Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag
35 238 Wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd ontsluiten van identificerende gegevens alsmede enkele andere gegevens door banken en andere betaaldienstverleners (Wet verwijzingsportaal bankgegevens)
Nr. 6
NOTA NAAR AANLEIDING VAN HET VERSLAG
Ontvangen 9 september 2019
Inleiding
Ik ben de vaste commissie voor Financiën erkentelijk voor de aandacht die zij aan
het onderhavige wetsvoorstel heeft geschonken en voor de door haar daarover gestelde
vragen. Deze vragen worden beantwoord in de volgorde van het door de commissie uitgebrachte
verslag. Voor zover vragen, vanwege overeenkomst van onderwerp, gezamenlijk beantwoord
zijn, is dit vermeld. Ik heb er goede nota van genomen dat de commissie het voorstel
voldoende voorbereid acht voor openbare behandeling bij afdoende beantwoording van
de gestelde vragen en opmerkingen.
Deze nota naar aanleiding van het verslag wordt mede namens de Minister van Justitie
en Veiligheid gegeven.
ALGEMEEN DEEL
1
De leden van de fractie van GroenLinks vragen hoe en wanneer de doelmatigheid van
het VB wordt geëvalueerd. Op basis van welke criteria?
Het verwijzingsportaal is een technische voorziening die het mogelijk maakt sneller
en accurater gegevens te vorderen en op te vragen op basis van bestaande wettelijke
bevoegdheden. Onderdeel van de governance van het verwijzingsportaal bankgegevens is dat de werking van het portaal zal worden
ge-audit. De audit ziet op de werking van het verwijzingsportaal bankgegevens en de
kwaliteit van de vorderingen, verzoeken en verstrekkingen van gegevens. Een voorbeeld
van een specifieke indicator is het percentage bevragingen dat binnen de streeftijd
van 30 seconden leidt tot verstrekking van gegevens. Verder vindt een periodiek overleg
plaats tussen het Ministerie van Justitie en Veiligheid en de gebruikers van het verwijzingsportaal
bankgegevens over de gebruikerswensen ten aanzien van het systeem.
2
De leden van de SP-fractie vragen de regering waarom niet al eerder besloten is om
dit proces te automatiseren.
De wens om dit proces te automatiseren is eerder bij brief van 20 december 2013 van
de Minister van Justitie en Veiligheid over de Rijksbrede aanpak van fraude met de
Kamer gedeeld. Vanaf die datum is in afstemming met de bankensector en de betrokken
overheidspartijen gewerkt aan de vormgeving van het verwijzingsportaal bankgegevens.
3
Deze leden vragen de regering daarnaast welke verdere uitbreidingen van het verwijzingsportaal
bankgegevens (VB) gewenst of bedacht zijn.
Met de bankensector en de betrokken overheidsdiensten wordt momenteel gesproken over
welke uitbreidingen wenselijk zijn. Dit bevindt zich nog in de inventarisatiefase.
Wel bestaat het voornemen om het verwijzingsportaal ook te gaan gebruiken voor het
opvragen van identificerende gegevens door de Belastingdienst, om zo de identiteit
te achterhalen van een betaler in het geval van een onjuist betalingskenmerk of als
een betalingskenmerk ontbreekt. Over verdere uitbreiding van het verwijzingsportaal
bankgegevens is nog geen besluit genomen.
4
Voorts vragen de leden van de SP-fractie hoe en wanneer de doelmatigheid van het VB
geëvalueerd zal worden.
Hiervoor wordt verwezen naar het antwoord op vraag 1.
5
De leden van de SP-fractie vragen tevens waarom er voor is gekozen om een evaluatie
in te stellen via AMvB en waarom dat niet in de wetstekst zelf toegevoegd kan worden?
Er is voor gekozen om in het wetvoorstel geen evaluatiebepaling op te nemen, maar
bij algemene maatregel van bestuur te voorzien in een jaarlijks door de Minister van
Justitie en Veiligheid op te stellen verslag en een tweejaarlijks uit te voeren audit
naar de uitvoering van het Besluit verwijzingsportaal bankgegevens. Hiermee kunnen
het gebruik en de werking van het verwijzingsportaal bankgegevens worden gemonitord.
Het verslag ziet op het aantal malen dat door tussenkomst van het verwijzingsportaal
bankgegevens gegevens zijn opgevraagd en gevorderd door bevoegde autoriteiten en verstrekt
door banken, uitgesplitst naar wettelijke grondslag van de vordering of het verzoek
en naar bevoegde autoriteit. De audit ziet op de werking van het verwijzingsportaal
bankgegevens en op de kwaliteit van de vorderingen, verzoeken en verstrekkingen van
gegevens. Aangezien de regels over het gebruik en de werking van het verwijzingsportaal
bankgegevens zijn opgenomen in het Besluit verwijzingsportaal bankgegevens, is ook
de regeling van de verslaglegging en de audit daarin opgenomen. Het besluit wordt
op korte termijn openbaar geconsulteerd.
2. Aanleiding en doel van het wetsvoorstel
6
De leden van de VVD-fractie willen weten in hoeverre dit wetsvoorstel bijdraagt aan
uniformering en standaardisering? Zij vragen ook wat wordt bedoeld met dat dit wetsvoorstel
«»(in beginsel)»» uniformeert?
Banken worden op dit moment op verschillende manieren benaderd door de betrokken overheidspartijen
met vorderingen en bevragingen. Het verwijzingsportaal bankgegevens uniformeert en
standaardiseert dit proces en de vorm waarin de informatie met dit proces wordt gedeeld.
Het verwijzingsportaal bankgegevens is een centraal loket waarbij vorderingen en verzoeken
om gegevens door betrokken overheidsdiensten kunnen worden ingediend en waarbij banken
de gevorderde of gevraagde gegevens kunnen verstrekken. Omdat de bevoegdheden van
de betrokken overheidspartijen verschillend zijn kan er geen sprake zijn van gehele
uniformering van dit proces.
7
Deze leden vragen verder hoeveel tijd er verloren gaat met het handmatig opvragen
van deze gegevens? Hoeveel tijd wordt er dus gewonnen met dit wetsvoorstel?
De praktijk leert dat bij het handmatig vorderen en opvragen van gegevens bij banken
het langere tijd kan duren voordat de gegevens verstrekt worden. Dit kan variëren
van enkele dagen tot enkele weken. Een bevraging via het verwijzingsportaal bankgegevens
levert binnen 30 seconden resultaat. Een berekening van de tijd die met dit wetsvoorstel
wordt gewonnen is niet mogelijk, omdat geen registratie plaatsvindt van de tijd die
het op dit moment kost om gegevens handmatig te vorderen en op te vragen.
8
De leden van de SP-fractie erkennen dat sneller uitwisselen effectief kan zijn voor
de opsporing van witwassen en terrorismefinanciering, toch vragen zij waar de stelling
dat transparantie een afschrikwekkende werking heeft op gebaseerd is.
Niet duidelijk is waar deze leden genoemde stelling hebben gevonden.
2.1 Wenselijkheid van geautomatiseerde ontsluiting
9
De leden van de VVD-fractie begrijpen dat dit wetsvoorstel niet zo zeer de opsporings-
en controlebevoegdheden van de respectievelijke overheidsorganen verandert, maar vooral
de techniek en elektronische procedure waarmee die bevoegdheden worden uitgeoefend.
Kan de regering deze globale duiding bevestigen?
Dit is correct. Het verwijzingsportaal bankgegevens is een technische voorziening
die het mogelijk maakt sneller en accurater gegevens te vorderen of op te vragen en
te verstrekken op basis van al bestaande bevoegdheden.
10
De leden van de VVD-fractie vragen zich verder af wat het portaal verandert aan de
internationale uitwisseling van gegevens. Nu elke EU-lidstaat beschikt over een vergelijkbaar
systeem, zou het gemakkelijk moeten worden internationale opsporingsverzoeken te accommoderen.
Hoe ziet de regering zich dit ontwikkelen?
Nu elke lidstaat een geautomatiseerd en gecentraliseerd systeem moet hebben voor het
opvragen of vorderen van identificerende gegevens, zullen in EU-verband dit soort
gegevens in het kader van grensoverschrijdende opsporingsonderzoeken inderdaad sneller
kunnen worden uitgewisseld.
11
De leden van de D66-fractie lezen dat het huidige proces van vorderen of opvragen
van gegevens te langzaam is. Hoelang duurt het momenteel gemiddeld om bij vordering
of opvraging te beschikken over de gevraagde gegevens? Hoe vaak komt het nu voor dat
er fouten staan in de opgevraagde gegevens? Met hoeveel denkt de regering dit te kunnen
versnellen en verbeteren door de voorgestelde automatische koppeling?
