Brief regering : Audit Verwijzingsportaal Bankgegevens

Nr. 10
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 12 januari 2026

Met deze brief informeer ik uw Kamer over de uitkomsten van de (derde) jaarlijkse
audit van het Verwijzingsportaal Bankgegevens over 2024, het controleprogramma voor
de banken en andere betaaldienstverleners en de opvolging van de bevindingen uit de
audits over 2022 en 2023. De auditrapportrages zijn bijgesloten. De audit is een verplichting
die volgt uit het Besluit verwijzingsportaal bankgegevens (hierna: het Besluit). In
artikel 5, lid 3, van het Besluit is opgenomen dat er tweejaarlijks een audit1 wordt gedaan naar de goede uitvoering van het besluit. In artikel 5, lid 4, van het
Besluit is opgenomen dat de eerste vijf jaar na de inwerkingtreding van het besluit
de audit jaarlijks zal worden gedaan.

Aanleiding

Het Verwijzingsportaal Bankgegevens is een digitale voorziening2 waarmee het opvragen van identificerende gegevens van rekeninghouders van banken
en andere betaaldienstverleners (verstrekkers) door de daartoe reeds bevoegde overheidsdiensten
(afnemende organisaties) wordt ondersteund. Met het Verwijzingsportaal is deze wettelijk
verplichte verstrekking beter beveiligd en vele malen sneller, hetgeen effectievere
(financiële) opsporing ten goede komt. De bevoegde diensten zijn gedefinieerd in Artikel
6 van het Besluit verwijzingsportaal bankgegevens: de politie, het Openbaar Ministerie
(OM), de Fiscale Inlichtingen- en Opsporingsdienst (FIOD), de Opsporingsdienst van
de Nederlandse Arbeidsinspectie (OD-NLA), de Inlichtingen- en Opsporingsdienst van
de Nederlandse Voedsel- en Warenautoriteit (NVWA-IOD), de Inlichtingen- en Opsporingsdienst
van de Inspectie Leefomgeving en Transport (ILT-IOD), de Koninklijke Marechaussee
(KMAR, de Rijksrecherche, de Financiële inlichtingen eenheid (FIU-Nederland) en de
Belastingdienst. In artikel 3:267i, derde lid, van de Wet op het financieel toezicht
is bepaald voor welke (reeds bestaande) wettelijke grondslagen banken en andere betaaldienstverleners
identificerende gegevens ter voldoening aan een vordering of verzoek aan voornoemde
bevoegde autoriteiten dienen te verstrekken.

Verstrekkers waren al wettelijk verplicht om aan dergelijke vorderingen of bevragingen
door deze diensten te voldoen. Voor de komst van het VB verliepen deze bevragingen
rechtstreeks, bijvoorbeeld via mailverkeer tussen de opsporingsdienst en de bank.
Nu zijn verstrekkers verplicht deze gegevens via het portaal te verstrekken.

Aanpak voor de audit

Op grond van het Besluit wordt bij de audit ingegaan op de werking van het Verwijzingsportaal
Bankgegevens en de kwaliteit van de vorderingen, verzoeken en verstrekkingen van gegevens.
Voor de uitvoering van de audits van het Verwijzingsportaal Bankgegevens is een meerjaren-auditplan
opgesteld. Het plan bevat afspraken over welke organisatie wanneer een onafhankelijke
audit ondergaat. De aanpak is gebaseerd op de volgende principes en verantwoordelijkheden:

− De afnemende organisaties moeten in de eerste plaats zelf hun interne controles op
orde hebben en uitvoeren. Dit is een belangrijke randvoorwaarde. De interne controles
zijn opgenomen in het «gebruiksprotocol afnemende organisaties», dat door de afnemende
organisaties is geaccepteerd.

− De afnemende organisaties voeren minimaal twee maal per jaar een interne controle
uit en rapporteren hierover aan mijn ministerie. Bij een beperkt gebruik van het VB,
dat minder dan 100 vorderingen per jaar omvat, is de rapportage jaarlijks.

− Een onafhankelijke auditor voert vervolgens een audit uit op die op de interne controles
betrekking heeft. Hiervoor is in samenspraak met de Audit Dienst Rijk (ADR) een toetsingskader
ontwikkeld.

Een meerjarenplanning draagt bij aan sturing op de realisatie van de randvoorwaarden
voor het gebruik van het Verwijzingsportaal Bankgegevens. Dit geldt voor het op orde
hebben van de interne controles, het bieden van duidelijke tijdlijnen voor het rapporteren
aan de Tweede Kamer en inzicht in en spreiding van de benodigde auditcapaciteit en
auditlast, zowel voor de ADR als voor Justid, de afnemende organisaties en de verstrekkers.

