Brief regering : Audit verwijzingsportaal bankgegevens
35 238 Wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd ontsluiten van identificerende gegevens alsmede enkele andere gegevens door banken en andere betaaldienstverleners (Wet verwijzingsportaal bankgegevens)
Nr. 8
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 18 januari 2024
Het Verwijzingsportaal Bankgegevens is een digitale voorziening voor de geautomatiseerde
verstrekking van gegevens die worden opgevraagd door de daartoe bevoegde overheidsdiensten
in de strafrechtketen, zoals de politie, en de Belastingdienst (bevragers). Banken
en andere betaaldienstverleners (verstrekkers) zijn wettelijk verplicht om aan dergelijke
vorderingen of bevragingen door deze diensten te voldoen.
In artikel 5 lid 3 van het Besluit verwijzingsportaal bankgegevens is opgenomen dat
er tweejaarlijks een audit wordt gedaan naar de goede uitvoering van het besluit.
In lid 4 van het besluit is opgenomen dat de eerste vijf jaar na de inwerkingtreding
van het besluit de audit jaarlijks zal worden gedaan. Het besluit is op 10 september
2020 inwerking getreden. Bij brief van 8 juli 20221 is uw Kamer geïnformeerd over de vertraging die is ontstaan bij het uitvoeren van
de audit.
Met deze brief bied ik u, conform het Besluit, een verslag aan van deze audits. De
auditrapportages zijn bijgesloten. In deze brief ga ik ook in op een drietal toezeggingen2 gedaan door de Minister van Financiën tijdens de behandeling van het Wetsvoorstel
verwijzingsportaal bankgegevens in uw Kamer.
Aanleiding
Op grond van het besluit wordt bij de audit ingegaan op de werking van het Verwijzingsportaal
Bankgegevens en de kwaliteit van de vorderingen, verzoeken en verstrekkingen van gegevens.
In 2022/2023 zijn er drie audits uitgevoerd: naar het beheer van het portaal in de
periode 2021 tot en met september 2022, naar de bevragingen met het portaal door de
FIOD in de periode 2021 tot en met september 2022 en de bevragingen met het portaal
door de politie in 2022.
Het beheer van het portaal is ondergebracht bij de Justitiële Informatiedienst (Justid)
en werkt als doorgeefluik tussen de verstrekkers en de bevragers. Hiermee is het proces
van het vorderen van gegevens en het voldoen aan een vordering gedigitaliseerd. Het
voldoet daarmee ook aan de Europese verplichting uit artikel 32bis van de gewijzigde
vierde Europese anti-witwasrichtlijn (2018/843) van 2018. De Justitiële Informatiedienst
heeft zelf geen inzage in of toegang tot de gegevens van de banken en andere betaaldienstverleners
of de bevragingen van de opsporingsdiensten, het openbaar ministerie, de Financial
Intelligence Unit Nederland (FIU-NL) of de Belastingdienst.
De wettelijke kaders waarin bevoegdheden rond het opvragen en vorderen van bankgegevens
zijn vastgelegd, zijn onder meer: het Wetboek van Strafvordering (WvSv), de Wet ter
voorkoming van witwassen en financieren van terrorisme (Wwft), en de Algemene wet
inzake rijksbelastingen (AWR) en de Invorderingswet (IW). Deze bevoegdheden zijn met
de komst van het Verwijzingsportaal Bankgegevens niet gewijzigd.
Belangrijkste bevindingen
De Auditdienst Rijk heeft aan de hand van een normenkader onderzoek gedaan naar het
beheer van het Verwijzingsportaal Bankgegevens door Justid en de bevragingen door
de FIOD. De afdeling Concernaudit van de politie heeft aan de hand van een normenkader
onderzoek gedaan naar het gebruik van het Verwijzingsportaal Bankgegevens door de
politie. Hieronder ga ik per audit in op de belangrijkste bevindingen en de opvolging
daarvan.
1. Audit Beheer
Uit het onderzoek is gebleken dat Justid veel aandacht heeft besteed aan de inrichting
van het beheer, zo is het Verwijzingsportaal gefaseerd in gebruik genomen en zijn
openstaande punten na ingebruikname afgehandeld. Verder is het incidentenproces georganiseerd
en zijn wijzigingen beheerst doorgevoerd. En ook de beheerprocessen en het logboek
van bevragingen zijn ingericht.