De praktijk leert dat bij het handmatig vorderen en opvragen van gegevens aan banken
het langere tijd kan duren voordat de gegevens verstrekt worden. Dit kan variëren
van enkele dagen tot enkele weken. Een bevraging via het verwijzingsportaal bankgegevens
levert binnen 30 seconden resultaat.
Het is met de huidige wijze van handmatig vorderen en bevragen niet mogelijk een uitspraak
te doen over hoe vaak het voorkomt dat er fouten staan in de opgevraagde gegevens.
Er kunnen op twee manieren onjuiste gegevens worden verstrekt. In de eerste plaats
kan de bank onjuiste gegevens geregistreerd hebben in haar administratie en deze onjuiste
gegevens verstrekken. In de tweede plaats kan de bank minder gegevens verstrekken
dan gevraagd of gegevens verstrekken die niet worden gevraagd. Voor het eerstgenoemde
geval geldt dat het verwijzingsportaal bankgegevens de datakwaliteit van banken niet
kan verbeteren. De banken zijn hiervoor zelf verantwoordelijk. Om zoveel mogelijk
te voorkomen dat banken onjuiste gegevens verstrekken, zoals bedoeld in het tweede
geval, wordt bij de ingebruikname van het verwijzingsportaal bankgegevens met elke
bank afzonderlijk uitvoerig getest of zij de juiste gegevens uit hun administraties
leveren.
12
De leden van de fractie van GroenLinks vragen de regering iets meer context te schetsen
over het aantal vorderingen en verzoeken dat jaarlijks (handmatig) plaatsvindt. Kan
dat per partij worden uitgesplitst?
Blijkens het WODC-onderzoek uit 2011, Brandstof voor de opsporing: Evaluatie Wet bevoegdheden
vorderen gegevens, bedroeg in 2008 het aantal vorderingen op grond van artikel 126nc
Wetboek van Strafvordering 6000. In 2011 geven de betrokken partijen aan dat de aantallen
sindsdien fors zijn gestegen. Volgens recente schattingen van de politie, bijzondere
opsporingsdiensten en Belastingdienst dient de politie tussen de 9.500 en 11.500 vorderingen
per jaar in. Door de bijzondere opsporingsdiensten gezamenlijk ongeveer tussen de
5.000 en 6.500 vorderingen. Recentere cijfers zijn niet beschikbaar.
De Belastingdienst gaat het verwijzingsportaal bankgegevens gebruiken voor meerdere
processen. Voor de verifiëring van bankrekeningnummers (1BRN) in verband met het doen
van betalingen geldt dat dit thans gaat om circa 700.000 tot 900.000 verzoeken per
jaar. Daarnaast vinden nog verzoeken plaats die verband houden met de inning van belastingen
en de betaling van toeslagen. Het betreft ongeveer 25.000 verzoeken per jaar.
13
De leden van de SP-fractie vragen de regering hoe zij gaat beoordelen welke stijging
in het bevragen van informatie onwenselijk is. Wat zou zij vinden van een situatie
waar de standaard werkwijze behelst dat ieders gegevens opgevraagd worden?
Het openbaar ministerie heeft het gezag over de opsporing en ziet toe op de (mate
van) inzet van opsporingsbevoegdheden. Het is niet aan de regering om over die inzet
te oordelen. De bevoegdheid om gegevens via het verwijzingsportaal bankgegevens te
vorderen of op te vragen is wettelijk geregeld. In het kader van opsporing zijn dat
de bepalingen in het Wetboek van Strafvordering, de Wet op de economische delicten
en de Aanwijzing opsporingsbevoegdheden van het College van procureurs-generaal, in
het kader van de FIU de Wet ter voorkoming van witwassen en financieren van terrorisme
(Wwft) en in het kader van de Belastingdienst de Algemene wet inzake rijksbelastingen,
de Algemene wet inkomensafhankelijke regelingen en de Invorderingswet 1990. Van de
bevoegdheid om de gegevens te vorderen of op te vragen kan slechts gebruik worden
gemaakt indien voldaan is eisen en voorwaarden die de wettelijke regeling aan toepassing
van de bevoegdheid stelt. Van een standaard werkwijze waarmee ieders gegevens worden
opgevraagd kan dan ook geen sprake zijn.
2.2. Europese verplichting
14
De leden van de fractie van GroenLinks vragen of dit wetsvoorstel voldoet aan alle
eisen van de Europese richtlijn.
Ik begrijp deze vraag aldus dat genoemde Kamerleden doelen op de richtlijn tot wijziging
van de vierde anti-witwasrichtlijn (hierna: de wijzigingsrichtlijn)1.
Het onderhavige wetsvoorstel en het Besluit verwijzingsportaal bankgegevens, dat op
korte termijn openbaar wordt geconsulteerd, strekken tot implementatie van artikel
32bis van de wijzigingsrichtlijn. Het verwijzingsportaal bankgegevens heeft een breder
bereik dan de wijzigingsrichtlijn voorschrijft doordat er meer overheidsinstanties
zijn aangesloten en meer soorten gegevens kunnen worden opgevraagd dan de wijzigingsrichtlijn
voorschrijft. Het verwijzingsportaal bankgegevens voldoet daarmee volledig aan de
vereisten van artikel 32bis.
2.3 Het verwijzingsportaal bankgegevens
15
De leden van de fractie van GroenLinks vragen de regering of is overwogen om een systeem
met fiattering binnen het VB daadwerkelijk te testen, om vast te kunnen stellen of
er daadwerkelijk sprake zou zijn van vertraging en in hoeverre dit opweegt tegen de
risico’s van fiattering buiten het VB.
In de ontwerpfase van het verwijzingsportaal bankgegevens is met de banken en betrokken
overheidsdiensten uitvoerig overleg gevoerd over de wijze van fiattering. Fiattering
is immers geen wettelijk vereiste, maar beleid. Op basis van dit overleg is overeenstemming
bereikt over de keuze om de fiattering buiten het portaal te laten plaatsvinden. Daarbij
zijn tevens maatregelen afgesproken die mogelijke risico’s van fiatteren buiten het
portaal afdoende mitigeren. Deze maatregelen betreffen onder meer: uitvoering van
een periodieke audit, een gebruikersprotocol waarin is vastgelegd hoe het verwijzingsportaal
bankgegevens door overheidsdiensten moet worden gebruikt en een aanpassing van de
aanwijzing van het OM betreffende het gebruik van bevoegdheden door opsporingsdiensten.
2.4 Identificerende en andere gegevens
16
De leden van de VVD-fractie vragen of er nog andere manieren zijn, naast het zoeken
op het Burgerservicenummer (BSN), om effectieve en efficiënte gegevensopsporing te
bevorderen.
In het verwijzingsportaal bankgegevens kunnen op verschillende manieren identificerende
gegevens worden opgevraagd bij banken. Op basis van productgegevens (bijvoorbeeld
IBAN of ander productnummer) kunnen cliëntgegevens worden opgevraagd, op basis van
cliëntgegevens (BSN, naam-adres-woonplaats, KvK-nummer) kunnen productgegevens worden
opgevraagd en gegevens van personen die zeggenschap hebben over deze producten.
17
De leden van de CDA-fractie constateren dat er bij of krachtens algemene maatregel
van bestuur zal worden uitgewerkt welke soorten gegevens via het verwijzingsportaal
beschikbaar en opvraagbaar zullen zijn. Ook lezen deze leden dat welke gegevens een
aangesloten overheidsinstantie in een concreet geval kan opvragen of vorderen af zal
hangen van de grondslag waarvoor die gebruikt wordt. De leden van de CDA-fractie begrijpen
dat in het kader van doelbinding en de algemene verordening gegevensbescherming (AVG)
het van belang is dat duidelijk is omschreven wanneer een overheidsinstantie gebruik
mag maken van informatie in het verwijzingsportaal. Deze leden vragen de regering
of er rekening is gehouden met omstandigheden dat een overheidsinstantie op basis
van verschillende bevoegdheden verschillende informatie kan opvragen en deze zelf
kan combineren tot een overzicht. Acht de regering dit wenselijk? En is dit toegestaan
op basis van de AVG, zo vragen leden van de CDA-fractie.
Ten behoeve van het gebruik van het verwijzingsportaal bankgegevens is voorzien in
een autorisatie- en inlogvoorziening waarmee uitsluitend medewerkers die op grond
van hun functie bevoegd zijn bepaalde gegevens op te vragen, toegang krijgen tot het
verwijzingsportaal. De betreffende medewerker is gebonden aan de vorderingsgrondslag
en kan niet meer of andere gegevens opvragen dan waartoe hij bevoegd is. Een medewerker
kan binnen een instantie geautoriseerd worden om het verwijzingsportaal op grond van
meerdere wettelijke bevoegdheden te bevragen. Er kan echter geen sprake zijn van het
vervolgens combineren van de verkregen informatie. Verdere verwerking van de ontvangen
informatie is alleen mogelijk wanneer bestaande wet- en regelgeving daarvoor ruimte
biedt.