In de vorige kamerbrief3 is aangegeven dat in samenwerking met de vier grootbanken ABNAMRO, ING, Rabobank
en Volksbank/ASN en de Nederlandse Vereniging van Banken ook wordt gewerkt aan een
programma voor controle op de kwaliteit van de verstrekkingen als onderdeel van de
audit. De reikwijdte van de controle betreft alle aangesloten banken en andere betaaldienstverleners.
Dit stelt het Ministerie van Justitie en Veiligheid in staat om over het hele proces
van vorderen/verzoeken, beheer en verstrekken te kunnen rapporteren. De vier grootbanken
hebben al sinds 2024 jaarlijks interne controles uitgevoerd. Het controleplan voor
gegevensleveringen bevat de volgende elementen:

• Levering gegevens (Juistheid, Volledigheid en Tijdigheid)

• Beschikbaarheid

• Veiligheid verbinding en overdracht gegevens

• Outsourcing, indien sprake is van uitbesteding van aspecten van de gegevenslevering
die op het gegevensleveringsproces betrekking heeft.

Uitkomsten van de audits in 2025

In 2025 zijn vijf audits uitgevoerd: naar het beheer van het VB door Justid/Opsporing,
en naar de bevragingen die in 2024 via het portaal zijn gedaan door de Rijksrecherche,
het Openbaar Ministerie (OM), de politie en de Financial Intelligence Unit (FIU-Nederland).
De auditrapporten zijn bijgevoegd.

Hieronder ga ik onder 1 tot en met 5 per audit in op de belangrijkste bevindingen
en de opvolging daarvan. Vervolgens ga ik onder 6 in op de opvolging van de bevindingen
uit de eerdere audits over 2022 en 2023.

1. Justid/Opsporing

Deze audit was er gericht op de naleving van de maatregelen in de Baseline Informatiebeveiliging
Overheid (BIO) door Justid/Opsporing met betrekking tot de governance van privacy
en informatiebeveiliging, het beheer van wijzigingen, logische toegangsbeveiliging
en back-up, restore en uitwijk.

Uit de rapportage is gebleken dat de ADR geen opmerkingen had over de wijze waarop
de BIO is geïmplementeerd. Bevindingen van de ADR hadden betrekking op het opstellen
van een procesbeschrijving voor de uitvoering van biocontroles, het verbeteren van
de kwalitatieve vastlegging van de uitkomsten van de controles in de daarvoor bestemde
formulieren, het verbeteren van de vastlegging van de status van de uitgevoerde biocontroles
en de rapportage daarover aan het management van Justid en de onafhankelijkheid van
de uitvoering van de controles. De aanbevelingen zijn door Justid/Opsporing overgenomen,
zodat het interne controleproces rondom de werking van de BIO verder zal worden versterkt.

2. Openbaar Ministerie

De auditdienst van het OM heeft zich gericht op het interne controleproces bij het
OM. De auditdienst van het OM heeft geen afwijkingen vastgesteld met betrekking tot
de uitvoering van de interne controle naar het gebruik van het VB. Uit de interne
controle bleek dat gebruikers geautoriseerd en de onderzochte vorderingen allen rechtmatig
waren. De auditdienst van het OM heeft vastgesteld dat de interne controle door de
bevoegde functionaris zorgvuldig, volledig en conform het toetsingskader is uitgevoerd.
De uitvoering van de controle voldoet aan de toetsingspunten zoals vastgelegd in de
documenten «Criteria voor de audit van het Verwijzingsportaal Bankgegevens (VB) bij
het Openbaar Ministerie» en het «VB-gebruiksprotocol». De toegang tot het VB is aantoonbaar
beperkt tot vermogenstraceerders en administratieve medewerkers van het Landelijk
Internationaal Rechtshulp Centrum (LIRC). Alle medewerkers met toegang tot het Verwijzingsportaal
Bankgegevens waren op grond van hun functie hiertoe (wettelijk) gemachtigd. De registratie
en monitoring van deze toegangsrechten is adequaat geborgd.

