Memorie van toelichting : Memorie van toelichting

Nr. 3
MEMORIE VAN TOELICHTING

ALGEMEEN

1. Inleiding

Dit wetsvoorstel strekt ertoe het proces van het verstrekken van bepaalde identificerende
gegevens en andere gegevens door banken en andere betaaldienstverleners, alsmede het
door bepaalde overheidsinstanties vorderen en opvragen van die identificerende gegevens
bij die banken en andere betaaldienstverleners, te automatiseren en daarmee efficiënter
te laten verlopen. Hiertoe wordt de Wet op het financieel toezicht (Wft) gewijzigd
door de afdeling Verwijzingsportaal bankgegevens op te nemen, die partijen die rekeningen
aanbieden met een Nederlands IBAN identificatienummer verplicht om aan te sluiten
op een verwijzingsportaal bankgegevens. Dit verwijzingsportaal bankgegevens is een
technische koppeling die het voor aangesloten banken en betaaldienstverleners mogelijk
maakt om geautomatiseerd te voldoen aan bepaalde vorderingen of verzoeken van overheidsinstanties.
Hiermee wordt ook de verplichting geïmplementeerd voor elke lidstaat van de Europese
Unie (EU-lidstaat) om te voorzien in een centraal elektronisch systeem ter identificatie
van cliënten van banken en andere betaaldienstverleners. Deze verplichting vloeit
voort uit artikel 32bis van Richtlijn (EU) 2018/843 van het Europees Parlement en
de Raad van 30 mei 2018 tot wijziging van Richtlijn (EU) 2015/849 inzake de voorkoming
van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering,
en tot wijziging van de Richtlijnen 2009/138/EG en 2013/36/EU (PbEU 2018, L 156) (hierna:
de richtlijn tot wijziging van de vierde anti-witwasrichtlijn).

2. Aanleiding en doel van het wetsvoorstel

2.1 Wenselijkheid van geautomatiseerde ontsluiting

Verschillende overheidsinstanties, in het bijzonder die zich bezighouden met het aanpakken
en bestrijden van witwassen en terrorismefinanciering, alsmede de daaraan ten grondslag
liggende delicten zoals corruptie en fiscale misdrijven waaronder belastingontduiking
en -fraude, hebben daarvoor identificerende en andere gegevens nodig van cliënten
van banken en andere betaaldienstverleners. Datzelfde geldt voor de Belastingdienst
voor haar taken op het gebied van belastingheffing en -inning. Bij identificerende
gegevens gaat het dan bijvoorbeeld om de naam, het registratienummer bij de Kamer
van Koophandel, het adres en bij natuurlijke personen de geboortedatum. Bij andere
gegevens gaat het hier om gegevens over de uiteindelijk belanghebbende en de openings-
en sluitingsdatum van een rekening of kluis. De politie, de bijzondere opsporingsdiensten,
het openbaar ministerie (OM), de Financiële inlichtingen eenheid (hierna: FIU-Nederland)
en de Belastingdienst hebben voor het uitvoeren van bepaalde taken de bevoegdheid
om die gegevens te vorderen of op te vragen op grond van het Wetboek van Strafvordering
(Sv), de Wet op de economische delicten (Wed), de Wet ter voorkoming van witwassen
en financieren van terrorisme (Wwft), de Algemene wet inzake rijksbelastingen (AWR),
de Invorderingswet 1990 (IW 1990) en de Algemene wet inkomensafhankelijke regelingen
(Awir). Banken en andere betaaldienstverleners dienen de gevorderde of gevraagde gegevens
op grond van de genoemde wetgeving te verstrekken.

Momenteel gebeurt het vorderen of opvragen van de betreffende gegevens bij banken
door overheidsinstanties veelal handmatig en op individuele basis. Dit heeft verschillende
nadelen. Een belangrijk nadeel is dat de levering en verwerking van de gegevens vertraging
kan oplopen, waardoor de gevraagde gegevens reeds kunnen zijn gewijzigd voordat de
betreffende instantie ze ontvangt. Dit beperkt de genoemde instanties steeds meer
bij de uitvoering van hun taken. Het betalingsverkeer verloopt namelijk steeds sneller,
het is in toenemende mate digitaal en niet gebonden aan grenzen. Ook zijn er meer
soorten diensten beschikbaar en is het eenvoudiger om producten van verschillende
banken en andere betaaldienstverleners af te nemen en om gegevens snel (online) te
wijzigen. Al deze ontwikkelingen, die in de toekomst nog zullen doorzetten, maken
het moeilijker en in veel gevallen onmogelijk om geldstromen in kaart te brengen zonder
actuele gegevens. Het is daarom voor een goede taakuitoefening essentieel dat de betreffende
gegevens snel en volledig bij de genoemde overheidsinstanties bekend zijn. Ook is
het nodig dat de gegevens digitaal worden aangeleverd, zodat ze direct verwerkt kunnen
worden. Er is geïnventariseerd op welke wijze het proces van vorderen en opvragen
van de betreffende gegevens bij banken en andere betaaldienstverleners, alsmede het
daaropvolgend door hen verstrekken van die gegevens, beter kan worden vormgegeven.
Dit heeft geleid tot het voorstel om voor bepaalde overheidsinstanties voor bepaalde
gegevens te gaan werken met een centraal elektronisch systeem.

Het zogenoemde verwijzingsportaal bankgegevens voorziet in het betrouwbaar, veilig,
snel, gericht en efficiënt vorderen, opvragen en verstrekken van gegevens op een (in
beginsel) uniforme wijze. Met de verplichte aansluiting van in de wet aangewezen banken
en andere betaaldienstverleners op het verwijzingsportaal bankgegevens wordt voorkomen
dat overheidsinstanties buiten het portaal om bij sommige partijen alsnog handmatig
een vordering moeten indienen. Daarmee is het systeem zo effectief mogelijk.

2.2. Europese verplichting

Inmiddels heeft het wetsvoorstel niet meer alleen een nationale achtergrond. Op 19 juni
2018 is de hiervoor genoemde richtlijn tot wijziging van de vierde anti-witwasrichtlijn
in werking getreden. Deze richtlijn wijzigt de vierde anti-witwasrichtlijn1. De vierde anti-witwasrichtlijn en de wijziging van die richtlijn strekken tot het
voorkomen van het gebruik van het financiële stelsel voor het witwassen van geld of
terrorismefinanciering voor de aan deze misdrijven ten grondslag liggende delicten
zoals corruptie of voor fiscale misdrijven, waaronder belastingontduiking en -fraude.
De richtlijn tot wijziging van de vierde anti-witwasrichtlijn bevat daartoe verschillende
maatregelen, waaronder in artikel 32bis de verplichting voor elke EU-lidstaat om te
voorzien in een centraal elektronisch systeem voor gegevensontsluiting, dat de tijdige
identificatie mogelijk maakt van natuurlijke personen of rechtspersonen die houder
zijn van of zeggenschap hebben over bank- en betaalrekeningen met een IBAN-identificatienummer2 of over een kluis bij een bank. Deze richtlijnverplichting valt in belangrijke mate
samen met de nationale beleidsmatige wens om het verstrekken van identificerende gegevens
door banken en andere betaaldienstverleners te automatiseren. Het beoogde verwijzingsportaal
bankgegevens is immers een dergelijk geautomatiseerd centraal systeem en voldoet grotendeels
aan de eisen van de richtlijn. Wel heeft het verwijzingsportaal bankgegevens een enerzijds
breder toepassingsgebied dan de richtlijn voorschrijft en voldoet het anderzijds niet
aan alle vereisten van de richtlijn. Het toepassingsbereik is breder doordat er meer
overheidsinstanties zijn aangesloten en meer soorten identificerende gegevens kunnen
worden opgevraagd dan de richtlijn voorschrijft. Dit is in de eerste plaats te verklaren
doordat het opzetten van het verwijzingsportaal bankgegevens niet uitsluitend dient
ter implementatie van de richtlijn, maar ook om te voldoen aan de nationale beleidsmatige
wens om slagvaardiger op te kunnen treden bij het bestrijden van criminaliteit. Daarnaast
is bij de keuze voor de gegevens die via het verwijzingsportaal bankgegevens verstrekt
moeten worden aangesloten bij de reeds bestaande wettelijke bevoegdheden en de huidige
praktijk van het handmatig vorderen van identificerende gegevens. Als in het onderhavige
wetsvoorstel strikt zou zijn aangesloten bij de in de richtlijn genoemde gegevens,
zou dat betekenen dat de aangesloten overheidsinstanties de overige gegevens, die
zij op grond van de huidige Nederlandse wetgeving kunnen vorderen of opvragen, alsnog
op de – inefficiënte – handmatige manier zouden moeten vorderen of opvragen. Dat zou
het voordeel van het portaal teniet doen. Het verwijzingsportaal bankgegevens dat
door het wetsvoorstel wordt geregeld voldoet daarmee aan alle vereisten van artikel
32bis van de richtlijn (zie ook de transponeringstabel in paragraaf 8).

De richtlijn tot wijziging van de vierde anti-witwasrichtlijn verplicht EU-lidstaten
om uiterlijk op 10 september 2020 artikel 32bis, inhoudende de verplichting tot het
opzetten van een centraal elektronisch geautomatiseerd systeem voor het ontsluiten
van identificerende gegevens door banken en andere betaaldienstverleners, geïmplementeerd
te hebben. De overige bepalingen van de richtlijn worden separaat geïmplementeerd,
te weten in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).

2.3 Het verwijzingsportaal bankgegevens

Het verwijzingsportaal bankgegevens is een technische voorziening die het mogelijk
maakt om identificerende bankgegevens van natuurlijke personen en rechtspersonen,
identificerende gegevens behorend bij financiële producten alsmede gegevens over de
uiteindelijk belanghebbende en de begin- en einddatum van een rekening of kluis, bijna
real-time te vorderen of op te vragen, op basis van de huidige bevoegdheden van opsporingsambtenaren,
de FIU-Nederland en van de Belastingdienst. Het verwijzingsportaal bankgegevens maakt
het voor banken en andere betaaldienstverleners die rekeningen aanbieden tevens mogelijk
om deze gevraagde of gevorderde gegevens vervolgens geautomatiseerd te verstrekken.
Het verwijzingsportaal bankgegevens is daarmee te kwalificeren als een koppeling:
het zoekt, op aanvraag, gegevens op in administraties van aangesloten banken en betaaldienstverleners
en is geen database. Het slaat de gegevens die het heeft opgezocht slechts kort op
(enkele minuten) ten behoeve van de verwerking door de aangesloten overheidsinstanties.
Daarna worden de gegevens vernietigd. Aangesloten overheidsinstanties kunnen een vordering
of verzoek gelijktijdig aan meerdere of aan alle banken en betaaldienstverleners richten.
Het verwijzingsportaal bankgegevens stuurt de gegevens, zo nodig gebundeld, aan de
vragende overheidsinstantie. Dit gehele proces is binnen enkele minuten afgerond.
De technische inrichting van het verwijzingsportaal bankgegevens zorgt er verder voor
dat de gegevens die worden ontsloten van goede kwaliteit zijn en dat er minder gegevens
worden ontsloten van personen waarop de vordering of het verzoek geen betrekking heeft.

De manier waarop het verwijzingsportaal bankgegevens is ingericht brengt mee dat het
wetsvoorstel de reeds bestaande wettelijke bevoegdheden voor de genoemde overheidsinstanties
om de betreffende gegevens te vorderen of op te vragen niet wijzigt, inperkt of verruimt.
Het wetsvoorstel schrijft alleen voor bepaalde partijen en bepaalde gegevens voor
dat het verwijzingsportaal bankgegevens wordt gebruikt als middel voor verstrekking,
voor zover er een wettelijke plicht daartoe bestaat.

2.4 Identificerende en andere gegevens

In het portaal kunnen identificerende gegevens van personen die in Nederland financiële
producten, in de zin van de Wet op het financieel toezicht, afnemen van banken en
andere betaaldienstverleners, alsmede gegevens over de uiteindelijk belanghebbende
en de begin- en einddatum van een rekening of kluis worden ontsloten. Ook kunnen gegevens
van personen, die namens een cliënt zeggenschap kunnen uitoefenen over financiële
producten, bijvoorbeeld op basis van een volmacht, worden opgevraagd. Bij of krachtens
algemene maatregel van bestuur zal worden uitgewerkt welke soorten gegevens via het
verwijzingsportaal bankgegevens beschikbaar en opvraagbaar zullen zijn. Welke gegevens
een aangesloten overheidsinstantie in een concreet geval kan opvragen of vorderen
hangt af van de grondslag die daarvoor wordt gebruikt. De volgende identificerende
gegevens zullen via het portaal beschikbaar zijn:

– in geval van een natuurlijk persoon: naam, tenaamstelling van de rekening, de kluis
of het financiële product, adres, woonplaats, postadres, geboortedatum, en administratieve
kenmerken (is het product actief of beëindigd, is de betreffende persoon zelf cliënt
of kan hij als gemachtigde namens een ander zeggenschap uitoefenen);

– in geval van een rechtspersoon: naam, tenaamstelling van de rekening, de kluis of
het financiële product, adres, vestigingsplaats, postadres, nummer van inschrijving
bij de Kamer van Koophandel en administratieve kenmerken.

Daarnaast zullen – op een later moment – de volgende niet-identificerende gegevens
via het portaal beschikbaar zijn:

– gegevens over de uiteindelijk belanghebbende van een rekening of kluis;

– de openings- en sluitingsdatum van een rekening of kluis.

Zoals hierboven beschreven zijn deze gegevens gekozen om aan te sluiten bij de reeds
bestaande bevoegdheden van de aangesloten overheidsinstanties en op basis van de bestaande
praktijk tussen de overheidsinstanties en banken. Via het verwijzingsportaal bankgegevens
wordt geen informatie verstrekt over het gebruik van de financiële producten. Er kan
bijvoorbeeld via het portaal geen informatie worden opgevraagd over transacties die
vanaf een bepaalde rekening zijn uitgevoerd of over het saldo op een bepaalde rekening.
Voor zover de aangesloten overheidsinstanties andere gegevens dan de genoemde identificerende
gegevens, gegevens over de uiteindelijk belanghebbende en de begin- en einddatum van
een rekening of kluis vorderen of opvragen bij aangesloten banken en betaaldienstverleners,
of gegevens van andere partijen dan van aangesloten partijen vorderen of verzoeken,
blijven de bestaande, handmatige, procedures van kracht en verloopt de verstrekking
dus niet via het verwijzingsportaal bankgegevens. Het is niet mogelijk deze gegevens
via het verwijzingsportaal bankgegevens op te vragen.

