Gepubliceerd: 27 juni 2019
Indiener(s): Wopke Hoekstra (minister financiƫn) (CDA)
Onderwerpen: financieel toezicht financiƫn
Bron: https://zoek.officielebekendmakingen.nl/kst-35238-4.html
ID: 35238-4

Nr. 4 ADVIES AFDELING ADVISERING RAAD VAN STATE EN NADER RAPPORT1

Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 29 mei 2019 en het nader rapport d.d. 26 juni 2019, aangeboden aan de Koning door de Minister van Financiën, mede namens de Minister van Justitie en Veiligheid. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.

Blijkens de mededeling van de Directeur van Uw kabinet van 24 april 2019, nr. 2019000843, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 29 mei 2019, nr. W06.19.0106/III, bied ik U hierbij aan. De tekst van het advies is tevens hieronder opgenomen, voorzien van mijn reactie.

Bij Kabinetsmissive van 24 april 2019, no.2019000843, heeft Uwe Majesteit, op voordracht van de Minister van Financiën, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van tot wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd verstrekken en ontsluiten van identificerende gegevens door banken en betaaldienstverleners (Wet verwijzingsportaal bankgegevens), met memorie van toelichting.

Het voorstel regelt de inrichting van een Verwijzingsportaal bankgegevens (hierna: VB). Het doel hiervan is het proces van het verstrekken van bepaalde identificerende gegevens2 door banken en andere betaaldienstverleners aan bepaalde overheidsinstanties efficiënter te laten verlopen.

De Afdeling advisering van de Raad van State vestigt de aandacht op de waarborgen voor gegevensverwerking bij de introductie van deze digitale techniek, de beveiligingsrisico’s voor banken, betaaldienstverleners en overheidsinstanties, de implementatie van de Europese ontsluitverplichting en de kosten van het VB. In verband daarmee is aanpassing wenselijk van het wetsvoorstel en de toelichting.

1. Inleiding

Het voorstel regelt de inrichting van een VB. Het VB is een technische koppeling die het voor aangesloten banken en betaaldienstverleners mogelijk maakt om geautomatiseerd identificerende gegevens te verstrekken op verzoek of na vordering van overheidsinstanties. De politie, de Bijzondere opsporingsdiensten, het Openbaar Ministerie, de Financiële inlichtingeneenheid (hierna: FIU) en de Belastingdienst hebben voor de uitoefening van hun wettelijke taken deze gegevens nodig van cliënten van banken en andere betaaldienstverleners. Deze overheidsinstanties hebben de wettelijke bevoegdheid om identificerende gegevens te vorderen of te verzoeken bij banken en betaaldienstverleners. Op dit moment vindt deze gegevensverstrekking handmatig plaats. Deze wijze van verstrekking sluit niet meer aan bij het huidige betalingsverkeer, dat snel, digitaal en grensoverschrijdend is, aldus de toelichting.3

Het VB maakt het daarom voor overheidsdiensten mogelijk om bijna real-time identificerende gegevens te vorderen of op te vragen. Voor banken en andere betaaldienstverleners die rekeningen aanbieden wordt het mogelijk deze gegevens vervolgens geautomatiseerd te verstrekken. Het verwijzingsportaal is geen database, maar een koppeling; het zoekt, op aanvraag, gegevens op in administraties van aangesloten banken en betaaldienstverleners. Het slaat de gegevens die het heeft opgezocht slechts enkele minuten op ten behoeve van de verwerking door de aangesloten overheidsinstanties. Daarna worden de gegevens vernietigd.4

Met het wetsvoorstel wordt daarnaast de Europese verplichting geïmplementeerd om te voorzien in een centraal elektronisch systeem voor gegevensontsluiting dat tijdige identificatie mogelijk maakt van natuurlijke personen of rechtspersonen die houder zijn van of zeggenschap hebben over bank- en betaalrekeningen met een IBAN5-identificatienummer of over een kluis bij de bank (hierna kortgezegd: Europese ontsluitverplichting).6

2. Waarborgen tegen onnodige gegevensverstrekking

Het wetsvoorstel beoogt de reeds bestaande wettelijke bevoegdheden voor de genoemde overheidsinstanties om identificerende gegevens te vorderen of op te vragen niet te wijzigen, in te perken of te verruimen. Niettemin leidt het VB wel tot verlaging van de drempel voor gegevensverstrekking. Het voorstel is dan ook niet alleen technisch van aard. Het gebruik van digitale techniek is weliswaar begrijpelijk, maar vergt wel dat de gevolgen daarvan voor burgers en rechtspersonen uitdrukkelijk worden onderkend.7

Het VB maakt het mogelijk dat identificerende gegevens door banken automatisch worden verstrekt op verzoek van bepaalde overheidsinstanties. Interne procedures bij de overheidsinstanties moeten waarborgen dat een dergelijk verzoek bevoegd wordt gedaan en aan alle overige (wettelijke) voorwaarden wordt voldaan. Daarnaast worden alleen gegevens uit het VB aan de verzoekende instanties teruggezonden indien een zoekvraag in het VB tot maximaal drie personen leidt. Dit laatste geldt niet voor zoekvragen op basis van een product,8 deze kunnen wel tot meer personen leiden.9