3. Rijksrecherche

Bij het onderzoek van het gebruik van het VB door de Rijksrecherche zijn door de ADR
geen afwijkingen vastgesteld met betrekking tot mogelijke onregelmatigheden bij het
gebruik van het VB. Gebruikers waren geautoriseerd, onderzochte vorderingen waren
allen rechtmatig en het interne controleproces heeft gefunctioneerd. Een verbeterpunt
dat door de ADR is geïdentificeerd betreft het uitbreiden en formaliseren van de interne
controles en het verbeteren van de beschrijving van het proces van controle van autorisaties.
Deze aanbeveling is door de Rijksrecherche overgenomen.

4. Politie

Evenals in 2023 en 2024 heeft de auditdienst van de politie het proces van bevragen
met behulp van het VB onderzocht. Zoals in de kamerbrief aangegeven van 28 november
2024, met als referentie 5884539, is aangegeven heeft de auditdienst van de politie
de opvolging van de punten meegenomen die gedurende de audit in 2024 zijn geïdentificeerd.

Het grootste deel van de VB-bevragingen door de politie (ruim 62%) betreft het oppakken
van online aangiftes van oplichting via handelsplaatsen, webwinkels en sociale media
door het Landelijke Meldpunt Internet Oplichting (LMIO). De koppeling met het VB bij
het LMIO is volledig geautomatiseerd, alleen een bevoegde hulpofficier van justitie
kan bevragingen goedkeuren. Het proces van bevragen en dossiervorming is zodanig ingericht
dat alle stappen worden gelogd en daarmee controleerbaar zijn. De auditdienst heeft
geen afwijkingen vastgesteld bij de LMIO-bevragingen.

Met betrekking tot de overige, handmatige bevragingen binnen de politie is de kwaliteit
van de dossiervorming nog een aandachtspunt. Gedurende 2024 zijn verbeteringen in
het gebruik doorgevoerd. Uit de halfjaarlijkse interne controles blijkt echter dat
de verbeterde werkwijze nog niet bij alle bevragingen geïmplementeerd is. In de interne
controlerapportage wordt dan ook terecht opgemerkt dat de kwaliteit van de dossiervorming
wisselt. De in de audit geïdentificeerde verbeterpunten betreffen de volgende aspecten:

− Bij een beperkt aantal gevallen is geconstateerd dat de datum van ondertekening later
was dan de datum van de VB-bevraging. Daarnaast kon voor een aantal bevragingen niet
vastgesteld worden of de datum van ondertekening vóór de datum van de bevraging ligt,
vanwege ontbrekende vorderingen in de dossiers.

− Bij een beperkt aantal geselecteerde posten komt de in de VB-bevraging opgenomen wettelijke
grondslag niet overeen met de in de vordering vermelde grondslag. Daarnaast kon deze
aansluiting niet bij alle geselecteerde items uitgevoerd worden vanwege ontbrekende
documenten.

− Niet bij alle bevragingen was de motivering aanwezig waarom alle financiële instellingen
bevraagd waren.

− Bij een aantal bevragingen komen de zoekcriteria in het resultaat niet overeen met
de zoekcriteria in de vordering, bijvoorbeeld op het gebied van de bevraagde periode
of de motivering «alle banken» (de vordering was gericht aan alle financiële instellingen,
terwijl het resultaat was gericht aan 1 bank).

− Niet bij alle geselecteerde items is een vordering of een resultaat aanwezig. Daarnaast
zijn in sommige gevallen de resultaatberichten zonder inhoudelijk resultaat niet bewaard.

De auditdienst onderschrijft de bevindingen die zijn gerapporteerd in de jaarlijkse
interne controle rapportage met betrekking tot de toegangsverleningsprocecure. In
2025 is de toegang tot VB uit een aantal gebruikersprofielen verwijderd, nadat uit
analyse over 2024 was gebleken dat functionarissen met deze gebruikersprofielen geen
gebruik maakten van VB.

In het auditrapport heeft de auditdienst ook over de opvolging van de aanbevelingen
uit voorgaande audits gerapporteerd. Bij de vorige audit was aangegeven dat de controle
op autorisaties in het Verwijzingsportaal Bankgegevens was ingericht, maar nog niet
aantoonbaar uitgevoerd. Inmiddels is deze ook uitgevoerd overeenkomstig het gebruiksprotocol.
Daarnaast had de auditdienst vastgesteld dat veel medewerkers toegang hebben tot het
Verwijzingsportaal Bankgegevens, maar de groep die daadwerkelijk het portaal gebruikt
relatief beperkt is. Over 2024 stelt de auditdienst vast dat de controle op autorisaties
is uitgevoerd en dat toegang tot het Verwijzingsportaal Bankgegevens verder is beperkt.
Tenslotte merkte de auditdienst op dat in 2024 de interne controle op gebruik van
het Verwijzingsportaal Bankgegevens nog in ontwikkeling was. Inmiddels wordt deze
interne controle uitgevoerd overeenkomstig het gebruiksprotocol afnemende organisaties.