18
Ook vragen de leden van de CDA-fractie hoe een zoekopdracht concreet in zijn werk
gaat. Kan een overheidsinstantie op basis van enkele identificerende gegevens binnen
het verwijzingsportaal alle overige, nog ontbrekende gegevens opzoeken?
Het geven van een zoekopdracht in het verwijzingsportaal bankgegevens gaat als volgt.
Allereerst zorgt de (opsporings)ambtenaar ervoor dat hij beschikt over een door een
hulpofficier van justitie/teamleider ondertekende vordering/verzoek. Als dat het geval
is logt de (opsporings)ambtenaar in op het verwijzingsportaal bankgegevens en gaat
akkoord met de gebruikersvoorschriften. Hij vult de rechtsgrond in waarop gevorderd/gevraagd
wordt en verklaart door middel van aanvinken dat de vordering is ondertekend door
de hulpofficier van justitie/teamleider. Vervolgens kiest hij op basis van welke informatie
identificerende gegevens worden gevorderd/opgevraagd, te weten op basis van cliëntgegevens
of op basis van productgegevens, en voert deze gegevens in en geeft ook aan bij welke
bank(en) wordt gevorderd/opgevraagd. Vervolgens verstuurt de (opsporings)ambtenaar
de opdracht naar de bank(en). Na ontvangst van de vordering/het verzoek verzamelt
de bank de gevraagde gegevens en verstrekt deze aan de opvragende instantie. De verstrekte
gegevens worden door de bank in twee bestandsformaten in het verwijzingsportaal aangeboden,
binnen 30 seconden na indienen van het verzoek. De (opsporings)ambtenaar download
de bestanden binnen vijf minuten na het aanbieden van de gegevens en slaat deze op
in de eigen werkomgeving. De verstrekte bestanden worden na vijf minuten uit het verwijzingsportaal
verwijderd. En overheidsinstantie kan alleen die gegevens vorderen/opvragen waartoe
hij op grond van een wettelijke bevoegdheid, genoemd in het wetsvoorstel, bevoegd
is.
2.5 Aansluiting op het verwijzingsportaal bankgegevens: private partijen
19
De leden van de VVD-fractie vragen of en hoe dit wetsvoorstel kan bijdragen aan de
onderlinge samenwerking tussen de Nederlandse banken. Zij wijzen daarbij op de «verlanglijst
tegen witwassen en terrorismefinanciering», waarin wordt gepleit voor meer mogelijkheden
om gezamenlijk te werken aan «customer due diligence» en transactiemonitoring.
In het kader van het plan van aanpak witwassen dat ik samen met de Minister van Justitie
en Veiligheid op 30 juni aan de Tweede Kamer heb gezonden, heb ik ook onderzoek gedaan
naar de mogelijkheden voor informatie-uitwisseling. Daarbij heb ik ook gekeken naar
de mogelijkheden voor gezamenlijk cliëntenonderzoek en gezamenlijke transactiemonitoring.
Er bestaan op dit moment geen wettelijke belemmeringen voor gezamenlijk cliëntenonderzoek.
Er bestaan wel wettelijke belemmeringen voor een gezamenlijke transactiemonitoring,
omdat op grond van de Wwft uitbesteding van de transactiemonitoring niet is toegestaan.
Momenteel bereid ik een wetsvoorstel voor dat deze wettelijke belemmering wegneemt.
Dat wetsvoorstel zal ook andere maatregelen bevatten die in het plan van aanpak witwassen
zijn aangekondigd, zoals het verbod voor beroeps- en bedrijfsmatige handelende kopers
en verkopers van goederen om contante betalingen te accepteren van een bedrag vanaf
3.000 euro. Een concept van dat wetsvoorstel zal dit najaar openbaar worden geconsulteerd.
20
De leden van de fractie van GroenLinks vragen of de regering kan bevestigen dat dit
wetsvoorstel er op geen enkele manier toe leidt dat private partijen meer persoonsgegevens
van burgers in kunnen zien. Klopt het dat private partijen geen gebruik kunnen maken
(als opvragende partij) van het VB?
Het is juist dat het wetsvoorstel geen mogelijkheid biedt voor private partijen om
als vragende partij gebruik te maken van het verwijzingsportaal bankgegevens.
2.6 Aansluiting op het verwijzingsportaal bankgegevens: bevoegde overheidsinstanties
21
De leden van de VVD-fractie vragen of er ook andere instanties zijn geweest die interesse
hebben getoond om aan te sluiten.
De Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG) heeft namens de
gerechtsdeurwaarders interesse getoond om aan te sluiten op het verwijzingsportaal
bankgegevens. Gerechtsdeurwaarders zouden het verwijzingsportaal kunnen gebruiken
in hun rol als informatie-instantie op grond van de Uitvoeringswet verordening Europees
bevel tot conservatoir beslag op bankrekeningen (Uitvoeringswet EAPO). Er is voor
gekozen niet aan dit verzoek te voldoen, aangezien de aangesloten instellingen zijn
geselecteerd vanwege hun betrokkenheid bij criminaliteitsbestrijding en belastinginning
en de taken van gerechtsdeurwaarders daar los van staan.
22
De leden van de D66-fractie lezen dat een aantal partijen toegang krijgen tot de portaal,
waaronder de Nederlandse Voedsel- en Warenautoriteit (NVWA) en de Inspectie Leefomgeving
en Transport. Kan de regering aangeven wat hun rol is bij het opsporen en bestrijden
van terrorismefinanciering en witwassen?
In het actieplan Rijksbrede aanpak van fraude is in 2013 aan de Kamer gemeld2 dat onderzocht zou worden of het haalbaar is om de wijze van opvragen, vorderen en
verstrekken van identificerende gegevens bij en door banken efficiënter in te richten
door dit proces te automatiseren. Daarbij is het altijd de bedoeling geweest dit in
het kader van opsporing te doen voor alle strafbare feiten waarvoor de bevoegdheid
bestond deze gegevens te vorderen. Het zou immers niet efficiënt zijn om voor bepaalde
strafbare feiten het proces te automatiseren en voor andere strafbare feiten het handmatige
proces te laten voortbestaan. De nationale beleidswens gaat dus verder dan de wijzigingsrichtlijn,
die zich enkel richt op witwassen en terrorismefinanciering. Overigens is recent een
Europese richtlijn aangenomen die de lidstaten verplicht het verwijzingsportaal bankgegevens
voor de opsporing van meer strafbare feiten dan alleen witwassen en terrorismefinanciering
beschikbaar te stellen.3 Overigens kunnen de opsporingsonderzoeken die de NVWA en de ILT uitvoeren aspecten
bevatten die betrekking hebben op het witwassen van crimineel vermogen.
23
Deze leden vragen verder of de regering voor alle in de memorie van toelichting genoemde
organisaties kan aangeven bij hoeveel zaken van terrorismefinanciering en witwassen
zij de afgelopen tien jaar jaarlijks betrokken zijn geweest?
Over de betrokkenheid van deze organisaties bij aantallen zaken met betrekking tot
terrorismefinanciering en witwassen is geen (actuele) informatie beschikbaar. Zie
ook het antwoord op vraag 22.
24
De leden van de fractie van GroenLinks constateren dat het VB ook gebruikt kan worden
om misbruik met toeslagen te voorkomen. In hoeverre had dit wetsvoorstel de problemen
bij de Belastingdienst in het kader van de fouten die zijn gemaakt bij de kinderopvangtoeslag
kunnen vergroten of verkleinen?
Het klopt dat het verwijzingsportaal bankgegevens ook voorziet in de mogelijkheid
om gegevens op te vragen die voor de uitbetaling van toeslagen van belang zijn. Concreet
gaat het daarbij om de mogelijkheid om te controleren of een toeslag wordt uitbetaald
op een bankrekening die op naam staat van de toeslaggerechtigde. Omdat de Belastingdienst
de gegevens die via het verwijzingsportaal bankgegevens verstrekt zullen worden al
kon opvragen bij de banken, heeft dit geen invloed (gehad) op de problematiek rondom
de kinderopvangtoeslag. Door het proces via het verwijzingenportaal te laten verlopen
is dit sneller, minder bewerkelijk en kan de privacy van rekeninghouders nog beter
worden geborgd. In het algemeen voorziet dit wetsvoorstel in digitalisering en uniformering
van reeds bestaande mogelijkheden voor gegevensuitwisseling. Door dit wetsvoorstel
kan de Belastingdienst in algemene zin zijn bestaande wettelijke taken beter uitvoeren.
