun diensten worden gebruikt voor het witwassen van geld en het financieren van terrorisme. Dit onderzoek is verplicht op grond van de Wwft. De uitkomsten van dit onderzoek bepalen uiteindelijk welke concrete maatregelen ter beperking van het risico op witwassen een bank moet nemen bij het verlenen van diensten aan een bepaalde cliënt.

§ 2. De uitvoering van het depositogarantiestelsel

De leden van de PVV-fractie merken op dat DNB en banken vanaf 1 januari 2019 een nieuwe werkwijze zullen hanteren waarmee een uitkeringstermijn van zeven dagen gehaald moet worden. Kan de regering deze nieuwe werkwijze nader uitwerken?

Ook willen de leden van de PVV-fractie weten in hoeverre een uitkeringstermijn van zeven werkdagen haalbaar is, gelet op het gegeven dat de huidige uitkeringstermijn van twintig werkdagen al redelijk veel inspanning vergt.

Ingeval van inwerkingstelling van het depositogarantiestelsel onder de huidige werkwijze levert een bank de integrale en ongesorteerde klantadministratie aan bij DNB met daarin alle rekeningen (deposito’s) die bij een bank worden aangehouden en de tenaamstelling van deze rekeningen (dat wil zeggen de klantgegevens die aan deze rekening zijn gekoppeld, inclusief het BSN van ingezetene klanten). DNB voegt de rekeningen van één klant samen tot een IKB op basis van identificerende gegevens van de klant. Voor natuurlijke personen wordt hiervoor het BSN gebruikt, dat wordt gecombineerd met andere persoonsgegevens zoals de naam-, adres- en woonplaatsgegevens (de zogenaamde NAW-gegevens) en de geboortedatum. Op basis van het IKB kent DNB een vergoeding toe aan depositohouders ten laste van het Depositogarantiefonds, dat de gelden van het depositogarantiestelsel beheert. Depositohouders kunnen vervolgens inloggen op een door het Depositogarantiefonds geopend webportaal waarop zij (of hun vertegenwoordigers) met behulp van DigiD kunnen inloggen voor uitbetaling van de aan hen toegekende vergoeding.

Onder de nieuwe werkwijze stelt een bank zelf de IKB’s van haar depositohouders samen. Het samenstellen van IKB’s is voor DNB een tijdrovend proces, waardoor het risico bestaat dat DNB niet in staat is binnen zeven werkdagen tot uitbetaling over te kunnen gaan. Banken zijn beter in staat dan DNB om hun eigen administratie te ordenen in IKB’s. Banken kunnen dit veel sneller en met grotere betrouwbaarheid dan dat DNB dit kan, waardoor een substantieel hoger percentage rekeninghouders op tijd kan worden uitbetaald. Hierbij wordt gewaarborgd – doordat het wetsvoorstel uitputtend de doeleinden omschrijft waarvoor banken IKB’s mogen opstellen – dat banken IKB’s niet vaker of voor andere doeleinden, zoals commerciële, kunnen opstellen. Zoals in het algemeen deel van de toelichting van het wetsvoorstel is uiteengezet, vergt de nieuwe werkwijze concreet dat banken een systeem ontwikkelen waarmee de klantgegevens worden gecombineerd in IKB’s vanuit verschillende bronadministraties van verschillende branches en eventueel verschillende labels waaronder bankactiviteiten worden ontplooid. Deze IKB’s worden verzameld in een IKB-bestand dat wordt overgedragen aan DNB. DNB gebruikt dit IKB-bestand vervolgens als basis om te besluiten over de toe te kennen vergoeding aan depositohouders.

Deze nieuwe werkwijze kan in beginsel worden afgerond binnen zeven werkdagen, zodat een uitkeringstermijn zeven werkdagen haalbaar is. Een bank heeft maximaal drie werkdagen om het IKB-bestand samen te stellen. Vervolgens bepaalt DNB voor de zevende werkdag de toe te kennen vergoedingen.

Ook vragen de leden van de PVV-fractie welke klantgegevens er naast het BSN nodig zijn bij het opstellen van IKB’s om te kunnen voldoen aan de wettelijke uitkeringstermijn.