De wijze waarop banken en andere betaaldienstverleners de bovenstaande gegevens geautomatiseerd
dienen te verstrekken, zal worden uitgewerkt bij of krachtens algemene maatregel van
bestuur behorend bij dit wetsvoorstel. Wel voorziet het wetsvoorstel in een grondslag
voor de aangesloten private partijen om bij het opvragen van gegevens uit de eigen
administratie, ten behoeve van verstrekking via het verwijzingsportaal bankgegevens,
het burgerservicenummer te gebruiken. Het gebruik van dit nummer is noodzakelijk om
snel en efficiënt gegevens te verzamelen, het helpt om de hoeveelheid uitgewisselde
informatie te beperken en het voorkomt dat onnodig gegevens worden verstrekt van personen
waar de vordering of het verzoek geen betrekking op heeft.

2.5 Aansluiting op het verwijzingsportaal bankgegevens: private partijen

Dit wetsvoorstel verplicht banken en andere betaaldienstverleners die rekeningen aanbieden
met een IBAN-identificatienummer dat de landcode «NL» bevat, alsmede banken die kluizen
aanbieden, aangesloten te zijn op het verwijzingsportaal bankgegevens. Deze afbakening
vloeit voort uit de verplichting uit de richtlijn tot wijziging van de vierde anti-witwasrichtlijn
om ervoor te zorgen dat in het verwijzingsportaal bankgegevens identificerende gegevens
zijn op te vragen van natuurlijke personen en rechtspersonen die een rekening met
een IBAN identificatienummer hebben en van personen die kluizen aanhouden bij banken
in Nederland, alsmede gegevens over de uiteindelijk belanghebbende en de begin- en
einddatum van bedoelde rekeningen en kluizen. Via het verwijzingsportaal bankgegevens
dienen die banken en andere betaaldienstverleners deze gegevens betreffende hun cliënten
bij een verzoek of vordering van de genoemde overheidsinstanties geautomatiseerd te
verstrekken. Voor de aangesloten banken en betaaldienstverleners betekent dit concreet
dat zij een automatische koppeling tussen het eigen (klant)systeem en het verwijzingsportaal
bankgegevens dienen te realiseren. Hoe de aansluiting op het verwijzingsportaal bankgegevens
dient plaats te vinden en welke gegevens via het verwijzingsportaal worden gevorderd
en verstrekt, zal worden uitgewerkt bij of krachtens algemene maatregel van bestuur.

2.6 Aansluiting op het verwijzingsportaal bankgegevens: bevoegde overheidsinstanties

Via het verwijzingsportaal bankgegevens kunnen identificerende gegevens, alsmede gegevens
over de uiteindelijk belanghebbende en de begin- en einddatum van een rekening of
kluis worden opgevraagd op grond van artikelen uit het Wetboek van Strafvordering
(Sv), de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), de
Wet op de economische delicten (Wed), de Algemene wet inzake rijksbelastingen (AWR),
de Invorderingswet 1990 (IW 1990) en de Algemene wet inkomensafhankelijke regelingen
(Awir). Deze wetgeving bepaalt ook welke overheidsinstanties bevoegd zijn om via het
portaal deze gegevens op te vragen. Niet elke organisatie die op grond van deze artikelen
bevoegd is om deze gegevens te vorderen of op te vragen, is aangesloten op het portaal.
Aangesloten zijn de Nationale Politie, het openbaar ministerie, de Koninklijke Marechaussee,
de Rijksrecherche, de Fiscale Inlichtingen- en Opsporingsdienst, de Inlichtingen-
en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit, de directie Opsporing
van de Inspectie Sociale Zaken en Werkgelegenheid, de Inlichtingen- en Opsporingsdienst
van de Inspectie Leefomgeving en Transport, de Belastingdienst (BD-heffing), BD (inning),
BD (Toeslagen/ heffing) en BD (Toeslagen/ inning) en de FIU-Nederland. Deze partijen
zijn geselecteerd vanwege hun rol bij de aanpak en het bestrijden van witwassen en
terrorismefinanciering en de daaraan ten grondslag liggende delicten zoals corruptie
en fiscale misdrijven waaronder belastingontduiking en -fraude. Deze partijen mogen
het verwijzingsportaal bankgegevens ook gebruiken voor andere verzoeken en vorderingen
op basis van de genoemde wettelijke grondslagen. Bij of krachtens algemene maatregel
van bestuur zullen functionarissen van deze organisaties of de organisaties zelf aangewezen
worden als bevoegde autoriteiten.

2.7 Het beheer van het portaal

Het portaal wordt beheerd door de Justitiële Informatiedienst. Bij of krachtens algemene
maatregel van bestuur worden regels gesteld over dit beheer. Onderwerpen als de inrichting
van het portaal en de manier waarop er wordt gerapporteerd over het gebruik en de
werking van het verwijzingsportaal bankgegevens kunnen bij of krachtens deze algemene
maatregel van bestuur worden uitgewerkt.

3. Wet op het financieel toezicht (Wft)

3.1 Motivering keuze

Hoewel de aansluitverplichting voor banken en andere betaaldienstverleners op het
verwijzingsportaal bankgegevens op zich een nieuw element vormt in de Wft in de zin
dat dit geen prudentieel of gedragsvereiste is zoals die nu zijn opgenomen in de Wft,
is er toch voor gekozen om deze verplichting in de Wft op te nemen. Daarbij is in
de eerste plaats van belang dat de Wft de primaire vindplaats is van eisen die aan
banken en andere betaaldienstverleners worden gesteld. De aansluitverplichting ligt
in het verlengde van de bedrijfsvoeringseisen die reeds in de Wft aan banken en andere
betaaldienstverleners worden gesteld. Daarnaast heeft de aansluitverplichting ook
raakvlakken met eisen inzake integere bedrijfsvoering, zoals gesteld in de artikelen
3.10 en 3.17 van de Wft. Zo is artikel 3.17, tweede lid, onderdeel b, Wft gericht
op het tegengaan van gebruik van het financieel stelsel voor witwassen en terrorismefinanciering.
Onderzocht is evenwel of het verwijzingsportaal bankgegevens in andere wetten zou
kunnen worden geregeld, te weten in de Wet ter voorkoming van witwassen en financieren
van terrorisme (Wwft), in het Wetboek van Strafvordering (Sv) of een van de andere
wetten op grond waarvan gegevens via het verwijzingsportaal bankgegevens kunnen worden
gevorderd of opgevraagd. Ten aanzien van de Wwft is geoordeeld dat de scope van die
wet te beperkt is, waardoor de suggestie zou worden gewekt dat het verwijzingsportaal
bankgegevens alleen van belang is voor de bestrijding van witwassen en terrorismefinanciering.
De systematiek en de aard van het Wetboek van Strafvordering brengen met zich dat
dat Wetboek geen logisch kader om daarin bedrijfsvoeringsverplichtingen voor banken
en andere betaaldienstverleners op te nemen. Dit geldt ook voor de andere wetten op
grond waarvan gegevens bij deze instellingen kunnen worden gevorderd. Daar komt bij
dat het verwijzingsportaal bankgegevens voor verschillende doeleinden zal worden gebruikt.
Het opnemen van een verplichting tot aansluiting op het verwijzingsportaal bankgegevens
in sectorale wetgeving ligt niet voor de hand, aangezien dan in de verschillende wetten
een bepaling zou moeten worden opgenomen, hetgeen de kenbaarheid en toegankelijkheid
van de regelgeving omtrent het verwijzingsportaal niet ten goede komt. Verder is van
belang dat bestuursrechtelijke handhaving van de aansluitverplichting op het verwijzingsportaal
(zie hieronder) in dit geval het meest voor de hand ligt.

3.2 Wettelijke grondslagen voor vorderen en opvragen gegevens

De bevoegdheden van de aangesloten overheidsinstanties om door middel van het verwijzingsportaal
bankgegevens gegevens te vorderen of op te vragen zijn geregeld in het Wetboek van
Strafvordering (Sv), de Wet op de economische delicten (WED), de Wet ter voorkoming
van witwassen en financieren van terrorisme (Wwft), de Algemene wet inzake rijksbelastingen
(AWR), de Invorderingswet 1990 (IW 1990) en de Algemene wet inkomensafhankelijke regelingen
(Awir). Deze wetgeving en de daarop gebaseerde regels bepalen onder meer welke functionarissen
gegevens kunnen opvragen, welke gegevens zij kunnen opvragen, met welk doel en welke
procedures er bestaan voor het geven van goedkeuring voor een vordering of verzoek,
voor zover nodig. Het wetsvoorstel brengt daar geen wijziging in. Voor een toelichting
op de achtergrond van de bevoegdheden, het doel van de inzet daarvan, de gegevens
die opgevraagd kunnen worden, de inrichting van de procedure van vorderen of verzoeken
en andere genoemde aspecten wordt daarom verwezen naar de toelichting bij de betreffende
wetgeving. Voor de inzichtelijkheid wordt in de artikelsgewijze toelichting wel kort
op de verschillende bevoegdheden ingegaan.

3.3 Toezicht

In het wetsvoorstel is ervoor gekozen om de aansluitverplichting op het verwijzingsportaal
bankgegevens op te nemen in de Wft en voor het toezicht op de naleving daarvan alsmede
voor de handhaving aan te sluiten bij de Wft. De Wft kent hoofdzakelijk een bestuursrechtelijk
handhavingskarakter. Bij de keuze hiervoor speelt in de eerste plaats een rol dat
door het niet voldoen aan de aansluitverplichting de rechtsorde niet bijzonder geschokt
zal zijn. Ook aan het criterium van de gesloten context wordt voldaan, aangezien sprake
is van een bestaande relatie tussen DNB en de banken en andere betaaldienstverleners.
Gelet hierop ligt het voor de hand DNB te vragen ook dit deel van het toezicht uit
te oefenen. Daardoor wordt tevens een situatie voorkomen van bestuurlijke drukte als
gevolg van veel verschillende toezichthouders. Bij de keuze voor DNB als toezichthouder
is onderkend dat DNB deze taak alleen kan uitoefenen als zij beschikt over informatie
van de Minister van Justitie en Veiligheid (Justid). Justid heeft een belangrijke
rol in het toezicht, aangezien Justid als eerste signaleert of in voorkomende gevallen
een instelling niet aan de aansluitverplichting voldoet. Deze informatie geeft Justid
door aan DNB, waarna DNB onderzoek kan doet. Met het oog hierop is in Deel 1 van de
Wft een bepaling opgenomen die DNB en de Minister van Justitie en Veiligheid, als
verantwoordelijke voor Justid, verplicht om samen te werken ten behoeve van de goede
uitoefening van het toezicht en de handhaving door DNB. Dit houdt onder meer in dat
de Minister van Justitie en Veiligheid verplicht is om DNB tijdig te voorzien van
de juiste informatie. Daarnaast kan het noodzakelijk zijn dat DNB met het oog op haar
toezicht- en handhavingstaak inzake de aansluitverplichting in voorkomende gevallen
ook toezichtvertrouwelijke informatie deelt met Justid. Ook daartoe zal een bepaling
worden opgenomen in de Wft die dit mogelijk maakt.

Naar verwachting is met het opzetten van het toezicht en de handhaving van de aansluitverplichting
door DNB gedurende het eerste jaar 1 fte extra gemoeid en is daarnaast een structurele
capaciteitstoename van 1 fte nodig voor het uitvoeren van het toezicht en de handhaving.
De extra toezichtkosten hiervan worden binnen het kostenkader van DNB opgevangen en
via de systematiek van de Wet bekostiging financieel toezicht 2019 aan de sector doorberekend.

De Autoriteit Persoonsgegevens houdt op grond van bestaande wetgeving toezicht op
de rechtmatigheid van de verwerking van persoonsgegevens die met het gebruik van het
verwijzingsportaal bankgegevens is gemoeid.

4. Gegevensbescherming

Een gedeelte van de via het verwijzingsportaal bankgegevens te vorderen of op te vragen
gegevens zijn persoonsgegevens.3 Onder een persoonsgegeven wordt verstaan: alle informatie over een geïdentificeerde
of identificeerbare natuurlijke persoon.4Op het gebruik (de verwerking) van persoonsgegevens is privacyregelgeving van toepassing.
Omdat de voorgestelde bepaling voor een belangrijk deel betrekking heeft op de verwerking
van persoonsgegevens, wordt hierna op de toepasselijke privacyregelgeving ingegaan
en is de Autoriteit Persoonsgegevens op grond van artikel 36, vierde lid, algemene
verordening gegevensbescherming gevraagd te adviseren of het wetsvoorstel voldoet
aan de geldende wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens.
Op dit advies wordt in paragraaf 7.4 ingegaan.

4.1 Verwerking van persoonsgegevens in het portaal

Ten opzichte van de huidige praktijk, wijzigt het verwijzingsportaal bankgegevens
op een paar punten de manier waarop persoonsgegevens worden verwerkt bij het voldoen
aan vorderingen en verzoeken van aangesloten overheidsinstanties. Vanuit het oogpunt
van bescherming van persoonsgegevens heeft dit zowel voordelen voor de betrokkenen
als nadelen.