2.7 Het beheer van het portaal
25
De leden van de CDA-fractie lezen dat het portaal zal worden beheerd door de Justitiële
Informatiedienst. Verdere invulling zal gebeuren via algemene maatregel van bestuur,
zo constateren de leden van de CDA-fractie. Deze leden vragen de regering hoe ver
de Justitiële Informatiedienst is met de voorbereiding op de inrichting van het portaal.
Loopt de Informatiedienst hierbij tegen bepaalde knelpunten aan of is de ontwikkeling
tot nu toe goed verlopen?
De Justitiële Informatiedienst is intensief bij het ontwerp en de ontwikkeling van
het verwijzingsportaal bankgegevens betrokken. Zij is ook intensief betrokken bij
het in gebruik nemen van het portaal door banken en overheidsdiensten. Hierdoor is
de Justitiële Informatiedienst goed voorbereid om het verwijzingsportaal bankgegevens
in beheer te nemen. De ontwikkeling van het portaal is tot nu toe goed gelopen.
26
Ook vragen de leden van de CDA-fractie of de ontwikkeling intern is gedaan of dat
er externe partijen betrokken waren bij de ontwikkeling.
De ontwikkeling van het verwijzingsportaal bankgegevens is uitgevoerd door een combinatie
van interne en externe partijen.
3.3 Toezicht
27
De leden van de VVD-fractie vragen waarom er een extra FTE nodig is voor een systeem
dat als doel stelt om uitvraging efficiënter te maken.
Met het wetsvoorstel verwijzingsportaal bankgegevens wordt DNB belast met een nieuwe
toezichtstaak, namelijk het toezicht op de aansluitverplichting door de in wet genoemde
financiële instellingen. De aansluitverplichting is een nieuw vereiste voor de genoemde
financiële instellingen. Het toezicht daarop is een nieuwe taak voor DNB, waarvoor,
op basis van de tot nu toe gemaakte inschattingen van aantallen aan te sluiten instellingen,
de inzet van 1 FTE nodig is.
4. Gegevensbescherming
28
De leden van de VVD-fractie benadrukken het belang van adequate gegevensbescherming
en vragen welke aanvullende vormen van gegevensbescherming overwogen zijn.
Ten behoeve van het ontwerp van het verwijzingsportaal bankgegevens en het wetsvoorstel
is uitvoerig overleg geweest met banken en de betrokken overheidsdiensten over de
bescherming van persoonsgegevens. Daarbij is voortdurend getoetst op bestaande regelgeving
op het gebied van gegevensbescherming. Tijdens de ontwikkeling van het portaal is
een uitgebreide gegevensbeschermingseffectbeoordeling (PIA) uitgevoerd in samenwerking
met alle toekomstig gebruikers van het portaal. In het verwijzingsportaal bankgegevens
is een aantal voorzieningen getroffen specifiek ter bescherming van persoonsgegevens.
Zo moeten de betrokken overheidsdiensten bij het indienen van een verzoek in het verwijzingsportaal
bankgegevens zoveel mogelijk bekende gegevens invoeren om te voorkomen dat een bevraging
bij een bank teveel hits oplevert. Indien een bevraging meer dan drie hits oplevert
bij een bank, worden door die bank geen gegevens verstrekt. In dat geval moet de betrokken
overheidsdienst meer specifieke informatie aan de bank leveren, zodat deze gerichter
kan zoeken teneinde tot minder hits te komen. Verder zijn in het verwijzingsportaal
bankgegevens automatische controles ingevoerd op geldige IBAN-nummers en BSN’s.
29
De leden van de fractie van GroenLinks vragen of de regering kan bevestigen dat er,
behalve het BSN, niks verandert aan de hoeveelheid gegevens die wordt gedeeld en dat
het hier alleen gaat om een digitalisering en niet om een verdere inperking van de
privacy.
Het verwijzingsportaal bankgegevens verandert alleen iets aan de wijze waarop bestaande
gegevensuitwisseling plaatsvindt, de grondslagen voor deze gegevensuitwisselingen
zijn neergelegd in de verschillende wetsartikelen die worden genoemd in het voorgestelde
artikel 3.267i van de Wft. Er is met dit wetsvoorstel geen sprake van een uitbreiding
van het soort gegevens dat gevraagd en verstrekt mag worden. Het verwijzingsportaal
baseert zich uitsluitend op al bestaande wettelijke mogelijkheden voor het vorderen
en opvragen van gegevens.
30
De leden van de SP-fractie zien meerwaarde in het VB maar realiseren zich ook dat
het kwetsbaar is als gegevens van iemand worden verzameld, zonder dat hiervoor concrete
aanleiding is, of als blijkt dat die aanleiding onterecht is. Welke mogelijkheden
zijn er voor mensen om de gegevensverzameling die via het VB heeft plaatsgevonden
te laten vernietigen?
Als een bevoegde autoriteit via het verwijzingsportaal bankgegevens gegevens over
een persoon heeft gevorderd of opgevraagd kan de betrokken persoon aan de gegevensverantwoordelijke
verzoeken om inzage, rectificatie, aanvulling, verwijderen of vernietigen van zijn
of haar persoonsgegevens. De gegevensverantwoordelijk is in bepaalde gevallen verplicht
om deze gegevens te wissen. Deze verplichting geldt echter niet als de gegevensverwerking
noodzakelijk en evenredig is ter waarborging van de voorkoming, het onderzoek, de
opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen,
met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare
orde. De gegevensverantwoordelijke kan een beroep doen op deze uitzonderingsgrond
als het onderzoek kan worden belemmerd indien de gegevens van de betrokkene worden
gewist of als de betrokkene wordt geïnformeerd over de gegevens die een bevoegde autoriteit
over hem of haar heeft verzameld.4 Een gegevensverantwoordelijke beoordeelt per geval of al dan niet gebruik wordt gemaakt
van deze weigeringsgrond.
31
Deze leden vragen verder of het mogelijk is om mensen op enig moment op de hoogte
te stellen van het feit dat er gegevens verzameld zijn via het VB?
Banken kunnen cliënten van wie gegevens zijn opgevraagd via het verwijzingsportaal
bankgegevens daarover informatie verstrekken nadat de overheidsdienst die de informatie
heeft opgevraagd daarvoor toestemming heeft gegeven. Als in een strafzaak gegevens
worden gebruikt die via het verwijzingsportaal bankgegevens zijn verkregen, wordt
dit vermeld in het proces-verbaal van de opsporingsdienst. Deze informatie komt voor
de betrokkene beschikbaar bij de vervolging door het OM.
32
De leden van de SP-fractie voorts of de regering erkent dat de gegevens altijd tot
iemand behoren en dat diegene moet kunnen weten dat er door overheidsdiensten aan
gegevensverzameling is gedaan? Kan de regering hierop in gaan?
Hetgeen onder punt 30 is gezegd over het recht van een betrokkene op verwijdering/vernietiging
van zijn of haar gegevens geldt ook voor het recht op inzage5 in van hem of haar verwerkte persoonsgegevens. Tevens wordt verwezen naar het antwoord
op vraag 31.
4.1 Verwerking van persoonsgegevens in het portaal
33
De leden van de VVD-fractie lezen dat de persoonsgegevens van de gebruikers van het
portaal worden opgeslagen. Kan de regering aangeven of deze gegevens te allen tijde
herleid kunnen worden tot specifieke personen? Deze leden willen er zeker van zijn
dat toegangscodes e.d. in de praktijk niet vrijelijk worden gedeeld met collega’s
of tijdelijke medewerkers. Wordt bijvoorbeeld overwogen het BSN van de bevoegde medewerkers
als identificatie te gebruiken?
Van personen die geautoriseerd zijn het verwijzingsportaal bankgegevens te gebruiken
wordt, indien zij een verzoek via het portaal indienen, hun e-mailadres opgeslagen.
Dit is bedoeld om het gebruik van het verwijzingsportaal bankgegevens te kunnen monitoren
en auditen. Volgens de algemeen geldende voorschriften voor informatiebeveiliging6 van de betrokken overheidsdiensten, is het medewerkers niet toegestaan hun toegangscodes
vrijelijk te delen. Mede hierom is de toegang tot het verwijzingsportaal bankgegevens
voor de medewerkers van de betrokken overheidsdiensten direct gekoppeld aan hun algemene
inlogaccount van de organisatie waarvoor ze werkzaam zijn.
34
De leden van de D66-fractie lezen dat de ervaring in andere landen is dat er na automatisering
vaker, maar gerichtere gegevens worden opgevraagd. Kan de regering dit cijfermatig
onderbouwen? Welke landen hebben automatisering al ingevoerd en met hoeveel zijn daardoor
de aantallen aanvragen toegenomen? Kan de regering het aannemelijk maken dat in die
landen gerichtere uitvragen hebben geleid tot dan wel het opvragen van minder persoonsgegevens,
dan wel betere resultaten in opsporing van witwassen en terrorismefinanciering?