Naast het BSN zijn de volgende gegevens nodig:

  • persoonsgegevens om de identiteit van de depositohouder vast te stellen, waaronder officiële (geboorte)achternaam en geboortedatum en de zogenaamde NAW-gegevens (naam, adres, woonplaats);

  • een overzicht van alle deposito’s van een depositohouder bij de bank in kwestie;

  • markeringen of het deposito en een depositohouder in aanmerking komt voor het garantie door het depositogarantiestelsel5;

  • aanvullende informatie die nodig is om te beslissen of tot uitkering wordt overgegaan, bijvoorbeeld of een rekening geblokkeerd is.6

De leden van de D66-fractie vragen of de regering kan aangeven waarom het noodzakelijk is om het BSN te verwerken in het banksysteem om het depositogarantiestelsel goed uit te voeren, en daarbij apart in te gaan op de noodzaak voor tijdige uitbetaling, vaststellen van de bedragen en toezicht? Waarom kan voor vaststelling van de bedragen en toezicht niet voldaan worden met een individueel klantnummer, een alias of een overkoepelend bancair-ID? De aan het woord zijnde leden lezen dat de regering alternatieven heeft overwogen. Welke alternatieven zijn overwogen en waarom voldeed geen van die alternatieven?

De leden van de CDA-fractie vragen naar welke alternatieven er zijn overwogen voor het gebruik van het BSN en waarom het bij deze alternatieven niet haalbaar wordt geacht om binnen 20 dagen tot uitkering te kunnen overgaan.

Om het depositogarantiestelsel vergoedingen uit te kunnen laten keren, moet per depositohouder bepaald worden wat de hoogte van diens aanspraak op het depositogarantiestelsel is. Oftewel: wat is het totaalbedrag van gegarandeerde banktegoeden? Om dit individueel klantbeeld of IKB te kunnen bepalen, moeten de klantgegevens in bankadministraties anders geordend worden. Als een deposito meerdere rekeninghouders heeft, moet het tegoed worden gesplitst. Indien één depositohouder meerdere rekeningen heeft, moeten deze tegoeden worden samengevoegd. Bovendien moeten in veel gevallen verschillende bankadministraties worden geïntegreerd. Dit ordenen in IKB’s is een tijdrovend en foutgevoelig proces, terwijl het in het belang van depositohouders is dat het met de grootste snelheid en zo betrouwbaar mogelijk gebeurt. De kwaliteit van alle IKB’s, die worden verzameld in een IKB-bestand, is daarvoor essentieel. Een kwalitatief goed IKB-bestand met daarin de geaggregeerde IKB’s van alle depositohouders kan alleen tijdig worden verkregen als een uniek identificerend nummer wordt gebruikt bij het ordenen van de bankgegevens. Hier is ook rekenschap van gegeven bij de invoering in 2013 van artikel 3:17, zesde lid, Wft, dat verplicht tot het verwerken van het BSN bij de uitvoering van het depositogarantiestelsel. Er zijn alternatieven overwogen, zoals het ontwikkelen van een nieuw klantnummer of een bancair-ID. Echter, geen enkel ander gegeven levert dezelfde of vergelijkbare mate van betrouwbaarheid op. Elke andere combinatie van gegevens, waarbij het BSN ontbreekt, zou tot een dusdanig grote foutmarge («uitval») leiden dat een groot deel van de IKB’s handmatig door DNB moet worden verwerkt. DNB verwacht dat dit het onmogelijk maakt om de gestelde uitkeringstermijnen te halen. Het ontwikkelen van een nieuw ID is ook bij de invoering van artikel 3:17, zesde lid, Wft overwogen, maar is niet proportioneel (dit zou een zeer omslachtige operatie zijn) en niet voldoende betrouwbaar. Voor het uitgeven of vaststellen van een overkoepelend bancair-ID zou een klant zich bovendien moeten identificeren, waarvoor in Nederland het BSN het beste gegeven vormt. Ook zouden depositohouders dan met enige regelmaat moeten nagaan of de gegevens nog wel correct worden weergegeven in de bankadministratie, anders neemt de kans op fouten toe. Verder zou het alternatief van een overkoepelend bancair-ID of apart persoonsnummer vanuit het oogpunt van privacy-bescherming net zo ingrijpend zijn als het gebruik van het BSN.7

