Advies Afdeling advisering Raad van State en Nader rapport : Advies Afdeling advisering Raad van State en Nader rapport
35 238 Wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd ontsluiten van identificerende gegevens alsmede enkele andere gegevens door banken en andere betaaldienstverleners (Wet verwijzingsportaal bankgegevens)
Nr. 4
ADVIES AFDELING ADVISERING RAAD VAN STATE EN NADER RAPPORT1
Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State
d.d. 29 mei 2019 en het nader rapport d.d. 26 juni 2019, aangeboden aan de Koning
door de Minister van Financiën, mede namens de Minister van Justitie en Veiligheid.
Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.
Blijkens de mededeling van de Directeur van Uw kabinet van 24 april 2019, nr. 2019000843,
machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake
het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen. Dit advies,
gedateerd 29 mei 2019, nr. W06.19.0106/III, bied ik U hierbij aan. De tekst van het
advies is tevens hieronder opgenomen, voorzien van mijn reactie.
Bij Kabinetsmissive van 24 april 2019, no.2019000843, heeft Uwe Majesteit, op voordracht
van de Minister van Financiën, bij de Afdeling advisering van de Raad van State ter
overweging aanhangig gemaakt het voorstel van tot wijziging van de Wet op het financieel
toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd
verstrekken en ontsluiten van identificerende gegevens door banken en betaaldienstverleners
(Wet verwijzingsportaal bankgegevens), met memorie van toelichting.
Het voorstel regelt de inrichting van een Verwijzingsportaal bankgegevens (hierna:
VB). Het doel hiervan is het proces van het verstrekken van bepaalde identificerende
gegevens2 door banken en andere betaaldienstverleners aan bepaalde overheidsinstanties efficiënter
te laten verlopen.
De Afdeling advisering van de Raad van State vestigt de aandacht op de waarborgen
voor gegevensverwerking bij de introductie van deze digitale techniek, de beveiligingsrisico’s
voor banken, betaaldienstverleners en overheidsinstanties, de implementatie van de
Europese ontsluitverplichting en de kosten van het VB. In verband daarmee is aanpassing
wenselijk van het wetsvoorstel en de toelichting.
1. Inleiding
Het voorstel regelt de inrichting van een VB. Het VB is een technische koppeling die
het voor aangesloten banken en betaaldienstverleners mogelijk maakt om geautomatiseerd
identificerende gegevens te verstrekken op verzoek of na vordering van overheidsinstanties.
De politie, de Bijzondere opsporingsdiensten, het Openbaar Ministerie, de Financiële
inlichtingeneenheid (hierna: FIU) en de Belastingdienst hebben voor de uitoefening
van hun wettelijke taken deze gegevens nodig van cliënten van banken en andere betaaldienstverleners.
Deze overheidsinstanties hebben de wettelijke bevoegdheid om identificerende gegevens
te vorderen of te verzoeken bij banken en betaaldienstverleners. Op dit moment vindt
deze gegevensverstrekking handmatig plaats. Deze wijze van verstrekking sluit niet
meer aan bij het huidige betalingsverkeer, dat snel, digitaal en grensoverschrijdend
is, aldus de toelichting.3
Het VB maakt het daarom voor overheidsdiensten mogelijk om bijna real-time identificerende
gegevens te vorderen of op te vragen. Voor banken en andere betaaldienstverleners
die rekeningen aanbieden wordt het mogelijk deze gegevens vervolgens geautomatiseerd
te verstrekken. Het verwijzingsportaal is geen database, maar een koppeling; het zoekt,
op aanvraag, gegevens op in administraties van aangesloten banken en betaaldienstverleners.
