Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag

Nr. 6
NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 20 maart 2019

Inleiding

Ik ben de vaste commissie voor Financiën erkentelijk voor de aandacht die zij aan
het onderhavige wetsvoorstel heeft geschonken en voor de door haar daarover gestelde
vragen. Deze vragen worden zoveel mogelijk beantwoord in de volgorde van het door
de commissie uitgebrachte verslag. In een enkel geval worden ze om herhaling te voorkomen
gezamenlijk beantwoord.

ALGEMEEN

De leden van de PVV-fractie willen weten met welk bedrag het depositogarantiestelsel
inmiddels gevuld is. Kan de regering per jaar aangeven hoeveel de Nederlandse banken
hieraan hebben bijgedragen en nog zullen bijdragen? Kan de regering hetzelfde overzicht
geven van banken uit andere lidstaten?

De aan het Nederlandse depositogarantiestelsel deelnemende banken voldoen ieder kwartaal
bijdragen aan het Depositogarantiefonds dat op grond van artikel 10, tweede lid, van
de richtlijn depositogarantiestelsels1 medio 2024 een doelomvang dient te bereiken van 0,8% van de gegarandeerde deposito’s.
Dit komt naar verwachting neer op een bedrag van ca. EUR 5 miljard. Inmiddels is sinds
begin 2016 circa EUR 1,4 miljard door de banken afgedragen aan het fonds, oftewel
ca. EUR 0,4–0,5 miljard per kalenderjaar.

De Europese Bankenautoriteit (EBA) publiceert sinds 2016 jaarlijks overzichten van
de beschikbare financiële middelen van andere depositogarantiestelsels in Europese
lidstaten. Deze overzichten zijn te vinden op de website van de EBA.2

Verder willen de leden van de PVV-fractie weten op welke wijze nationale depositogarantiestelsels
in de toekomst worden overgezet naar een Europees depositogarantiestelsel. Wat gebeurt
er verder als een nationaal depositogarantiestelsel onvoldoende gevuld is?

Het Europees depositogarantiestelsel is een belangrijke pijler binnen de bankenunie
en wordt ook wel gezien als het sluitstuk hiervan. De vormgeving hiervan is momenteel
onderwerp van (Europees) debat.3 Zodoende is de toekomstige relatie tot nationale depositogarantiestelsels nog onbeslist.

Ongeacht een Europees depositogarantiestelsel geldt het volgende: indien een nationaal
depositogarantiestelsel medio 2024 niet de doelomvang bereikt die de richtlijn depositogarantiestelsels
voorschrijft, komt de lidstaat in kwestie de verplichting uit de richtlijn niet na.
Aan deze verplichting zal zo snel mogelijk alsnog moeten worden voldaan. In het uiterste
geval kan niet-nakoming betekenen dat de Europese Commissie aanleiding ziet om een
inbreukprocedure te starten bij het Europees Hof van Justitie.

§ 1. Inleiding

De leden van de SP-fractie hebben kennisgenomen van dit wetsvoorstel dat het gebruik
van het BSN bij de uitvoering van het depositogarantiestelsel nader regelt. Zij vinden
het opmerkelijk dat deze aanpassing nodig is. Hoe kan het dat deze waarborgen over
het hoofd zijn gezien bij de implementatie van de richtlijn voor het depositogarantiestelsel?

Ten tijde van de implementatie van de richtlijn was nog niet ten volle duidelijk wat
het halen van de kortere uitkeringstermijn (zeven werkdagen vanaf 2024) zou vergen
van DNB als uitvoerder van het depositogarantiestelsel en ook van de banken. Het gaat
dan met name over de precieze operationele aanpassingen van de wijze waarop uitkeringen
voorbereid en uitgevoerd worden, zoals het opstellen van individuele klantbeelden
(IKB’s) door de banken zelf in plaats van door DNB. Zo blijkt het nodig – om tijdige
en betrouwbare uitkering te verzekeren – dat banken het BSN van wettelijke of – in
het geval van rechtspersonen – rechtsgeldige vertegenwoordigers vastleggen en verder
verwerken. Deze vertegenwoordigers moeten zich melden bij DNB voor de uitbetaling
van vergoedingen van degenen die zij vertegenwoordigen. Om betrouwbaar de identiteit
van deze vertegenwoordigers vast te stellen en binnen de gestelde termijn via het
webportaal uit te kunnen betalen, moeten (ook) zij inloggen met hun DigiD, dat is
gekoppeld aan het BSN. Om zeker te stellen dat het BSN van vertegenwoordigers kan
worden vastgelegd, is het wenselijk de grondslag van artikel 3:17, zesde lid, Wft,
dat het gebruik van het BSN door banken ten behoeve van het depositogarantiestelsel
voorschrijft, te verduidelijken. Hierin voorziet het onderhavige wetsvoorstel.