Wat betreft het toezicht en het testen van de systemen (dry runs) zijn alternatieve werkwijzen overwogen. Zo is overwogen of dit zou kunnen plaatsvinden met versleutelde of pseudo-gegevens of dat dit zou kunnen worden vervangen door een accountantsverklaring. Deze werkwijzen leveren echter niet de vereiste zekerheid op dat wanneer het erop aankomt – dat wil zeggen bij inwerkingstelling van het depositogarantiestelsel voor het falen van een specifieke bank – een bank binnen de termijn van drie werkdagen een overwegend foutloos IKB-bestand kan opstellen met zo min mogelijk uitval dat vervolgens door DNB kan worden verwerkt. Zo kijkt een accountant veeleer naar het totstandkomingsproces en doet slechts steekproeven. Het gebruik van bijvoorbeeld pseudo-gegevens geeft onvoldoende informatie over fouten in de bankadministratie die tot uitval leiden en over de naleving van artikel 26a van het Besluit prudentiële regels Wft, dat vergt dat banken de voor de uitvoering van het depositogarantiestelsel noodzakelijke gegevens voortdurend actueel bijhouden en adequaat vastleggen.

Wat betreft het vaststellen van de bijdragen zal DNB slechts gebruikmaken van de geaggregeerde informatie over de depositobasis van een bank. Echter, om actueel inzicht te hebben in de depositobasis van een bank, moet worden vastgesteld welk gedeelte van deposito’s gegarandeerd is. Dit kan enkel worden bepaald aan de hand van IKB’s, waarvoor verwerking van het BSN noodzakelijk is.

De leden van de D66-fractie vragen of de regering kan aangeven of andere lidstaten ook een (eigen variant van een) BSN gebruiken voor uitvoering van het depositogarantiestelsel, en niet alleen voor de uitkering zelf.

Niet alle lidstaten beschikken, zoals Nederland over een nationaal of fiscaal identificatienummer. Afhankelijk van de wijze waarop wordt uitgekeerd en de juridische mogelijkheden maken depositogarantiestelsels wel of geen gebruik van dergelijke identificatienummers. De praktijk laat zien dat de betrouwbaarheid van IKB’s en dus van de snelheid en betrouwbaarheid van het uitkeren van vergoedingen toeneemt als banken hiervoor een nationaal of fiscaal identificatienummer gebruiken. Samen met de geboorteachternaam en geboortedatum vormt dit de zogenaamde «gouden driehoek», een gegevenscombinatie die bijvoorbeeld ook door de Belastingdienst wordt gehanteerd. Bijvoorbeeld Zweden kent het door een aantal banken ontwikkelde en uitgegeven BankID, een uniek identificatienummer en elektronische handtekening waarmee personen zich digitaal kunnen identificeren en documenten kunnen ondertekenen. De identiteit van de klant wordt gegarandeerd door de uitgevende bank. Het BankID wordt ook gebruikt in communicatie met de overheid, bijvoorbeeld voor belastingaangifte. In zoverre is dit vergelijkbaar met het BSN en het daaraan gekoppelde DigiD, ook wat betreft privacygevoeligheid, met dien verstande dat deze in Nederland publiek beheerd en uitgegeven worden.

De wijze waarop depositogarantiestelsels uitkeringen aan depositohouders verzorgen, verschilt sterk per lidstaat. Nederland keert giraal uit en ontvangt daarvoor van de depositohouder via een webportaal van het Depositogarantiefonds een bankrekeningnummer. Depositohouders of hun vertegenwoordiger(s) loggen op dit webportaal in met behulp van DigiD. Omdat het DigiD is gekoppeld aan het BSN, zorgt deze werkwijze ervoor dat uitkeringen aan de juiste personen worden gedaan en fraude wordt voorkomen. Door deze werkwijze kunnen depositohouders efficiënt, snel en betrouwbaar worden uitgekeerd. Er zijn ook landen waarbij een agentbank de uitbetaling verzorgt. Bij het incasseren van de vergoeding zullen depositohouders of hun vertegenwoordiger(s) zich dan fysiek moeten legitimeren met een officieel erkend identiteitsbewijs.

De leden van de D66-fractie vragen of de regering een overzicht per EU-lidstaat kan geven met de maatregelen die zij nemen om de uitkeringsperiode te verkorten?

