STICHTINGSRUBRIEK
De privacy van de uiteindelijk belanghebbende – deel II
In het eerste deel van deze serie besprak ik de verbreding van het begrip ‘uiteindelijk belanghebbende’ in de regelgeving op het gebied van bestrijding van witwassen en terrorismefinanciering. In dit artikel komen de consequenties van de Algemene Verordening Gegevensbescherming (AVG) voor ondernemingen die zich aan deze regelgeving dienen te houden (‘Wwft-plichtigen’) aan de orde.
Introductie
De Vierde Europese anti-witwasrichtlijn (AMLD4) en de Vijfde Europese anti-witwasrichtlijn (AMLD5), samen ook als AMLD aangeduid, hebben gezorgd voor verbreding van het begrip ‘uiteindelijk belanghebbende’ (ubo) in de Nederlandse antiwitwaswet, de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). In het vorige artikel is de nieuwe definitie besproken, die er onder andere toe leidt dat in veel gevallen de statutair bestuurders van een rechtspersoon ubo worden. Bij iedere ubo moet worden onderzocht of hij of zij een politiek prominente persoon (PEP) is.
De Wwft vormt de grondslag voor verwerking van persoonsgegevens door onder andere Wwft-plichtigen en door entiteiten die hun ubo in het ubo-register moeten inschrijven (‘registratieplichtigen’). De AVG is van toepassing op die verwerking van persoonsgegevens. De consequenties van de toepasselijkheid worden in dit artikel besproken.
Verwerking van persoonsgegevens
Op grond van AMLD dienen in Nederland persoonsgegevens inzake ubo’s te worden verwerkt door onder andere:
• registratieplichtigen, zoals nv’s, bv’s, stichtingen, verenigingen en personenvennootschappen;
• Wwft-plichtige ondernemingen, zij verwerken persoonsgegevens inzake de ubo’s van hun cliënten/opdrachtgevers;
• de houder van het ubo-register, te weten de Kamer van Koophandel.
Gegevenshandelaren
In AMLD wordt geen aparte aandacht besteed aan een vierde categorie, namelijk de gegevenshandelaren die persoonsgegevens relevant voor de witwasbestrijding, hierna ook als ‘AML’ aangeduid, en sanctieregelgeving verhandelen en ter beschikking stellen aan onder meer Wwft-plichtigen. Voorbeelden van dergelijke gegevenshandelaren zijn Company Info, Graydon, World-Check en Experian. Of er wel een grondslag op grond van de AVG is voor hun gegevensverwerking, is de vraag. Vele gegevenshandelaren (of aan hen gelieerde partijen) houden zich naast het leveren van AML-persoonsgegevens ook bezig met het leveren van persoonsgegevens inzake kredietwaardigheid en persoonsgegevens ten behoeve marketing.
De gegevenshandelaren staan niet onder enig toezicht en op de kwaliteit van hun verzameling van persoonsgegevens is geen zicht. In 2017 zijn in het buitenland diverse cybersecurity schandalen inzake gegevenshandelaren bekend geworden, zoals de immense datalekken bij Alteryx, Equifax en Dow Jones. Nu misbruik van persoonsgegevens een steeds grotere omvang aanneemt, is er alle aanleiding voor toezicht op de gegevenshandelaren. Een toezicht dat verder gaat dan de AVG.
De uitwisseling door gegevenshandelaren van persoonsgegevens met Wwft-plichtigen, zoals banken, roept vele vragen op, die niet door AMLD worden beantwoord. In AMLD is volstaan met de bepaling dat Wwft-plichtigen uitsluitend persoonsgegevens mogen verwerken met oog op bestrijding van witwassen en terrorismefinanciering en dat verwerking voor andere doeleinden, zoals commerciële doeleinden, verboden is . Vooralsnog ga ik er van uit dat AMLD er toe leidt dat bij gegevenshandelaren geen grondslag (meer) bestaat voor de verwerking van AML-gerelateerde persoonsgegevens.
Verwerking persoonsgegevens op grond van AMLD
AMLD 4 brengt meerdere soorten verwerking van persoonsgegevens met zich mee. Allereerst bij de registratieplichtigen zelf, voorts bij Wwft-plichtigen zoals banken en notarissen en tot slot bij overheidsinstanties zoals de houder van het ubo-register (de Kamer van Koophandel).