Wel zijn er vier bevindingen gedaan die direct aandacht vragen van Justid en wordt
een aantal verbetermogelijkheden voor onderdelen van het beheer gezien. Deze punten
zijn reeds opgepakt en enkele ook al verholpen. Hieronder worden enkele bevindingen
nader toegelicht.
De auditdienst heeft in haar onderzoek geconstateerd dat er te weinig zicht is op
de beveiligingsmaatregelen door IT-dienstverleners waarvan Justid diensten afneemt.
Justid geeft in haar reactie aan dat de IT-dienstverleners gehouden zijn aan overheidsbeleid
op beveiliging en dat dit ook in de dienstverleningsafspraken is opgenomen. Deze afspraken
bieden Justid de mogelijkheid rapportages uit te vragen bij de IT-dienstverleners
en mee te werken aan audits op de naleving. Voor de evaluatie en mogelijke aanpassing
van de afspraken zal een jaarlijks evaluatiemoment worden ingepland.
Verder heeft de auditdienst geconstateerd dat de voorziening voor het detecteren van
oneigenlijke toegang of oneigenlijk gebruik van het Verwijzingsportaal nog niet af
is. Justid heeft voor het Verwijzingsportaal Bankgegevens een systeem voor Security
Information & Event Management ingericht. Dit is een systeem waarmee continu informatie
uit computersystemen wordt verzameld en geanalyseerd. Het doel is om verdachte gebeurtenissen
op het gebied van informatieveiligheid te ontdekken. Het systeem is nog niet af in
de zin dat de onderbouwing van gemaakte keuzes ontbreekt en dat geplande activiteiten
voor de verdere inrichting nog open staan. Ook is de toegezegde externe toetsing nog
niet uitgevoerd.
Justid heeft in reactie op de bevindingen en aanbevelingen aangegeven een aanbevelingenmatrix
te hebben opgesteld met de intentie de aanbevelingen binnen een redelijke termijn
op te volgen. Er is binnen Justid een audit werkgroep die de opvolging van de bevindingen
en aanbevelingen zal stimuleren.
Op basis van het onderzoek en met inachtneming van de aanbevelingen van de auditdienst
ben ik van mening dat de beheersmaatregelen bij Justid toereikend zijn om de risico’s
op inbreuken op beveiliging of integriteit van de informatie-uitwisseling afdoende
te beperken.
2. Audit FIOD
In het rapport over de audit bij de FIOD wordt geconstateerd dat de getoetste bevragingen
van het portaal door de FIOD in lijn zijn met de afspraken in het gebruikersprotocol.
Zo is elke getoetste bevraging gebaseerd op een vordering, en zijn de vorderingen,
waarvoor een opsporingsambtenaar of een hulpofficier van Justitie van de FIOD bevoegd
is, door een bevoegd persoon gedaan. Ook zijn de bevragingen die door de FIOD Infodesk
voor andere onderdelen van de Belastingdienst en de Douane, inclusief die voor het
Europees bureau voor fraudebestrijding (OLAF) zijn gedaan, volgens de werkinstructie
uitgevoerd. Verder zijn alle bevragingen waarbij bij alle banken tegelijk zijn bevraagd
op dat punt gemotiveerd. Wel zijn er administratieve verschillen geconstateerd bij
sommige bevragingen, die verklaarbaar zijn. Zo bieden bijvoorbeeld de verbaliseringsinstructies
meerdere opties en is het in het gebruikersprotocol niet duidelijk of het vereiste
dat de bevrager in het Verwijzingsportaal Bankgegevens verklaart dat de vordering
is ondertekend, inhoudt dat de vordering met naam of met naam en handtekening is ondertekend.
Deze verschillen betekenen niet dat deze bevragingen niet voldoen aan de formele vereisten.
Dat neemt niet weg dat het nodig is dat nadere afspraken worden vastgelegd of verduidelijkt.
Dit zal door alle betrokken partijen worden opgepakt. Verder wordt geconstateerd dat
de processen voor het verlenen van toegang tot het Verwijzingsportaal zijn ingericht.
In het onderzoek wordt aangegeven dat er aandacht nodig is voor het uitvoeren van
periodieke controles, de Baseline Informatiebeveiliging Overheid-maatregelen voor
het Verwijzingsportaal en het toezicht op het Verwijzingsportaal vanuit de Wet politiegegevens.