Ondanks dat de precieze operationele aanpak sterk per lidstaat verschilt en deze onder andere afhankelijk is van de betaal- en digitale infrastructuur van een lidstaat, is de Europese standaard dat lidstaten (of depositogarantiestelsels) van banken eisen dat zij IKB’s van hun depositohouders samenstellen en deze in voorkomend geval aanleveren bij het depositogarantiestelsel of de uitvoerder daarvan. Het European Forum of Deposit Insurers (EFDI), waar DNB lid van is, heeft in dat verband het «EFDI Non-Binding Guidance Paper PAY-OUT IN 7 WORKING DAYS»8 opgesteld, dat hierop meer toelichting geeft. Voor het genereren en aanleveren van IKB-bestanden aan depositogarantiestelsels worden eisen aan banken gesteld omdat – zo constateert EFDI – in de praktijk de kwaliteit van data in de bankadministratie en het IKB-bestand een van de belangrijkste obstakels zijn voor tijdige uitkering door een depositogarantiestelsel.

Daarnaast zijn Europese depositogarantiestelsels op basis van de richtlijn depositogarantiestelsels gehouden om jaarlijks stresstesten uit te voeren. De Europese Bankenautoriteit (EBA) heeft daarvoor richtsnoeren9 opgesteld. Het beoordelen van het vermogen van banken om IKB-bestanden te genereren en aan te leveren, en ook de kwaliteit van deze bestanden, is onderdeel van deze stresstesten.

§ 3. Hoofdlijnen van het voorstel

De leden van de SP-fractie vinden dat de kwaliteit van de administratie van banken zodanig moet zijn dat DNB op basis van die administratie binnen zeer korte termijn kan vaststellen welke deposito’s binnen de reikwijdte van het depositogarantiestelsel vallen. Wordt dit met dit voorstel makkelijker en duidelijker?

Ja. Het proces van opstellen van IKB’s – waar dit wetsvoorstel een bijdrage aan levert door te verzekeren dat banken daarbij het BSN gebruiken – leidt tot verbetering van de kwaliteit van de interne administratie van banken. Dit is ook nodig. Banken zullen hun systemen moeten testen waarmee zij IKB’s maken. Hierdoor zullen onjuist vastgelegde klantgegevens en andere fouten als «uitval» naar boven komen. DNB ziet erop toe dat dergelijke uitval vervolgens wordt hersteld. Te veel uitval betekent dat het voor het depositogarantiestelsel moeilijker wordt om tijdig uitkeringen te doen en dat het recht van depositohouders om binnen zeven werkdagen weer te kunnen beschikken over hun tegoeden in gevaar komt. Uitval bij inwerkingstelling van het depositogarantiestelsel moet namelijk handmatig verwerkt worden. Dit kost meer tijd dan de geautomatiseerde verwerking door DNB van IKB’s tot beschikkingen die recht geven op uitbetaling.

Wat gebeurt er als de administratie van de bank verschilt van die van DNB, zo vragen de leden van de SP-fractie. Wie garandeert dat het individuele klantbeeld van de bank en DNB dezelfde zijn? Deze leden vragen of de verantwoordelijkheid niet veel eerder bij de banken moet liggen en vragen de regering hierop te reflecteren.

Zoals deze leden terecht opmerken, is de kwaliteit van de bankadministratie van groot belang. DNB neemt de administratie van de bank tot uitgangspunt en heeft geen eigen administratie. De administratie van banken is onderworpen aan bepaalde wettelijke kwaliteitsvereisten. Banken zijn gehouden een administratie te voeren die zodanig is dat, in geval van toepassing van het depositogarantiestelsel, deze geen belemmering vormt of kan vormen voor de uitbetaling van de vergoeding binnen de wettelijke uitkeringstermijn.10 Bovendien dienen de voor de uitvoering van het depositogarantiestelsel noodzakelijke gegevens voortdurend actueel te worden bijgehouden en adequaat te zijn vastgelegd.11 De nieuwe werkwijze betekent dat het IKB op basis van die administratie niet langer door DNB maar door de banken zelf wordt samengesteld. Dit heeft tot gevolg dat banken niet alleen verantwoordelijk zijn voor de kwaliteit van de bankadministratie maar ook voor het samenstellen van een juist IKB. DNB ziet toe op de uitvoering van deze verplichting door de banken.

