Dansen op het dunne koord van WWFT en privacy compliance

7 juli 2022 | Blog

Het bestrijden van witwaspraktijken en terrorisme (hierna: AML/CFT) heeft de afgelopen jaren veel aandacht gekregen. Verschillende banken ontvingen substantiële boetes en bestuurders moesten zelfs vrezen voor strafrechtelijke vervolging wegens een te laks compliance beleid. In de hele financiële wereld zijn de controles aangescherpt. Er is echter een punt waar de wal van het privacyrecht het schip van de AML/CFT-compliance keert.

De Europese privacytoezichthouder (de EDPB en haar voorganger de WP29-werkgroep) waarschuwen al jaren voor de privacyrisico’s van AML/CFT-compliance (voor het eerst in 2011). Benadrukt werd dat verwerkingen van persoonsgegevens in het kader van AML/CFT een duidelijke specifieke wettelijke basis dienden te hebben en dat inbreuken op rechten van betrokkenen evenwichtig behoren te zijn.

Naar aanleiding van nieuwe voorstellen voor Europese AML/CFT-wetgeving d.d. 21 juli 2021 heeft de EDPB op 12 mei jl. per brief haar zorgen geuit aan de Europese Raad, het Europees Parlement en de Europese Commissie.

De voorgestelde wetgeving

De nieuw voorgestelde wetgeving omvat allereerst de introductie van een nieuwe AML/CFT Authority(“AMLA”). Ten tweede een nieuwe verordening met daarin bepalingen over klantonderzoek en UBO’s (“de Private Sector Verordening”). Voorts een opvolger van Richtlijn 2015/849/EU en tenslotte een update van Verordening 2015/847 ‘betreffende bij geldovermaking te voegen informatie (“WTR 2”) teneinde deze tevens betrekking te laten hebben op crypto-assets.

De zorgen van de EDPB

De EDPB benadrukt dat de AML/CFT-verplichtingen leiden tot de mogelijkheid voor instellingen die onder de wetgeving vallen om intieme details over individuen te verkrijgen en dat de gevolgen bovendien ernstig kunnen zijn. De gevolgtrekkingen kunnen er immers toe leiden dat individuen de toegang tot het bancaire systeem of andere dienstverlening wordt ontzegd.

In de ogen van de EDPB zouden de nieuwe Europese wetsvoorstellen substantieel moeten worden aangepast onder meer teneinde meer consistentie tussen de AML/CFT wetgeving en de beginselen Art. 5 AVG te krijgen. Specifiek worden daarbij het juistheidbeginsel en het beginsel van minimale gegevensverwerking genoemd.

De EDPB wil extra waarborgen met name waar het de verwerking van bijzondere gegevens betreft en meer duidelijkheid over de bronnen die gebruikt mogen worden in het kader van AML/CFT-toezicht (zoals lijsten  met politiek prominente personen ‘watchlists’).

De EDPB stelt de volgende waarborgen voor teneinde voldoende privacyrechtelijke rechtszekerheid te bewerkstelligen:

  • De EDPB dient geconsulteerd te worden bij het invoeren van Regulatory Technical Standards (“RTS”) richtsnoeren en aanbevelingen.

De wetgeving voorziet er in dat nadere richtsnoeren worden verschaft, onder andere door de AMLA. De EDPB wil verduidelijkt hebben dat ze betrokken dient te zijn bij de ontwikkeling van al die richtsnoeren inclusief de RTS.

  • Het beter beschrijven van de voorwaarden en beperkingen aan de verwerking van bijzondere categorieën persoonsgegevens.

Uit artikel 55 van de voorgestelde Private Sector Verordening volgt dat betrokken organisaties bijzondere categorieën persoonsgegevens mogen verwerken als dat “strikt noodzakelijk” is voor de doelen van AML/CFT. Naar de mening van de EDPB is dit te onduidelijk en dient bovendien gespecificeerd te worden wat de relevantie van de verwerking van iedere categorie persoonsgegevens is. Het wordt bijvoorbeeld niet duidelijk waarom gezondheidsgegevens relevant zouden kunnen zijn voor een AML/CFT-beoordeling. De EDPB wenst de toevoeging dat een analyse nooit louter op de verwerking van bijzondere categorieën persoonsgegevens gebaseerd mag zijn.

Artikel 55(3)(b) van de voorgestelde Private Sector Verordening stelt dat niet alleen gegevens over strafrechtelijke veroordelingen maar ook over aanklachten / beschuldigingen (“allegations”) verwerkt mogen worden. Dit wordt risicovol geacht omdat het hier op basis van de huidige tekst ook om niet-gesubstantieerde beschuldigingen zou kunnen gaan. De consequenties zouden dan groot kunnen zijn terwijl er geen of weinig grond voor een beschuldiging is. De EDPB beveelt aan dat in ieder geval in voornoemd artikel 55 wordt opgenomen dat aanklachten, beschuldigingen of lopende procedures niet dezelfde impact op een risicoanalyse van een persoon behoren te hebben als veroordelingen.

  • Het toevoegen van aanvullende bepalingen in relatie tot de bronnen van informatie.

Voorts bepaalt artikel 55 van de voorgestelde Private Sector Verordening verder dat bijzondere categorieën van persoonsgegevens verwerkt mogen worden mits “de bronnen accuraat en up-to-date” zijn. De EDPB ziet niet in waarom dat alleen voor bijzondere categorieën van persoonsgegevens zou moeten gelden.

Een belangrijke bron bestaat in de praktijk uit zogenaamde “watchlists” die worden aangeboden door gespecialiseerde dienstverleners. De EDPB onderkent de noodzaak om gebruik te maken van dergelijke diensten vanuit het oogpunt van effectieve AML/CFT. De EDPB acht het echter problematisch dat deze dienstverleners als verwerkingsverantwoordelijke bijzondere categorieën van persoonsgegevens verwerken zonder duidelijke deugdelijke wettelijke basis en pleit dan ook voor specifieke regelgeving op dit punt.

Conclusie

Al met al is duidelijk dat het vinden van de juiste balans tussen het belang van een goede AML/CFT enerzijds en de bescherming van privacy anderzijds ook voor de Europese wetgever een uitdaging blijft. Dit speelt natuurlijk ook voor Wwft-plichtige organisaties. Iets wat vanuit het perspectief van AML/CFT als optimale compliance kan worden gezien, zou vanuit het oogpunt van privacy compliance een duidelijke stap te ver kunnen gaan. Het vinden van de “compliance-sweetspot” vergt ook in de praktijk doorlopende afweging en aandacht.

Voor vragen over dit onderwerp kunt u contact opnemen met Martin Hemmer.

 

Meld u aan voor onze nieuwsbrieven