De leden van de SP-fractie zijn verbaasd dat de toezichthouder gaat werken met individuele
klantbeelden (IKB’s). Kan de regering eens uitleggen wat dat precies inhoudt?

Ook nu al werkt DNB in haar hoedanigheid van uitvoerder van het depositogarantiestelsel
(een taak die moet worden onderscheiden van die van toezichthouder) met individuele
klantbeelden. Deze IKB’s worden thans opgesteld door DNB en vormen de basis voor het
bepalen van aanspraken uit hoofde van het depositogarantiestelsel. Het depositogarantiestelsel
garandeert een bedrag tot in beginsel € 100.000 per depositohouder per bank, ongeacht
het aantal rekeningen van een klant bij een bank. DNB moet daarom de aanspraken bepalen
per individuele natuurlijke of rechtspersoon. Het is echter gebruikelijk dat personen
meerdere bank- of spaarrekeningen aanhouden of dat er meerdere personen gerechtigd
zijn tot een bankrekening. Bovendien handelen veel banken met één bankvergunning onder
verschillende handelsnamen of labels, die over een eigen administratie kunnen beschikken. Dit betekent dat bij inwerkingstelling
van het depositogarantiestelsel verschillende producten van verschillende depositohouders
in mogelijk meerdere bankadministraties aan elkaar worden gekoppeld, om met behulp
van het BSN als uniek ordeningsnummer een eenduidig klantbeeld van elke depositohouder
te kunnen maken. Dit eenduidig klantbeeld is van belang omdat het de basis vormt voor
het vaststellen van de vergoedingen waar depositohouders recht op hebben. De IKB’s
worden samengebracht in een IKB-bestand. De geaggregeerde informatie die daaruit blijkt
over de depositobasis van een bank, dat wil zeggen de hoeveelheid gegarandeerde deposito’s
die bij een bank worden aangehouden, wordt gebruikt als basis voor het bepalen van
de hoogte van de periodieke bijdragen die banken moeten betalen aan het depositogarantiestelsel.
Dit is noodzakelijk om precies te kunnen vaststellen wat het totaalbedrag aan gegarandeerde
deposito’s per bank en voor het Nederlandse depositogarantiestelsel als geheel is.
Zonder deze informatie is niet duidelijk welk bedrag banken moeten afdragen aan het
Depositogarantiefonds om tijdig de verplichte doelomvang van 0,8% van de gegarandeerde
deposito’s te bereiken.

De leden van de SP-fractie willen weten wat er precies verandert in hetgeen een bank
precies behoort te doen vanuit haar plichten als poortwachter. Het klopt toch dat
een bank nu al moet weten wie de belanghebbende is van een rechtspersoon? Is die registratie
niet op orde bij de banken? Is dat de reden dat het nodig is dat De Nederlandsche
Bank (DNB), naast de banken, een IKB moet opbouwen?

De leden van de VVD-fractie vragen of de regering kan ingaan op de rol van het BSN
in het tegengaan van witwassen in de financiële sector.

Het wetsvoorstel verandert niets aan de verplichtingen van banken als poortwachter
op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft),
waaronder begrepen de plicht van banken om cliëntenonderzoek te doen als bedoeld in
die wet.4 De aanleiding voor dit wetsvoorstel is ook niet dat nakoming van die plicht door
banken niet op orde zou zijn – het onderhavige wetsvoorstel heeft betrekking op een
hele andere plicht van banken, namelijk het zodanig inrichten van hun administratie
dat deze geen belemmering vormt voor de tijdige uitbetaling van vergoedingen uit hoofde
van het depositogarantiestelsel.

Het vastleggen van het BSN in het kader van de Wwft is onderdeel van het cliëntenonderzoek
en draagt bij aan de betrouwbaarheid van de identificatie van de cliënt van de bank.
Banken hebben zekerheid over de identiteit van hun cliënten nodig om onderzoek te
kunnen doen naar het risico dat hun diensten worden gebruikt voor het witwassen van
geld en het financieren van terrorisme. Dit onderzoek is verplicht op grond van de
Wwft. De uitkomsten van dit onderzoek bepalen uiteindelijk welke concrete maatregelen
ter beperking van het risico op witwassen een bank moet nemen bij het verlenen van
diensten aan een bepaalde cliënt.

§ 2. De uitvoering van het depositogarantiestelsel

De leden van de PVV-fractie merken op dat DNB en banken vanaf 1 januari 2019 een nieuwe
werkwijze zullen hanteren waarmee een uitkeringstermijn van zeven dagen gehaald moet
worden. Kan de regering deze nieuwe werkwijze nader uitwerken?

Ook willen de leden van de PVV-fractie weten in hoeverre een uitkeringstermijn van
zeven werkdagen haalbaar is, gelet op het gegeven dat de huidige uitkeringstermijn
van twintig werkdagen al redelijk veel inspanning vergt.