Tot nu toe worden de identificerende gegevens handmatig verstrekt door de bank. De introductie van het VB zorgt ervoor dat deze gegevens na invoering van het verzoek in het VB automatisch en dus zonder mogelijkheid van controle op de juistheid van het verzoek of de vordering door de bank worden verstrekt. De gegevensverstrekking wordt daardoor sneller en efficiënter. De richtlijn beoogt dit ook voor zover het de gegevensverstrekking betreft tussen banken, andere betaaldienstverleners en de Financiële inlichtingeneenheden.

Keerzijde daarvan is echter dat de kans op onnodige gegevensverstrekking wordt verhoogd. Het had in de rede gelegen om met het oog daarop, binnen de eisen die de richtlijn aan de gegevensontsluiting stelt, te voorzien in extra waarborgen in het VB om het risico daarop zoveel mogelijk te verkleinen. In dat verband wijst de Afdeling erop dat bijvoorbeeld uitdrukkelijk niet is gekozen voor de mogelijkheid tot fiattering.10 Dat fiattering leidt tot vertraging, zoals opgemerkt in de gegevensbeschermingsbeoordeling,11 acht de Afdeling onvoldoende om daarvan af te zien, gelet op het belang van bescherming van de gegevens van betrokkenen. Bovendien blijkt uit de toelichting ook niet of en welke andere waarborgen in het VB zijn overwogen.

Dit klemt te meer gelet op de bestaande (ruime) vorderingsgrondslagen die in het voorstel zijn overgenomen voor de Belastingdienst.12 De Belastingdienst, zijnde de inspecteur, heeft immers de mogelijkheid om identificerende gegevens op te vragen ten behoeve van het voorkomen van misbruik met toeslagen en ten behoeve van de belastingheffing en -inning. Uit de toelichting wordt echter niet duidelijk welke waarborgen worden gerealiseerd om het risico van onnodige gegevensverstrekking aan de Belastingdienst, zoveel mogelijk te verkleinen. De toelichting13 verwijst enkel naar een beoogde aanpassing van het zogenoemde Voorschrift informatie fiscus/banken,14 zonder in te gaan op de benodigde aanpassingen.

Daarnaast had het in de rede gelegen om expliciet toe te lichten hoe de rechten van betrokkenen ten aanzien van het VB kunnen worden uitgeoefend. De toelichting gaat slechts in algemene zin in op de afspraken tussen de verwerker (de Justitiële informatiedienst) en de verwerkingsverantwoordelijken (respectievelijk banken, betaaldienstverleners en de betreffende overheidsinstanties).15

De Afdeling adviseert in de toelichting op het voorgaande nader in te gaan, daarbij in het bijzonder aandacht te besteden aan de Belastingdienst en het wetsvoorstel aan te passen.

2. Naar aanleiding van de opmerkingen van de Afdeling op dit punt alsmede op het punt van de gegevensverstrekking aan de Belastingdienst, is paragraaf 4.4 van de memorie van toelichting aangevuld met een passage over een aantal extra waarborgen waarin zal worden voorzien in verband met de beoogde werkwijze van fiattering buiten het verwijzingsportaal bankgegevens. In paragraaf 4.9 van de memorie van toelichting is ingegaan op de wijze waarop de rechten van betrokkenen kunnen worden uitgeoefend.

3. Veiligheidsrisico’s gegevenssystemen banken en overheidsinstanties

In de toelichting wordt niet zonder reden uitgebreid ingegaan op de beveiligingsmaatregelen die zijn getroffen ten aanzien van het VB. Zo is het systeem niet toegankelijk via het internet om ongeoorloofde toegang tot het systeem te voorkomen. Het VB heeft een eigen fysieke infrastructuur, die met een firewall is afgeschermd van het netwerk van het Ministerie van Justitie en Veiligheid. Ook is er een autorisatie en inlogvoorziening voor medewerkers die bevoegd zijn gegevens op te vragen en worden de beheerders van het systeem door de AIVD gescreend. Daarnaast wordt een penetratietest uitgevoerd voordat het VB in gebruik wordt genomen. In reactie op het advies van het Bureau ICT-toetsing zijn bovendien aanvullende maatregelen getroffen.16 Hiermee is gekozen voor een oplossing die zo min mogelijk risico’s met zich brengt, aldus de toelichting.17

Het VB leidt er echter ook toe dat via een koppeling van het VB aan de klantenadministratie van een bank of betaaldienstverlener, de klantadministratie wordt ontsloten. Daarnaast wordt een verbinding gelegd van het VB naar de overheidsinstanties. Deze ontsluiting brengt als zodanig risico’s met zich voor de beveiliging van de klantadministraties van banken en betaaldienstverleners en de gegevensbestanden van de betreffende overheidsinstanties.