Het slaat de gegevens die het heeft opgezocht slechts enkele minuten op ten behoeve
van de verwerking door de aangesloten overheidsinstanties. Daarna worden de gegevens
vernietigd.4
Met het wetsvoorstel wordt daarnaast de Europese verplichting geïmplementeerd om te
voorzien in een centraal elektronisch systeem voor gegevensontsluiting dat tijdige
identificatie mogelijk maakt van natuurlijke personen of rechtspersonen die houder
zijn van of zeggenschap hebben over bank- en betaalrekeningen met een IBAN5-identificatienummer of over een kluis bij de bank (hierna kortgezegd: Europese ontsluitverplichting).6
2. Waarborgen tegen onnodige gegevensverstrekking
Het wetsvoorstel beoogt de reeds bestaande wettelijke bevoegdheden voor de genoemde
overheidsinstanties om identificerende gegevens te vorderen of op te vragen niet te
wijzigen, in te perken of te verruimen. Niettemin leidt het VB wel tot verlaging van
de drempel voor gegevensverstrekking. Het voorstel is dan ook niet alleen technisch
van aard. Het gebruik van digitale techniek is weliswaar begrijpelijk, maar vergt
wel dat de gevolgen daarvan voor burgers en rechtspersonen uitdrukkelijk worden onderkend.7
Het VB maakt het mogelijk dat identificerende gegevens door banken automatisch worden
verstrekt op verzoek van bepaalde overheidsinstanties. Interne procedures bij de overheidsinstanties
moeten waarborgen dat een dergelijk verzoek bevoegd wordt gedaan en aan alle overige
(wettelijke) voorwaarden wordt voldaan. Daarnaast worden alleen gegevens uit het VB
aan de verzoekende instanties teruggezonden indien een zoekvraag in het VB tot maximaal
drie personen leidt. Dit laatste geldt niet voor zoekvragen op basis van een product,8 deze kunnen wel tot meer personen leiden.9
Tot nu toe worden de identificerende gegevens handmatig verstrekt door de bank. De
introductie van het VB zorgt ervoor dat deze gegevens na invoering van het verzoek
in het VB automatisch en dus zonder mogelijkheid van controle op de juistheid van
het verzoek of de vordering door de bank worden verstrekt. De gegevensverstrekking
wordt daardoor sneller en efficiënter. De richtlijn beoogt dit ook voor zover het
de gegevensverstrekking betreft tussen banken, andere betaaldienstverleners en de
Financiële inlichtingeneenheden.
Keerzijde daarvan is echter dat de kans op onnodige gegevensverstrekking wordt verhoogd.
Het had in de rede gelegen om met het oog daarop, binnen de eisen die de richtlijn
aan de gegevensontsluiting stelt, te voorzien in extra waarborgen in het VB om het
risico daarop zoveel mogelijk te verkleinen. In dat verband wijst de Afdeling erop
dat bijvoorbeeld uitdrukkelijk niet is gekozen voor de mogelijkheid tot fiattering.10 Dat fiattering leidt tot vertraging, zoals opgemerkt in de gegevensbeschermingsbeoordeling,11 acht de Afdeling onvoldoende om daarvan af te zien, gelet op het belang van bescherming
van de gegevens van betrokkenen. Bovendien blijkt uit de toelichting ook niet of en
welke andere waarborgen in het VB zijn overwogen.
Dit klemt te meer gelet op de bestaande (ruime) vorderingsgrondslagen die in het voorstel
zijn overgenomen voor de Belastingdienst.12 De Belastingdienst, zijnde de inspecteur, heeft immers de mogelijkheid om identificerende
gegevens op te vragen ten behoeve van het voorkomen van misbruik met toeslagen en
ten behoeve van de belastingheffing en -inning. Uit de toelichting wordt echter niet
duidelijk welke waarborgen worden gerealiseerd om het risico van onnodige gegevensverstrekking
aan de Belastingdienst, zoveel mogelijk te verkleinen. De toelichting13 verwijst enkel naar een beoogde aanpassing van het zogenoemde Voorschrift informatie
fiscus/banken,14 zonder in te gaan op de benodigde aanpassingen.
Daarnaast had het in de rede gelegen om expliciet toe te lichten hoe de rechten van
betrokkenen ten aanzien van het VB kunnen worden uitgeoefend. De toelichting gaat
slechts in algemene zin in op de afspraken tussen de verwerker (de Justitiële informatiedienst)
en de verwerkingsverantwoordelijken (respectievelijk banken, betaaldienstverleners
en de betreffende overheidsinstanties).15
De Afdeling adviseert in de toelichting op het voorgaande nader in te gaan, daarbij
in het bijzonder aandacht te besteden aan de Belastingdienst en het wetsvoorstel aan
te passen.