Ingeval van inwerkingstelling van het depositogarantiestelsel onder de huidige werkwijze
levert een bank de integrale en ongesorteerde klantadministratie aan bij DNB met daarin
alle rekeningen (deposito’s) die bij een bank worden aangehouden en de tenaamstelling
van deze rekeningen (dat wil zeggen de klantgegevens die aan deze rekening zijn gekoppeld,
inclusief het BSN van ingezetene klanten). DNB voegt de rekeningen van één klant samen
tot een IKB op basis van identificerende gegevens van de klant. Voor natuurlijke personen
wordt hiervoor het BSN gebruikt, dat wordt gecombineerd met andere persoonsgegevens
zoals de naam-, adres- en woonplaatsgegevens (de zogenaamde NAW-gegevens) en de geboortedatum.
Op basis van het IKB kent DNB een vergoeding toe aan depositohouders ten laste van
het Depositogarantiefonds, dat de gelden van het depositogarantiestelsel beheert.
Depositohouders kunnen vervolgens inloggen op een door het Depositogarantiefonds geopend
webportaal waarop zij (of hun vertegenwoordigers) met behulp van DigiD kunnen inloggen
voor uitbetaling van de aan hen toegekende vergoeding.

Onder de nieuwe werkwijze stelt een bank zelf de IKB’s van haar depositohouders samen.
Het samenstellen van IKB’s is voor DNB een tijdrovend proces, waardoor het risico
bestaat dat DNB niet in staat is binnen zeven werkdagen tot uitbetaling over te kunnen
gaan. Banken zijn beter in staat dan DNB om hun eigen administratie te ordenen in
IKB’s. Banken kunnen dit veel sneller en met grotere betrouwbaarheid dan dat DNB dit
kan, waardoor een substantieel hoger percentage rekeninghouders op tijd kan worden
uitbetaald. Hierbij wordt gewaarborgd – doordat het wetsvoorstel uitputtend de doeleinden
omschrijft waarvoor banken IKB’s mogen opstellen – dat banken IKB’s niet vaker of
voor andere doeleinden, zoals commerciële, kunnen opstellen. Zoals in het algemeen
deel van de toelichting van het wetsvoorstel is uiteengezet, vergt de nieuwe werkwijze
concreet dat banken een systeem ontwikkelen waarmee de klantgegevens worden gecombineerd
in IKB’s vanuit verschillende bronadministraties van verschillende branches en eventueel
verschillende labels waaronder bankactiviteiten worden ontplooid. Deze IKB’s worden
verzameld in een IKB-bestand dat wordt overgedragen aan DNB. DNB gebruikt dit IKB-bestand
vervolgens als basis om te besluiten over de toe te kennen vergoeding aan depositohouders.

Deze nieuwe werkwijze kan in beginsel worden afgerond binnen zeven werkdagen, zodat
een uitkeringstermijn zeven werkdagen haalbaar is. Een bank heeft maximaal drie werkdagen
om het IKB-bestand samen te stellen. Vervolgens bepaalt DNB voor de zevende werkdag
de toe te kennen vergoedingen.

Ook vragen de leden van de PVV-fractie welke klantgegevens er naast het BSN nodig
zijn bij het opstellen van IKB’s om te kunnen voldoen aan de wettelijke uitkeringstermijn.

Naast het BSN zijn de volgende gegevens nodig:

– persoonsgegevens om de identiteit van de depositohouder vast te stellen, waaronder
officiële (geboorte)achternaam en geboortedatum en de zogenaamde NAW-gegevens (naam,
adres, woonplaats);

– een overzicht van alle deposito’s van een depositohouder bij de bank in kwestie;

– markeringen of het deposito en een depositohouder in aanmerking komt voor het garantie
door het depositogarantiestelsel5;

– aanvullende informatie die nodig is om te beslissen of tot uitkering wordt overgegaan,
bijvoorbeeld of een rekening geblokkeerd is.6

De leden van de D66-fractie vragen of de regering kan aangeven waarom het noodzakelijk
is om het BSN te verwerken in het banksysteem om het depositogarantiestelsel goed
uit te voeren, en daarbij apart in te gaan op de noodzaak voor tijdige uitbetaling,
vaststellen van de bedragen en toezicht? Waarom kan voor vaststelling van de bedragen
en toezicht niet voldaan worden met een individueel klantnummer, een alias of een
overkoepelend bancair-ID? De aan het woord zijnde leden lezen dat de regering alternatieven
heeft overwogen. Welke alternatieven zijn overwogen en waarom voldeed geen van die
alternatieven?

De leden van de CDA-fractie vragen naar welke alternatieven er zijn overwogen voor
het gebruik van het BSN en waarom het bij deze alternatieven niet haalbaar wordt geacht
om binnen 20 dagen tot uitkering te kunnen overgaan.