5. FIU-Nederland

De FIU-Nederland kan het VB bevragen op basis van haar bevoegdheden uit artikel 17
van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). FIU-Nederland
verzoekt via het VB om identificerende gegevens.

Naar aanleiding van het onderzoek heeft de ADR verschillende aanbevelingen gedaan.
Deze betreffen het aanvullen en formaliseren van de werkinstructie voor de uitvoering
van de interne controle en het verbeteren van de vastlegging naar aanleiding van een
VB-bevraging. Niet voor alle VB-vraagberichten waren antwoordberichten in het zaaksysteem
vastgelegd. Als gevolg hiervan heeft de ADR voor de betreffende VB-bevragingen niet
kunnen vaststellen of de informatie uit het verzoek overeenkomt met het antwoordbericht
uit het VB. Tenslotte dient de procedure met betrekking tot de interne controle van
de autorisaties te worden verbeterd.

De FIU-Nederland onderschrijft de bevindingen en werkt aan concrete verbeteringen.
De belangrijkste verbetering wordt verwacht door de koppeling tussen het zaaksysteem
en het VB te automatiseren, zodat alle VB-bevragingen en resultaatberichten worden
gelogd en daarmee controleerbaar zijn en dat de zoekcriteria in het VB direct afkomstig
zijn uit het zaaksysteem zodat geen onbedoelde verschillen of fouten kunnen ontstaan.

6. Opvolging eerdere bevindingen

De afhandeling van bevindingen naar aanleiding van voorgaande audits wordt actief
bijgehouden en aan de stakeholders gerapporteerd in de daarvoor opgezette overleggremia.
Dit stelt de stakeholders in staat om kennis te nemen van de voortgang en desgewenst
bij te sturen indien de situatie daarom vraagt. De ingerichte interne controles bij
de gebruikers van het VB helpen ook om inzicht te verschaffen in het gebruik en mogelijke
openstaande audit-bevindingen.

Bevindingen naar aanleiding van eerdere audits bij de OD-NLA, de politie, Justid/Opsporing,
de FIOD en de KMAR zijn door alle betrokkenen voortvarend opgepakt. Alle betrokken
organisaties hebben hun bevindingen afgehandeld en de interne controleprocessen op
orde. Bij KMAR is ondanks de inspanningen die zijn verricht nog sprake van het achterblijven
van de gewenste kwaliteitsverbetering. Met de KMAR zijn aanvullende afspraken gemaakt
over de interne controles met betrekking tot het Verwijzingsportaal Bankgegevens.
In het meerjaren auditplan staat in 2026 de audit bij de KMAR ingepland. Het is mijn
verwachting dat de inspanningen van de KMAR op korte termijn tot verbetering zal leiden.

Concluderend

Er zijn het afgelopen jaar wederom goede stappen gezet naar een volwassen systeem
van interne controles, voortgangsmonitoring en onafhankelijke audits. Alle opsporingsdiensten
voeren de afgesproken interne controles uit, met betrekking tot gebruik van het Verwijzingsportaal
Bankgegevens en rapporteren hierover binnen de afgesproken termijnen aan mijn ministerie.
De interne controlerapportages geven aan dat, waar van toepassing, verbetermogelijkheden
zijn geïdentificeerd en dat gericht aan de verbeteringen wordt gewerkt. Dit blijkt
ook uit de uitgevoerde audits, die betere uitkomsten kennen dan de audits over voorgaande
jaren waarbij in voorkomende gevallen nog geen sprake was van een proces van interne
controles.

Uit de uitgevoerde onafhankelijke audits blijkt bovendien dat de interne controlerapportages
juist en volledig zijn uitgevoerd. De opsporingsdiensten rapporteren ook aan hun eigen
directies over de uitkomsten van de interne controles. Dit toont een hoge mate van
betrokkenheid bij de naleving van de wettelijke kaders rondom het gebruik van het
Verwijzingsportaal Bankgegevens. Het naleven van de wettelijke kaders is essentieel
om een rechtmatig gebruik van het verwijzingsportaal Bankgegevens te kunnen waarborgen.

Ook het komende jaar gaan we op de dezelfde voet verder en zal ik uw Kamer op geëigende
momenten hierover informeren.

De Minister van Justitie en Veiligheid,
F. van Oosten