Vijf grote banken monitoren sinds 2021 gezamenlijk banktransacties in een speciaal daarvoor opgezet bedrijf. De ABN Amro, ING, Rabobank, Volksbank en Triodos Bank zeggen zo beter signalen van witwassen te kunnen opvangen. Deze vorm van massasurveillance is volgens deskundigen in strijd met de wet, maar de toezichthouder – De Nederlandsche Bank – steunt het initiatief met enthousiasme.
Dit stuk in 1 minuut
- Banken zijn wettelijk verplicht om betalingen te screenen, op zoek naar signalen van witwassen en financiering van terrorisme. Vijf grote banken gaan daarbij verder dan de wet vereist.
- Sinds 2021 monitoren de ABN Amro, ING, Rabobank, Volksbank en Triodos Bank gezamenlijk zakelijke transacties – dus ook betalingen tussen bedrijven en particulieren – in het speciaal daarvoor opgerichte bedrijf Transactie Monitoring Nederland (TMNL).
- Het uitbesteden van screening is in strijd met de wet, stellen deskundigen. De toezichthouder – De Nederlandsche Bank – grijpt desondanks niet in, maar ondersteunt het project.
- Het monitoren van banktransacties is niet zonder risico. Volgens de Autoriteit Persoonsgegevens kan het leiden tot discriminatie en het uitsluiten van klanten op basis van vage vermoedens. Uitrecente onderzoeken van onder meer het consultancybedrijf KPMG blijkt dit inderdaad een probleem te zijn. Demissionair minister van Financiën Steven van Weyenberg (D66) noemde de onderzoeksresultaten ‘zeer ernstig’ en ‘heftig’.
- Transactie Monitoring Nederland heeft in drie jaar tijd drieduizend signalen naar de bankengestuurd, waarvan er tweehonderd als ‘ongebruikelijk’ aan de autoriteiten zijn gemeld. Daarvan is naar schatting hoogstens een vijfde aangemerkt als ‘verdacht’. Harde cijfers ontbreken, maar vermoedelijk heeft slechts een klein deel van die verdachte transacties geleid tot een strafrechtelijk onderzoek.
Lees verder
Was dit kader nuttig?
Zijn we blij mee!
Balen!
Vertel ons wat beter kan:
Meld je aan voor onze nieuwsbrief en krijg een maand gratis Follow the Money.
Schrijf je hier in
Het schoonmaakbedrijf van Ahmet draaide overuren dankzij de coronapandemie. Er kwam veel geld op zijn bankrekening, en er ging ook weer veel van af.
De transacties vielen op bij ING die daarom eind 2022 een zogeheten 'cliëntenonderzoek’ startte. Waarom is deze eenmanszaak zo winstgevend?, vroegen medewerkers zich af.
De bank zag dat Ahmet zijn particuliere betaalrekening gebruikte voor zakelijke doeleinden en dat hij veel geld contant opnam, terwijl niet duidelijk was waar dat naartoe ging. Bovendien gingen er ‘grote bedragen’ van de zakelijke betaalrekening naar zijn privérekening.
Allemaal transacties die volgens de bank mogelijk betekenden dat Ahmet geld witwaste, zo blijkt uit een recente procedure bij de rechtbank Midden-Nederland.
Op grond van de anti-witwaswet (Wwft) zijn banken verplicht betalingen in de gaten te houden. Als ze transacties niet (voldoende) ‘monitoren’, dreigt een boete van de toezichthouder. Daarom krijgen talloze rekeninghouders te maken met zo’n cliëntenonderzoek.
‘Banken kunnen klanten uitsluiten op basis van vage of zelfs discriminerende aannames’
Maar dat naar Ahmet nam een dramatische wending.
Toen ING hem om opheldering vroeg, kon hij de twijfels niet wegnemen. Daarop zei de bank wettelijk verplicht te zijn de zakelijke relatie met hem te beëindigen.
Ze eiste ook de hypotheeklening op, waardoor zijn huis per executieveiling dreigde te worden verkocht. Want het was maar de vraag of hij bij een andere bank een hypotheek kon krijgen, nu er een kruisje achter zijn naam stond.