Vennootschappen en andere juridische entiteiten (registratieplichtigen) zijn op grond van AMLD verplicht tot het inwinnen en bijhouden van toereikende, accurate en actuele informatie over wie hun ubo’s zijn, waaronder detailgegevens over de door die ubo’s gehouden economische belangen . Voor een concern met honderd werkmaatschappijen, betekent dat dat al die honderd werkmaatschappijen gegevens van hun eigen ubo moeten administreren.
AMLD bevat uitvoerige bepalingen die er toe leiden dat Wwft-plichtigen in het kader van het cliëntenonderzoek grote hoeveelheden persoonsgegevens dienen te verzamelen. De kernbepaling in dit verband is art. 13 AMLD, dat onder meer verplicht tot doorlopende monitoring van de zakelijke relatie met cliënten, met inbegrip van een nauwlettende controle van de tijdens de gehele duur van de relatie verrichte transacties.
Art. 30 AMLD verplicht de lidstaten om een register van uiteindelijk belanghebbenden (ubo-register) tot stand te brengen, toegankelijk voor bevoegde autoriteiten en FIU’s, alsmede voor Wwft-plichtigen. In AMLD4 is opgenomen dat het register ook toegankelijk moet zijn voor personen of organisaties met een legitiem belang. AMLD5 brengt daar wijziging in, “any member of the general public” krijgt toegang tot een beperkte set van gegevens. Op de openbaarheid worden zeer beperkte uitzonderingen toegelaten.
In Nederland zal het ubo-register worden gehouden door de Kamer van Koophandel (KvK) en is onderdeel van het handelsregister. De Nederlandse uitwerking van de ubo-register-regelgeving is nog niet bekend is . De vraag is of de KvK de persoonsgegevens inzake de ubo’s zal leveren aan de gegevenshandelaren. Als dat gebeurt, zullen laatstgenoemden op eenvoudige manier de ontbrekende persoonsgegevens (zoals geboortedag, adres, telefoonnummers) aan de dataset kunnen toevoegen.
Overigens is er de nodige kritiek op de handel in persgegevens door de KvK, wat heeft geleid tot vragen van leden van de Tweede Kamer . De Autoriteit Persoonsgegevens heeft een advies over mogelijke verbeteringen in het beschermen van de privacy van ondernemers in relatie tot het handelsregister aangekondigd. Tijdens de behandeling van een wetsvoorstel tot wijziging van de Handelsregisterwet 2007 is meegedeeld dat de te nemen privacy-maatregelen in een afzonderlijk wetsvoorstel zullen worden opgenomen.
Advies Europese toezichthouder voor gegevensbescherming
De Europese toezichthouder voor gegevensbescherming (European Data Protection Supervisor, ‘EDPS’) heeft adviezen over AMLD4 en AMLD5 uitgebracht. In 2013 is het eerste advies bekend gemaakt. Het begeleidende persbericht draagt als kop “EDPS finds major deficiencies in anti-money laundering proposals” . Naar aanleiding daarvan is het ontwerp van AMLD4 aangepast, maar niet alle aanbevelingen zijn opgevolgd. In 2017 is door EDPS het tweede advies uitgebracht naar aanleiding van het ontwerp voor AMLD5.
EDPS maakt zich zorgen over het gebruik van de in het kader van AML verzamelde persoonsgegevens voor andere doelen, zoals de belastingheffing. De toezichthouder dringt er op aan dat regelingen worden getroffen die er voor zorgen dat uiteindelijk belanghebbenden op de hoogte zijn van de verwerking van hun persoonsgegevens .
In het advies van 2 februari 2017 benadrukt EDPS nogmaals dat ook voor verwerking van AML-gegevens de beginselen van de AVG gelden: elke verwerking van persoonsgegevens dient een legitiem, specifiek en goed geïdentificeerd doel te hebben en de verwerking dient noodzakelijk en proportioneel te zijn. EDPS betwijfelt of die evenredigheid er wel is als maatregelen om belasting¬ontwijking te voorkomen op één lijn worden gezet met het risico op terreuraanslagen (het laatste risico rechtvaardigt ingrijpender maatregelen). Op de openbaarheid van het ubo-register heeft de toezichthouder zware kritiek: toegang tot informatie over uiteindelijk belanghebbenden dient alleen te worden verschaft aan entiteiten belast met wetshandhaving. Bij de totstandkoming van AMLD5 is dit advies van EDPS genegeerd.