– Gegevens van cliënten van banken en betaaldienstverleners

Zoals in paragraaf 2.3 van deze toelichting is beschreven is het verwijzingsportaal
bankgegevens te kenmerken als een koppeling en bevat het maar gedurende zeer beperkte
tijd – enkele minuten – gegevens van cliënten van banken en andere betaaldienstverleners.
Wel zullen gegevens van cliënten in plaats van direct van de vorderende of verzoekende
overheidsinstantie naar de aangesloten private partijen en andersom, door tussenkomst
van een technische voorziening, worden verstrekt. Dit betekent dat er een extra verwerking
van persoonsgegevens aan het huidige proces wordt toegevoegd. Het systeem maakt het
mogelijk om sneller en efficiënter gegevens op te vragen. Gezien de ervaringen in
andere landen met een geautomatiseerd systeem moet er rekening mee worden gehouden
dat het automatiseren leidt tot meer bevragingen. Ook dit levert extra verwerkingen
op. Hier staat tegenover dat het verwijzingsportaal bankgegevens het gebruik van persoonsgegevens
beperkt, doordat persoonsgegevens gerichter kunnen worden opgevraagd en verstrekt.
Hiertoe dient onder meer het gebruik van het burgerservicenummer, teneinde een vordering
of verzoek van een overheidsinstantie te kunnen koppelen aan de betrokkene in het
klantsysteem van de aangesloten bank of betaaldienstverlener. Hierdoor neemt het aantal
verwerkingen af. Daarnaast neemt ook het aantal medewerkers van aangesloten private
partijen, dat inzage heeft in de vorderingen, af. Ten opzichte van de huidige situatie
levert het gebruik van het verwijzingsportaal bankgegevens daarnaast een vermindering
van risico’s per verwerking op, doordat de praktijk van vorderen of opvragen per e-mail
vervalt met de daarbij behorende risico’s voor de bescherming van persoonsgegevens
en doordat minder medewerkers van de aangesloten banken en betaaldienstverleners bij
de verwerkingen betrokken zijn.

– Gegevens ten behoeve van de beoordeling van de werking van het verwijzingsportaal
bankgegevens

Het gebruik van het verwijzingsportaal bankgegevens brengt verder mee dat persoonsgegevens
worden opgeslagen van de gebruikers van het portaal. Zo registreert het verwijzingsportaal
bankgegevens van elk verzoek wie dit heeft gedaan. Dit gebeurt om te kunnen controleren
dat het verwijzingsportaal rechtmatig wordt gebruikt, alsmede om de werking van het
portaal te kunnen beoordelen.

4.2 Toepasselijke regelgeving bescherming persoonsgegevens

Op de verwerking van persoonsgegevens in het verwijzingsportaal zijn artikel 8 van
het Handvest van de grondrechten van de Europese Unie, artikel 16 van het Verdrag
betreffende de werking van de Europese Unie, artikel 8 van het Europees Verdrag tot
bescherming van de rechten van de mens en fundamentele vrijheden en artikel 10 van
de Grondwet van toepassing. Op grond van deze bepalingen bestaat een recht op bescherming
van persoonsgegevens dat alleen kan worden ingeperkt voor zover dat noodzakelijk is.

Deze regels worden verder uitgewerkt in de algemene verordening gegevensbescherming
(AVG)5 en de Uitvoeringswet algemene verordening gegevensbescherming (UAVG). Op een deel
van de gegevens die via het verwijzingsportaal bankgegevens worden verwerkt, is daarnaast
de Wet politiegegevens van toepassing. Het gaat daarbij om de gegevens die de politie
opneemt in de vordering die via het verwijzingsportaal bankgegevens aan banken en
betaaldienstverleners wordt gericht. De Wet politiegegevens is herzien in verband
met de implementatie van de richtlijn gegevensbescherming opsporing en vervolging6. Voor zover relevant, stelt deze wet vergelijkbare eisen aan de verwerking van deze
gegevens als de AVG en de UAVG.

Persoonsgegevens moeten op grond van deze wetgeving worden verwerkt op een wijze die
ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Voorts mogen
persoonsgegevens slechts worden verzameld voor welbepaalde, uitdrukkelijk omschreven
en gerechtvaardigde doeleinden en mogen ze vervolgens niet verder op een met die doeleinden
onverenigbare wijze worden verwerkt (doelbinding). Ook moet degene die verantwoordelijk
is voor een verwerking bij het ontwikkelen van werkwijzen en systemen rekening houden
met de gevolgen daarvan voor de bescherming van persoonsgegevens en de risico’s zoveel
mogelijk beperken.

Op het gebruik van het burgerservicenummer door de aangesloten overheidsinstanties
is verder de Wet algemene bepalingen burgerservicenummer (Wabb) van toepassing.

4.3 Gegegevensbeschermingseffectbeoordeling (PIA)

Voor het verwijzingsportaal bankgegevens is een zogenoemde gegevensbeschermingseffectbeoordeling
(PIA) uitgevoerd. De PIA is er op gericht de noodzaak van de voorgenomen verwerking
van persoonsgegevens te onderzoeken en de gevolgen en risico’s van het systeem op
gestructureerde wijze in kaart te brengen. Hierbij is in het bijzonder aandacht besteed
aan de beginselen van transparantie, gegevensminimalisering, doelbinding, het vereiste
van een goede beveiliging en de rechten van de betrokkenen. De risico’s voor dit systeem
zijn in drie categorieën in te delen: risico’s die te maken hebben met legitimiteit,
risico’s die te maken hebben met privacy en risico’s die te maken hebben met informatiebeveiliging.
Onder risico’s die te maken hebben met legitimiteit moet onder andere worden verstaan
de kans dat via het verwijzingsportaal bankgegevens een vordering of verzoek wordt
ingevoerd terwijl hieraan voorafgaand geen toetsing van de formele vereisten voor
het indienen van een vordering of verzoek heeft plaatsgevonden. In de categorie privacy
is een risico dat, indien een vordering of verzoek aan meerdere banken of betaaldienstverleners
tegelijk wordt gericht, via het verwijzingsportaal ook persoonsgegevens van personen
die niet in het klantenbestand van een aangesloten bank of betaaldienstverlener voorkomen,
toch bij die partij terechtkomen. Risico’s met betrekking tot informatiebeveiliging
hebben te maken met de toegang tot het systeem, door derden of door onbevoegde medewerkers
van de aangesloten partijen. Deze risicoanalyse heeft gevolgen voor de eisen die aan
het systeem worden gesteld en voor de werkwijze bij gebruik van het systeem. Een verslag
van de PIA is als bijlage bij deze memorie van toelichting gevoegd7. Hieronder wordt een aantal bevindingen besproken.

4.4 Algemeen

De rechtsgrond voor de verwerking van persoonsgegevens in het kader van het gebruik
van het verwijzingsportaal bankgegevens verschilt per betrokken partij. Hieronder
een overzicht.

Organisatie

Rechtsgrond

Nationale Politie

art. 8,9 en 10 Wet politiegegevens

OM

art. 39b Wet justitiële en strafvorderlijke gegevens

Koninklijke Marechaussee

art. 8,9 en 10 Wet politiegegevens

Rijksrecherche

art. 8,9 en 10 Wet politiegegevens

Fiscale Inlichtingen- en Opsporingsdienst

art. 46 jo. art. 10 en 12 Wet politiegegevens

art. 10 Besluit politiegegevens bijzondere opsporingsdiensten in combinatie met 8
en 9 Wet politiegegevens

Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit

art. 46 jo. art. 10 en 12 Wet politiegegevens

art. 10 Besluit politiegegevens bijzondere opsporingsdiensten in combinatie met 8
en 9 Wet politiegegevens

directie Opsporing van de Inspectie Sociale Zaken en Werkgelegenheid

art. 46 jo. art. 10 en 12 Wet politiegegevens

art. 10 Besluit politiegegevens bijzondere opsporingsdiensten in combinatie met 8
en 9 Wet politiegegevens

Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport

art. 46 jo. art. 10 en 12 Wet politiegegevens

art. 10 Besluit politiegegevens bijzondere opsporingsdiensten in combinatie met 8
en 9 Wet politiegegevens

Belastingdienst (BD-heffing, BD-inning, Toeslagen heffing, Toeslagen-inning)

art. 6, eerste lid, onder e, jo. artikel 6, derde lid, AVG

FIU-Nederland

art. 6:6 van het Besluit politiegegevens

Banken en betaaldienstverleners

art. 6, eerste lid, onder c jo. Art. 6, derde lid, AVG

Het doel van de verzoeken die via het verwijzingsportaal bankgegevens worden ingediend,
rechtvaardigt de inbreuk op de persoonlijke levenssfeer van de betrokkene. Gegevens
worden immers opgevraagd ten behoeve van het voorkomen en opsporen van fraude en andere
vormen van criminaliteit, het opsporen van (criminele) vermogens, het opleggen van
financiële maatregelen en sancties door de daarvoor bevoegde opsporingsdiensten, het
voorkomen van misbruik met toeslagen door de Belastingdienst en de belastingheffing
en -inning. De actualiteit, kwaliteit en de volledigheid van de gegevens die worden
verstrekt, zal met de komst van het verwijzingsportaal bankgegevens toenemen. Het
elektronisch opvragen gaat namelijk sneller, het systeem bevat verschillende waarborgen
om te zorgen dat degene die de gegevens opvraagt bij het opvragen de juiste gegevens
gebruikt en het opvragen kan makkelijker bij verschillende banken of betaaldienstverleners
tegelijk gebeuren, zodat een volledig beeld wordt verkregen. Hierdoor kunnen de aangesloten
overheidsinstanties beter en sneller hun werkzaamheden uitvoeren. Dat betekent dat
het verwijzingsportaal noodzakelijk is in het belang van de openbare veiligheid en
het economisch welzijn, zodat een beperking van de rechten van betrokkenen op grond
van wetgeving op het gebied van privacy is toegestaan.8 In het portaal kunnen alleen vorderingen of verzoeken worden ingediend als daar op
basis van de reeds bestaande wetgeving een bevoegdheid voor bestaat. De bevoegdheden
worden met de komst van het systeem niet uitgebreid. Door de efficiëntere werking
van het verwijzingsportaal ten opzichte van de huidige handmatige werkwijze zal het
aantal vorderingen of verzoeken naar verwachting wel toenemen, maar altijd plaatsvinden
binnen de wettelijke kaders.

De voorgestelde bepaling is verder voldoende duidelijk en nauwkeurig, zodat de toepassing
ervan voldoende voorspelbaar is. Hierdoor is het voor betrokkenen transparant dat
en in hoeverre de hen betreffende persoonsgegevens (kunnen) worden vastgelegd, geraadpleegd
of anderszins (verder) verwerkt. In de voorgestelde bepaling zijn de doeleinden waarvoor
de persoonsgegevens kunnen worden verwerkt expliciet opgenomen in de vorm van een
omschrijving van de grondslagen waarop vorderingen of verzoeken, die via het portaal
worden gedaan, gegrond moeten zijn. Voor wat betreft het gebruik van het burgerservicenummer
is opgenomen dat banken en betaaldienstverleners dit op grond van het wetsvoorstel
alleen mogen gebruiken om gegevens in de administratie op te zoeken in het kader van
het gebruik van het verwijzingsportaal bankgegevens.

Bij het gebruik van het verwijzingsportaal bankgegevens blijven de bestaande waarborgen
in stand om te verzekeren dat vorderingen van overheidsinstanties rechtmatig zijn.
De hiervoor geldende procedures vinden plaats voordat het systeem wordt gebruikt voor
het vorderen of opvragen van gegevens. Onderkend is dat een systeem van fiattering
buiten het verwijzingsportaal bankgegevens een verhoogde kans geeft op onnodige gegevensverstrekking.
Om het risico daarop zoveel mogelijk te beperken is in overleg met de banken voorzien
in extra waarborgen die nodig zijn voor een werkwijze van fiattering buiten het systeem.
Zo is er een Gebruikersprotocol opgesteld waarin is beschreven hoe het verwijzingsportaal
bankgegevens gebruikt moet worden, waaronder de wijze van fiatteren. Daarnaast zijn
er op diverse plekken binnen het verwijzingsportaal bankgegevens waarborgen ingebouwd.
Zo moet een opsporingsambtenaar telkens wanneer hij een bevraging via het verwijzingsportaal
bankgegevens wil doen, in het systeem verklaren dat hij zich aan de regels houdt,
waaronder die betreffende de fiattering. In dat kader moet hij voor elk verzoek in
het verwijzingsportaal bankgegevens verklaren dat de schriftelijke vordering is geaccordeerd
door de (hulp)officier van justitie/teamleider en door wie precies. Verder kan hij
alleen een vordering of verzoek doen waartoe hij op grond van zijn functie bevoegd
is. Dit hangt samen met zijn autorisatie.

Ook voor andere vorderingen of verzoeken via het portaal geldt dat het proces van
vorderen, tot aan het moment van het versturen van de vordering – nu op papier of
via e-mail, of soms elektronisch straks in het portaal –, ongewijzigd blijft. Voor
de Belastingdienst zal dit worden vastgelegd in het Voorschrift informatie fiscus-banken.
Ten aanzien van via het verwijzingsportaal bankgegevens ingediende informatieverzoeken
door de Belastingdienst gelden eveneens extra waarborgen. Deze zijn vergelijkbaar
met die welke gelden voor vorderingen/verzoeken door opsporingsambtenaren. Zo worden
heffings- en invorderingsambtenaren die toegang krijgen tot het verwijzingsportaal
bankgegevens daartoe aangewezen door hun directeur. Deze ambtenaren dienen vervolgens
bij elke vordering in het verwijzingsportaal bankgegevens te verklaren dat zij tot
het doen van de vordering zijn gemachtigd door hun directeur. Bij elke keer dat wordt
ingelogd in het verwijzingsportaal bankgegevens dienen deze ambtenaar te verklaren
dat zij zich houden aan de gestelde regels voor het gebruik van het verwijzingsportaal
bankgegevens. Verder geldt eerdergenoemd Gebruikersprotocol ook voor de Belastingdienst.
Hierin is onder meer beschreven hoe het verwijzingsportaal bankgegevens werkt moet
worden gebruikt en hoe het gebruik is ingebed in het proces binnen de belastingadministratie.

De Minister van Justitie en Veiligheid zal in het kader van het beheer van het systeem
laten beoordelen of het verwijzingsportaal bankgegevens op de juiste manier wordt
gebruikt. Daarbij zal ook aan de orde komen of de aangesloten overheidsinstanties
het portaal bevoegd gebruiken en of zij de juiste procedures in acht nemen.