Om de executieverkoop te voorkomen, restte de ondernemer niets anders dan een kort geding tegen ING. De rechteroordeelde begin dit jaar dat het opzeggen van de hypotheek onredelijk was, ook al zou er sprake kunnen zijn van ‘onregelmatigheden’ in de bedrijfsvoering.
Er gebeuren vaker ongelukken bij zulke onderzoeken. Mensen met een niet-westerse achtergrond en een niet-westers klinkende achternaam worden bijvoorbeeld ruim twee keer zo vaak gecontroleerd, onthulde het televisieprogramma Radareind mei.
Ook deAutoriteit Persoonsgegevens (AP) zei vorig jaar dat banken klanten kunnen uitsluiten op basis van niet meer dan vage of zelfs discriminerende aannames.
In strijd met de wet
Dat banken verplicht zijn betalingen te screenen op mogelijk criminele geldstromen brengt dus – naast heel veel werk – ook risico’s met zich mee. Bovendien hanteren banken een ruime interpretatie van hun wettelijke plicht.
De vijf grote banken (ABN Amro, ING, Rabobank, Volksbank en Triodos) screenen betalingen sinds 2021 zelfs gezamenlijk in één bedrijf: de besloten vennootschap Transactie Monitoring Nederland (TMNL), dat is gevestigd aan de Zuidas in Amsterdam.
Door transacties in samenhang te monitoren, zeggen ze signalen van witwassen beter te kunnen opvangen. Maar ze gaan daarmee veel verder dan de wet van ze verlangt. Volgens deskundigen handelen ze zelfs in strijd met de wet.
Overmatige controle en discriminatie
6 procent van de bankklanten ervaart overmatige controle en discriminatie, concludeerdehet consultancybureau KPMG vorige maand in eenonderzoek in opdracht van het ministerie van Financiën. Onder mensen met een niet-westerse migratieachtergrond is dit met 32 procent vijf keer zo hoog.
Demissionair minister van Financiën Steven van Weyenberg (D66) noemde de voorbeelden in het rapport ‘zeer ernstig’ en ‘heftig’.
De Nederlandsche Bank (DNB) deed ook onderzoek enconcludeerde eind mei dat banken meer moeten doen om discriminatie tegen te gaan. ‘De bestaande maatregelen zijn nog niet concreet of gericht genoeg. Bovendien is anti-discriminatiebeleid vaak gericht op de eigen werkvloer en niet op het contact met de klant.’
Bij Transactie Monitoring Nederland werken inmiddels zestig mensen, merendeels it’ers. Ze bouwen algoritmes die in de transactiedata van de vijf banken speuren naar patronen die kunnen wijzen op witwassen. Die data zijn gepseudonimiseerd, dus voor TMNL niet te herleiden tot de natuurlijke persoon of rechtspersoon op wiens naam de bankrekening staat.
Navraag leert dat alleen onderlinge overboekingen tussen particulieren en het betalingsverkeer van heel grote bedrijven zijn uitgesloten van transactiemonitoring door TMNL.
Maar in principe kan het bedrijf alle betalingen, stortingen en opnames screenen van alle bv’s, nv’s, eenmanszaken, vof’s, verenigingen, stichtingen en coöperaties die een rekening hebben bij een van de vijf banken. Dus ook transacties tussen deze zakelijke partijen en particulieren. Al met al miljoenen transacties per dag.
TMNL stuurt de bank een ‘alert’ als het algoritme een transactie beoordeelt als ongebruikelijk
Als het algoritme een betaling opmerkelijk vindt, dan geeft TMNL een signaal (‘alert’) aan de bank van de rekeninghouder. Die bank onderzoekt of de betaling past in het normale patroon van de klant. Blijkt de transactie ‘ongebruikelijk’, dan volgt meestal een cliëntonderzoek en mogelijk, zoals bij Ahmet, beëindiging van de klantrelatie.
Ongebruikelijke transacties moet de bank bovendien – met naam en toenaam – doorgeven aan een centraal meldpunt, de Financial Intelligence Unit (FIU). Die kijkt of de bewuste overboeking kan worden bestempeld als een verdachte transactie. Zo ja, dan alarmeert deze eenheid de Fiscale inlichtingen- en opsporingsdienst (Fiod) die dan eventueel onderzoek doet.