Om het depositogarantiestelsel vergoedingen uit te kunnen laten keren, moet per depositohouder
bepaald worden wat de hoogte van diens aanspraak op het depositogarantiestelsel is.
Oftewel: wat is het totaalbedrag van gegarandeerde banktegoeden? Om dit individueel
klantbeeld of IKB te kunnen bepalen, moeten de klantgegevens in bankadministraties
anders geordend worden. Als een deposito meerdere rekeninghouders heeft, moet het
tegoed worden gesplitst. Indien één depositohouder meerdere rekeningen heeft, moeten
deze tegoeden worden samengevoegd. Bovendien moeten in veel gevallen verschillende
bankadministraties worden geïntegreerd. Dit ordenen in IKB’s is een tijdrovend en
foutgevoelig proces, terwijl het in het belang van depositohouders is dat het met
de grootste snelheid en zo betrouwbaar mogelijk gebeurt. De kwaliteit van alle IKB’s,
die worden verzameld in een IKB-bestand, is daarvoor essentieel. Een kwalitatief goed
IKB-bestand met daarin de geaggregeerde IKB’s van alle depositohouders kan alleen
tijdig worden verkregen als een uniek identificerend nummer wordt gebruikt bij het
ordenen van de bankgegevens. Hier is ook rekenschap van gegeven bij de invoering in
2013 van artikel 3:17, zesde lid, Wft, dat verplicht tot het verwerken van het BSN
bij de uitvoering van het depositogarantiestelsel. Er zijn alternatieven overwogen,
zoals het ontwikkelen van een nieuw klantnummer of een bancair-ID. Echter, geen enkel
ander gegeven levert dezelfde of vergelijkbare mate van betrouwbaarheid op. Elke andere
combinatie van gegevens, waarbij het BSN ontbreekt, zou tot een dusdanig grote foutmarge
(«uitval») leiden dat een groot deel van de IKB’s handmatig door DNB moet worden verwerkt.
DNB verwacht dat dit het onmogelijk maakt om de gestelde uitkeringstermijnen te halen.
Het ontwikkelen van een nieuw ID is ook bij de invoering van artikel 3:17, zesde lid,
Wft overwogen, maar is niet proportioneel (dit zou een zeer omslachtige operatie zijn)
en niet voldoende betrouwbaar. Voor het uitgeven of vaststellen van een overkoepelend
bancair-ID zou een klant zich bovendien moeten identificeren, waarvoor in Nederland
het BSN het beste gegeven vormt. Ook zouden depositohouders dan met enige regelmaat
moeten nagaan of de gegevens nog wel correct worden weergegeven in de bankadministratie,
anders neemt de kans op fouten toe. Verder zou het alternatief van een overkoepelend
bancair-ID of apart persoonsnummer vanuit het oogpunt van privacy-bescherming net
zo ingrijpend zijn als het gebruik van het BSN.7

Wat betreft het toezicht en het testen van de systemen (dry runs) zijn alternatieve werkwijzen overwogen. Zo is overwogen of dit zou kunnen plaatsvinden
met versleutelde of pseudo-gegevens of dat dit zou kunnen worden vervangen door een
accountantsverklaring. Deze werkwijzen leveren echter niet de vereiste zekerheid op
dat wanneer het erop aankomt – dat wil zeggen bij inwerkingstelling van het depositogarantiestelsel
voor het falen van een specifieke bank – een bank binnen de termijn van drie werkdagen
een overwegend foutloos IKB-bestand kan opstellen met zo min mogelijk uitval dat vervolgens
door DNB kan worden verwerkt. Zo kijkt een accountant veeleer naar het totstandkomingsproces
en doet slechts steekproeven. Het gebruik van bijvoorbeeld pseudo-gegevens geeft onvoldoende
informatie over fouten in de bankadministratie die tot uitval leiden en over de naleving
van artikel 26a van het Besluit prudentiële regels Wft, dat vergt dat banken de voor
de uitvoering van het depositogarantiestelsel noodzakelijke gegevens voortdurend actueel
bijhouden en adequaat vastleggen.

Wat betreft het vaststellen van de bijdragen zal DNB slechts gebruikmaken van de geaggregeerde
informatie over de depositobasis van een bank. Echter, om actueel inzicht te hebben
in de depositobasis van een bank, moet worden vastgesteld welk gedeelte van deposito’s
gegarandeerd is. Dit kan enkel worden bepaald aan de hand van IKB’s, waarvoor verwerking
van het BSN noodzakelijk is.

De leden van de D66-fractie vragen of de regering kan aangeven of andere lidstaten
ook een (eigen variant van een) BSN gebruiken voor uitvoering van het depositogarantiestelsel,
en niet alleen voor de uitkering zelf.