De periodieke controles van de bevragingen en de verstrekte autorisaties, zoals afgesproken
in het gebruikersprotocol, zijn nog niet uitgevoerd. Hoewel in het onderzoek niet
is geconstateerd dat bevragingen niet conform de formele vereisten zijn gedaan, zijn
deze periodieke controles van wezenlijk belang om een juist gebruik van het Verwijzingsportaal
doorlopend te kunnen monitoren en tijdig te kunnen bijsturen als dat nodig is. De
controle op de bevragingen ziet overigens alleen op de formele vereisten voor het
doen van een bevraging. Of een vordering aan de materiële vereisten voldoet (bijvoorbeeld
of er sprake is van een verdenking van een strafbaar feit) voor het doen van een vordering,
is geen onderdeel van de audit, immers deze toets is aan de rechter in de strafzaak
voorbehouden. Dit is met de ingebruikname van het Verwijzingsportaal niet veranderd.
De FIOD heeft in reactie op het onderzoek aangegeven op hoofdlijnen akkoord te zijn
met de verslaglegging en zich te kunnen vinden in de conclusies. De FIOD is het eens
met de bevindingen en is reeds gestart met het doorvoeren van de in het onderzoek
genoemde mogelijkheden voor verbetering.
Op basis van het onderzoek en de toegezegde opvolging van de bevindingen ga ik ervan
uit dat de FIOD de juiste maatregelen neemt om ook in de toekomst een rechtmatig gebruik
van het Verwijzingsportaal te waarborgen. Dit zal in de periodieke controles en vervolgaudits
getoetst worden.
3. Audit Politie
In het onderzoek door de Concernaudit van de Politie wordt geconstateerd dat er op
een groot aantal punten wordt voldaan aan de geldende wet- en regelgeving en de vastgelegde
afspraken met het Verwijzingsportaal Bankgegevens. Op enkele punten zijn afwijkingen
geconstateerd. Er wordt op vier punten advies voor verbetering gegeven.
Uit het onderzoek blijkt dat de politie met ongeveer 38.500 bevragingen een van de
grootste gebruikers is van het Verwijzingsportaal. Een bevraging kan overigens tot
meerdere verstrekkingen leiden, bijvoorbeeld bij de bevraging van alle banken. Bij
het live gaan van het Verwijzingsportaal heeft de politie iedere politieambtenaar
met opsporingsbevoegdheid geautoriseerd voor het Verwijzingsportaal. Dit betekent
dat 50.000 medewerkers met opsporingsbevoegdheid bevragingen kunnen doen. Uit het
onderzoek over 2022 is gebleken dat 2500 medewerkers het Verwijzingsportaal minimaal
eenmaal hebben geraadpleegd.
Door het grote aantal autorisaties bestaat het risico dat door onervarenheid met procedure
en uitvoering bevragingen niet conform de wet worden uitgevoerd. Uit de deelwaarneming
blijkt niet van grote onvolkomenheden, maar wel dat de dossiervorming bij sommige
bevragingen niet compleet is.
In het onderzoek wordt aan de korpsleiding geadviseerd de manier waarop nu bij de
politie de autorisaties voor het Verwijzingsportaal zijn geregeld te heroverwegen.
Daarnaast wordt geadviseerd periodieke deelwaarnemingen binnen de eenheden te implementeren
om de rechtmatigheid van uitgevoerde bevragingen te toetsen en waar nodig bij te sturen.
Verder wordt in het onderzoek aan de korpsleiding geadviseerd een (centrale) contactpersoon/aanspreekpunt
Verwijzingsportaal te benoemen en de dossiervorming, bewaring en vernietiging door
eenduidige procesbeschrijvingen en werkinstructies te uniformeren.
In de managementreactie op het onderzoek geeft de korpsleiding aan de bevindingen
te herkennen. De korpsleiding geeft ter inleiding aan dat er op systeemniveau afdoende
waarborgen bestaan voor compliance en risicobeheersing in het vorderingsproces. Wel
zal er een product-owner voor het Verwijzingsportaal worden aangewezen, aan wie de
beschrijving van lijn- en procesverantwoordelijkheden voor het Verwijzingsportaal
in termen van taken, bevoegdheden en verantwoordelijkheden op organisatieniveau (operationeel,
tactisch en strategisch) wordt opgedragen. Daaronder valt ook de algehele eindverantwoordelijkheid
voor de uitvoering van het Verwijzingsportaal, inclusief de monitoring en bijsturing.