Voor de beantwoording van deze vragen is geen informatie beschikbaar.
35
De leden van de SP-fractie vragen de regering of zij in zullen gaan op het advies
van de Raad van State om wel geïntegreerde fiattering door te voeren. Hoe groot zou
de vertraging hiervan zijn op het systeem? Hoe heeft de regering het belang hiervan
afgewogen?
Er is in het verwijzingsportaal bankgegevens niet gekozen voor een systeem van interne
fiattering, omdat dit tot vertraging van het opvraagproces zou leiden. Immers, er
is niet altijd is een hulpofficier van justitie beschikbaar om een vordering te fiatteren.
Daarnaast heeft een hulpofficier niet altijd direct een middel voorhanden waarmee
hij toegang heeft tot het verwijzingsportaal om de vordering te fiatteren. Interne
fiattering vereist daarnaast het apart autoriseren van hulpofficieren van justitie
om vorderingen in het verwijzingsportaal bankgegevens te mogen fiatteren. Dit brengt
een hogere beheerlast met zich mee. Om het risico van onterechte vorderingen en bevragingen
via het verwijzingsportaal bankgegevens als gevolg van externe fiattering zoveel mogelijk
te beperken, zijn extra waarborgen gecreëerd. Zo is er een Gebruikersprotocol opgesteld
waarin is beschreven hoe het verwijzingsportaal bankgegevens gebruikt moet worden,
waaronder de wijze van fiatteren. Daarnaast zijn er op diverse plekken binnen het
verwijzingsportaal bankgegevens waarborgen ingebouwd. Zo moet een opsporingsambtenaar
telkens wanneer hij een bevraging via het verwijzingsportaal bankgegevens wil doen,
in het systeem verklaren dat hij zich aan de regels houdt, waaronder die betreffende
de fiattering. In dat kader moet hij voor elk verzoek in het verwijzingsportaal bankgegevens
verklaren dat de schriftelijke vordering is geaccordeerd door de (hulp)officier van
justitie/teamleider en door wie precies. Verder kan hij alleen een vordering of verzoek
doen waartoe hij op grond van zijn functie bevoegd is. Dit hangt samen met zijn autorisatie.
Daarnaast vinden er periodiek audits plaats, waarbij ook specifiek naar de fiattering
wordt gekeken. Tot slot gaat het OM zijn aanwijzing over het gebruik van bevoegdheden
door opsporingsorganisaties op dit punt aanscherpen.
Gelet op hierop is de regering van oordeel dat de bestaande wijze van fiatteren (extern)
voldoende waarborgen bevat om het risico van onterechte vorderingen en verzoeken en
– als gevolg daarvan – onterechte gegevensverstrekking zoveel mogelijk te beperken.
36
De leden van de SP-fractie vragen de regering hoe gebruikers van het portaal de verstrekte
gegevens op zullen slaan en verwerken binnen de aangesloten instantie? Hoe werkt het
door in dossiervorming als de gegevens slechts beperkte tijd beschikbaar zijn in het
portaal?
De door een bank verstrekte gegevens komen in het verwijzingsportal bankgegevens beschikbaar
in de vorm van een te downloaden bestand. De medewerker van de overheidsdienst die
de gegevens heeft opgevraagd heeft vijf minuten de gelegenheid om deze gegevens te
downloaden en op te slaan in het systeem van zijn organisatie. Binnen het systeem
van zijn eigen organisatie kan hij met de verstrekte gegevens verder aan de slag.
Na vijf minuten worden de gegevens in het verwijzingsportaal bankgegevens verwijderd.
Als de medewerker de gegevens niet tijdig heeft gedownload, kan hij deze alleen verkrijgen
door opnieuw een verzoek in te dienen.
4.4 Algemeen
37
De leden van de D66-fractie lezen dat overleg met de bankensector is voorzien over
het verhoogde risico tot gegevensverwerking. Heeft dit overleg inmiddels plaatsgevonden
en zo ja, wat zijn hiervan de conclusies?
Banken zijn vanaf de ontwerpfase betrokken bij de ontwikkeling van het verwijzingsportaal
bankgegevens en het wetsvoorstel. Daarbij heeft de verwerking van persoonsgegevens
veel aandacht gehad, zowel het aspect van informatiebeveiliging als gegevensbescherming.
Deze overleggen hebben er toe geleid dat er specifieke afspraken zijn gemaakt over
de inrichting van het verwijzingsportaal bankgegevens en over maatregelen met betrekking
tot het gebruik. Deze maatregelen zijn onder meer het uitvoeren van periodieke audits,
opstellen van een gebruikersprotocol waarin is vastgelegd hoe het verwijzingsportaal
bankgegevens door overheidsdiensten moet worden gebruikt en een aanpassing van de
aanwijzing van het OM betreffende het gebruik van bevoegdheden door opsporingsdiensten.
38
Deze leden lezen voorts in het rapport van de Raad van State dat ook zij vraagt om
betere waarborgen om onnodige gegevensverstrekking tegen te gaan. Desalniettemin verwerpt
de regering fiattering. Kan het kabinet dit nader onderbouwen? Deze leden willen verder
weten welke mogelijkheden de regering ziet om het risico van onnodige gegevensverstrekking
te verlagen?
Het verwijzingsportaal bankgegevens en het proces voor het gebruik zijn zodanig ontworpen
dat het risico op onnodige gegevensvertrekking zeer laag is. Verwezen wordt op dit
punt naar het antwoord op vraag 35.
39
Deze leden vragen de regering om de proportionaliteit van voorgestelde maatregel nader
te onderbouwen, mede in het licht van het recht op anonimiteit en bescherming van
de persoonlijke levenssfeer.
De grotere inbreuk op de persoonlijke levenssfeer staat naar het oordeel van de regering
in verhouding tot de doelen van de verwerking van persoonsgegevens via het verwijzingsportaal
bankgegevens. Het uitgangspunt blijft dat voor het indienen van een vordering of verzoek
om gegevens via het verwijzingsportaal bankgegevens, net als nu het geval is, steeds
aan de daarvoor geldende voorwaarden moet zijn voldaan, bijvoorbeeld dat sprake moet
zijn van een verdenking van een misdrijf. Ook is rekening gehouden met de situatie
dat er gegevens kunnen worden verstrekt van personen waar de bevoegde autoriteiten
niet naar op zoek blijken te zijn, zoals dat nu ook kan gebeuren. Een verschil met
het huidige opvraagproces is dat er bij het gebruik van het verwijzingsportaal bankgegevens
geen persoonlijk contact meer is voorafgaand aan de verstrekking tussen de opsporingsambtenaar
en de bank. Om te voorkomen dat bij gebruik van het verwijzingsportaal bankgegevens
wel gegevens van een grote groep personen worden verstrekt, is afgesproken dat zoveel
mogelijk beschikbare informatie wordt ingevoerd in het systeem, dat gematcht kan worden
op basis van het BSN en dat enkel gegevens worden teruggestuurd als een zoekvraag
tot maximaal drie personen leidt.
40
De aan het woord zijnde leden lezen voorts dat het Ministerie van Justitie zal nagaan
of het portaal bevoegd is gebruikt en met inachtneming van de juiste procedures. Wordt
dit voor elke zaak achteraf bekeken?
Nee, dit zal plaatsvinden op basis van een steekproef.
4.7 Gebruik burgerservicenummer
41
De leden van de VVD-fractie vragen waarom er bij deze gelegenheid niet voor is gekozen
banken in hun bedrijfsvoering en onderlinge communicatie vrijuit gebruik te laten
maken van het burgerservicenummer. De huidige beperking hieraan doet in hun ogen geen
recht aan de bijzondere positie van de banken en hun wettelijke taken.
In het kader van dit wetsvoorstel zijn de risico’s van het gebruik van het burgerservicenummer
als koppelnummer in het portaal afgewogen tegen de voordelen van dit gebruik. Breder
gebruik van het burgerservicenummer binnen banken brengt andere risico’s en voordelen
mee, zodat de noodzaak daarvan een nieuwe beoordeling vergt, die buiten het bestek
van dit wetsvoorstel valt. In de agenda financiële sector van december 2018 heb ik
wel aangekondigd dat ik samen met de sector, DNB en AFM onderzoek doe naar de mogelijkheden
voor informatie-uitwisseling om de uitvoering van het cliëntenonderzoek door Wwft-instellingen
effectiever te maken. De resultaten van dit onderzoek zijn gepubliceerd als onderdeel
van het Plan van Aanpak Witwassen dat ik op 30 juni 2019 aan Uw Kamer heb gestuurd.