Niet alle lidstaten beschikken, zoals Nederland over een nationaal of fiscaal identificatienummer.
Afhankelijk van de wijze waarop wordt uitgekeerd en de juridische mogelijkheden maken
depositogarantiestelsels wel of geen gebruik van dergelijke identificatienummers.
De praktijk laat zien dat de betrouwbaarheid van IKB’s en dus van de snelheid en betrouwbaarheid
van het uitkeren van vergoedingen toeneemt als banken hiervoor een nationaal of fiscaal
identificatienummer gebruiken. Samen met de geboorteachternaam en geboortedatum vormt
dit de zogenaamde «gouden driehoek», een gegevenscombinatie die bijvoorbeeld ook door
de Belastingdienst wordt gehanteerd. Bijvoorbeeld Zweden kent het door een aantal
banken ontwikkelde en uitgegeven BankID, een uniek identificatienummer en elektronische
handtekening waarmee personen zich digitaal kunnen identificeren en documenten kunnen
ondertekenen. De identiteit van de klant wordt gegarandeerd door de uitgevende bank.
Het BankID wordt ook gebruikt in communicatie met de overheid, bijvoorbeeld voor belastingaangifte.
In zoverre is dit vergelijkbaar met het BSN en het daaraan gekoppelde DigiD, ook wat
betreft privacygevoeligheid, met dien verstande dat deze in Nederland publiek beheerd
en uitgegeven worden.

De wijze waarop depositogarantiestelsels uitkeringen aan depositohouders verzorgen,
verschilt sterk per lidstaat. Nederland keert giraal uit en ontvangt daarvoor van
de depositohouder via een webportaal van het Depositogarantiefonds een bankrekeningnummer.
Depositohouders of hun vertegenwoordiger(s) loggen op dit webportaal in met behulp
van DigiD. Omdat het DigiD is gekoppeld aan het BSN, zorgt deze werkwijze ervoor dat
uitkeringen aan de juiste personen worden gedaan en fraude wordt voorkomen. Door deze
werkwijze kunnen depositohouders efficiënt, snel en betrouwbaar worden uitgekeerd.
Er zijn ook landen waarbij een agentbank de uitbetaling verzorgt. Bij het incasseren
van de vergoeding zullen depositohouders of hun vertegenwoordiger(s) zich dan fysiek
moeten legitimeren met een officieel erkend identiteitsbewijs.

De leden van de D66-fractie vragen of de regering een overzicht per EU-lidstaat kan
geven met de maatregelen die zij nemen om de uitkeringsperiode te verkorten?

Ondanks dat de precieze operationele aanpak sterk per lidstaat verschilt en deze onder
andere afhankelijk is van de betaal- en digitale infrastructuur van een lidstaat,
is de Europese standaard dat lidstaten (of depositogarantiestelsels) van banken eisen
dat zij IKB’s van hun depositohouders samenstellen en deze in voorkomend geval aanleveren
bij het depositogarantiestelsel of de uitvoerder daarvan. Het European Forum of Deposit
Insurers (EFDI), waar DNB lid van is, heeft in dat verband het «EFDI Non-Binding Guidance
Paper PAY-OUT IN 7 WORKING DAYS»8 opgesteld, dat hierop meer toelichting geeft. Voor het genereren en aanleveren van
IKB-bestanden aan depositogarantiestelsels worden eisen aan banken gesteld omdat –
zo constateert EFDI – in de praktijk de kwaliteit van data in de bankadministratie
en het IKB-bestand een van de belangrijkste obstakels zijn voor tijdige uitkering
door een depositogarantiestelsel.

Daarnaast zijn Europese depositogarantiestelsels op basis van de richtlijn depositogarantiestelsels
gehouden om jaarlijks stresstesten uit te voeren. De Europese Bankenautoriteit (EBA)
heeft daarvoor richtsnoeren9 opgesteld. Het beoordelen van het vermogen van banken om IKB-bestanden te genereren
en aan te leveren, en ook de kwaliteit van deze bestanden, is onderdeel van deze stresstesten.

§ 3. Hoofdlijnen van het voorstel

De leden van de SP-fractie vinden dat de kwaliteit van de administratie van banken
zodanig moet zijn dat DNB op basis van die administratie binnen zeer korte termijn
kan vaststellen welke deposito’s binnen de reikwijdte van het depositogarantiestelsel
vallen. Wordt dit met dit voorstel makkelijker en duidelijker?

Ja. Het proces van opstellen van IKB’s – waar dit wetsvoorstel een bijdrage aan levert
door te verzekeren dat banken daarbij het BSN gebruiken – leidt tot verbetering van
de kwaliteit van de interne administratie van banken. Dit is ook nodig. Banken zullen
hun systemen moeten testen waarmee zij IKB’s maken. Hierdoor zullen onjuist vastgelegde
klantgegevens en andere fouten als «uitval» naar boven komen. DNB ziet erop toe dat
dergelijke uitval vervolgens wordt hersteld. Te veel uitval betekent dat het voor
het depositogarantiestelsel moeilijker wordt om tijdig uitkeringen te doen en dat
het recht van depositohouders om binnen zeven werkdagen weer te kunnen beschikken
over hun tegoeden in gevaar komt. Uitval bij inwerkingstelling van het depositogarantiestelsel
moet namelijk handmatig verwerkt worden. Dit kost meer tijd dan de geautomatiseerde
verwerking door DNB van IKB’s tot beschikkingen die recht geven op uitbetaling.