Verder geeft de korpsleiding aan dat de vier adviezen worden overgenomen.
Op basis van het onderzoek en de toegezegde opvolging van de bevindingen ga ik ervan
uit dat de Politie de juiste maatregelen neemt om ook in de toekomst een rechtmatig
gebruik van het Verwijzingsportaal te waarborgen. Ter uitvoering van alle adviezen
van de afdeling Concernaudit is daartoe inmiddels de functie van landelijk coördinator
Verwijzingsportaal Bankgegevens in het leven geroepen. De kerntaak van deze functie
is toe te zien op de naleving van de van toepassing zijnde afspraken.
Monitoring opvolging bevindingen
Ik blijf met de beheerder, de bevragende diensten van het Verwijzingsportaal Bankgegevens
en de banken in gesprek om te borgen dat de in de audits geconstateerde verbetermogelijkheden
tijdig en volledig worden opgepakt en dat er, in ieder geval nog de komende vier jaar
zoals in het besluit is opgenomen, jaarlijks een audit wordt uitgevoerd.
De twee bevindingen – bij zowel de FIOD als de politie – dat periodieke controles
op bevragingen en autorisaties niet zijn uitgevoerd (en dat daar geen ernstige ongeregeldheden
uit blijken) vind ik van zo’n wezenlijk belang voor het waarborgen van een rechtmatig
gebruik van het Verwijzingsportaal dat ik de opvolging daarvan als voorwaarde stel
voor het op termijn gebruik maken van de nieuwe functionaliteit van het Verwijzingsportaal
voor het opvragen van saldo- en transactiegegevens. Het grote belang in het vertrouwen
in de rechtmatige bevraging van het Verwijzingsportaal en dat de overheid aantoont
prudent om te gaan met persoonsgegevens nopen daartoe.
Alle op het Verwijzingsportaal aangesloten diensten, dus niet alleen de FIOD en de
politie, mogen op termijn alleen van de (nieuwe) functionaliteit voor het opvragen
van saldo- en transactiegegevens gebruik maken als zij aantoonbaar halfjaarlijkse
controles op zowel bevragingen als autorisaties hebben ingericht en tenminste twee
keer op zowel bevragingen als autorisaties een controle hebben uitgevoerd. Hierover
dienen zij tijdig te rapporteren aan het Ministerie van Justitie en Veiligheid en
uit deze controles mogen naar het oordeel van het Ministerie van Justitie en Veiligheid
geen grote onvolkomenheden blijken. In de toekomst zal, mochten uit deze periodieke
controles en/of de audits wel grote onvolkomenheden bij een bevragende partij blijken,
het ministerie indien nodig de mogelijkheid hebben om de bevraging via het Verwijzingsportaal
voor de betroffen partij te bevriezen. De bevragende dienst zal dan tijdelijk moeten
terugvallen op de oude wijze van vorderen/verzoeken bij banken en andere betaaldienstverleners.
Toezeggingen
Tijdens de behandeling van de Wet verwijzingsportaal bankgegevens in uw Kamer zijn
er door de Minister van Financiën drie toezeggingen gedaan. Toegezegd is de Kamer
te informeren over het aantal bevragingen via het Verwijzingsportaal Bankgegevens
en in het kader van de audit in te gaan op de bijdrage die het Verwijzingsportaal
levert bij de bestrijding van witwassen en op de mogelijkheid om de wet te omzeilen
omdat een interne fiattering in het systeem ontbreekt. In het kader van de eerste
audit van het Verwijzingsportaal doe ik deze toezeggingen gestand.
Jaarverslag verstrekkingen
Ten aanzien van eerstgenoemde toezegging treft u in de bijlagen bij deze brief, conform
het bepaalde in artikel 5 van het Besluit verwijzingsportaal bankgegevens, informatie
over het aantal malen waarin door tussenkomst van het verwijzingsportaal bankgegevens
aan een bevoegde autoriteit gegevens zijn verstrekt. Het verslag is uitgesplitst naar
de wettelijke grondslag van de vordering of het verzoek en de bevoegde autoriteit.