Daarin kondig ik aan dat ik (onder meer) hierover formeel advies zal vragen aan de
Autoriteit Persoonsgegevens. De uitkomst hiervan zal ik meewegen bij mijn afweging
over de noodzaak en proportionaliteit van breder gebruik van het burgerservicenummer
door banken.
42
De leden van de SP-fractie erkennen dat het gebruik van het BSN zaken erg vergemakkelijkt.
Zij vragen de regering hoe de groeiende problematiek van identiteitsfraude is betrokken
bij het opzetten van de VB. Kan zij hierop ingaan?
Het gebruik van het burgerservicenummer is met extra waarborgen omkleed, omdat het
burgerservicenummer, wanneer het in verkeerde handen valt, identiteitsfraude makkelijker
kan maken. Eén van deze waarborgen is dat het alleen kan worden gebruikt voor wettelijk
bepaalde doelen. Hoe beperkter die doelen zijn, hoe kleiner de kans dat het burgerservicenummer
in verkeerde handen terecht komt. Het wetsvoorstel verwijzingsportaal bankgegevens
bepaalt uitdrukkelijk dat het burgerservicenummer in het kader van het verwijzingsportaal
bankgegevens alleen wordt gebruikt als koppelnummer en beperkt daarmee de mogelijkheden
op identiteitsfraude. Verder is van belang dat de partijen die het burgerservicenummer
in het verwijzingsportaal bankgegevens gebruiken al over dit nummer beschikken. Het
wetsvoorstel levert dan ook geen uitbreiding op van de kring van partijen die het
burgerservicenummer gebruiken, zodat ook het risico op identiteitsfraude zeer beperkt
is.
4.8 Overige maatregelen
43
De leden van de CDA-fractie lezen dat er verschillende beveiligingsmaatregelen en
-systemen worden ingericht om de veiligheid van het portaal te waarborgen. Zo komt
er een beveiligde verbinding tussen het verwijzingsportaal en de banken, kan het koppelvlak
van de bank alleen via het verwijzingsportaal bevraagd worden en worden er penetratietesten
vereist die de bank dient uit te voeren. De leden van de CDA-fractie vragen in hoeverre
er wordt toegezien dat banken deze maatregelen treffen? Ligt de verantwoordelijkheid
hiervoor bij de Nederlandsche Bank (DNB)?
Als een bank gaat aansluiten op het verwijzingsportaal bankgegevens, dient deze in
nauwe samenwerking met het project verwijzingsportaal bankgegevens en de Justitiële
Informatiedienst een intensief proces te doorlopen. In dit proces wordt getoetst of
de bank alle beveiligingsmaatregelen heeft getroffen die randvoorwaardelijk zijn om
het verwijzingsportaal bankgegevens veilig te kunnen gebruiken. De verantwoordelijkheid
voor het toetsen hiervan ligt niet bij DNB maar bij het project verwijzingsportaal
bankgegevens. Als een bank eenmaal is aangesloten op het verwijzingsportaal ligt het
toezicht daarop bij DNB.
44
De leden van de fractie van GroenLinks vragen de regering of zij nog uitbreidingen
van het verwijzingsportaal op het oog heeft en zo ja, welke en met welk doel.
In afstemming met de bankensector en de betrokken overheidsdiensten wordt momenteel
gesproken over welke uitbreidingen wenselijk zijn. Hierover is echter nog geen besluit
genomen.
4.9 Rechten van betrokkenen
45
De leden van de D66-fractie lezen dat een betrokkene het recht heeft om aan bank en
overheid te vragen welke gegevens zij van hem of haar hebben. Welke rechten heeft
een betrokkene wanneer hij of zij van mening is dat gegevens onterecht zijn gedeeld
of iemand onterecht inzage heeft gekregen? Hoe zou een betrokkene dit kunnen ontdekken,
en welke vervolgstappen zou een betrokkene daarna kunnen nemen?
Voor de rechten van betrokkenen om inzage te vragen aan een bevoegde autoriteit of
bank in van hem of haar verwerkte persoonsgegevens, verwijs ik naar het antwoord op
vraag 30, 31 en 32.
46
De leden van de SP-fractie constateren dat de regering kiest voor een bestuursrechtelijk
handhavingskader. Hierover hebben zij wat vragen. Allereerst betreffende de personen
van wie de gegevens worden verzameld: betekent het bestuursrechtelijk handhavingskader
dat een individu geen recht kan halen via een strafrechtprocedure, mocht diegene het
oneens zijn met de gegevensverzameling? Is dat wenselijk?
De keuze voor een bestuursrechtelijk handhavingskader houdt in dat de aansluitverplichting
voor banken en andere betaaldienstverleners op het verwijzingsportaal bankgegevens
via het bestuursrecht wordt gehandhaafd. Als een bank in strijd handelt met deze wettelijke
verplichting kan DNB een bestuursrechtelijk handhavingstraject starten. Dit kan ertoe
leiden dat DNB aan de bank een bestuurlijke boete of last onder dwangsom oplegt, teneinde
te bewerkstelligen dat een bank alsnog aan de aan sluitverplichting gaat voldoen.
Als een betrokkene, van wie gegevens zijn verzameld via het verwijzingsportaal bankgegevens,
van oordeel is dat deze gegevens onjuist zijn of in strijd met een wettelijk voorschrift
zijn verwerkt, kan hij de verwerkingsverantwoordelijke verzoeken om verbetering, aanvulling,
afscherming, verwijdering of vernietiging. Tegen een afwijzende beslissing is bezwaar
en beroep mogelijk. Ook kan de betrokkene een klacht indienen bij de Autoriteit Persoonsgegevens.
In gevallen waarin sprake is van een strafbaar feit kan altijd een strafrechtelijk
handhavingstraject worden gestart.
47
Deze leden stellen dat in het geval dat een organisatie of instelling weigert mee
te werken aan het VB, in eerste instantie een bestuursrechtelijk handhavingskader
logisch is. Maar stel dat een organisatie stelselmatig de regels aan zijn laars lapt,
dan moet een strafrechtprocedure uiteindelijk toch tot de mogelijkheden behoren? Deze
leden vragen hoe de regering hier tegenaan kijkt.
Bij de keuze voor het sanctiestelsel is uitgegaan van het kabinetsstandpunt hierover,
zoals opgenomen in het nader rapport7 naar aanleiding van het ongevraagd advies8 van de Afdeling advisering van de Raad van State van 13 juli 2015 inzake strafrechtelijke
en bestuursrechtelijke sancties in de wetgeving en het handhavingsbeleid. Volgens
het nader rapport is daarbij leidend de vraag in welk stelsel de naleving optimaal
zal worden bevorderd en op welke wijze de ten behoeve van toezicht en handhaving ingezette
middelen het meest effect sorteren. Het rapport bespreekt vervolgens een aantal factoren
die een indicatie zijn dat bestuursrechtelijk handhaven het meest effectief is en
een aantal factoren die eerder naar strafrecht leiden. In het geval van de aansluitplicht
op het verwijzingsportaal bankgegevens bestaan vooral factoren die leiden tot bestuursrecht
en zijn factoren die tot strafrecht zouden moeten leiden juist afwezig. Een belangrijke
factor die pleit voor bestuursrechtelijke handhaving is de mogelijkheid die het bestuursrecht
biedt om een last onder dwangsom op te leggen. Deze sanctie, die in het strafrecht
ontbreekt, is bij uitstek geschikt om een verplichting als de aansluitplicht te handhaven.
Ook de bestuurlijke boete is een passende sanctie, omdat de norm (de verplichting
om aan te sluiten op het verwijzingsportaal bankgegevens) zich alleen tot rechtspersonen
richt. De regering verwacht dat in het geval van de aansluitplicht bestuursrechtelijke
sancties een sterker preventief effect zullen hebben, met name vanwege de dreiging
van een last onder dwangsom.
48
De leden van de SP-fractie vragen de regering of het mogelijk is om in een tripartiet
overleg tussen partijen te bezien welk strafrechtelijk kader in verschillende situaties
het meest wenselijk is. Ook in ogenschouw nemende de toenemende maatschappelijke kritiek
dat financiële instellingen er wel erg makkelijk met boetes of schikkingen vanaf komen,
terwijl verantwoordelijken vrolijk blijven zitten. Zij vragen de regering een uitgebreid
antwoord hierop.
Gelet op het antwoord op vraag 47 is een tripartiet overleg over de wenselijkheid
van een strafrechtelijk handhavingskader volgens de regering niet opportuun.