Uitbestedingsverbod
TMNL heeft in dedrie jaar van zijn bestaan naar eigen zeggen drieduizend vermoedens van witwassen 'gegenereerd’, die hebben geleid tot tweehonderd meldingen bij de Financial Intelligence Unit.
Dat is op zijn minst opmerkelijk te noemen. Artikel 10 van de anti-witwaswet verbiedt banken het monitoren van transacties uit te besteden aan een andere partij.
Dit heeft meerdere redenen, waaronder de privacy: ze mogen niet zomaar (gepseudonimiseerde) gegevens delen met derden – dus ook niet met een bedrijf dat de banken zelf hebben opgericht. De wet kent ook geen onderscheid tussen zakelijke en particuliere transacties.
Dossier
Fraude en witwassen
Witteboordencriminaliteit wordt veronachtzaamd, terwijl daar absurd veel geld in omgaat.
Bekijk artikelen
Hoe is het dan mogelijk dat TMNL al jarenlang transacties monitort, terwijl dat verboden is? En waarom staat de toezichthouder – De Nederlandsche Bank – dit toe?
Om deze kloof te dichten, werkte het ministerie van Financiën vanaf 2020 aan een aanpassing van de anti-witwaswet, met ruimere bevoegdheden voor de banken. In het voorstel voor de ‘Wet plan van aanpak witwassen’ mogen banken onderling klantgegevens delen en samen transacties vanaf 100 euro monitoren.
Dit voorstel was expliciet bedoeld om een wettelijke basis te creëren voor een derde partij als ‘gezamenlijke voorziening’ van banken, zo blijkt uit dememorie van toelichting. Het verbod om de screening uit te besteden zou zo verdwijnen.
De Raad van State sprak van ‘vergaande inbreuken’ op de privacy en de rechtsbescherming
In de memorie staat ook dat banken alleen gepseudonimiseerde gegevens delen met de gezamenlijke voorziening (TMNL). Die heeft vervolgens als enige taak het ‘genereren van alerts’. Banken moeten zelf onderzoeken of de gesignaleerde transactie ongebruikelijk is. De opvolging van alerts – waarvoor naam en toenaam van de rekeninghouder nodig zijn – kan volgens de memorie niet worden uitbesteed.
Het wetsvoorstel beschrijft dus precies de bestaande werkwijze tussen de banken en TMNL.
‘Gaat veel te ver’
De regelgeving zou neerkomen op het toestaan van massasurveillance: tien miljard transacties van 35 miljoen klanten onder de loep, zonder enige gegronde verdenking.
De Raad van State schreef in 2021 in eenadvies: ‘Daarbij gaat het niet alleen om een vergaande inbreuk op het recht op privacy, deze monitoring kan ook leiden tot uitsluiting en discriminatie. De noodzaak en proportionaliteit van de gezamenlijke transactiemonitoring zijn niet aangetoond. Daarbij komt dat de rechtsbescherming in het geding is.’
De Autoriteit Persoonsgegevens (AP) liet er al direct in 2020 geen spaan van heel: het ‘bancair sleepnet’ is disproportioneel vanwege privacy-inbreuk en in strijd met Europese verdragen.
Dat de gegevens gepseudonimiseerd gedeeld worden, ‘doet niet af aan de risico’s voor betrokkenen,’schreef de AP vorig jaar zomer in een tweede advies. ‘De voorgestelde monitoring gaat echt veel te ver,’ zei een bestuurder.
Kortom, zelfs mét deze aanpassing van de anti-witwaswet zou TMNL volgens deze toezichthouder illegaal zijn.
Brussel zegt nee
Het ministerie liet zich al die tijd niet op andere gedachten brengen.
Dat veranderde pas toen in februari van dit jaar een nieuwe Europese wet voor de bestrijding van witwassen sowieso een streep zette door het ongebreideld verschaffen van privacygevoelige gegevens aan derden. Dat mag alleen van rekeninghouders ‘die geassocieerd worden met een hoger risico’. De banken voorzien TMNL echter van de transactiedata van Jan en alleman.
In aprilschreef Steven van Weyenberg, de demissionaire minister van Financiën (D66), aan de Kamer dat hij er met het oog op die nieuwe Europese regelgeving de voorkeur aan geeft het eigen wetsvoorstel grotendeels in te trekken.