AMLD en databescherming
In de tekst van AMLD komt bescherming van persoonsgegevens beperkt aan de orde. In algemene zin wordt melding gemaakt van toepasselijkheid van de databeschermingsregelgeving. Daarbij lijken degenen die AMLD tot stand hebben gebracht niet bekend zijn met de AVG. In art. 41 AMLD4 wordt naar de inmiddels vervallen Europese privacyrichtlijn verwezen. Dat heeft overigens geen gevolgen.
Hierna bespreek ik een aantal belangrijke verplichtingen op grond van de AVG.
Grondslag verwerkin persoonsgegevens
Op basis van de AML-regels kunnen door de betrokken partijen persoonsgegevens worden verwerkt inzake onder andere de ubo. De registratieplichtigen, de KvK en de Wwft-plichtigen zijn allen verwerkingsverantwoordelijk in de zin van de AVG en ontlenen hun grondslag aan de Wwft.
De positie van de gegevenshandelaren is een hoofdstuk apart: bij hen ontbreekt een wettelijke grondslag voor hun activiteiten en toestemming kan voor hun activiteiten meestal geen grondslag voor verwerking zijn. Waarschijnlijk ontbreekt een verwerkingsgrondslag, tenzij deze ontleend kan worden aan de verantwoordelijke. Dat heeft dan een verwerkersrol van de gegevenshandelaar tot gevolg, met een andere juridische positie.
Overigens is mij bekend dat gegevenshandelaren veronderstellen dat zij verwerkings¬verant-woordelijk zijn. Een analyse inzake de grondslag voor de verwerking heb ik nog niet aangetroffen.
Informatieplicht
De AVG schrijft voor dat de natuurlijke personen wiens persoonsgegevens worden verwerkt (‘betrokkenen’) worden geïnformeerd, wat voor de positie van ubo’s relevant is.
In art. 41 lid 3 AMLD4 staat dat Wwft-plichtigen informatie over de verwerking van persoonsgegevens verschaffen aan hun cliënten. In veel gevallen zijn zij niet de ‘betrokkenen’ in de zin van de AVG. De toegevoegde waarde van deze bepaling lijkt beperkt.
Op grond van art. 13 en 14 AVG dient iedere verwerkingsverantwoordelijke de betrokkene te informeren over de verwerking van persoonsgegevens. De informatievoorziening dient ook het bestaan van geautomatiseerde besluitvorming en het bestaan van profilering te omvatten. Op de uitzondering dat het verstrekken van de informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen , zal in het kader van de Wwft naar verwachting geen beroep kunnen worden gedaan. Zie in dat verband ook het advies van EDPS, die van mening is dat buitengewoon belangrijk is dat de ubo’s over de gegevensverwerking worden geïnformeerd.
Inzagerecht en rectificatierecht
Ubo’s kunnen aan de AVG een inzagerecht en rectificatierecht ontlenen. Het inzagerecht omvat informatie over het bestaan van geautomatiseerde besluitvorming en profilering en de daaraan ten grondslag liggende principes . De AVG bevat de verplichting om een kopie van de verwerkte persoonsgegevens aan de ubo te verstrekken, als deze daar om vraagt .
Wwft-plichtigen dienen voorzieningen te treffen om een correcte naleving van dit voorschrift te waarborgen. Profilering is één van de kernprincipes van AMLD, zeker bij de grotere ondernemingen, zodat zij er goed aan doen zich voor te bereiden op beantwoording van vragen inzake de monitoring technieken.
Vergetelheid
Degene wiens persoonsgegevens op grond van de AML-regels worden verwerkt, kan in theorie beroep doen op het recht op gegevenswissing . Nu de grondslag voor de verwerking de AML-regelgeving is, zal zo’n beroep alleen slagen als de gegevens in strijd met de regels verwerkt zijn. Voorbeeld daarvan is het ten onrechte als ubo aanmerken van een persoon. Ook de KvK als houder van het ubo-register kan met dergelijke verzoeken te maken krijgen.