4.5 Verwerkingsverantwoordelijkheid en relatie met verwerker

Verzenden verzoek of vordering om informatie:

Het verwijzingsportaal bankgegevens is een centrale voorziening waarlangs vragen van
de respectievelijke bevragende organisaties bij de banken worden uitgezet conform
de reeds bestaande en ongewijzigde wettelijke bevoegdheden. De bevragende organisaties
zijn elk afzonderlijk verwerkingsverantwoordelijke voor het verzenden van hun verzoek
of vordering om informatie aan het verwijzingsportaal bankgegevens. De gegevens die
in het verwijzingsportaal bankgegevens worden opgeslagen (voor ongeveer drie minuten)
vallen onder de verwerkingsverantwoordelijkheid van de bevragende organisatie. Hieronder
een overzicht:

Bevragende organisatie

Verwerkingsverantwoordelijke

Nationale Politie

de korpschef (artikel 1, aanhef en onderdeel f, onder 1◦, en artikel 6c Wet politiegegevens)

OM

het College van procureurs-generaal

Koninklijke Marechaussee

de Minister van Defensie (artikel 1, aanhef en onderdeel f, onder 3◦, Wet politiegegevens)

Rijksrecherche

het College van procureurs-generaal (artikel 1, aanhef en onderdeel f, onder 2◦, en
artikel 6c Wet politiegegevens)

Fiscale Inlichtingen- en Opsporingsdienst

Directeur FIOD

Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit

Directeur NVWA-IOD

Directie Opsporing van de Inspectie Sociale Zaken en Werkgelegenheid

Directeur Opsporing

Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport

De Minister van Infrastructuur en Waterstaat

Belastingdienst

DG Belastingdienst namens de Minister van Financiën

FIU-Nederland

Voor verwerking gegevens betreffende ongebruikelijke transacties: het hoofd FIU namens
de Minister van Justitie & Veiligheid (artikel 12, derde lid, Wwft)

De Justitiële Informatiedienst (Justid), vallend onder de verantwoordelijkheid van
de Minister van Justitie en Veiligheid, is verwerker voor deze partijen (zie hieronder).

Ontvangst verzoek of vordering en verstrekking door banken en andere betaaldienstverleners:

Banken kijken vervolgens in hun eigen klantsystemen of de gevraagde persoonsgegevens
bij hen bekend zijn. Als dat het geval is worden de resultaten via het verwijzingsportaal
bankgegevens naar de bevragende organisaties gestuurd. De verstrekkende partijen (banken
en andere betaaldienstverleners) zijn steeds verwerkingsverantwoordelijke als het
gaat om de ontvangst van het verzoek of de vordering van het verwijzingsportaal en
het naar aanleiding daarvan verstrekken van gegevens aan het verwijzingsportaal. Vanaf
het moment dat de vraag via het verwijzingsportaal bankgegevens bij het koppelvlak
van de bank is aangekomen en de bank gegevens verwerkt waarmee de vraag kan worden
beantwoord, is de bank verwerkingsverantwoordelijke. Dit koppelvlak, waarmee de bank
op het verwijzingsportaal bankgegevens wordt aangesloten, wordt onder verantwoordelijkheid
van de bank ontwikkeld. Verzoeken en vorderingen worden via het koppelvlak automatisch
gekoppeld aan de gegevens uit de klantadministratie van de bank. Indien de bank over
gegevens van de betrokkene beschikt, worden deze automatisch verstuurd. Dit betekent
dat de bank als verwerkingsverantwoordelijke enkel achteraf kan controleren of het
proces goed is verlopen. Daarom is het portaal zo ingericht dat enkel verzoeken en
vorderingen die aan alle vereisten voldoen, aan de bank kunnen worden gestuurd. Daarnaast
wordt, in overleg met de banken, een auditproces vormgegeven waarmee onder andere
wordt getoetst of alle processtappen juist worden doorlopen. Banken krijgen periodiek
inzage in de uitkomst van de audit.

De bank stuurt (persoons)gegevens als antwoord op een zoekopdracht naar het verwijzingsportaal
bankgegevens. Vanaf het moment dat deze gegevens worden ontvangen door het verwijzingsportaal
bankgegevens, is de bevragende organisatie ten aanzien van de persoonsgegevens die
zijn opgenomen in de vordering of het verzoek verwerkingsverantwoordelijke, dus ook
verantwoordelijk voor de verdere verwerking van deze gegevens in de eigen systemen.

Loggingsgegevens:

Ten aanzien van de loggingsgegevens die door het verwijzingsportaal bankgegevens worden
bewaard, is de Minister van Justitie en Veiligheid verwerkingsverantwoordelijke. Deze
gegevens worden beheerd door Justid-IBO.

Beheer verwijzingsportaal bankgegevens:

Het beheer van het verwijzingsportaal bankgegeven wordt uitgevoerd door de Justitiële
Informatiedienst, met instemming van de Minister van Justitie en Veiligheid (Justid
in de rol van systeembeheerder, en derhalve verwerker in de zin van artikel 4, onderdeel
8, van de AVG, en verwerker in de zin van artikel 1, onderdeel i, van de Wet politiegegevens).
Het verwijzingsportaal wordt beheerd door de Justitiële Informatiedienst, afdeling
IBO (Justid-IBO). Aangezien Justid-IBO onder verantwoordelijkheid valt van de Minister
van Justitie en Veiligheid en er geen sprake is van een gezagsverhouding tussen ministeries
onderling, maakt Justid-IBO per aangesloten partij (bevragende organisatie) verwerkersafspraken
over onder meer de rechten en plichten van de verschillende partijen ten aanzien van
de gegevens, het melden van een datalek, het toegang geven van personen tot het verwijzingsportaal
bankgegevens binnen Justid (medewerkers hebben alleen in zeer uitzonderlijke gevallen
volgens vastgestelde procedures toegang tot persoonsgegevens), uitvoeren van audits
en feitelijke werkplekken van beheerders. Justid-IBO heeft kortom de rol om de gegevens
technisch te verbinden en bij de in beheer name de taken uit te voeren die zijn opgenomen
in de verwerkersafspraken.

4.6 Dataminimalisatie

Gegevensverwerking moet worden beperkt tot wat noodzakelijk is voor de doeleinden
waarvoor persoonsgegevens worden verwerkt.9 Dit heeft betrekking op de hoeveelheid verzamelde gegevens, de mate waarin zij worden
verwerkt, de termijn waarvoor zij worden opgeslagen (en vervolgens vernietigd) en
de toegankelijkheid daarvan.

Mede vanuit het oogpunt van dataminimalisatie is gekozen voor een systeem in de vorm
van een koppeling, in plaats van bijvoorbeeld een database die wordt gevuld met klantgegevens
van banken waarin overheidsinstanties kunnen zoeken. Een dergelijke database vergt
een regelmatige overdracht van een bestand met alle klantgegevens van banken, zodat
de gegevens die worden opgevraagd steeds actueel zijn. Binnen de gekozen oplossing
wordt daarentegen enkel naar aanleiding van een specifieke vordering of verzoek de
noodzakelijke informatie verstrekt. Ook wordt bij het gebruik van het verwijzingsportaal
bankgegevens telkens zo veel mogelijk informatie over de betrokkene ingevuld, zodat
zo gericht mogelijk vragen kunnen worden gesteld en de kans zo klein mogelijk is dat
gegevens worden verstrekt over personen waarop het verzoek geen betrekking heeft.
Een uitzondering hierop is het opvragen van gegevens met behulp van het burgerservicenummer.
Als dat nummer beschikbaar is wordt er, vanwege de beperkte foutgevoeligheid, juist
voor gekozen om geen andere gegevens toe te voegen bij het opvragen van informatie.
Aan het systeem zijn verder enkele technische eisen gesteld die ertoe dienen het verstrekken
van onnodig veel persoonsgegevens te voorkomen. Zo is er bijvoorbeeld een maximaal
aantal zoekresultaten per bank en worden vorderingen en verzoeken die betrekking hebben
op personen die niet bij de bank bekend zijn direct vernietigd.

Gelet hierop draagt het verwijzingsportaal bankgegevens ook bij aan een effectievere
(snellere), kwalitatief betere (minder fouten) en veiligere manier van gegevensverstrekking
van banken aan de bevragende organisaties.10

4.7 Gebruik burgerservicenummer

Het wetsvoorstel maakt mogelijk dat het burgerservicenummer wordt gebruikt om de koppeling
te maken van een vordering of een verzoek in het portaal met de administratie van
een aangesloten bank of betaaldienstverlener. Vanwege het unieke karakter van het
burgerservicenummer en het brede gebruik van het nummer binnen de overheid, zijn aan
het gebruik van het burgerservicenummer door private partijen risico’s verbonden voor
de betrokkenen. In het onderhavige geval zijn deze risico’s voor betrokkenen afgewogen
tegen de risico’s voor betrokkenen die bestaan als in het portaal geen burgerservicenummer
zou worden gebruikt. De uitkomst hiervan is dat de risico’s van het gebruik van het
burgerservicenummer opwegen tegen de risico’s als geen burgerservicenummer zou worden
gebruikt.

Het gebruik van het burgerservicenummer is noodzakelijk om gericht en snel informatie
uit de administratie van aangesloten banken en betaaldienstverleners te kunnen opvragen
ten behoeve van verstrekking via het verwijzingsportaal. Voor het gebruik van het
burgerservicenummer is gekozen in het kader van dataminimalisatie: naarmate gerichter
gezocht kan worden, worden de zoekresultaten specifieker. Indien wordt gezocht met
gebruik van een uniek nummer, het burgerservicenummer, dat ook een beveiliging bevat
tegen typefouten, is er maximaal kans op één uniek zoekresultaat. Dit betekent dat
alleen gegevens van die betrokkene door de bank aan de vragende instantie worden verstrekt.
In het wetsvoorstel is uitdrukkelijk beschreven dat het burgerservicenummer op grond
van dit wetsvoorstel aan de kant van banken en betaalinstellingen alleen mag worden
gebruikt om identificerende gegevens geautomatiseerd in de eigen administratie op
te zoeken ten behoeve van een vordering of verzoek op grond van het verwijzingsportaal
bankgegevens. Banken en betaaldienstverleners kunnen het burgerservicenummer hiervoor
alleen gebruiken als zij daarover al beschikken op grond van een andere wettelijk
voorschrift. Daarbij dienen zij zich te houden aan de Wabb.

4.8 Overige maatregelen

Het verwijzingsportaal bankgegevens is zo ingericht dat het naast de genoemde waarborgen
nog verschillende andere waarborgen bevat om de verwerking van persoonsgegevens te
beperken, de kwaliteit van de gegevens te waarborgen en de verwerkingen te beveiligen.
Deze maatregelen worden vastgelegd bij of krachtens algemene maatregel van bestuur,
in een vorderingsprotocol en een verwerkersovereenkomst en zijn periodiek onderwerp
van een audit.

Om ongeoorloofde toegang tot het systeem te voorkomen, is het systeem niet toegankelijk
via het internet. Het verwijzingsportaal bankgegevens heeft een eigen fysieke infrastructuur,
die met een firewall is afgeschermd van het netwerk van het Ministerie van Justitie
en Veiligheid. Ook is er een autorisatie- en inlogvoorziening voor medewerkers die
bevoegd zijn gegevens op te vragen en worden de beheerders van het systeem door de
AIVD gescreend. De identificatie, authenticatie en autorisatie verloopt voor onderdelen
van de rijksoverheid via de gebruikelijke systemen die de rijksoverheid hiervoor gebruikt.
De opsporingsdiensten zijn verantwoordelijk voor het gebruikersbeheer van de eigen
organisatie. De autorisatie binnen het verwijzingsportaal bankgegevens wordt bepaald
op basis van de rol die gebruiker heeft binnen zijn eigen organisatie. Dit betekent
dat een geautoriseerde medewerker van de Belastingsdienst die inlogt op het portaal
daarin alleen die gegevens kan vorderen die hij op grond van de voor hem geldende
vorderingsgrondslag ook mag vorderen.

Voordat het verwijzingsportaal bankgegevens in gebruik zal worden genomen, wordt een
penetratietest uitgevoerd.

Aansluiting op het verwijzingsportaal bankgegevens brengt ook risico’s met zich mee
voor klantadministraties van aangesloten banken en andere betaaldienstverleners en
voor gegevensbestanden van de betrokken overheidsinstanties. Om deze risico’s zoveel
mogelijk te beperken zijn in nauw overleg met de banken een aantal beveiligingsmaatregelen
getroffen. Ten eerste wordt de beveiligde verbinding tussen verwijzingsportaal bankgegevens
en banken tweezijdig door middel van beveiligingscertificaten afgedwongen. Daarnaast
kan het koppelvlak van de bank alleen via het verwijzingsportaal bankgegevens bevraagd
worden; andere verbindingen kunnen van dit koppelvlak geen gebruik maken. Verder worden
als onderdeel van het aansluitproces naast technische testen ook functionele testen
uitgevoerd om vast te stellen dat een bank niet meer (of minder) informatie geeft
dan mag conform de vordering/verzoek. Ten slotte wordt, voordat een bank definitief
wordt aangesloten op het verwijzingsportaal bankgegevens, vereist dat de bank een
zogenaamde penetratietest uitvoert, waaruit geen kwetsbaarheden blijken. Deze tetst
moet de bank periodiek herhalen.

Voor de betrokken overheidsinstanties geldt dat twee verschillende typen koppelingen
in gebruik worden genomen, te weten 1) een rechtstreekse verbinding met het verwijzingsportaal
bankgegevens via de beveiligde webinterface en 2) via een beveiligde system-to-system
koppeling. In het eerste geval wordt gebruik gemaakt van een beveiligde https-verbinding
tussen de webbrowser van de overheidsinstantie en het verwijzingsportaal bankgegevens.
Toegang verkrijgen tot het verwijzingsportaal bankgegevens op deze manier valt onder
de scope van de penetratietesten die al met goed resultaat op het verwijzingsportaal
bankgegevens zijn uitgevoerd en die nog kort voor het in gebruik nemen van het portaal
worden herhaald. In het tweede geval wordt tussen het verwijzingsportaal bankgegevens
en het systeem van de overheidsinstantie een tweezijdig beveiligde verbinding opgezet.
Ook hiervoor geldt dat alleen in het verwijzingsportaal bankgegevens geregistreerde
systemen toegang krijgen tot het verwijzingsportaal bankgegevens. Het testen van de
veiligheid van de door de opsporingsinstanties gebruikte systemen, wordt uitgevoerd
door deze instanties zelf. Voor beide opties geldt dat de systemen en de gegevensbestanden
in beveiligde of hoog beveiligde omgevingen van de opsporingsdiensten staan.