Wat gebeurt er als de administratie van de bank verschilt van die van DNB, zo vragen
de leden van de SP-fractie. Wie garandeert dat het individuele klantbeeld van de bank
en DNB dezelfde zijn? Deze leden vragen of de verantwoordelijkheid niet veel eerder
bij de banken moet liggen en vragen de regering hierop te reflecteren.

Zoals deze leden terecht opmerken, is de kwaliteit van de bankadministratie van groot
belang. DNB neemt de administratie van de bank tot uitgangspunt en heeft geen eigen
administratie. De administratie van banken is onderworpen aan bepaalde wettelijke
kwaliteitsvereisten. Banken zijn gehouden een administratie te voeren die zodanig
is dat, in geval van toepassing van het depositogarantiestelsel, deze geen belemmering
vormt of kan vormen voor de uitbetaling van de vergoeding binnen de wettelijke uitkeringstermijn.10 Bovendien dienen de voor de uitvoering van het depositogarantiestelsel noodzakelijke
gegevens voortdurend actueel te worden bijgehouden en adequaat te zijn vastgelegd.11 De nieuwe werkwijze betekent dat het IKB op basis van die administratie niet langer
door DNB maar door de banken zelf wordt samengesteld. Dit heeft tot gevolg dat banken
niet alleen verantwoordelijk zijn voor de kwaliteit van de bankadministratie maar
ook voor het samenstellen van een juist IKB. DNB ziet toe op de uitvoering van deze
verplichting door de banken.

§ 4. Juridisch kader: grondrechtelijke toets en relatie tot de Algemene verordening
gegevensbescherming (AVG)

De leden van de SP-fractie vinden het opmerkelijk dat function creep een criterium
is voor deze regering. Deze leden vragen de regering of het gebruiken van persoonsgegevens
voor commerciële doeleinden wel wenselijk is en of zij überhaupt kan controleren of
gegevens of bestanden die eenmaal beschikbaar zijn voor andere doeleinden worden gebruikt
dan waarvoor zij zijn verkregen. Hoe denkt de regering dit te kunnen controleren?
Deze leden vragen de regering om een nadere toelichting waarom het risico op function
creep niet volledig kan worden weggenomen.

Het is belangrijk dat het gebruik van een nationaal persoonsidentificerend nummer
als het BSN met waarborgen is omkleed om misbruik te voorkomen. Die waarborgen zorgen
ervoor dat, wanneer commerciële partijen als banken het BSN verwerken, dit gebruik
enkel ten behoeve van de publieke taak, en dus niet voor commerciële doeleinden kan
plaatsvinden. Verwerking voor commerciële doeleinden is niet wenselijk en is evenmin
toegestaan op basis van het wetsvoorstel. Het wetsvoorstel verduidelijkt uitsluitend
de reeds bestaande grondslag voor het gebruik van het BSN en omschrijft daarbij uitputtend
de doeleinden waarvoor verwerking is toegestaan. Door dit in de wet te verduidelijken,
beperkt dit wetsvoorstel juist de mogelijkheden om het BSN vaker en anders te gebruiken
dan bedoeld is en daarmee het risico op function creep. Op grond van de AVG en de Uitvoeringswet AVG (UAVG) moeten ook banken zelf en DNB
maatregelen nemen om het risico te beperken, zoals het hanteren van bewaartermijnen
die vergen dat IKB-bestanden na gebruik worden vernietigd. Andere belangrijke maatregelen
zijn dat het IKB-bestand adequaat beveiligd wordt, dat het afgezonderd blijft van
de rest van de administratie en alleen voor een beperkt aantal deskundige medewerkers
toegankelijk is. Omdat function creep ook onbewust kan gebeuren, kan het risico ondanks de risicobeperkende maatregelen
niet volledig worden weggenomen. In de Privacy Impact Assessment (PIA) is dit effect
juist daarom in kaart gebracht, teneinde bewustwording te creëren.

§ 5. Verslag gegevensbeschermingseffectbeoordeling

De leden van de PVV-fractie merken op dat ten opzichte van de bestaande situatie,
als gevolg van de wijziging, nieuwe gegevens worden verwerkt wat betreft het BSN van
wettelijke of, in geval van rechtspersonen, rechtsgeldige vertegenwoordigers die zelf
geen klant bij de desbetreffende bank zijn. In hoeverre zal dit mogelijke frauderisico’s
meebrengen?