‘Het lijkt erop dat de banken in afwachting van de nieuwe wet alvast voor de troepen uit zijn gelopen’
De wettelijke basis voor het bedrijf TMNL is daarmee definitief van de baan. Maar verontruste Kamerleden wilden vanwege het uitbestedingsverbod graag van de minister horen of transactiemonitoring door TMNL dan wel geoorloofd is.
Zijn antwoord was veelzeggend: ‘Of de huidige activiteiten van TMNL kwalificeren als uitbesteding kan ik niet aangeven, het is niet aan de regering om in individuele gevallen een oordeel te geven over de uitleg van de wet.’
Dat Financiën niet bereid is de toelaatbaarheid van TMNL te verdedigen, is niet verwonderlijk, zegt Bart Joosen, hoogleraar financieel recht aan de Universiteit Leiden. De huidige werkwijze staat volgens hem inderdaad haaks op de wet.
‘Het monitoren van zakelijke transacties is in strijd met het uitbestedingsverbod,’ zegt Joosen. ‘Voor de bestrijding van witwassen is het monitoren van zakelijke betalingsverkeer juist essentieel. Het lijkt erop dat de banken wel erg voor de troepen uit zijn gelopen in afwachting van de nieuwe wet.’
Toezichthouder kijkt toe
Niettemin stemde De Nederlandsche Bank, die toezicht houdt op de uitvoering van de anti-witwaswet, in met de oprichting van TMNL.
Sterker nog, DNB was enthousiast betrokken bij de opzet van het bedrijf. ‘DNB is geen partner in dit project, maar steunt het wel en draagt waar mogelijk bij in de vorm van het delen van kennis,’ schreef ze in 2022 in eenrapport.
Tegelijkertijd merkte de toezichthouder toen op dat het mogelijk moest zijn het monitoren uit te besteden aan andere partijen. ‘Artikel 10 Wwft [het uitbestedingsverbod, red.] staat dat nu in de weg.’
Op verzoeken om een toelichting geeft DNB geen antwoord. Of de activiteiten van TMNL zijn getoetst aan de wet is volgens een woordvoerder 'toezichtsvertrouwelijk'.
Hoe lang DNB dit kan volhouden, is de vraag.
Wij doen niet aan transactiemonitoring, zegt het bedrijf Transactie Monitoring Nederland
Simon Lelieveldt, specialist op gebied van financiële regelgeving, verzocht DNB namens zijn stichtingHuman Rights in Finance TMNL plat te leggen om een eind te maken aan ‘grondrechtenschendingen’. DNB heeft daar geen zin in, blijkt uit een reactie die Follow the Money kon inzien. Daarom spande Lelieveldt een handhavingsprocedure aan bij de rechtbank.
‘In een toekomst waarin artificial intelligence op basis van data beslissingen gaat nemen, moet elke dataverwerking een juridische grondslag hebben,’ zegt Lelieveldt. ‘Maar die grondslag is er niet. Banken beloven dat ze zich aan de spelregels houden, maar wat is dat waard als ze al drie jaar de wet hun laars lappen?’
Datapot TMNL
TMNL zelf zegt dat er geen sprake is van uitbesteding van transactiemonitoring, omdat die taak bij de banken zelf ligt.
‘De banken zijn ook zelf verantwoordelijk voor de melding van ongebruikelijke transacties aan de FIU [dat was ook de opzet in het wetsvoorstel, red.]. Het werk van TMNL is aanvullend op de transactiemonitoring van banken en richt zich op geldstromen van criminelen tussen banken, die individuele banken niet kunnen ontdekken.’
Ook zegt het bedrijf dat het alleen zakelijke transacties onder de loep neemt, waarmee het suggereert dat het uitbestedingsverbod niet zou gelden voor het monitoren van zakelijk betalingsverkeer.
Maar voor die opvatting is in het wetsvoorstel en de memorie van toelichting geen steun te vinden, zoals hoogleraar Joosen betoogt. Daar komt bij: ook alle transacties tussen zakelijke rekeningen en particulieren vallen in de datapot van TMNL.
‘De conclusie is,’ zegt Simon Lelieveldt, ‘dat TMNL sinds 2021 illegaal miljarden transacties heeft gemonitord en dat DNB dit al die tijd heeft gedoogd.’