In het verwijzingsportaal bankgegevens worden verder verschillende maatregelen genomen
om de inbreuk op de persoonlijke levenssfeer te beperken, bijvoorbeeld het versleuteld
versturen van (persoons)gegevens. Hiermee is gekozen voor een oplossing die zo min
mogelijk risico’s met zich brengt.

4.9 Rechten van betrokkenen

De betrokkene kan bij de bank of betaaldienstverlener terecht voor een antwoord op
de vraag over welke gegevens de bank van de betrokkene beschikt. De bank of betaaldienstverlener
moet deze informatie in beginsel verstrekken op grond van artikel 12 AVG (transparantiebeginsel).
Welke informatie verstrekt moet worden is veelal opgenomen in een privacyverklaring.
De meeste banken hebben een privacyverklaring. Daarin is vaak ook opgenomen dat een
bank op basis van wettelijke verplichtingen gegevens moet verwerken; verstrekken is
een vorm van verwerken. Op grond van artikel 23 AVG kunnen aan de reikwijdte van de
verplichtingen en rechten van betrokkenen (onder voorwaarden en in bepaalde situaties)
beperkingen gelden. In de gevallen waar het in dit wetsvoorstel om gaat zal dat veelal
de in artikel 23, eerste lid, onderdeel d, genoemde situatie zijn: «de voorkoming,
de opsporing en de vervolging van strafbare feiten...». Indien de betrokkene vraagt
of de bank of betaaldienstverlener deze informatie aan derden heeft verstrekt, mag
de bank of betaaldienstverlener hier geen antwoord op geven voor zover hiervoor in
de (specifieke) wet geheimhouding is voorgeschreven. Zie bijvoorbeeld artikel 126bb
Sv voor een dergelijke wettelijke geheimhoudingsplicht.

De betrokkene kan eveneens aan de aangesloten overheidsinstanties vragen over welke
informatie zij beschikken. Zij zullen dit verzoek eveneens toetsen aan de hand van
de wettelijke kaders die van toepassing zijn.

5. Uitvoeringsgevolgen

Het verwijzingsportaal bankgegevens is nodig voor de volledig geautomatiseerde doorgeleiding
van identificerende gegevens, alsmede gegevens over de uiteindelijk belanghebbende
en de begin- en einddatum van een rekening of kluis. De kosten voor de ontwikkeling
en ingebruikname worden begroot op totaal circa 9,1 mln. euro. De jaarlijkse exploitatie-
en onderhoudskosten worden thans geschat op 1,2 mln. euro. Deze kosten worden deels
betaald uit een Europese subsidie. De overige kosten komen voor rekening van het Ministerie
van Justitie en Veiligheid en het Ministerie van Financiën.

Met de introductie van het verwijzingsportaal bankgegevens wijzigt het proces van
het versturen van een vordering of verzoek aan een bank of andere betaaldienstverlener
en het ontvangen van de betreffende gegevens. Dit heeft zowel organisatorische als
technische gevolgen voor de overheidsinstanties die bij het verwijzingsportaal bankgegevens
zijn aangesloten. De voorzieningen bij de overheidsinstanties komen voor rekening
van deze organisaties. Hier staat tegenover dat de verwachting is dat het automatiseren
van het proces voor de opsporingsdiensten tijdwinst per opsporingszaak zal opleveren,
omdat er per vordering of verzoek minder handelingen verricht hoeven te worden. Hierdoor
kunnen in dezelfde periode meer vorderingen of verzoeken worden gedaan in vergelijking
met de huidige situatie. Hiermee kan sneller worden gereageerd in specifieke zaken
en is meer actuele informatie voorhanden. Verwacht mag worden dat opsporingsdiensten
adequater en sneller kunnen acteren en daarmee het succes van opsporingsonderzoeken
kunnen vergroten.

Het wetsvoorstel is voor een uitvoeringstoets voorgelegd aan de Justitiële Informatiedienst,
de politie, het OM, FIU-Nederland, de FIOD en de Belastingdienst. Op grond van de
uitvoeringstoetsen is geconcludeerd dat het wetsvoorstel voor deze organisaties uitvoerbaar
is. De uitvoeringstoetsen hebben dan ook niet geleid tot aanpassing van het wetsvoorstel.

5.1 Gevolgen voor ICT

Het verwijzingsportaal is bedoeld om het proces voor het vorderen, opvragen en verstrekken
van identificerende gegevens alsmede gegevens over de uiteindelijk belanghebbende
en de begin- en einddatum van een rekening of kluis bij banken en betaaldienstverleners
geautomatiseerd te laten plaatsvinden. Opsporingsdiensten, de Belastingdienst en FIU-Nederland
kunnen via het verwijzingsportaal gegevens opvragen, indien nodig bij meerdere banken
tegelijkertijd. Het portaal wordt hiertoe gekoppeld aan de systemen van banken. Banken
worden wettelijk verplicht om bevragingen via het portaal geautomatiseerd te beantwoorden.

5.2 BIT advies

Op 10 december 2018 heeft het BIT advies uitgebracht over het verwijzingsportaal bankgegevens.
Het BIT onderschrijft het nut en de noodzaak van het VB. Het verwijzingsportaal bankgegevens
zoals het nu is ontworpen, vindt zij echter nog geen robuuste oplossing om het huidige
proces goed te vervangen. Ter onderbouwing hiervan heeft het BIT op vier onderdelen
bevindingen gedaan: (i) het ontbreken van inzicht voor opsporingsambtenaren of de
door banken aangeleverde gegevens compleet zijn; (ii) het ontbreken van enkele noodzakelijke
beveiligingsmaatregelen; (iii) de gewenste beschikbaarheid van het verwijzingsportaal
bankgegevens kan nog niet worden gegarandeerd; en (iv) het verwijzingsportaal bankgegevens
is nog niet direct te gebruiken voor bevragingen bij alle banken, omdat banken waarschijnlijk
niet allemaal tijdig zijn aangesloten. Om het verwijzingsportaal bankgegevens tot
een succes te maken adviseert het BIT om vóór grootschalige inzet een aantal verbeteringen
door te voeren ten aanzien van het ontwerp, de beveiliging, de beschikbaarheid en
de bruikbaarheid van het verwijzingsportaal bankgegevens. Voor de nadere uitwerking
van de adviezen wordt verwezen naar het BIT-advies d.d. 10 december 2018 (bijlage
bij Kamerstuk 26 643, nr. 592).

Reactie op BIT advies:

Mede gelet op de adviezen van het BIT is de planning van de implementatie van het
verwijzingsportaal bankgegevens een half jaar vooruitgeschoven, van 1 juli 2019 naar
1 januari 2020. Het ontwerp is inmiddels op belangrijke punten aangepast en aanvullende
maatregelen zijn gepland om de robuustheid van het verwijzingsportaal bankgegevens
te verbeteren. Binnen het project verwijzingsportaal bankgegevens zijn gedurende het
afgelopen jaar al concrete maatregelen genomen om het verwijzingsportaal bankgegevens
als systeem en de processen daaromheen te verbeteren en de aansluiting van banken
goed voor te bereiden. De uitwerking daarvan heeft deels parallel gelopen met het
onderzoek en de presentatie van de uitkomsten van het BIT. Om die reden is een belangrijk
deel van de door het BIT geadviseerde maatregelen al geadresseerd of zelfs gerealiseerd.
De doorgevoerde aanpassingen zijn voor elk van de vier delen van het BIT advies toegelicht
door de Minister van Justitie en Veiligheid in zijn brief aan de Tweede Kamer van
5 februari 2019.11

6. Regeldruk

Banken en andere betaaldienstverleners verstrekken ook op dit moment, naar aanleiding
van een vordering of een verzoek, gegevens aan de politie, de bijzondere opsporingsdiensten,
het openbaar ministerie, de FIU-Nederland en de Belastingdienst. Het aantal vorderingen
en verzoeken dat banken en andere betaaldienstverleners nu ontvangen, verschilt sterk
per partij. Afhankelijk van de hoeveelheid ontvangen vorderingen en verzoeken, alsmede
van de wijze waarop de interne organisatie van de bank of betaaldienstverlener is
ingericht, levert het gebruik van het verwijzingsportaal bankgegevens een besparing
op, omdat medewerkers van banken of betaaldienstverleners de gevraagde of gevorderde
gegevens niet meer handmatig hoeven te verstrekken. Daarvoor wordt op dit moment een
onkostenvergoeding uitgekeerd, die zal komen te vervallen, zodat deze kostenbesparing
geen regeldrukeffect heeft.

De aansluiting op het verwijzingsportaal bankgegevens vergt een eenmalige ICT-aanpassing,
die vervolgens moet worden onderhouden en beheerd. De kosten voor deze ICT-aanpassing
en het beheer verschillen per bank en betaaldienstverlener en komen voor rekening
van de betreffende bank en betaaldienstverlener. De omvang van de kosten is onder
andere afhankelijk van het aantal (klant)systemen dat op het verwijzingsportaal bankgegevens
moet worden aangesloten en het huidige ontwerp van deze systemen. De omvang van een
ICT systeem kan worden uitgedrukt in functiepunten. ICTU heeft in 2017 in een onderzoek
ingeschat dat de koppeling die banken moeten ontwikkelen 34 functiepunten telt. ICTU
gebruikt standaard productiviteitscijfers van NESMA (17 uur per functiepunt) en vermenigvuldigt
het aantal uren met een factor 1,5 vanwege de complexiteit. Hieruit volgt een geraamde
impact van 867 ontwikkeluren per bank. Met een intern uurtarief voor hoogopgeleide
medewerkers van € 54 zijn de kosten voor ontwikkeling geraamd op € 46.818. Op basis
van een pilot met ABN AMRO bestaat de aansluiting voor de helft uit ontwikkelkosten,
de andere helft bestaat uit kosten voor vooronderzoek, informatiebeveiliging en coördinatie.
Wanneer deze uren (867) geraamd worden tegen het tarief voor managers en leidinggevenden
(€ 77) leidt dit tot € 66.759 aan overige kosten. Verder dient de bank een penetratietest
uit te voeren om de beveiliging te toetsen. De kosten hiervan worden ingeschat op
€ 20.000. Hiermee komen de incidentele kosten per bank op € 133.597. Naar verwachting
vallen 87 banken binnen de verplichting om aan te sluiten, waarmee de totale incidentele
kosten voor de bankensector: € 11.622.939 bedragen.

Opgemerkt moet worden dat uit het onderzoek van ICTU uit 2017 een andere kostenindicatie
volgde: de totale ontwikkelkosten voor een grote bank zijn toen door ICTU voorlopig
geschat op (afgerond) € 729.000, de kosten per middelgrote bank werden ingeschat op
gemiddeld € 110.000 en per kleine bank op gemiddeld € 55.000. ABN AMRO heeft daarentegen
aangegeven voor aansluiting op het systeem vooralsnog op € 1,2 miljoen in te schatten.
Dat is wel inclusief een extra inspanning die geleverd is bij deelname aan een pilot.

De daadwerkelijke financiële consequenties kunnen per bank sterk uiteenlopen en zijn
afhankelijk van de omvang van de klantadministratie en de complexiteit van de technische
infrastructuur bij banken.

De structurele lasten voor banken voor het beheer en onderhoud van de verbinding met
het verwijzingsportaal bankgegevens worden geschat ten opzichte van de ontwikkelkosten.
Op basis van de «handreiking voor kosten-baten analyses voor ICT projecten» van Ecorys
uit 2007 worden de structurele lasten ingeschat op 20% van de ontwikkelkosten. De
structurele lasten worden derhalve per bank op € 9.364 per jaar geschat en voor de
totale bankensector op € 814.633.

Door de aansluiting op het verwijzingsportaal bankgegevens worden de administratieve
lasten verlicht die nu gepaard gaan met het beoordelen en beantwoorden van vorderingen.

Het wetsvoorstel heeft geen financiële gevolgen voor burgers.

7. Consultatie en advies

Het wetsvoorstel is binnen het project verwijzingsportaal bankgegevens afgestemd met
de betrokken overheidsinstanties en een vertegenwoordiging van de banken en de Nederlandse
Vereniging van Banken (NVB). Over de gevolgen van het verwijzingsportaal voor de ICT
heeft het BIT op 10 december 2018 een advies uitgebracht. Voor een korte beschrijving
van dit advies en de wijze waarop met het advies is omgegaan wordt verwezen naar paragraaf
5.2.

7.1 Internetconsultatie

Voor dit wetsvoorstel heeft van 14 juni tot 14 juli 2018 internetconsultatie plaatsgevonden.
De consultatieversie van het wetsvoorstel zag alleen op de bevoegdheid van het vorderen/opvragen
en verstrekken van identificerende gegevens via het verwijzingsportaal bankgegevens.
Naar aanleiding van het advies van de Afdeling advisering van de Raad van State is
het wetsvoorstel aangepast in de zin dat daarin de bevoegdheid is opgenomen om ook
een aantal niet-identificerende gegevens te kunnen vorderen/opvragen en verstrekken
via het verwijzingsportaal bankgegevens,

Er zijn dertien openbare reactie binnengekomen en drie niet openbare reacties. Van
de openbare reacties zijn er negen afkomstig van particulieren. De overige vier reacties
zijn van de Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBG), de Stichting
Privacy First, de NVB en de Piratenpartij.

7.2 Consultatiereacties

Uit de meeste reacties komen zorgen naar voren over de bescherming van de persoonsgegevens
bij het gebruik van het verwijzingsportaal bankgegevens. Dit onderwerp heeft bij de
ontwikkeling van het verwijzingsportaal bankgegevens veel aandacht gehad. Naar aanleiding
van de reacties wordt hier in de toelichting uitgebreider op ingegaan. Ook is het
verslag van de uitgevoerde gegevensbeschermingseffectbeoordeling (PIA) als bijlage
bij deze memorie van toelichting gevoegd. Daarin staat in detail beschreven hoe aan
de regels op het gebied van gegevensbescherming wordt voldaan.

