De Europese AML/CFT-regelgevers hebben nog nooit van de AVG gehoord

Bestrijders van onrecht vinden privacy maar vervelend. Want het betekent dat ze niet overal zo maar bij kunnen.
Om die reden woedt er al een aantal jaren een ‘encryptieoorlog’, waarbij de misdaadbestrijders vragen om ‘achterdeurtjes’ in onder meer messagingsoftware (zoals whatsapp en signal), terwijl de cybersecuritymensen daar bezwaar tegen maken omdat door die achterdeurtjes ook criminelen naar binnen komen.

“Het mag niet van de privacy”
Overigens: een nieuw onzinverhaal is “het mag niet van de privacy“. Het wordt door allerlei mensen – niet gehinderd door kennis van het privacyrecht – geroepen.
Dat is niet waar: er mag van alles op grond van de privacyregels, maar vaak is daar een wettelijke grondslag voor nodig. Als het om misdaadbestrijding gaat, zijn de Europese en Nederlandse overheid druk bezig te zorgen voor die wettelijke grondslag [1].

Nieuw toverwoord: informatieuitwisseling
Het nieuwste Europese en Nederlandse toverwoord in de criminaliteitsbestrijding is ‘informatieuitwisseling’.
Op informatieuitwisseling in het kader van misdaadbestrijding is niets tegen, als het maar zorgvuldig en op ‘need-to-know-basis’ gebeurt en als degenen wiens gegevens worden uitgewisseld maar in staat worden gesteld de gegevens te controleren en te corrigeren (waar uiteraard in kader van het opsporingsbelang uitzonderingen op kunnen worden gemaakt).
Die informatieuitwisseling vindt zowel binnen de overheid als tussen overheid en private partijen (met name banken) plaats en behoeft een wettelijke grondslag. Voor een deel is die er al; de grondslag zal worden verruimd.

Verzamelen persoonsgegevens op grond van de antiwitwasregels
De Europese antiwitwas- en terrorismefinancieringsregels leiden tot het omvangrijk verzamelen van persoonsgegevens van burgers en andere vertrouwelijke gegevens. Die gegevens worden verzameld door zowel de ondernemingen die zich moeten houden aan de nationale antiwitwaswetten (in Nederland de Wwft) als door diverse overheidsinstanties. Verder is een grote groep datahandelaren die dezelfde gegevens verzamelt (hoewel de grondslag in de privacywetgeving ontbreekt), vaak in combinatie met andere activiteiten (zoals adtech, marketing en kredietbeoordeling, ook daar rijst de vraag of er een AVG-grondslag is).

De antiwitwas- en terrorismefinancieringsregels (AML/CTF) vormen voor de in de antiwitwasregels aangewezen entiteiten de AVG-grondslag voor de verwerking van door AML/CTF vereiste persoonsgegevens.

AVG is onbekend bij Europese wettenmakers AML/CFT
Opvallend is de Europese wettenmakers die verantwoordelijk zijn voor de 4e en 5e Europese antiwitwasrichtlijnen nog nooit van de AVG hebben gehoord.

Om die reden is de AVG op onvolkomen manier in de 4e en 5e Europese antiwitwasrichtlijnen doorgedrongen. Allereerst omdat die richtlijnen op een aantal punten in strijd zijn met principes van de AVG, maar dat vergt een aparte behandeling.

Storend is dat uit de tekst van de richtlijnen blijkt dat de Europese wettenmakers zelfs nog nooit van de (eveneens Europese) AVG hebben gehoord. In artikel 41 van de vierde antiwitwasrichtlijn (AMLD4) [2] wordt naar vervallen regelgeving verwezen. Alleen artikel 43 bevat een verwijzing naar de AVG:

Artikel 41 lid 1: “The processing of personal data under this Directive is subject to Directive 95/46/EC, as transposed into national law. Personal data that is processed pursuant to this Directive by the Commission or
by the ESAs is subject to Regulation (EC) No 45/2001.”

Artikel 41 lid 3: “Obliged entities shall provide new clients with the information required pursuant to Article 10
of Directive 95/46/EC before establishing a business relationship or carrying out an occasional transaction.”

Artikel 43: “The processing of personal data on the basis of this Directive for the purposes of the prevention of
money laundering and terrorist financing as referred to in Article 1 shall be considered to be a matter of public
interest under Regulation (EU) 2016/679 of the European Parliament and of the Council”.

In december jl. is een voorstel bekend gemaakt (persbericht) tot wijziging van AMLD4. In dat voorstel blijven de verouderde verwijzingen in artikel 41 staan.

Praktisch heeft het geen gevolg, aangezien artikel 94(2) AVG bepaalt dat verwijzingen naar de eerdere regels moeten worden gelezen als een verwijzing naar de AVG.

Europese desinteresse
Het is een illustratie van de desinteresse van de Europese ontwerpers van de richtlijn voor de privacyaspecten van de enorme gegevensverzamelingen die op grond van deze Europese regelgeving wordt aangelegd.

Of de AVG wordt nageleefd door al degenen die op grond van AML/CFT persoonsgegevens verzamelen en uitwisselen, is een grote vraag, die ik graag een keer zou onderzoeken. Ik vrees dat dit niet het geval is, zeker als ik lees hoe de Nederlandse politie met persoonsgegevens omgaat, niet voor niets hebben zij een last onder dwangsom van de Autoriteit Persoonsgegevens opgelegd gekregen [3].

 


Noten

[1] Nederland: zie het consultatievoorstel Wwft waarop ik recent commentaar heb geleverd (maar niet over de gegevensuitwisseling) en de financiële agenda van het Ministerie van Financiën (december 2018). Twee belangrijke wetten die in aantocht zijn: de Wet gegevensverwerking door samenwerkingsverbanden en de Wet verwijzingsportaal bankgegevens. Europa: de vierde en vijfde antiwitwasrichtlijn.
[2] De laatste geconsolideerde versie van de vierde antiwitwasrichtlijn is van 9 juli 2018.
[3] Autoriteit Persoonsgegevens, Nationale Politie beschermt politiegegevens nog steeds niet goed genoeg, 21 december 2018.

Advertenties

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce en getagged met , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s