Het voorkomen van fraude moet centraal staan in de bedrijfsvoering van banken. Het
wetsvoorstel draagt daar in algemene zin aan bij door de verwachte verbetering van
de basisadministratie van banken. Omdat in de bankadministratie de identiteit van
de wettelijke vertegenwoordiger van een klant met behulp van het BSN betrouwbaar wordt
vastgelegd, verminderen frauderisico’s. Het BSN van wettelijke vertegenwoordigers
wordt vervolgens bij uitbetaling van vergoedingen door DNB en het Depositogarantiefonds
gebruikt om vast te kunnen stellen dat degene die een depositohouder vertegenwoordigt,
daadwerkelijk is wie hij of zij beweert te zijn (authenticatie). Bij het claimen van
een vergoeding van het depositogarantiestelsel, moeten vertegenwoordigers – evenals
depositohouders zelf – zich identificeren en inloggen op een webportaal met DigiD.
DigiD is gekoppeld aan het BSN. Pas als er een match is met het in de bankadministratie
vastgelegde BSN van de vertegenwoordiger, kan deze de vergoeding laten uitkeren. Zo
wordt het moeilijker om te frauderen door zich ten onrechte voor te doen als vertegenwoordiger.

De leden van de CDA-fractie begrijpen dat het IKB apart van de overige administratie
van banken moet worden bewaard. Deze leden vragen of er ook bijzondere beveiligingseisen
aan de opslag van dit IKB-bestand worden gesteld. Hoe is het toezicht op de informatiebeveiliging
van het IKB-bestand geregeld?

Het IKB-bestand bestaat uit persoonsgegevens. Het is van belang dat die goed worden
beschermd. Regels over de bescherming van deze gegevens zijn opgenomen in de AVG.
De AVG schrijft onder meer voor dat de beveiligingsmaatregelen die met betrekking
tot persoonsgegevens worden genomen, afgestemd zijn op de risico’s die de verwerking
oplevert voor degene op wie de gegevens betrekking hebben. Bij het opstellen en opslaan
van het IKB-bestand treden de banken op als verwerkingsverantwoordelijke. Dat betekent
dat zij ervoor verantwoordelijk zijn dat hierbij aan de voorschriften van de AVG wordt
voldaan. De Autoriteit Persoonsgegevens houdt hier toezicht op.

De leden van de D66-fractie vragen hoe geborgd wordt dat zorgvuldig wordt omgegaan
met het BSN en dat het BSN niet verder wordt gedeeld. Hoe wordt geborgd dat banken
het BSN niet verwerken in de interne administratie? Wie krijgt inzage in het BSN?
Hoe wordt geborgd dat de bank het BSN alleen gebruikt voor inrichting van het IKB?
Kan het BSN worden uitgewisseld met filialen in andere landen binnen en buiten de
Europese Unie? Wie houdt toezicht op zorgvuldige omgang van het BSN?

Ik deel met de vragenstellers dat het belangrijk is dat uitermate zorgvuldig wordt
omgegaan met het BSN. Op grond van artikel 46 UAVG mag het BSN alleen worden gebruikt
voor wettelijk bepaalde doelstellingen. De belangrijkste begrenzing aan het verwerken
van het BSN is de doelbinding die in de wet is opgenomen. Gebruik is enkel toegestaan
voor het doel dat wordt genoemd. Banken hebben op dit moment al de wettelijke verplichting
om het BSN te verwerken in hun interne administratie voor verschillende doeleinden,
onder andere voor uitlevering van het BSN aan de Belastingdienst en aan DNB in het
kader van het depositogarantiestelsel. Om te borgen dat banken het BSN in het kader
van het depositogarantiestelsel alleen gebruiken voor de doelstellingen die in het
wetsvoorstel zijn opgenomen, isoleren banken het IKB-bestand van de overige bankadministratie.
Daarbij is het uitgangspunt voor bankmedewerkers die toegang hebben tot deze gegevens
dat dit noodzakelijk is voor de uitoefening van hun taken. Betrokken medewerkers worden
aangemerkt als zogeheten «insiders» en zijn daarom aan aanvullende compliance-vereisten
onderworpen, zoals dat zij trainingen moeten volgen over (regels voor) informatiegebruik,
-deling en -bescherming. De doeleinden waarvoor het BSN moet worden gebruikt, geven
geen aanleiding om het BSN uit te wisselen met filialen in andere landen binnen of
buiten de Europese Unie, zodat dit gebruik niet is toegestaan. DNB houdt toezicht
op de naleving van artikel 3:17 Wft en in dat kader op de inrichting van het IKB-systeem
bij banken. De Autoriteit Persoonsgegevens ziet er daarnaast op toe dat het gebruik
van BSN voldoet aan de regels daarover in de AVG en de UAVG.

§ 6. Financiële gevolgen

De leden van de PVV-fractie willen weten hoe voorkomen zal worden dat banken de administratieve
lasten en nalevingskosten als gevolg van deze wetswijziging zullen doorberekenen aan
hun klanten.

Het is aan banken zelf om af te wegen hoe zij kosten verwerken en doorberekenen.