§ 4. Juridisch kader: grondrechtelijke toets en relatie tot de Algemene verordening gegevensbescherming (AVG)

De leden van de SP-fractie vinden het opmerkelijk dat function creep een criterium is voor deze regering. Deze leden vragen de regering of het gebruiken van persoonsgegevens voor commerciële doeleinden wel wenselijk is en of zij überhaupt kan controleren of gegevens of bestanden die eenmaal beschikbaar zijn voor andere doeleinden worden gebruikt dan waarvoor zij zijn verkregen. Hoe denkt de regering dit te kunnen controleren? Deze leden vragen de regering om een nadere toelichting waarom het risico op function creep niet volledig kan worden weggenomen.

Het is belangrijk dat het gebruik van een nationaal persoonsidentificerend nummer als het BSN met waarborgen is omkleed om misbruik te voorkomen. Die waarborgen zorgen ervoor dat, wanneer commerciële partijen als banken het BSN verwerken, dit gebruik enkel ten behoeve van de publieke taak, en dus niet voor commerciële doeleinden kan plaatsvinden. Verwerking voor commerciële doeleinden is niet wenselijk en is evenmin toegestaan op basis van het wetsvoorstel. Het wetsvoorstel verduidelijkt uitsluitend de reeds bestaande grondslag voor het gebruik van het BSN en omschrijft daarbij uitputtend de doeleinden waarvoor verwerking is toegestaan. Door dit in de wet te verduidelijken, beperkt dit wetsvoorstel juist de mogelijkheden om het BSN vaker en anders te gebruiken dan bedoeld is en daarmee het risico op function creep. Op grond van de AVG en de Uitvoeringswet AVG (UAVG) moeten ook banken zelf en DNB maatregelen nemen om het risico te beperken, zoals het hanteren van bewaartermijnen die vergen dat IKB-bestanden na gebruik worden vernietigd. Andere belangrijke maatregelen zijn dat het IKB-bestand adequaat beveiligd wordt, dat het afgezonderd blijft van de rest van de administratie en alleen voor een beperkt aantal deskundige medewerkers toegankelijk is. Omdat function creep ook onbewust kan gebeuren, kan het risico ondanks de risicobeperkende maatregelen niet volledig worden weggenomen. In de Privacy Impact Assessment (PIA) is dit effect juist daarom in kaart gebracht, teneinde bewustwording te creëren.

§ 5. Verslag gegevensbeschermingseffectbeoordeling

De leden van de PVV-fractie merken op dat ten opzichte van de bestaande situatie, als gevolg van de wijziging, nieuwe gegevens worden verwerkt wat betreft het BSN van wettelijke of, in geval van rechtspersonen, rechtsgeldige vertegenwoordigers die zelf geen klant bij de desbetreffende bank zijn. In hoeverre zal dit mogelijke frauderisico’s meebrengen?

Het voorkomen van fraude moet centraal staan in de bedrijfsvoering van banken. Het wetsvoorstel draagt daar in algemene zin aan bij door de verwachte verbetering van de basisadministratie van banken. Omdat in de bankadministratie de identiteit van de wettelijke vertegenwoordiger van een klant met behulp van het BSN betrouwbaar wordt vastgelegd, verminderen frauderisico’s. Het BSN van wettelijke vertegenwoordigers wordt vervolgens bij uitbetaling van vergoedingen door DNB en het Depositogarantiefonds gebruikt om vast te kunnen stellen dat degene die een depositohouder vertegenwoordigt, daadwerkelijk is wie hij of zij beweert te zijn (authenticatie). Bij het claimen van een vergoeding van het depositogarantiestelsel, moeten vertegenwoordigers – evenals depositohouders zelf – zich identificeren en inloggen op een webportaal met DigiD. DigiD is gekoppeld aan het BSN. Pas als er een match is met het in de bankadministratie vastgelegde BSN van de vertegenwoordiger, kan deze de vergoeding laten uitkeren. Zo wordt het moeilijker om te frauderen door zich ten onrechte voor te doen als vertegenwoordiger.

De leden van de CDA-fractie begrijpen dat het IKB apart van de overige administratie van banken moet worden bewaard. Deze leden vragen of er ook bijzondere beveiligingseisen aan de opslag van dit IKB-bestand worden gesteld. Hoe is het toezicht op de informatiebeveiliging van het IKB-bestand geregeld?