Op een aantal specifieke vragen en opmerking uit de reacties wordt hieronder nog ingegaan.

Twee reacties stellen aan de orde dat de gegevens die via het portaal bij een bank
worden opgevraagd beter bij de rekeninghouder zelf opgevraagd kunnen worden.

In het geval van de Belastingdienst gebeurt dit op grond van het Voorschrift informatie
fiscus/banken in principe ook eerst bij de belastingplichtige zelf. Indien de informatie
niet via de belastingplichtige zelf kan worden verkregen, krijgt hij de gelegenheid
om dit zelf bij de bank op te vragen. Pas als dat niet tot het gewenste resultaat
leidt vraagt de Belastingdienst de gegevens op bij de bank via het verwijzingsportaal
bankgegevens. Bij gebruik van het portaal door de Belastingdienst op grond van artikel
62bis Invorderingswet (één bankrekeningnummer) controleert de Belastingdienst gegevens
die van de rekeninghouder zelf zijn verkregen. Ook bij het vorderen van gegevens door
opsporingsdiensten zal eerst worden afgewogen of er geen andere manier is om aan de
benodigde gegevens te komen; een wijze die minder inbreuk maakt op het recht op bescherming
van persoonsgegevens. Daarbij is het wel belangrijk om te beseffen dat opsporingsdiensten
de informatie opvragen ten behoeve van het voorkomen en opsporen van fraude en andere
vormen van criminaliteit en het opsporen van (criminele) vermogens. Het is in het
algemeen niet mogelijk dit onderzoek uit te voeren als de betrokkenen daarvan op de
hoogte zijn.

In een van de reacties wordt gevraagd of in de wet kan worden benoemd welke gegevens
via het verwijzingsportaal bankgegevens opgevraagd kunnen worden en met welk doel.
Voorgesteld wordt om dit bij of krachtens een algemene maatregel van bestuur voor
te schrijven.

In het wetsvoorstel is nadrukkelijk benoemd dat aangesloten overheidsinstanties via
het verwijzingsportaal bankgegevens alleen identificerende gegevens, alsmede gegevens over de uiteindelijk belanghebbende en
de begin- en einddatum van een rekening of kluis kunnen opvragen van cliënten van banken en betaaldienstverleners en van personen
die namens hen zeggenschap kunnen uitoefenen over financiële producten die zij afnemen.
Verder is beschreven welke vorderingen of verzoeken de aangesloten overheidsinstanties via het portal kunnen doen; de grondslagen van
de vorderingen die via het portaal gedaan kunnen worden, staan immers opgesomd. Hiermee
is voldoende omlijnd welke gegevens via het portaal kunnen worden verstrekt en met
welk doel. Bij of krachtens algemene maatregel van bestuur wordt nog een opsomming
gegeven van alle mogelijke categorieën gegevens die via het portaal uitgevraagd kunnen
worden. Deze gegevens worden ook in paragraaf 2.5 van deze toelichting benoemd. Welke
categorieën gegevens in een specifiek geval precies kunnen worden opgevraagd en met
welk doel, hangt af van de gebruikte grondslag. De grondslag van het verzoek of de
vordering bepaalt dit immers. De opsomming betreft onder meer een technische uitwerking
van het begrip identificerende gegevens, zodat een algemene maatregel van bestuur
een geschikte plaats is om dit te regelen. Dit levert ook de nodige flexibiliteit
op als de bevoegdheden wijzigen of als besloten wordt dat op dezelfde grondslagen
nog andere gegevens via het verwijzingsportaal bankgegevens opgevraagd moeten kunnen
worden. Vanwege de kaders van de wet kunnen alleen gegevens, die gevorderd kunnen
worden op grond van de wettelijke grondslagen die zijn opgesomd in de wet, worden
toegevoegd. Andere wijzigingen of uitbreidingen in de op te vragen gegevens vergen
een wetswijziging.

De NVB vraagt wat de gevolgen zijn van de introductie van het verwijzingsportaal bankgegevens
voor de aansprakelijkheid van aangesloten banken en betaaldienstverleners als blijkt
dat zij ten onrechte gegevens hebben verstrekt. Een andere partij vraagt of de Minister
van Justitie en Veiligheid daarvoor aansprakelijk is.

Het wetsvoorstel laat bestaande regels en systemen voor het vaststellen van aansprakelijkheid
onverlet. Alle betrokken partijen zijn en blijven er zelf voor verantwoordelijk dat
zij bij het verwerken van gegevens de regels in acht nemen die daarbij gelden. Voor
de partijen die persoonsgegevens via het portaal verstrekken, geldt dat zij dit doen
op grond van een wettelijke verplichting, zodat daarvoor een rechtsgrond bestaat (artikel
6, eerste lid, onderdeel c, algemene verordening gegevensbescherming). Banken en betaaldienstverleners
mogen er daarbij vanuit gaan dat de vorderingen en verzoeken die hen via het systeem
bereiken rechtmatig zijn gedaan en dat zij dus verplicht zijn daaraan te voldoen.
De werking van het systeem bevat verschillende waarborgen om dat te verzekeren.

De NVB benadrukt dat banken graag toegang zouden krijgen tot de Basisregistratie Persoonsgegevens
(BRP) om op basis van hit/no hit gegevens van hun cliënten te verifiëren voordat zij
die via het verwijzingsportaal verstrekken.

Voor de werking van het verwijzingsportaal bankgegevens zou de controle die de NVB
voorstelt van toegevoegde waarde zijn. Die controle zorgt ervoor dat de gegevens die
via het portaal worden verstrekt beter betrouwbaar zijn. Ook voorkomt het dat geen
gegevens worden gevonden omdat bij de bank bijvoorbeeld niet de juiste adresgegevens
geregistreerd staan. Of banken voor een dergelijke controle toegang zouden moeten
krijgen tot het BPR vraagt echter om een bredere afweging van de noodzakelijkheid
en de proportionaliteit van die verwerking. Daarbij moet worden afgewogen of de positieve
effecten voor de werking van het verwijzingsportaal opwegen tegen de inbreuk op de
rechten van betrokkenen. Bij een dergelijke afweging zal ook moeten worden bekeken
of er nog andere positieve of negatieve effecten van een dergelijke controle zijn.
Een en ander gaat het bestek van dit wetsvoorstel te buiten.

In een van de reacties wordt de vraag opgeworpen hoe het huidige wetsvoorstel zich
verhoudt tot eerdere voornemens om het opvragen van informatie van banken efficiënter
in te richten.

De behoefte om het proces van het vorderen of opvragen van gegevens van banken efficiënter
in te richten bestaat al lange tijd. Om verschillende redenen is dit eerder niet doorgegaan.
Door de ontwikkelingen in het betalingsverkeer nam intussen wel de noodzaak toe om
snel actuele gegevens te kunnen opvragen. Ook namen de mogelijkheden toe om een technische
faciliteit als het verwijzingsportaal te beveiligen, alsmede om waarborgen te scheppen
voor de bescherming van de privacy. Deze gewijzigde omstandigheden maken dat het verwijzingsportaal
bankgegevens nu wordt ingericht.

Verschillende partijen vragen hoe wordt beoordeeld of het verwijzingsportaal bankgegevens
effectief is en wordt gebruikt zoals het is bedoeld. Zij vragen of en hoe de Minister
van Justitie en Veiligheid het systeem laat toetsen en daarover rapporteert.

Deze technische aspecten zullen worden geregeld bij of krachtens algemene maatregel
van bestuur. Een concept voor een algemene maatregel van bestuur is in het kader van
de internetconsultatie gepubliceerd. Daaruit volgt dat de Minister van Justitie en
Veiligheid jaarlijks een verslag opstelt waaruit het aantal opvragen volgt en op welke
grondslag die zijn gedaan. Verder laat hij elke twee jaar een audit uitvoeren waarbij
wordt beoordeeld of het verwijzingsportaal bankgegevens voldoet aan de regels uit
de wet en gesteld bij of krachtens algemene maatregel van bestuur.

De NVB wijst erop dat veel opsporingsdiensten de bevoegdheid hebben om identificerende
gegevens op te vragen op grond van artikel 19 van de Wed. Zij verzoekt artikel 19
van de Wed aan te passen, zodat het voor degene die een vordering op grond van de
Wed ontvangt duidelijker is waarop die vordering is gebaseerd en hij kan controleren
of die vordering bevoegd is gedaan.

In paragraaf 3 over de bescherming van persoonsgegevens is al beschreven dat de procedures
voor het goedkeuren van een vordering en het vastleggen daarvan buiten het verwijzingsportaal
om plaatsvinden. Deze wijzigen ook niet door dit wetsvoorstel. Dat geldt ook voor
de procedures voor vorderingen op grond van de Wed. Verder is van belang dat niet
alle partijen die op grond van artikel 19 van de Wed de bevoegdheid hebben om gegevens
op te vragen, ook zijn aangesloten op het verwijzingsportaal. Alleen de opsporingsambtenaren
van de Fiscale Inlichtingen- en Opsporingsdienst, de Inlichtingen- en Opsporingsdienst
van de Nederlandse Voedsel- en Warenautoriteit, de directie Opsporing van de Inspectie
Sociale Zaken en Werkgelegenheid en de Inlichtingen- en Opsporingsdienst van de Inspectie
Leefomgeving en Transport zullen de mogelijkheid krijgen om via het portaal gegevens
op te vragen op grond van artikel 19 van de Wed. Voor ambtenaren van deze diensten
gelden dezelfde waarborgen voor autorisatie en gebruik van het verwijzingsportaal
bankgegevens als voor de politie.

De NVB merkt op dat het op grond van het wetsvoorstel onvoldoende duidelijk is voor
welke taken de FIU-Nederland identificerende gegevens in het verwijzingsportaal bankgegevens
kan opvragen.

De FIU-Nederland kan in het portaal gegevens opvragen op grond van artikel 17 van
de Wwft. Uit dat artikel volgt dat de FIU-Nederland die gegevens kan opvragen in het
kader van haar taak om gegevens te verzamelen om te bezien of meldingen van ongebruikelijke
transacties van belang kunnen zijn voor het voorkomen en opsporen van misdrijven en
om anderen van relevante gegevens te voorzien. Door de verwijzing naar artikel 17
van de Wwft blijkt dit voldoende duidelijk uit de wet. Net als in de huidige situatie,
waarbij de FIU-Nederland handmatig vordert, is het primair de verantwoordelijkheid
van de FIU-Nederland om ervoor te zorgen dat zij alleen gegevens vordert via het portaal
als zij daartoe bevoegd is. In het kader van de audits naar de werking van het systeem
zal dit worden beoordeeld.

De NVB stelt aan de orde dat de kosten voor het aansluiten op het verwijzingsportaal
bankgegevens disproportioneel zijn voor banken die in Nederland maar weinig cliënten
hebben. De NVB vraagt of nog nader onderzocht kan worden wat de mogelijkheden zijn
om die kosten te beperken. Ook met betrekking tot specifieke klantgroepen, waarvoor
het complex kan zijn om gegevens via het portaal aan te leveren, vraagt de NVB om
andere oplossingen te onderzoeken.

Zoals de NVB zelf ook aangeeft, wordt momenteel gezamenlijk met de bij het project
betrokken partijen onderzocht hoe de kosten van het aansluiten voor kleine partijen
beperkt kunnen worden. Ook met betrekking tot specifieke klantgroepen kan gezamenlijk
worden bekeken of er mogelijkheden zijn voor een aangepaste werkwijze. Op grond van
de richtlijn tot wijziging van de vierde anti-witwasrichtlijn bestaat wel de verplichting
dat identificerende gegevens via een centraal elektronisch systeem geautomatiseerd
opvraagbaar zijn. Aan deze minimumeis zal dus voldaan moeten worden.

De NVB wijst erop dat op dit moment geen Europese standaard bestaat voor de inrichting
van het portaal en verzoekt om dit wel te bevorderen, zodat banken die in verschillende
lidstaten opereren geen kosten hoeven maken voor de implementatie van verschillende
systemen.

Op dit moment bestaat nog geen duidelijk beeld van de manier waarop de verschillende
lidstaten het centrale elektronische systeem, dat de richtlijn tot wijziging van de
vierde anti-witwasrichtlijn voorschrijft, in willen richten. Wel is duidelijk dat
hier verschillende ideeën over bestaan. Dit kan worden verklaard doordat de richtlijn
als doel heeft om nationale procedures voor het opvragen van identificerende gegevens
te centraliseren en te automatiseren, zonder direct in te grijpen op vormgeving van
die procedures zelf. Omdat die procedures per lidstaat verschillen, zal dat naar verwachting
ook zo zijn als zij geautomatiseerd plaatsvinden. Daar komt nog bij dat veel lidstaten
al beschikken over een geautomatiseerd systeem (dat aansluit op hun nationale procedures).
Deze landen zullen bij de implementatie waarschijnlijk zoveel mogelijk bij dit bestaande
systeem willen aansluiten. Om te bevorderen dat andere lidstaten aansluiten bij de
vorm die in Nederland is gekozen, heeft Nederland wel een presentatie voor de andere
lidstaten gegeven in Brussel.

De NVB vraagt tot slot om een kostendekkende vergoeding voor ontwikkeling van systemen
om aan te sluiten op het portaal en een jaarlijkse bijdrage in de kosten.