2. Naar aanleiding van de opmerkingen van de Afdeling op dit punt alsmede op het punt
van de gegevensverstrekking aan de Belastingdienst, is paragraaf 4.4 van de memorie
van toelichting aangevuld met een passage over een aantal extra waarborgen waarin
zal worden voorzien in verband met de beoogde werkwijze van fiattering buiten het
verwijzingsportaal bankgegevens. In paragraaf 4.9 van de memorie van toelichting is
ingegaan op de wijze waarop de rechten van betrokkenen kunnen worden uitgeoefend.
3. Veiligheidsrisico’s gegevenssystemen banken en overheidsinstanties
In de toelichting wordt niet zonder reden uitgebreid ingegaan op de beveiligingsmaatregelen
die zijn getroffen ten aanzien van het VB. Zo is het systeem niet toegankelijk via
het internet om ongeoorloofde toegang tot het systeem te voorkomen. Het VB heeft een
eigen fysieke infrastructuur, die met een firewall is afgeschermd van het netwerk
van het Ministerie van Justitie en Veiligheid. Ook is er een autorisatie en inlogvoorziening
voor medewerkers die bevoegd zijn gegevens op te vragen en worden de beheerders van
het systeem door de AIVD gescreend. Daarnaast wordt een penetratietest uitgevoerd
voordat het VB in gebruik wordt genomen. In reactie op het advies van het Bureau ICT-toetsing
zijn bovendien aanvullende maatregelen getroffen.16 Hiermee is gekozen voor een oplossing die zo min mogelijk risico’s met zich brengt,
aldus de toelichting.17
Het VB leidt er echter ook toe dat via een koppeling van het VB aan de klantenadministratie
van een bank of betaaldienstverlener, de klantadministratie wordt ontsloten. Daarnaast
wordt een verbinding gelegd van het VB naar de overheidsinstanties. Deze ontsluiting
brengt als zodanig risico’s met zich voor de beveiliging van de klantadministraties
van banken en betaaldienstverleners en de gegevensbestanden van de betreffende overheidsinstanties.
De Afdeling merkt op dat, in tegenstelling tot de uitvoerige toelichting op de vereiste
beveiligingsmaatregelen ten aanzien van het VB, in de toelichting niet wordt ingegaan
op de mogelijke consequenties van de koppeling met het VB voor de beveiliging van
de klantenadministraties van de banken en betaaldienstverleners en de gegevensbestanden
van de betrokken overheidsinstanties.
De Afdeling adviseert op het voorgaande in de toelichting nader in te gaan.
3. Bovenstaande opmerkingen van de Afdeling zijn aanleiding geweest om paragraaf 4.8
van de memorie van toelichting aan te vullen met een beschrijving van de beveiligingsmaatregelen
die genomen zijn ten aanzien van de koppeling van het VB met de klantadministraties
van aangesloten banken en andere betaaldienstverleners en met de gegevensbestanden
van de betrokkenen overheidsinstanties.
4. Implementatie overige onderdelen van Europese ontsluitverplichting
De voorbereiding van een nationale wettelijke regeling voor de inrichting van het
VB is ingehaald door Europeesrechtelijke ontwikkelingen, zo blijkt uit de toelichting.
Op 19 juni 2018 is de richtlijn tot wijziging van de vierde anti-witwasrichtlijn18 in werking getreden, waarin voornoemde Europese ontsluitverplichting is opgenomen.
Het wetsvoorstel beoogt daarom ook de hiervoor genoemde Europese ontsluitverplichting
te implementeren.
De Afdeling heeft er begrip voor dat de voorbereidingen van een op nationaal beleid
ingericht VB zijn voortgezet, op het moment dat de Europese ontsluitverplichting in
werking trad. Dit leidt er echter toe dat het wetsvoorstel niet geheel aansluit bij
hetgeen waartoe de richtlijn de EU-lidstaten verplicht. Zo geeft het VB naast de FIU
ook het Openbaar Ministerie, de Politie, de Bijzondere opsporingsdiensten en de Belastingdienst
toegang tot het VB. Uit de transponeringstabel valt op te maken dat andere onderdelen
van de Europese ontsluitverplichting echter nog zullen worden geïmplementeerd, zonder
dat duidelijk wordt wanneer dit het geval zal zijn en of de in het voorstel opgenomen
wettelijke vorderingsgrondslagen daarvoor toereikend zullen zijn.19
De Afdeling adviseert op het voorgaande in de toelichting nader in te gaan.