Het IKB-bestand bestaat uit persoonsgegevens. Het is van belang dat die goed worden beschermd. Regels over de bescherming van deze gegevens zijn opgenomen in de AVG. De AVG schrijft onder meer voor dat de beveiligingsmaatregelen die met betrekking tot persoonsgegevens worden genomen, afgestemd zijn op de risico’s die de verwerking oplevert voor degene op wie de gegevens betrekking hebben. Bij het opstellen en opslaan van het IKB-bestand treden de banken op als verwerkingsverantwoordelijke. Dat betekent dat zij ervoor verantwoordelijk zijn dat hierbij aan de voorschriften van de AVG wordt voldaan. De Autoriteit Persoonsgegevens houdt hier toezicht op.

De leden van de D66-fractie vragen hoe geborgd wordt dat zorgvuldig wordt omgegaan met het BSN en dat het BSN niet verder wordt gedeeld. Hoe wordt geborgd dat banken het BSN niet verwerken in de interne administratie? Wie krijgt inzage in het BSN? Hoe wordt geborgd dat de bank het BSN alleen gebruikt voor inrichting van het IKB? Kan het BSN worden uitgewisseld met filialen in andere landen binnen en buiten de Europese Unie? Wie houdt toezicht op zorgvuldige omgang van het BSN?

Ik deel met de vragenstellers dat het belangrijk is dat uitermate zorgvuldig wordt omgegaan met het BSN. Op grond van artikel 46 UAVG mag het BSN alleen worden gebruikt voor wettelijk bepaalde doelstellingen. De belangrijkste begrenzing aan het verwerken van het BSN is de doelbinding die in de wet is opgenomen. Gebruik is enkel toegestaan voor het doel dat wordt genoemd. Banken hebben op dit moment al de wettelijke verplichting om het BSN te verwerken in hun interne administratie voor verschillende doeleinden, onder andere voor uitlevering van het BSN aan de Belastingdienst en aan DNB in het kader van het depositogarantiestelsel. Om te borgen dat banken het BSN in het kader van het depositogarantiestelsel alleen gebruiken voor de doelstellingen die in het wetsvoorstel zijn opgenomen, isoleren banken het IKB-bestand van de overige bankadministratie. Daarbij is het uitgangspunt voor bankmedewerkers die toegang hebben tot deze gegevens dat dit noodzakelijk is voor de uitoefening van hun taken. Betrokken medewerkers worden aangemerkt als zogeheten «insiders» en zijn daarom aan aanvullende compliance-vereisten onderworpen, zoals dat zij trainingen moeten volgen over (regels voor) informatiegebruik, -deling en -bescherming. De doeleinden waarvoor het BSN moet worden gebruikt, geven geen aanleiding om het BSN uit te wisselen met filialen in andere landen binnen of buiten de Europese Unie, zodat dit gebruik niet is toegestaan. DNB houdt toezicht op de naleving van artikel 3:17 Wft en in dat kader op de inrichting van het IKB-systeem bij banken. De Autoriteit Persoonsgegevens ziet er daarnaast op toe dat het gebruik van BSN voldoet aan de regels daarover in de AVG en de UAVG.

§ 6. Financiële gevolgen

De leden van de PVV-fractie willen weten hoe voorkomen zal worden dat banken de administratieve lasten en nalevingskosten als gevolg van deze wetswijziging zullen doorberekenen aan hun klanten.

Het is aan banken zelf om af te wegen hoe zij kosten verwerken en doorberekenen.

§ 7. Advies en consultatie

De leden van de VVD-fractie nemen in dit kader kennis van het uitgesproken negatieve advies dat de AP hecht aan dit wetsvoorstel. Zij lezen vervolgens in paragraaf 7 van de memorie van toelichting dat de bezwaren van de AP zijn ondervangen en dat het advies wordt gevolgd. Deelt de AP deze mening en zijn alle bezwaren ondervangen, zo vragen de leden van de VVD-fractie. Als de bezwaren zijn ondervangen, kan dan aangegeven worden hoe dat is gebeurd?