De kosten die banken maken voor de aansluiting op het portaal vloeien voort uit de
richtlijn tot wijziging van de vierde anti-witwasrichtlijn, aangezien die voorschrijft
dat identificerende gegevens van – kort gezegd – cliënten van banken opgevraagd kunnen
worden via een centraal elektronisch informatiesysteem. Uitgangspunt is dat marktpartijen
dergelijke kosten, die direct voortkomen uit Europese voorschriften, zelf dragen.
Er is geen reden daar in dit geval een uitzondering op te maken. Het wetsvoorstel
heeft weliswaar op onderdelen een bredere strekking dan de Europese richtlijn, maar
de kern van het wetsvoorstel en de richtlijn is hetzelfde: het automatiseren en centraliseren
van het proces van vorderen, opvragen en verstrekken van bepaalde gegevens met als
doel tijdige identificatie mogelijk maken van natuurlijke of rechtspersonen. Het wetsvoorstel
beoogt met de bredere strekking te voorkomen dat banken en bepaalde aangesloten overheidsdiensten
voor vorderingen of bevragingen die onder de scope van de Europese richtlijn vallen
wel van het VB gebruik kunnen maken en voor andere niet. Dit zou voor alle partijen
extra kosten met zich meebrengen, omdat anders een deel van het proces nog op de oude
«handmatige» wijze zou moeten worden voortgezet. De investerings-, exploitatie- en
onderhoudskosten voor de centrale voorziening en de beheersorganisatie komen voor
rekening van de overheid. De banken dragen zelf de investerings-, exploitatie- en
onderhoudskosten voor de aansluiting op de centrale voorziening. Uit artikel 592,
tweede lid, van het Wetboek van Strafvordering vloeit voort dat in de daar genoemde
gevallen op dit moment al geldt dat investerings-, exploitatie- en onderhoudskosten
om te kunnen voldoen aan een vordering niet voor vergoeding in aanmerking komen. Ook
in het kader van het voldoen aan verzoeken om informatie van de FIU of de Belastingdienst
is er momenteel geen sprake van vergoeding van kosten. In het kader van strafvordering
is er wel een afspraak tussen de banken en het openbaar ministerie dat een bank een
vergoeding krijgt van 10 euro per individuele vordering. In december 2014 is in het
kader van het project Peseta tussen de toenmalige Minister van Justitie en Veiligheid
en de voorzitter van de Nederlandse Vereniging van Banken (NVB) de afspraak gemaakt
om de onkostenvergoeding van 10 euro per vordering te laten vallen, onder de voorwaarde
dat eerst het automatisch aanleveren wordt gerealiseerd en dat het aantal bevragingen
niet disproportioneel stijgt. Met de komst van het verwijzingsportaal bankgegevens
is aan de eerste voorwaarde voldaan. Op de tweede voorwaarde houdt het openbaar ministerie
toezicht. Het gebruik van het verwijzingsportaal bankgegevens zal daarnaast onderworpen
worden aan een periodieke audit.

In twee reacties wordt gevraagd om toe te lichten wat de verhouding is van het wetsvoorstel
tot de Wet op de inlichtingen en veiligheidsdiensten 2018 (Wiv 2018) en tot het wetsvoorstel
gegevensverwerking in samenwerkingsverbanden (Wgs).

Het onderhavige wetsvoorstel heeft geen betrekking op bevoegdheden van inlichtingen-
en veiligheidsdiensten en staat daarmee los van de Wiv. De inlichtingen- en veiligheidsdiensten
kunnen het verwijzingsportaal bankgegevens niet raadplegen. Voor de Wgs geldt dat
de wet erop is gericht om samenwerking tussen verschillende partijen te bevorderen
indien dit een doel van zwaarwegend algemeen belang dient en indien het gaat om een
samenwerkingsverband dat bij algemene maatregel van bestuur onder de werking van de
Wgs is gebracht. Zonder een dergelijke algemene maatregel van bestuur staat de Wgs
los van het onderhavige wetsvoorstel.

De KBG vraagt in haar reactie of ook gerechtsdeurwaarders de mogelijkheid kunnen krijgen
om het verwijzingsportaal bankgegevens te raadplegen vanwege hun rol als informatie-instantie
op grond van de Uitvoeringswet verordening Europees beval tot conservatoir beslag
op bankrekeningen (Uitvoeringswet EAPO).

Zoals beschreven komt het onderhavige wetsvoorstel in eerste instantie voort uit de
wens om effectiever op te kunnen treden tegen criminaliteit. Het project is gestart
als onderdeel van de Rijksbrede aanpak criminaliteit. Met deze achtergrond zijn dan
ook de overheidsinstanties geselecteerd die gegevens kunnen opvragen via het verwijzingsportaal
bankgegevens. Eventuele toegang van gerechtsdeurwaarders tot het verwijzingsportaal
bankgegevens kent een heel andere achtergrond en strekking. Dit vraagt dan ook om
een nieuwe beoordeling van de noodzaak en proportionaliteit van toegang door gerechtsdeurwaarders
tot het verwijzingsportaal. Dit valt buiten het bestek van dit wetsvoorstel.

7.3 Advies Adviescollege toetsing regeldruk

Op 19 juni 2018 is advies over het wetsvoorstel gevraagd aan het Adviescollege toetsing
regeldruk. Het Adviescollege heeft op 5 juli advies uitgebracht. Het college adviseert
om een berekening te maken van de structurele en eenmalige gevolgen voor regeldruk
conform de daarvoor geldende landelijke systematiek en die toe te voegen. Naar aanleiding
van dit advies is de paragraaf regeldruk aangevuld.

7.4 Advies Autoriteit Persoonsgegevens

Bij brief van 29 november 2018 heeft de Autoriteit Persoonsgegevens (AP) advies uitgebracht
over het wetsvoorstel, op grond van artikel 36, vierde lid, van de Algemene verordening
gegevensbescherming (AVG). De AP adviseert om in de memorie van toelichting de beoogde
invulling van de verwerkingsverantwoordelijkheid en de vormgeving van de relatie met
de beheerder/verwerker uiteen te zetten. Het advies is bij het wetsvoorstel betrokken
en heeft tot een aanpassing in de toelichting geleid in de zin dat in paragraaf 4
een onderdeel is ingevoegd over de verwerkingsverantwoordelijkheid.

§ 8 Overgangsrecht en inwerkingtreding

Beoogd is om de wet op 1 januari 2020 in werking te laten treden. Er is niet voorzien
in overgangsrecht, aangezien het systeem van het verwijzingsportaal bankgegevens alleen
werkt als alle banken en andere betaaldienstverleners daarop zijn aangesloten. Als
dat niet het geval is, moeten immers meerdere processen worden gevolgd om bij verschillende
instellingen dezelfde informatie te halen, terwijl het wetsvoorstel juist tot doel
heeft om het proces van opvragen/vorderen en verstrekken van gegevens efficiënter
te maken. Daarnaast is de verwachting dat in geval van overgangsrecht banken en andere
betaaldienstverleners zo laat mogelijk zullen aansluiten. Wel is voorzien in de mogelijkheid
van latere inwerkingtreding van Artikel II. Reden hiervoor is dat de aanpassing van
ICT-voorzieningen van banken, die het mogelijk moet maken dat gegevens over de uiteindelijk
belanghebbende en de openings- en sluitingsdatum van een rekening of kluis kan worden
opgevraagd en verstrekt, meer tijd vergt.

§ 9 Transponeringstabel

Artikel 32bis van richtlijn (EU) 2018/843 van het Europees Parlement en de Raad van
30 mei 2018 tot wijziging van Richtlijn (EU) 2015/849 inzake de voorkoming van het
gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering,
en tot wijziging van de Richtlijnen 2009/138/EG en 2013/36/EU (PbEU 2018, L 156)

Bepaling EU-regeling

Bepaling in implementatieregeling of bestaande regeling:

Toelichting indien niet geïmplementeerd of naar zijn aard geen implementatie behoeft

Omschrijving beleidsruimte

Toelichting

32bis, lid 1

Artikel 3:267i Wft

–

 

32bis, lid 2

Artikel 3:267i Wft

 

Het verwijzingsportaal bankgegevens is direct toegankelijk voor de FIU en bevoegde
autoriteiten.

32bis, lid 3

Artikel 3:267i Wft en

Besluit verwijzingsportaal bankgegevens

 

Betreft de informatie die via het verwijzingsportaal bankgegevens toegankelijk moet
zijn.

32bis, lid 4

Besluit verwijzingsportaal bankgegevens

Lidstaatoptie om meer informatie toegankelijk te maken, hiervan is beperkt gebruik
gemaakt.

In het verwijzingsportaal zijn ook enkele administratieve kenmerken van producten
en cliënten beschikbaar. Daarnaast is informatie te vorderen en opvraagbaar over cliënten
die andere producten afnemen dan betaalrekeningen en kluizen.

32bis, lid 5

–

 

Behoeft geen implementatie, betreft een verplichting van de Europese Commissie

ARTIKELSGEWIJS

ARTIKEL I (Wet op het financieel toezicht)

A

In het voorgestelde artikel 3:267i wordt verwezen naar de SEPA-verordening. Dit onderdeel
voegt een definitie van deze verordening toe in artikel 1:1 van de Wft.

B

In het voorgestelde artikel 1:49a is een bepaling opgenomen die DNB en de Minister
van Justitie en Veiligheid, als verantwoordelijke voor Justid, verplicht om samen
te werken ten behoeve van de goede uitoefening van het toezicht en de handhaving door
DNB. Dit houdt onder meer in dat de Minister van Justitie en Veiligheid verplicht
is om DNB tijdig te voorzien van de juiste informatie. Dit is nodig, omdat DNB haar
taak als toezichthouder op de naleving van de in artikel 3:267i opgenomen verplichtingen
voor banken en andere betaaldienstverleners alleen kan uitoefenen als zij beschikt
over informatie van de Minister van Justitie en Veiligheid (Justid). Zie ook paragraaf
3.3 van deze toelichting.

C

Met het eerste lid van het voorgestelde artikel 1:93h wordt mogelijk gemaakt dat DNB
ten behoeve van het toezicht op de naleving en de handhaving van de in artikel 3:267i
opgenomen aansluitverplichting voor banken en andere betaaldienstverleners toezichtvertrouwelijke
gegevens kan delen met Justid, als beheerder van het verwijzingsportaal bankgegevens.
Dit is noodzakelijk, omdat DNB in het kader van een (lopend) onderzoek of een handhavingsmaatregel
Justid bijvoorbeeld moet kunnen informeren over eventuele afspraken met een instelling
over de termijn waarbinnen een instelling (wederom) aangesloten dient te zijn. Dit
kan bijvoorbeeld aan de orde zijn als een last onder dwangsom is opgelegd aan een
instelling. Als DNB deze informatie niet met Justid kan delen zou Justid DNB ook niet
de informatie kunnen geven die nodig is om te controleren of vervolgens aan de last
is voldaan. Het gaat hierbij alleen om het delen van vertrouwelijke gegevens of inlichtingen
die geen persoonsgegevens bevatten en die door DNB zijn verkregen in het kader van
het toezicht en de handhaving van de verplichtingen uit artikel 3:267i.

D

Artikel 3:267i

Eerste lid, aangesloten private partijen

Banken en andere betaaldienstverleners die rekeningen aanbieden met een IBAN-identificatienummer
dat de landcode «NL» bevat, alsmede banken die kluizen aanbieden, zijn verplicht om
aan te sluiten op het verwijzingsportaal bankgegevens. Voor deze partijen is gekozen,
omdat artikel 32bis van de richtlijn tot wijziging van de vierde anti-witwasrichtlijn
voorschrijft dat in het verwijzingsportaal bankgegevens identificerende gegevens opvraagbaar
moeten zijn van houders van rekeningnummers met een IBAN-identificatienummer dat op
Nederlands grondgebied is uitgegeven en van houders van kluizen die worden aangehouden
bij banken op Nederlands grondgebied, alsmede de uiteindelijk belanghebbende en de
begin- en einddatum van bedoelde rekening of kluis. Voor het uitgeven van een rekening
met een IBAN-identificatienummer is een zogenaamde Bank Identifier Code (BIC) nodig.
Deze BIC wordt gedeeltelijk in het IBAN identificatienummer opgenomen. Als een financiële
instelling in Nederland een rekening wil aanbieden met een IBAN-identificatienummer
heeft zij daarvoor een Nederlandse BIC nodig. Deze is herkenbaar aan de letters NL
in de code.

In het onderhavige wetsvoorstel wordt het begrip IBAN-identificatienummer gebruikt
overeenkomstig de definitie in artikel 2, onder 15, van de zogenoemde SEPA-verordening12: een identificatienummer van een internationale betaalrekening, dat een individuele
betaalrekening ondubbelzinnig identificeert in een lidstaat, en waarvan de elementen
zijn omschreven door de Internationale Organisatie voor Normalisatie (International
Standard Organisation – ISO). Op grond van de SEPA-verordening moeten bepaalde in
die verordening beschreven rekeningen beschikken over een IBAN-identificatienummer.

Het eerste lid bepaalt dat het verwijzingsportaal bankgegevens wordt beheerd door
de Minister van Justitie en Veiligheid.

Tweede lid, cliënten

In het verwijzingsportaal bankgegevens kunnen gegevens opgevraagd worden van houders
van rekeningen of andere financiële producten en van personen die namens hen zeggenschap
hebben over deze producten. Hiermee wordt bereikt dat de aangesloten overheidsinstanties
via het portaal ruimer inzicht kunnen krijgen in welke natuurlijke personen daadwerkelijk
over een bepaalde rekening of een bepaald product kunnen beschikken.

Gegevens over personen die zeggenschap hebben over een bepaald financieel product
zijn niet altijd in de bankadministratie opgenomen. Net als voor andere identificerende
gegevens zal dan ook bij de uitwerking van identificerende gegevens bij of krachtens
algemene maatregel van bestuur worden bepaald dat de aangesloten banken en betaaldienstverleners
de gegevens over eventuele personen die zeggenschap hebben over een financieel product
alleen hoeven te verstrekken als die bekend zijn in hun administratie.

Derde lid, vorderingsgrondslagen

Aangesloten banken en andere betaaldienstverleners moeten identificerende gegevens,
alsmede de uiteindelijk belanghebbende en de begin- en einddatum van een rekening
of kluis, via het verwijzingsportaal bankgegevens verstrekken als zij een vordering
of verzoek krijgen op grond van een van de in het derde lid genoemde grondslagen.
De omvang van de bevoegdheid om via het portaal te vorderen of te verzoeken en de
omvang van de verplichting om aan die vordering of dat verzoek te voldoen, worden
bepaald door die wetgeving en de daarop gebaseerde bepalingen. Banken en betaaldienstverleners
verstrekken met andere woorden alleen via het verwijzingsportaal bankgegevens die
gegevens die zij op grond van de (reeds bestaande) wetgeving moeten verstrekken. Hieronder
volgt een beknopte toelichting op de verschillende grondslagen voor vorderingen of
verzoeken via het verwijzingsportaal bankgegevens.