49
De leden van de SP-fractie vragen zich af wat er gebeurt bij grootschalige data-lekken
van dossiers met via het VB verzamelde informatie. Is dat aan betreffende instanties
om dat te melden? Hoe worden de burgers van wie gegevens gelekt zijn geïnformeerd?
Ingeval van een grootschalig datalek is de verantwoordelijke voor de gegevensverwerking
van waaruit het lek heeft plaatsgevonden, verplicht daarvan melding te doen bij de
Autoriteit Persoonsgegevens en alle bij de gegevensverwerking en het datalek betrokken
organisaties en personen. De gegevensverantwoordelijke is daarnaast verplicht alle
maatregelen te treffen om schade zoveel mogelijk te beperken en te voorkomen.
5.2 BIT advies
50
De leden van de VVD-fractie hechten grote waarde aan het advies van het Bureau ICT-toetsing
(BIT) en vragen zich af of een uitstel van een half jaar voldoende is om te voldoen
aan de adviezen van het BIT. Dit geldt in het bijzonder voor het punt van de informatiebeveiliging.
Kan de regering toezeggen dat het portaal bij ingebruikname op dit punt volkomen «in
control» is?
Het BIT heeft in zijn advies negen aanbevelingen gedaan. Van deze aanbevelingen zijn
er op dit moment zeven gerealiseerd; twee zijn nog onderhanden. De inspanningen zijn
er op gericht deze in de tweede helft van 2019 ook te hebben gerealiseerd.
51
De leden van de D66-fractie lezen dat aan een belangrijk deel van de adviezen van
het BIT is voldaan. Aan welk deel is nog niet voldaan en hoe wil het kabinet dit ondervangen?
Er zijn twee maatregelen uit het BIT-advies die nog niet zijn gerealiseerd. Dit betreft
in de eerste plaats de installatie en inrichting van SIEM-software. De software is
inmiddels geïnstalleerd en wordt de komende maanden verder ingericht. De tweede maatregel
betreft de inrichting van een uitwijkvoorziening. Op dit moment zijn gesprekken gaande
over de keuze van de uitwijklocatie en wordt er gewerkt aan een plan voor de inrichting
daarvan.
52
De leden van de fractie van GroenLinks vragen de regering hoe groot het risico is
dat hackers uit het binnen- of buitenland in het VB kunnen komen. Wat is het ergste
dat er kan gebeuren als hackers ongemerkt toegang zouden krijgen?
Het risico dat hackers in het verwijzingsportaal bankgegevens kunnen komen is zeer
klein, zo blijkt uit een onlangs uitgevoerde penetratietest door een extern bureau.
In het geval van een hack kunnen er in het ergste geval datalekken plaatsvinden met
persoonsgegevens en financiële gegevens, en wordt mogelijk zicht verkregen op lopende
onderzoeken van de aangesloten overheidsorganisaties.
53
De leden van de SP-fractie constateren dat er hard gewerkt wordt aan de aanbevelingen
van het advies van het BIT uit december 2018. De leden vragen de regering om het BIT
om een nieuw advies te vragen als de aanbevelingen zijn uitgevoerd, vooral om te kijken
of het goed is uitgevoerd. Is de regering bereid dit te doen?
De regering ziet geen aanleiding om het BIT om een nieuw advies te vragen als de aanbevelingen
zijn uitgevoerd, omdat zeven van de negen aanbevelingen van het BIT inmiddels zijn
gerealiseerd. Het belangrijkste onderdeel van het advies betrof het treffen van enkele
beveiligingsmaatregelen. Onlangs is de beveiliging van het verwijzingsportaal bankgegevens
door middel van een penetratietest uitvoerig en met goed gevolg getoetst door een
extern bureau. Daarbij zijn geen ernstige gebreken geconstateerd. De twee aanbevelingen
die momenteel nog niet zijn gerealiseerd, zullen in de tweede helft van 2019 alsnog
zijn opgevolgd.
54
De leden van de SP-fractie constateren dat het BIT pleit voor een uitwijkmogelijkheid
en dat hier opvolging aan wordt gegeven. Hoe wordt dat precies vorm gegeven?
Het voornemen is om op een externe locatie, die voldoet aan de gestelde beveiligingseisen,
hardware en software te installeren die direct ingezet kan worden zodra zich een zodanige
calamiteit voordoet op de locatie waar het verwijzingsportaal bankgegevens wordt gehost,
dat uitwijken naar een andere locatie noodzakelijk is. Het gebruik van het verwijzingsportaal
bankgegevens zal door de calamiteit gedurende beperkte tijd uit de lucht zijn. Gedurende
deze periode kunnen overheidsdiensten informatie opvragen bij banken via het thans
bestaande handmatige proces, tot het moment dat het verwijzingsportaal bankgegevens
gebruikt kan worden vanuit de externe locatie.
6. Regeldruk
55
In een schatting is naar voren gekomen dat de incidentele kosten voor de banksector
iets meer dan € 11.5 miljoen bedragen, zo lezen de leden van de CDA-fractie. De structurele
kosten voor de bankensector worden op € 814.633 geschat. De leden van de CDA-fractie
vragen de regering of de banken hebben aangegeven hoe zij deze kosten zullen dragen.
Nee, de banken hebben dat niet aangegeven.
56
Verwacht de regering dat dit gevolgen zal hebben voor de klanten van banken en of
zij meer zullen gaan betalen voor het houden van een rekening, zo vragen de leden
van de CDA-fractie.
De daadwerkelijke financiële consequenties van de aansluitverplichting op het verwijzingsportaal
bankgegevens kunnen per bank sterk verschillen en zijn afhankelijk van de omvang van
de klantenadministratie en de complexiteit van de technische infrastructuur bij banken.
Daarbij komt dat de aansluiting op het verwijzingsportaal bankgegevens de administratieve
lasten verlicht die gepaard gaan met de huidige handmatige wijze van beoordelen en
beantwoorden van vorderingen en verzoeken om gegevens. Het is aan de banken en andere
betaaldienstverleners om te bepalen hoe zij de kosten van de aansluitverplichting
dragen en of zij deze al dan niet willen doorberekenen aan hun klanten.
57
Ook vragen de leden van de CDA-fractie of deze kosten voor kleinere organisaties niet
veel zwaarder zullen wegen dan voor de grootbanken. In hoeverre wordt daar rekening
mee gehouden?
In overleg met de Nederlandse Vereniging van Banken (NVB) en de kleinere banken is
bekeken welke mogelijkheden er waren om rekening te houden met de mogelijk zwaardere
impact voor kleinere organisaties. Daarop is in afstemming met alle betrokken partijen
besloten de voorgenomen grens dat de data niet ouder mogen zijn dan 24 uur te verhogen
naar 48 uur. Dit biedt deze banken de mogelijkheid een aansluiting op het verwijzingsportaal
bankgegevens te realiseren die minder impact heeft voor kleinere organisaties. Ook
heeft het projectteam zich, samen met de NVB, ingespannen om kleinere organisaties
gezamenlijk in gesprek te brengen met derde partijen die voor deze organisaties mogelijk
de ICT zouden kunnen ontwikkelen. Dit zou voor deze organisaties een kostenbesparing
kunnen opleveren.
7. Consultatie en advies
58
De leden van de D66-fractie vragen de regering nader toe te lichten op welke wijze
het Maatschappelijk Overleg Betalingsverkeer geconsulteerd is, en welke reacties hier
zijn opgehaald.
Het Maatschappelijk Overleg Betalingsverkeer (MOB) is niet geconsulteerd over het
onderhavige wetsvoorstel. Wel is de NVB, deelnemer aan het MOB, en een aantal grootbanken
actief betrokken bij de ontwikkeling van het verwijzingsportaal bankgegevens. De NVB
heeft ook een reactie ingediend naar aanleiding van de internetconsultatie van het
wetsvoorstel. Hierop is ingegaan in paragraaf 7.2 van de memorie van toelichting bij
het wetsvoorstel.
59
De leden van de fractie van GroenLinks vragen de regering aan welke opmerkingen/suggesties
van de Raad van State niet (volledig) is voldaan en waarom niet.
Er is naar het oordeel van de regering in de toelichting bij het wetsvoorstel ingegaan
op alle opmerkingen en suggesties van de Raad van State ten aanzien van het wetsvoorstel.
7.1 Internetconsultatie
60
De leden van de fractie van GroenLinks vragen de regering wat de belangrijkste kritiekpunten
waren van de Stichting Privacy First. Hoe is hierop gereageerd door de regering? Aan
welke opmerkingen/suggesties van de Stichting Privacy First is niet (volledig) voldaan
en waarom niet?