Ook de leden van de D66-fractie vragen of hierover nader overleg is geweest met de AP en of de AP zijn oordeel na de tekstwijziging heeft herzien. Ten slotte vragen ook de leden van GroenLinks of de AP naar aanleiding van de definitieve versie van het wetsvoorstel wél geadviseerd heeft om de wet in te dienen of dat zij nog steeds bezwaren heeft.

De leden van de D66-fractie lezen dat de regering het oorspronkelijk vastgestelde doel wil uitbreiden, zodat het BSN breder gebruikt kan worden voor de uitvoering van het depositogarantiestelsel, namelijk ten behoeve van tijdige uitbetaling, het vaststellen van de bijdragen en het toezicht hierop. Zij lezen ook dat de AP de wetswijziging oorspronkelijk heeft ontraden. De AP acht een ruime opvatting van gebruik van het BSN in strijd met de AVG. Kan de regering aangeven waarom zij van mening is dat het mandaat nu wel in lijn is met de AVG?

Het advies van de Autoriteit Persoonsgegevens (AP) uitte belangrijke zorgen. Naar aanleiding daarvan is op ambtelijk niveau contact geweest met de AP. Mede vanwege de expertise die de AP op dit punt heeft, is besproken hoe in concreto de punten van kritiek konden worden ondervangen. Volgend op dit overleg is het wetsvoorstel aangepast zodat de bezwaren van de AP konden worden weggenomen. De strekking van het advies en in het bijzonder de bezwaren van de AP waren niet van dien aard dat de AP aanleiding heeft gezien in haar advies te verzoeken dat een aangepast wetsvoorstel voor aanvullend advies zou worden voorgelegd.

De AP merkte in haar advies op de onderbouwing te kunnen volgen van de noodzaak om het BSN te verwerken voor de in het wetsvoorstel aangehaalde specifieke doeleinden; te weten voor het halen van de uitkeringstermijn, het toezicht daarop en het bepalen van depositobasis om de hoogte van de bijdragen vast te kunnen stellen. Echter, de AP vond deze doeleinden niet terug in de eerdere formulering van de desbetreffende wetsbepaling en achtte deze te ruim en ongedefinieerd. Deze formulering luidde ten tijde van het voorleggen voor advies aan de AP: «verwerking van het BSN in de bankadministratie voor de uitvoering van het depositogarantiestelsel in het algemeen». De AP gaf in haar advies aan dat om te voorkomen dat het BSN als klant- of relatienummer zal worden gebruikt ten behoeve van de interne administratie van banken (hetgeen het wetsvoorstel niet toestaat of beoogt toe te staan), de wettelijke plicht van banken om het BSN te verwerken adequater en explicieter omschreven diende te worden. Dat is gebeurd. In de huidige formulering van de bepaling zijn de doeleinden geëxpliciteerd. Daarmee is het bezwaar van de AP ondervangen.

De leden van de VVD-fractie vragen voorts naar de algemene omgang met het BSN. Hoe verhouden dit wetsvoorstel en de kritiek van de AP zich tot de discussie over het gebruik van het BSN als btw-nummer voor zelfstandige ondernemers? Kan worden aangegeven wanneer het BSN wél en wanneer het niet gebruikt mag worden?

Bij het gebruik van het BSN in het btw-identificatienummer was sprake van een andere situatie dan in het voorliggende wetsvoorstel. De kern van de problematiek bij het btw-identificatienummer was dat door vermelding op facturen en website, het daarin opgenomen BSN breed gedeeld moest worden met (veelal private) derde partijen, terwijl het daarvoor niet bedoeld is. Van een dergelijk breed delen van het BSN is in dit wetsvoorstel geen sprake.

De Wet algemene bepalingen burgerservicenummer geeft aan in welke gevallen het BSN gebruikt mag worden door overheidsorganisaties, namelijk bij de uitvoering van hun taken. De mogelijkheid bestaat om ook gebruik van het BSN bij formele wet door andere organisaties voor te schrijven, zoals bijvoorbeeld in de zorg is gebeurd via de Wet gebruik burgerservicenummer in de zorg. Ook in artikel 3:17, zesde lid, Wft is dit gebeurd. Gebruik door andere organisaties dan overheidsorganisaties is niettemin uitsluitend toegestaan op basis van een expliciete wettelijke grondslag.

De Minister van Financiën, W.B. Hoekstra