TMNL beweert dat geen ‘alerts’ genereert, alleen ‘test samples’
Het bedrijf Transactie Monitoring Nederland ontkent dat het de wet overtreedt.
De signalen die TMNL genereert zijn volgens een woordvoerder (nog) geen alerts, zoals het wetsvoorstel het noemt, maar ‘test samples’. Reden is dat TMNL nog geen enkel model ‘in productie’ heeft, maar ‘alleen in een testfase’.
De website van TMNL wekt een andere indruk.
‘Samen gaan zij [de banken, red.] de strijd aan tegen financiële criminaliteit, door in samenhang de betalingstransacties van de banken temonitoren op signalen ' En: 'Momenteel monitort TMNL alleen transacties van zakelijke klanten.'
In een filmpje legt TMNL uit dat het alerts genereert. Nergens staat dat het project zich in een testfase bevindt. In 2020 meldde TMNL al dat de ‘daadwerkelijke transactiemonitoring’ het jaar daarop van start zou gaan.
‘Dit is transactiemonitoring – onderscheid tussen alert en test sample is juridische haarkloverij’
Bovendien doet TMNL precies wat in de toelichting op het wetsvoorstel staat: op basis van gepseudonimiseerde data vermoedens van witwassen doorgeven, waarna de banken zelf bepalen of de transacties ongebruikelijk zijn. Dat leverde zoals eerder genoemd drieduizend signalen op en tweehonderd meldingen aan de FIU.
Follow the Money vroeg aan TMNL of er een verschil bestaat tussen een test sample en een alert. Dat blijkt er niet te zijn: TMNL weerspreekt niet dat een alert inhoudelijk hetzelfde is als test sample, en wijst erop dat de modellen nog ‘in ontwikkeling’ zijn. Een medewerker die anoniem wil blijven, bevestigt dat er geen verschil is: ‘Over de gekozen woorden is heel goed nagedacht.’
Hoogleraar Bart Joosen: ‘Deze antwoorden [van TMNL, red.] zijn gekunsteld. Het is juridische haarkloverij. Dit is transactiemonitoring zoals de wet het omschrijft.’
Volgens TMNL is het gezamenlijke monitoren van transacties ‘zeer waardevol’ gebleken. Zijn analyses ‘hebben geholpen om financiële criminaliteit aan het licht te brengen die niet door de individuele banken ontdekt konden worden’.
Is dit inderdaad zo?
Dat is niet eenvoudig te beoordelen omdat het ontbreekt aan heldere cijfers. Wel is duidelijk dat de banken, op basis van alerts van TMNL, in ruim drie jaar tijd tweehonderd ongebruikelijke transacties bij de Financial Intelligence Unit hebben gemeld. Maar het bedrijf zegt niet te weten hoeveel van die transacties door de FIU zijn beoordeeld als verdacht.
Vermoedelijk leverde TMNL zo'n 36 'verdachte transacties’ op, waarvan 17 procent ‘bruikbaar is voor strafrechtelijk onderzoek’
Uit het jaarverslag van de FIU is op te maken dat in 2022 alle banken bij elkaar ruim een half miljoen ongebruikelijke transacties hebben gemeld, waarvan ongeveer 10 procent als verdacht is bestempeld. In de twee voorgaande jaren was dat respectievelijk 16 en 18 procent. Gerekend met dit laatste percentage leverde TMNL vermoedelijk niet meer dan maximaal 36 verdachte betalingen op.
Hoeveel daarvan tot onderzoek en vervolging leidden, is ook niet precies vast te stellen. De FIU zelf zegt niet over die gegevens te beschikken. Het Openbaar Ministerie (OM) meldt desgevraagd dat 17 procent van alle FIU-dossiers (verdachte transacties) ‘bruikbaar is voor opsporing en voor het starten van nieuwe strafrechtelijke onderzoeken’.
Op basis hiervan zouden de alerts van TMNL tot circa zes onderzoeken hebben geleid. Of dat ook resulteerde in vervolging, zegt het OM niet te weten.
De vraag is of zo’n opbrengst illegale massasurveillance kan rechtvaardigen.
Naschrift: dit artikel is op 18 juni aangepast. Het was ING niet Rabobank waartegen Ahmet procedeerde. Die fout is ontstaan omdat Rabobank ook genoemd was in het vonnis.