In de eerste plaats merkt Stichting Privacy First in haar consultatiereactie op dat
het verwijzingsportaal bankgegevens directe gevolgen heeft voor burgers, omdat dit
ertoe leidt dat makkelijker grote hoeveelheden gegevens kunnen worden opgevraagd en
het aantal opvragingen kan toenemen. Dit risico is bij de bouw van het verwijzingsportaal
bankgegevens onderkend en is ondervangen door het inbouwen van extra waarborgen, zoals
een gebruikersprotocol, waarin is beschreven hoe het verwijzingsportaal gebruikt moet
worden, een opsporingsambtenaar moet bij elke bevraging in het verwijzingsportaal
verklaren dat hij zich aan de regels houdt en dat de betreffende vordering is geaccordeerd
door de (hulp)officier van justitie/teamleider en door wie precies. Ook kan hij alleen
vorderingen of verzoeken doen waarvoor hij op grond van zijn functie geautoriseerd
is. Daarnaast geldt dat door waar mogelijk gebruik te maken van het burgerservicenummer,
zoveel mogelijk wordt voorkomen dat gegevens van personen worden opgevraagd waar men
niet naar op zoek is.
Verder is door de Stichting Privacy First opgemerkt dat een deugdelijke onderbouwing
ontbreekt van de noodzaak van het verwijzingsportaal bankgegevens. Ik ga ervan uit
dat deze opmerking ziet op het wetsvoorstel voor zover dat verder gaat dan de implementatie
van artikel 32bis van de wijzigingsrichtlijn. Het verwijzingsportaal bankgegevens
is op dat punt noodzakelijk, omdat het betalingsverkeer steeds sneller verloopt en
in toenemende mate digitaal is en niet aan grenzen is gebonden. Dit maakt dat met
de huidige handmatige wijze van vorderen en opvragen van gegevens het steeds moeilijker
wordt en in veel gevallen zelfs onmogelijk om geldstromen in kaart te brengen zonder
actuele gegevens. Dit is toegelicht in paragraaf 2.1 van de memorie van toelichting.
Daarnaast merkt Stichting Privacy First op dat de gegevens die via het verwijzingsportaal
bankgegevens kunnen worden opgevraagd niet in de wet zelf zijn opgesomd. Op dit punt
is in paragraaf 7.2 van de memorie van toelichting bij het wetsvoorstel ingegaan.
De Stichting Privacy First heeft ook gevraagd om de samenhang aan te geven tussen
dit wetsvoorstel en de Wiv 2017. Dit is besproken in paragraaf 7.2 van de memorie
van toelichting. Tenslotte heeft Stichting Privacy First gevraagd om een nadere toelichting
op het toezicht op het verwijzingsportaal bankgegevens
Hierop is ingegaan in paragraaf 3.3 van de memorie van toelichting.
7.2 Consultatiereacties
61
De leden van de VVD-fractie lezen dat de Nederlandse Vereniging van Banken (NVB) nogmaals
heeft gepleit voor toegang tot de Basisregistratie Persoonsgegevens (BRP). Zij begrijpen
de afweging van de regering om dat niet in het voorliggende wetsvoorstel te regelen,
maar zouden graag vernemen in welke context en op welke termijn de regering hierover
een standpunt gaat innemen. Gezien de wettelijke taken die banken moeten uitvoeren,
zien deze leden hiervan de meerwaarde.
In de agenda financiële sector van december 2018 heb ik aangekondigd dat ik samen
met de sector, DNB en AFM onderzoek doe naar de mogelijkheden voor informatie-uitwisseling
om de uitvoering van het cliëntenonderzoek door Wwft-instellingen effectiever te maken.
De resultaten van dit onderzoek zijn gepubliceerd als onderdeel van het Plan van Aanpak
Witwassen dat ik op 30 juni 2019 aan Uw Kamer heb gestuurd. Daarin kondig ik aan dat
ik (onder meer) hierover formeel advies zal vragen aan de Autoriteit Persoonsgegevens.
De uitkomst hiervan zal ik meewegen bij mijn afweging over de noodzaak en proportionaliteit
van breder gebruik van het burgerservicenummer door banken.
7.4 Advies Autoriteit Persoonsgegevens
62
De leden van de fractie van GroenLinks vragen de regering aan welke opmerkingen/suggesties
van de Autoriteit Persoonsgegevens niet (volledig) is voldaan en waarom niet.
De AP adviseert in haar advies van 29 november 2018 om in de memorie van toelichting
de beoogde invulling van de verwerkingsverantwoordelijkheid en de vormgeving van de
relatie met de beheerder/verwerker uiteen te zetten. Naar aanleiding hiervan is dit
uiteengezet in een nieuw ingevoegd paragraaf 4.5 van de memorie van toelichting. Hiermee
is naar het oordeel van de regering geheel voldaan aan het advies van de AP.
ARTIKELSGEWIJZE TOELICHTING
Artikel 3:267i
63
De leden van de SP-fractie vragen de regering naar de reden voor het gebruik van een
delegatiebepaling in artikel 3:267I, lid 4 Wft. Zij vragen om hierop een voorhangbepaling
toe te passen gezien de omvangrijke aard van dit artikel.
Op basis van aanwijzing 2:35 van de Aanwijzingen voor de regelgeving wordt zeer terughoudend
omgegaan met voorhangbepalingen. Het is belangrijk dat duidelijke keuzes worden gemaakt
bij het niveau waarop voorschriften worden vastgesteld. Bij de voorliggende bepaling
acht de regering het passend dat deze bij of krachtens algemene maatregel van bestuur
worden vastgesteld, omdat het daarbij gaat op de uitwerking van een aantal eisen aan
het verwijzingsportaal bankgegevens en aan het gebruik daarvan. In het wetsvoorstel
zelf zijn de belangrijkste eisen vastgelegd. Zo is in het wetsvoorstel benoemd dat
alleen identificerende gegevens, alsmede gegevens over de uiteindelijk belanghebbende
en de begin- en einddatum van een rekening of kluis, kunnen worden opgevraagd. Verder
is in het wetsvoorstel bepaald op basis van welke grondslagen vorderingen of verzoeken
door de aangesloten overheidsinstanties via het verwijzingsportaal bankgegevens kunnen
worden gedaan. Hiermee is voldoende omlijnd welke gegevens via het portaal kunnen
worden gevorderd/opgevraagd en verstrekt en met welk doel. De opsomming van de specifieke
gegevens die gevorderd/opgevraagd en verstrekt kunnen worden en de wijze waarop dat
moet plaatsvinden, is geregeld bij algemene maatregel van bestuur. Er bestaat geen
bijzondere reden om hierbij een voorhangbepaling op te nemen. Het besluit verwijzingsportaal
bankgegevens wordt overigens openbaar geconsulteerd.
OVERIG
64
De leden van de SP-fractie vragen de regering wat de hoogte is van de Europese subsidie
voor de VB en of deze structureel is bij doorlopende kosten.
De EU-subsidie is eenmalig en bedraagt maximaal 7,0 mln euro.
65
Deze leden vragen verder of de regering ook de volledige of gedeeltelijke kosten van
het opzetten van de VB zou kunnen doorberekenen aan de financiële sector.
Met de banken is afgesproken dat de ontwikkel- en beheerkosten van het verwijzingsportaal
bangegevens voor rekening komen van de overheid. Dit ligt ook voor de hand, aangezien
de Minister van Justitie en Veiligheid verantwoordelijk is voor het beheer van het
verwijzingsportaal bankgegevens. Daarnaast worden in het verwijzingsportaal ook gegevens
verwerkt onder verantwoordelijkheid van andere overheidsinstanties in hun rol van
bevoegde autoriteiten die gegevens vorderen of opvragen.
66
De leden van de SP-fractie vragen of en hoe bij het ontwerp van het VB en de te volgen
protocollen lering is getrokken uit het Centraal Informatiepunt Onderzoek Telecommunicatie.
De ontwikkeling en de lessen uit het gebruik van het CIOT hebben bijgedragen aan de
ontwikkeling van het verwijzingsportaal bankgegevens. Zo is er, in tegenstelling tot
het CIOT, bij het verwijzingsportaal bankgegevens niet gekozen voor dataopslag in
het systeem. Alle persoonsgegevens worden na vijf minuten verwijderd uit het portaal.
Verder is in het ontwerp van het verwijzingsportaal bankgegevens direct de functionaliteit
voor bewaartermijnen meegenomen. Bij het CIOT is dat in onvoldoende mate gebeurd waardoor
er op dit punt nog wijzigingen moeten plaatsvinden. Voorts wordt er voor het beheer
van het verwijzingsportaal bankgegevens, meer dan bij CIOT, gebruik gemaakt van generieke
voorzieningen. Dit beperkt de beheerlast van het portaal.
De Minister van Financiën,
W.B. Hoekstra
Ondertekenaars
-
Eerste ondertekenaar
W.B. Hoekstra, minister van Financiën
Bijlagen
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.