U ontvangt dit keer de verslagen over de jaren 2019 tot en met 2022. In het vervolg
zal deze informatie jaarlijks worden opgenomen in het jaarverslag van het Ministerie
van Justitie en Veiligheid.
Bijdrage Verwijzingsportaal aan de bestrijding van witwassen
Wat betreft de tweede toezegging volgt uit een rondgang langs de diensten die betrokken
zijn bij de bestrijding van witwassen en als bevragende partij zijn aangesloten op
het Verwijzingsportaal, dat deze diensten zeer tevreden zijn over het Verwijzingsportaal.
Het Verwijzingsportaal in zijn huidige vorm is een stap in de goede richting om het
financieel rechercheren naar een hoger plan te tillen. Waar het vorderen van gegevens
bij banken en andere op het Verwijzingsportaal aangesloten betaaldienstverleners voorheen
dagen kon duren, is het nu een kwestie van seconden dat gegevens voor verder (financieel)
onderzoek kunnen worden verkregen. Geldstromen waarbij gebruik wordt gemaakt van het
bancaire stelsel, kunnen sneller en beter inzichtelijk worden gemaakt. Dit komt de
snelheid en de kwaliteit van onderzoeken naar onder meer witwassen ten goede. Deze
bijdrage is echter niet te kwantificeren, omdat de effectiviteit van de bestrijding
van witwassen door veel verschillende maatregelen van zowel preventieve als repressieve
aard wordt bepaald.
De diensten geven verder aan dat het, om het proces van financieel rechercheren verder
te versterken, noodzakelijk is om ook het vorderen van saldo- en transactiegegevens
via het Verwijzingsportaal te laten lopen. Een voorstel voor wijziging van de Wet
verwijzingsportaal bankgegevens dat dit beoogt, is in voorbereiding en zal op korte
termijn aan uw Kamer worden aangeboden.
Omzeilen van de wet vanwege ontbreken fiattering in het Verwijzingsportaal
Tenslotte ten aanzien van de derde toezegging het volgende. Uw Kamer wilde bij de
behandeling van het Wetsvoorstel verwijzingsportaal bankgegevens graag weten of de
wet misschien ook omzeild kan worden. Vanwege het ontbreken van een systeem van interne
fiattering zou de opsporing in het Verwijzingsportaal kunnen invoeren wat ze willen
en vervolgens is het niet zeker of de wettelijke grondslag die is aangegeven ook daadwerkelijk
juist is.
Met de fiattering wordt bedoeld de extra controle die is opgenomen in de aanwijzing
opsporingsbevoegdheden van het openbaar ministerie. Die extra controle houdt in dat,
bij een vordering verstrekking identificerende gegevens gericht aan financiële dienstverleners,
de hulpofficier van justitie of, in geval van bijvoorbeeld een bijzondere opsporingsdienst,
de teamleider de voorgenomen vordering op proportionaliteit en subsidiariteit toetst,
waarna de vordering schriftelijk door de hulpofficier van justitie of teamleider wordt
gedaan.
Deze extra controle vindt niet plaats in het Verwijzingsportaal, maar is onderdeel
van het interne werkproces van en de interne dossiervorming door de bevragende dienst.
Bij een bevraging via het Verwijzingsportaal moet wel in het Verwijzingsportaal worden
vermeld welke hulpofficier van justitie of teamleider de vordering heeft ondertekend.
Uit de audit is niet gebleken dat vorderingen niet door een hulpofficier van justitie
of teamleider zijn ondertekend.
Bij de bevraging moet in het Verwijzingsportaal ook de wettelijke grondslag worden
vermeld. Uit de audit is niet gebleken dat de wettelijke grondslag die in het Verwijzingsportaal
is vermeld afweek van de wettelijke grondslag in de vordering.
Uit het vorenstaande blijkt dat bij de in de audit onderzochte bevragingen aan de
formele vereisten bij het doen van een vordering aan een financiële dienstverlener
is voldaan. Of een wettelijke grondslag ook daadwerkelijk juist is, is een materieel
vereiste. De toets van een materieel vereiste is voorbehouden aan de rechter in de
strafzaak.
De Minister van Justitie en Veiligheid,
D. Yeşilgöz-Zegerius
Ondertekenaars
-
Eerste ondertekenaar
D. Yesilgöz-Zegerius, minister van Justitie en Veiligheid