– Artikel 126a van het Wetboek van Strafvordering

Artikel 126a kent opsporingsambtenaren in het kader van het strafrechtelijk financieel
onderzoek een aantal bijzondere bevoegdheden toe. Deze bevoegdheden berusten op de
rechterlijke machtiging ex artikel 126, derde lid, Wetboek van Strafvordering. De
opsporingsambtenaren dienen bij de uitoefening van deze bevoegdheden een afschrift
van die machtiging te tonen. De bevoegdheidsuitoefening is doelgebonden: zij moet
ertoe (kunnen) strekken inzicht te verkrijgen in de vermogenspositie van de onderzochte
persoon. Met dat doel voor ogen kunnen de bevoegde opsporingsambtenaren aan eenieder
bevelen hun op de eerste vordering mondeling of schriftelijk bepaalde informatie te
verstrekken. Schriftelijke bescheiden kunnen worden ingezien en kunnen zo nodig in
beslag worden genomen. Het bevel kan ook inhouden dat degene tot wie het is gericht,
de opsporingsambtenaar een kopie van de gevorderde informatie verstrekt. Voor zover
de gevorderde informatie identificerende gegevens betreft, geschiedt de verstrekking
via het verwijzingsportaal bankgegevens.

– Artikelen 126nc, 126uc, 126zk van het Wetboek van Strafvordering

De kern van deze artikelen bestaat uit de bevoegdheid van de opsporingsambtenaar om
van degene, die daarvoor redelijkerwijs in aanmerking komt en die anders dan ten behoeve
van persoonlijk gebruik gegevens verwerkt, te vorderen bepaalde opgeslagen of vastgestelde
identificerende gegevens te verstrekken betreffende naam, adres, woonplaats, postadres,
geboortedatum, geslacht, rekeningnummers en administratieve kenmerken behorende bij
een persoon. In geval van een rechtspersoon kunnen daarnaast gegevens over rechtsvorm
en vestigingsplaats worden gevorderd. De bevoegdheid tot het vorderen van identificerende
gegevens bestaat in geval van verdenking van misdrijf en de bevoegdheid kan slechts
worden uitgeoefend «in het belang van het onderzoek». Dit accentueert dat de bevoegdheid
alleen mag worden gehanteerd indien deze bijdraagt aan de opsporing van het delict.
De Aanwijzing opsporingsbevoegdheden bevat nadere regels over de inzet van deze bevoegdheid.
Deze regels zijn ook van toepassing op vorderingen via het verwijzingsportaal bankgegevens.

– Artikel 126ii van het Wetboek van Strafvordering

Artikel 126ii geeft de officier van justitie de bevoegdheid om in het kader van een
verkennend onderzoek naar terroristische misdrijven identificerende gegevens te vorderen.
Met behulp van identificerende gegevens kan worden vastgesteld wie de personen zijn
waarop het onderzoek zich richt en welke verbanden er zijn tussen personen en tussen
situaties en personen.

– Artikel 577bb van het Wetboek van Strafvordering

In artikel 577bb, eerste lid, zijn de bevoegdheden opgesomd die zich lenen voor toepassing
in het onderzoek naar het vermogen van de veroordeelde, waaronder het vorderen van
bepaalde opgeslagen of vastgelegde identificerende gegevens in de zin van artikel
126nc, tweede lid. Hiertoe kan bijvoorbeeld ook een bankrekeningnummer gerekend worden
(eerste lid, onderdeel b). De opsporingsambtenaar is de bevoegde autoriteit, bij bevel
daartoe van de officier van justitie.

– Artikel 19 van de Wet op de economische delicten

Artikel 19 verleent opsporingsambtenaren de bevoegdheid inzage te vorderen van gegevens
en bescheiden en daarvan kopieën te maken. Zij mogen op grond van deze bepaling ook
korte tijd de gegevens en bescheiden meenemen. De bevoegdheid tot het vorderen van
inzage van gegevens en bescheiden kan door opsporingsambtenaren «in het belang van
de opsporing» en «voor zover dat redelijkerwijs voor de vervulling van hun taak nodig
is» worden uitgeoefend.

– Artikel 17 van de Wet ter voorkoming van witwassen en financieren van terrorisme

Artikel 17 van de Wwft geeft de Financiële inlichtingen eenheid (FIU-Nederland) de
bevoegdheid om bij een Wwft-instelling die een melding heeft gedaan, alsmede bij een
Wwft-instelling die bij een transactie was betrokken en waarover de FIU-Nederland
gegevens heeft verzameld, nadere inlichtingen vragen. FIU-Nederland kan die gegevens
opvragen in het kader van haar taak om gegevens te verzamelen om te bezien of meldingen
van ongebruikelijke transacties van belang kunnen zijn voor het voorkomen en opsporen
van misdrijven en om anderen van relevante gegevens te voorzien. Voor zover de gevorderde
informatie identificerende gegevens betreft, geschiedt de verstrekking via het Verwijzingsportaal.

– Artikel 53 van de Algemene wet inzake rijksbelastingen

In artikel 53, eerste lid, aanhef en onderdeel a, AWR is geregeld welke verplichtingen
voor administratieplichtigen als bedoeld in artikel 52 AWR gelden ten behoeve van
de belastingheffing van derden. Op grond van die bepaling zijn banken gehouden om
op verzoek informatie te verstrekken ten behoeve van de belastingheffing van derden,
om kort gezegd, het mogelijk te maken voor de Belastingdienst (de inspecteur) om derden
effectiever te kunnen controleren. Banken kwalificeren in beginsel als administratieplichtigen.
Een derde is ieder ander dan de administratieplichtige wiens administratie wordt geraadpleegd.
In deze gevallen gaat het om een individuele derde of groepen van derden. Het zogenoemde
voorschrift informatie fiscus/banken13 bevat beleidsregels met betrekking tot de toepassing van onder meer artikel 53, eerste
lid, aanhef en onderdeel a, AWR en artikel 62 IW 1990 (zie ook hieronder). Hierin
is aangegeven op welke wijze de Belastingdienst om informatie over derden verzoekt
met betrekking tot bancaire activiteiten en op welke wijze de banken daaraan moeten
voldoen. In verband met het gebruik van het verwijzingsportaal bankgegevens voor de
genoemde artikelen zal het voorschrift waar nodig worden aangepast.

– Artikel 62 van de Invorderingswet 1990

Artikel 62 IW 1990 legt aan administratieplichtigen de verplichting op om ten behoeve
van de invordering ten aanzien van derden op verzoek van de ontvanger gegevens en
inlichtingen te verstrekken, dan wel boeken, bescheiden en andere gegevensdragers
of de inhoud daarvan ter beschikking te stellen. Verder maakt het artikel het mogelijk
om bij ministeriële regeling werkzaamheden aan te wijzen waarbij het gebruik van het
burgerservicenummer verplicht is en tevens aan te wijzen wie in relatie tot die werkzaamheden
tot gebruik van het burgerservicenummer verplicht is.

– Artikel 62bis van de Invorderingswet 1990

Artikel 62bis IW 1990 bevordert de controle door de Belastingdienst (de ontvanger)
of een door de burger opgegeven bankrekening voor de uitbetaling van een teruggaaf
inkomstenbelasting juist is. De banken dienen identificatiegegevens te verstrekken
zodat de Belastingdienst kan controleren of een door een belastingschuldige opgegeven
bankrekening op zijn naam staat. De banken hebben daarnaast de wettelijke bevoegdheid
om burgerservicenummers te gebruiken om de juistheid van de geregistreerde gegevens,
met name de combinatie van naam/adres/woonplaats (NAW)-gegevens en burgerservicenummer,
te controleren. Dat moet (identiteits)fraude en onnodige fouten voorkomen.

– Artikel 38 van de Algemene wet inkomensafhankelijke regelingen

Artikel 38 Awir regelt de kosteloze verstrekking aan de Belastingdienst/Toeslagen
van gegevens en inlichtingen waarvan de kennisneming van belang kan zijn voor de uitvoering
van de Awir. Omdat de aanspraak op of de hoogte van een tegemoetkoming mede afhankelijk
kan zijn van informatie die niet binnen de Belastingdienst of de Belastingdienst/Toeslagen
voorhanden is, is in het eerste lid van genoemd artikel 38 voor decentrale overheden,
bepaalde semi-overheidslichamen en voor bij of krachtens algemene maatregel van bestuur
aangewezen natuurlijke personen, rechtspersonen en instellingen een verplichting tot
informatieverstrekking opgenomen. Het zesde lid van genoemd artikel 38 voorziet ook
in de mogelijkheid dat banken de burgerservicenummers van hun rekeninghouders gebruiken
in hun eigen administratie ten behoeve van het voldoen aan de informatieverplichting.

– Artikelen 126hh, 126nd, 126ud, 126zl en 577bd van het Wetboek van Strafvordering

Deze grondslagen zien op de bevoegdheid van het openbaar ministerie om gegevens over
de uiteindelijk belanghebbende en de openings- en sluitingsdatum van een rekening
of kluis, bedoeld in het eerste lid, te vorderen of op te vragen. FIU-Nederland, de
Belastingdienst en de FIOD kunnen deze gegevens opvragen op grond van artikel 19 van
de Wet op de economische delicten, artikel 17 van de Wet ter voorkoming van witwassen
en financieren van terrorisme, artikel 53, eerste lid, aanhef en onderdeel a, van
de Algemene wet inzake rijksbelastingen, de artikelen 62 en 62bis van de Invorderingswet
1990 en artikel 38 van de Algemene wet inkomensafhankelijke regelingen. Hiermee wordt
artikel 32bis, derde lid, tweede en derde aandachtsstreepje, van de richtlijn tot
wijziging van de vierde anti-witwasrichtlijn geïmplementeerd.

Vierde lid, delegatiebepaling

In het vierde lid van artikel 3:267i is bepaald dat bij of krachtens algemene maatregel
van bestuur regels worden gesteld aan het verwijzingsportaal bankgegevens. Het schrijft
voor dat in elk geval regels worden gesteld over het beheer van het verwijzingsportaal
bankgegevens, over welke identificerende gegevens via het portaal verstrekt kunnen
worden, over welke overheidsinstanties zijn aangesloten en de technische eisen waaraan
aansluiting moet voldoen. Verder kunnen regels worden gesteld over de vorm waarop
vorderingen of verzoeken worden gedaan en de manier waarop de banken en betaaldienstverleners
de gegevens via het portaal aanbieden.

Vijfde lid, gebruik burgerservicenummer

Het vijfde lid van het voorgestelde artikel 3:267i voorziet in een wettelijke grondslag
voor het gebruik van het burgerservicenummer ten behoeve van het koppelen van een
vordering of een verzoek aan de betrokkene in het klantsysteem van de bank of andere
betaaldienstverlener. Het burgerservicenummer wordt via het verwijzingsportaal bankgegevens
niet aan de vragende instantie verstrekt.

Artikel 87 AVG laat op het punt van de verwerking van een nationaal identificatienummer
ruimte om bij lidstatelijk recht specifieke voorwaarden te stellen. In dat kader regelt
artikel 46 Uitvoeringwet AVG dat een nummer dat ter identificatie van een persoon
bij wet is voorgeschreven, bij de verwerking van persoonsgegevens slechts gebruikt
wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.
Dit is een kapstokbepaling, waaraan in andere wetten invulling kan worden gegeven.
Het burgerservicenummer is geen algemeen persoonsnummer buiten het publieke domein.14 Voor de overheid is het gebruik van een uniek persoonsnummer, het burgerservicenummer,
geregeld in artikel 10 Wet algemene bepalingen burgerservicenummer (Wabb). Op die
grond kunnen de aangesloten overheidsinstanties het burgerservicenummer gebruiken
bij het vorderen of opvragen van gegevens uit het verwijzingsportaal bankgegevens.

Echter, voor aangesloten private partijen, die geen beroep kunnen doen op artikel
10 Wabb dient het gebruik te zijn voorgeschreven in sectorale wetgeving, zoals het
geval is in artikel 3:267i, vijfde lid, Wft. Verdere verwerking van het burgerservicenummer
voor andere doelen dan omschreven in dit artikellid is op grond daarvan niet toegestaan.

E

In dit onderdeel wordt geregeld dat bij niet-naleving van de verplichting voor banken
of andere betaaldienstverleners om aan te sluiten op het verwijzingsportaal bankgegevens,
zoals neergelegd in het eerste lid van artikel 3:267i, de toezichthouder – De Nederlandsche
Bank – een last onder dwangsom (artikel 1:79 Wft) dan wel een bestuurlijke boete (artikel
1:80 Wft) kan opleggen. Dit gebeurt door artikel 3:267i te plaatsen op de lijsten
van de bijlagen bij de Wft.

ARTIKEL II

Met deze wijziging van artikel 3:267i van de Wft wordt artikel 32bis, derde lid, tweede
en derde aandachtsstreepje, van de richtlijn tot wijziging van de vierde anti-witwasrichtlijn
geïmplementeerd. Deze wijziging is separaat opgenomen, omdat de aanpassing van ICT-voorzieningen
van banken, die het mogelijk moet maken om gegevens over de uiteindelijk belanghebbende
en de openings- en sluitingsdatum van een rekening of kluis te kunnen opvragen en
verstrekken, meer tijd vergt. Dit artikel zal daarom op een later moment in werking
treden dan de overige artikelen van het wetsvoorstel.

De toelichting op de grondslagen voor het opvragen van gegevens over de uiteindelijk
belanghebbende en de openings- en sluitingsdatum van een rekening of kluis is gegevens
is te vinden bij de artikelsgewijze toelichting van artikel II, onderdeel D, artikel
3:267i, derde lid.

Deze toelichting wordt ondertekend mede namens de Minister van Justitie en Veiligheid.

De Minister van Financiën,
W.B. Hoekstra