De Afdeling merkt op dat, in tegenstelling tot de uitvoerige toelichting op de vereiste beveiligingsmaatregelen ten aanzien van het VB, in de toelichting niet wordt ingegaan op de mogelijke consequenties van de koppeling met het VB voor de beveiliging van de klantenadministraties van de banken en betaaldienstverleners en de gegevensbestanden van de betrokken overheidsinstanties.

De Afdeling adviseert op het voorgaande in de toelichting nader in te gaan.

3. Bovenstaande opmerkingen van de Afdeling zijn aanleiding geweest om paragraaf 4.8 van de memorie van toelichting aan te vullen met een beschrijving van de beveiligingsmaatregelen die genomen zijn ten aanzien van de koppeling van het VB met de klantadministraties van aangesloten banken en andere betaaldienstverleners en met de gegevensbestanden van de betrokkenen overheidsinstanties.

4. Implementatie overige onderdelen van Europese ontsluitverplichting

De voorbereiding van een nationale wettelijke regeling voor de inrichting van het VB is ingehaald door Europeesrechtelijke ontwikkelingen, zo blijkt uit de toelichting. Op 19 juni 2018 is de richtlijn tot wijziging van de vierde anti-witwasrichtlijn18 in werking getreden, waarin voornoemde Europese ontsluitverplichting is opgenomen. Het wetsvoorstel beoogt daarom ook de hiervoor genoemde Europese ontsluitverplichting te implementeren.

De Afdeling heeft er begrip voor dat de voorbereidingen van een op nationaal beleid ingericht VB zijn voortgezet, op het moment dat de Europese ontsluitverplichting in werking trad. Dit leidt er echter toe dat het wetsvoorstel niet geheel aansluit bij hetgeen waartoe de richtlijn de EU-lidstaten verplicht. Zo geeft het VB naast de FIU ook het Openbaar Ministerie, de Politie, de Bijzondere opsporingsdiensten en de Belastingdienst toegang tot het VB. Uit de transponeringstabel valt op te maken dat andere onderdelen van de Europese ontsluitverplichting echter nog zullen worden geïmplementeerd, zonder dat duidelijk wordt wanneer dit het geval zal zijn en of de in het voorstel opgenomen wettelijke vorderingsgrondslagen daarvoor toereikend zullen zijn.19

De Afdeling adviseert op het voorgaande in de toelichting nader in te gaan.

4. De Afdeling merkt terecht op dat het wetsvoorstel thans niet geheel aansluit bij de Europese ontsluitverplichting uit de richtlijn tot wijziging van de vierde anti-witwasrichtlijn. Dit heeft ertoe geleid dat het wetsvoorstel is aangevuld met een vorderingsgrondslag voor gegevens over de uiteindelijk belanghebbende en de openings- en sluitingsdatum van een rekening en kluis. Omdat er meer tijd nodig is voor de technische implementatie van deze vorderingsmogelijkheid is deze wijziging opgenomen in een afzonderlijk wijzigingsartikel (artikel II). Zowel het algemene deel als de artikelsgewijze toelichting zijn met betrekking tot deze uitbreiding van de vorderingsgrondslag aangevuld.

5. Kosten VB

Ten slotte wijst de Afdeling erop dat de banken de kosten voor de aansluiting op het VB zelf moeten dragen. Reden daarvoor is dat marktpartijen de kosten die direct voortkomen uit Europese voorschriften zelf dragen, aldus de toelichting.20 Het wetsvoorstel heeft echter een bredere strekking dan implementatie van de Europese ontsluitverplichting. Niet nader wordt toegelicht waarom de kosten niettemin volledig door de banken gedragen zouden moeten worden.

De Afdeling adviseert op het voorgaande in de toelichting nader in te gaan.

5. Naar aanleiding van deze opmerking van de Afdeling is in paragraaf 7.2 van de memorie van toelichting, naar aanleiding van een consultatiereactie van de NVB, nader ingegaan op de vraag waarom de kosten niettemin volledig door de banken gedragen moeten worden. Uiteengezet is dat het wetsvoorstel met de bredere strekking beoogt te voorkomen dat banken en aangesloten overheidsdiensten voor vorderingen/bevragingen die onder de scope van de Europese richtlijn vallen gebruik kunnen maken van het verwijzingsportaal en voor andere bevragingen niet. Dit zou voor alle partijen extra kosten met zich meebrengen, omdat anders een deel van het proces nog op handmatige wijze zou moeten worden voortgezet. Daarnaast vindt momenteel ook geen vergoeding van investerings-, exploitatie- en onderhoudskosten plaats bij zowel bepaalde strafrechtelijke vorderingen als informatieverzoeken van de Belastingdienst en FIU-Nederland.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.

De waarnemend vicepresident van de Raad van State,

S.F.M. Wortmann

Ik moge U, mede namens mijn ambtgenoot van Justitie en Veiligheid, verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Minister van Financiën, W.B. Hoekstra