4. De Afdeling merkt terecht op dat het wetsvoorstel thans niet geheel aansluit bij
de Europese ontsluitverplichting uit de richtlijn tot wijziging van de vierde anti-witwasrichtlijn.
Dit heeft ertoe geleid dat het wetsvoorstel is aangevuld met een vorderingsgrondslag
voor gegevens over de uiteindelijk belanghebbende en de openings- en sluitingsdatum
van een rekening en kluis. Omdat er meer tijd nodig is voor de technische implementatie
van deze vorderingsmogelijkheid is deze wijziging opgenomen in een afzonderlijk wijzigingsartikel
(artikel II). Zowel het algemene deel als de artikelsgewijze toelichting zijn met
betrekking tot deze uitbreiding van de vorderingsgrondslag aangevuld.
5. Kosten VB
Ten slotte wijst de Afdeling erop dat de banken de kosten voor de aansluiting op het
VB zelf moeten dragen. Reden daarvoor is dat marktpartijen de kosten die direct voortkomen
uit Europese voorschriften zelf dragen, aldus de toelichting.20 Het wetsvoorstel heeft echter een bredere strekking dan implementatie van de Europese
ontsluitverplichting. Niet nader wordt toegelicht waarom de kosten niettemin volledig
door de banken gedragen zouden moeten worden.
De Afdeling adviseert op het voorgaande in de toelichting nader in te gaan.
5. Naar aanleiding van deze opmerking van de Afdeling is in paragraaf 7.2 van de memorie
van toelichting, naar aanleiding van een consultatiereactie van de NVB, nader ingegaan
op de vraag waarom de kosten niettemin volledig door de banken gedragen moeten worden.
Uiteengezet is dat het wetsvoorstel met de bredere strekking beoogt te voorkomen dat
banken en aangesloten overheidsdiensten voor vorderingen/bevragingen die onder de
scope van de Europese richtlijn vallen gebruik kunnen maken van het verwijzingsportaal
en voor andere bevragingen niet. Dit zou voor alle partijen extra kosten met zich
meebrengen, omdat anders een deel van het proces nog op handmatige wijze zou moeten
worden voortgezet. Daarnaast vindt momenteel ook geen vergoeding van investerings-,
exploitatie- en onderhoudskosten plaats bij zowel bepaalde strafrechtelijke vorderingen
als informatieverzoeken van de Belastingdienst en FIU-Nederland.
De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het
voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede
Kamer der Staten-Generaal wordt ingediend.
De waarnemend vicepresident van de Raad van State,
S.F.M. Wortmann
Ik moge U, mede namens mijn ambtgenoot van Justitie en Veiligheid, verzoeken het hierbij
gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan
de Tweede Kamer der Staten-Generaal te zenden.
De Minister van Financiën,
W.B. Hoekstra
Ondertekenaars
-
, -
, -
Eerste ondertekenaar
Th.C. de Graaf, vicepresident van de Raad van State -
Mede namens
F.B.J. Grapperhaus, minister van Justitie en Veiligheid -
Mede ondertekenaar
W.B. Hoekstra, minister van Financiën
Stemmingsuitslagen
Aangenomen met handopsteken
| Fracties | Zetels | Voor/Tegen | Vergissing |
|---|---|---|---|
| VVD | 32 | Voor | |
| PVV | 20 | Voor | Vergissing |
| CDA | 19 | Voor | |
| D66 | 19 | Voor | |
| GroenLinks | 14 | Voor | |
| SP | 14 | Voor | |
| PvdA | 9 | Voor | |
| ChristenUnie | 5 | Voor | |
| 50PLUS | 4 | Voor | |
| PvdD | 4 | Voor | |
| DENK | 3 | Voor | |
| SGP | 3 | Voor | |
| FVD | 2 | Voor | |
| Van Haga | 1 | Voor | |
| Van Kooten-Arissen | 1 | Voor |
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.