Data-minimalisatie
Het principe van data-minimalisatie uit de AVG is ook op het verzamelen van persoonsgegevens op grond van de AML-regelgeving van toepassing. Of dat in de praktijk zal plaats vinden is de vraag. EDPS maakt zich er in de adviezen zorgen over dat Wwft-plichtigen uit angst voor sancties veel meer zullen verzamelen dan nodig, om maar ‘gedekt’ te zijn en adviseert daarom de te vergaren persoonsgegevens nader te omschrijven. Dat is in AMLD niet gebeurd.
Bewaarplicht
De AML-regelgeving biedt een grondslag voor het bewaren van persoonsgegevens en geeft aan dat de gegevens na afloop van de bewaartermijn verwijderd moeten worden. Art. 40 AMLD geeft als hoofdregel dat de gegevens van het cliëntenonderzoek worden bewaard tot vijf jaar na het einde van de zakelijke relatie met de cliënt of na de datum van de transactie. Bij duurzame zakelijke relaties betekent dit dat de persoonsgegevens zeer langdurig zullen worden bewaard, want er is bij zakelijke relaties geen verplichting om oude gegevens, bijvoorbeeld ouder dan tien jaar, te verwijderen. Het is de vraag of een dergelijk lange bewaartermijn met de AVG in overeenstemming is.
Persoonsgegevens inzake strafrechtelijke veroordelingen en strafbare feiten
Bij de verwerking van persoonsgegevens inzake strafrechtelijke veroordelingen en strafbare feiten vereist de AVG toezicht van de overheid, tenzij sprake is van Europese of nationale regelgeving die passende waarborgen voor betrokkenen biedt. Aangezien dergelijke gegevens in het kader van de ubo-verplichtingen verwerkt zullen worden, zal de Nederlandse wetgever daar voorzieningen voor moeten treffen.
Privacy Impact Assessment
EDPS heeft in zijn advies aangegeven dat de verwerking van persoonsgegevens in de AML-regelgeving een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dat betekent dat verwerkingsverantwoordelijken zoals de KvK en de grotere Wwft-plichtigen in de situaties beschreven in de AVG een gegevensbeschermingseffectbeoordeling moeten laten uitvoeren .
Functionaris voor gegevensbescherming
Wwft-plichtigen komen met de verwerking van persoonsgegevens al snel in de sfeer van een verplichte functionaris voor gegevensbescherming (FG) . Dat is terecht aangezien het hier een verwerking betreft met hoge risico’s voor betrokkenen. Ik betwijfel of de rol van FG gecombineerd kan worden met die van Wwft-verantwoordelijke of Wwft-compliance functionaris , nu de FG onafhankelijk dient te opereren .
Uitzonderingen
Op de toepasselijkheid van de AVG op de gegevensverwerking op grond van de AML-regels zijn een beperkt aantal uitzonderingen, die zijn te vinden in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). Enige artikelen van de AVG kunnen door een verwerkingsverantwoordelijke buiten toepassing worden gelaten voor zover dat noodzakelijk en evenredig is ter waarborging van de voorkoming van en het onderzoek naar strafbare feiten . Voor bij de wet ingestelde registers als het ubo-register geldt art. 21 AVG (recht van bezwaar) niet en zijn bepaalde artikelen van de AVG niet van toepassing, indien bij of krachtens de wet een bijzondere procedure voor de verbetering, aanvulling, verwijdering of afscherming van gegevens is geregeld .
Tot slot
In het voorgaande besprak ik dat de bescherming van de persoonsgegevens van de ubo een belangrijk issue is, waaraan door de Europese en Nederlandse wetgever tot nu toe beperkte aandacht is besteed. Dat zal moeten veranderen nu de nieuwe regels inzake uiteindelijk belanghebbende en ubo-register op afzienbare termijn in Nederland geïmplementeerd zal moeten zijn.
Blijft de vraag of AMLD-regelgeving inzake de ubo wel in overeenstemming is met de Europeesrechtelijke grondbeginselen, onder meer van evenredigheid.
Mw. mr. E.C. Timmer*
* Advocaat.
(ellen.timmer@pellicaan.nl)