§ 7. Advies en consultatie

De leden van de VVD-fractie nemen in dit kader kennis van het uitgesproken negatieve
advies dat de AP hecht aan dit wetsvoorstel. Zij lezen vervolgens in paragraaf 7 van
de memorie van toelichting dat de bezwaren van de AP zijn ondervangen en dat het advies
wordt gevolgd. Deelt de AP deze mening en zijn alle bezwaren ondervangen, zo vragen
de leden van de VVD-fractie. Als de bezwaren zijn ondervangen, kan dan aangegeven
worden hoe dat is gebeurd?

Ook de leden van de D66-fractie vragen of hierover nader overleg is geweest met de
AP en of de AP zijn oordeel na de tekstwijziging heeft herzien. Ten slotte vragen
ook de leden van GroenLinks of de AP naar aanleiding van de definitieve versie van
het wetsvoorstel wél geadviseerd heeft om de wet in te dienen of dat zij nog steeds
bezwaren heeft.

De leden van de D66-fractie lezen dat de regering het oorspronkelijk vastgestelde
doel wil uitbreiden, zodat het BSN breder gebruikt kan worden voor de uitvoering van
het depositogarantiestelsel, namelijk ten behoeve van tijdige uitbetaling, het vaststellen
van de bijdragen en het toezicht hierop. Zij lezen ook dat de AP de wetswijziging
oorspronkelijk heeft ontraden. De AP acht een ruime opvatting van gebruik van het
BSN in strijd met de AVG. Kan de regering aangeven waarom zij van mening is dat het
mandaat nu wel in lijn is met de AVG?

Het advies van de Autoriteit Persoonsgegevens (AP) uitte belangrijke zorgen. Naar
aanleiding daarvan is op ambtelijk niveau contact geweest met de AP. Mede vanwege
de expertise die de AP op dit punt heeft, is besproken hoe in concreto de punten van
kritiek konden worden ondervangen. Volgend op dit overleg is het wetsvoorstel aangepast
zodat de bezwaren van de AP konden worden weggenomen. De strekking van het advies
en in het bijzonder de bezwaren van de AP waren niet van dien aard dat de AP aanleiding
heeft gezien in haar advies te verzoeken dat een aangepast wetsvoorstel voor aanvullend
advies zou worden voorgelegd.

De AP merkte in haar advies op de onderbouwing te kunnen volgen van de noodzaak om
het BSN te verwerken voor de in het wetsvoorstel aangehaalde specifieke doeleinden;
te weten voor het halen van de uitkeringstermijn, het toezicht daarop en het bepalen
van depositobasis om de hoogte van de bijdragen vast te kunnen stellen. Echter, de
AP vond deze doeleinden niet terug in de eerdere formulering van de desbetreffende
wetsbepaling en achtte deze te ruim en ongedefinieerd. Deze formulering luidde ten
tijde van het voorleggen voor advies aan de AP: «verwerking van het BSN in de bankadministratie
voor de uitvoering van het depositogarantiestelsel in het algemeen». De AP gaf in
haar advies aan dat om te voorkomen dat het BSN als klant- of relatienummer zal worden
gebruikt ten behoeve van de interne administratie van banken (hetgeen het wetsvoorstel
niet toestaat of beoogt toe te staan), de wettelijke plicht van banken om het BSN
te verwerken adequater en explicieter omschreven diende te worden. Dat is gebeurd.
In de huidige formulering van de bepaling zijn de doeleinden geëxpliciteerd. Daarmee
is het bezwaar van de AP ondervangen.

De leden van de VVD-fractie vragen voorts naar de algemene omgang met het BSN. Hoe
verhouden dit wetsvoorstel en de kritiek van de AP zich tot de discussie over het
gebruik van het BSN als btw-nummer voor zelfstandige ondernemers? Kan worden aangegeven
wanneer het BSN wél en wanneer het niet gebruikt mag worden?

Bij het gebruik van het BSN in het btw-identificatienummer was sprake van een andere
situatie dan in het voorliggende wetsvoorstel. De kern van de problematiek bij het
btw-identificatienummer was dat door vermelding op facturen en website, het daarin
opgenomen BSN breed gedeeld moest worden met (veelal private) derde partijen, terwijl
het daarvoor niet bedoeld is. Van een dergelijk breed delen van het BSN is in dit
wetsvoorstel geen sprake.

De Wet algemene bepalingen burgerservicenummer geeft aan in welke gevallen het BSN
gebruikt mag worden door overheidsorganisaties, namelijk bij de uitvoering van hun
taken. De mogelijkheid bestaat om ook gebruik van het BSN bij formele wet door andere
organisaties voor te schrijven, zoals bijvoorbeeld in de zorg is gebeurd via de Wet
gebruik burgerservicenummer in de zorg. Ook in artikel 3:17, zesde lid, Wft is dit
gebeurd. Gebruik door andere organisaties dan overheidsorganisaties is niettemin uitsluitend
toegestaan op basis van een expliciete wettelijke grondslag.

De Minister van Financiën,
W.B. Hoekstra