Kamerstuk

Datum publicatieOrganisatieVergaderjaarDossier- en ondernummer
Tweede Kamer der Staten-Generaal2018-201935238 nr. 6

35 238 Wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd ontsluiten van identificerende gegevens alsmede enkele andere gegevens door banken en andere betaaldienstverleners (Wet verwijzingsportaal bankgegevens)

Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 9 september 2019

Inleiding

Ik ben de vaste commissie voor Financiën erkentelijk voor de aandacht die zij aan het onderhavige wetsvoorstel heeft geschonken en voor de door haar daarover gestelde vragen. Deze vragen worden beantwoord in de volgorde van het door de commissie uitgebrachte verslag. Voor zover vragen, vanwege overeenkomst van onderwerp, gezamenlijk beantwoord zijn, is dit vermeld. Ik heb er goede nota van genomen dat de commissie het voorstel voldoende voorbereid acht voor openbare behandeling bij afdoende beantwoording van de gestelde vragen en opmerkingen.

Deze nota naar aanleiding van het verslag wordt mede namens de Minister van Justitie en Veiligheid gegeven.

ALGEMEEN DEEL

1 De leden van de fractie van GroenLinks vragen hoe en wanneer de doelmatigheid van het VB wordt geëvalueerd. Op basis van welke criteria?

Het verwijzingsportaal is een technische voorziening die het mogelijk maakt sneller en accurater gegevens te vorderen en op te vragen op basis van bestaande wettelijke bevoegdheden. Onderdeel van de governance van het verwijzingsportaal bankgegevens is dat de werking van het portaal zal worden ge-audit. De audit ziet op de werking van het verwijzingsportaal bankgegevens en de kwaliteit van de vorderingen, verzoeken en verstrekkingen van gegevens. Een voorbeeld van een specifieke indicator is het percentage bevragingen dat binnen de streeftijd van 30 seconden leidt tot verstrekking van gegevens. Verder vindt een periodiek overleg plaats tussen het Ministerie van Justitie en Veiligheid en de gebruikers van het verwijzingsportaal bankgegevens over de gebruikerswensen ten aanzien van het systeem.

2 De leden van de SP-fractie vragen de regering waarom niet al eerder besloten is om dit proces te automatiseren.

De wens om dit proces te automatiseren is eerder bij brief van 20 december 2013 van de Minister van Justitie en Veiligheid over de Rijksbrede aanpak van fraude met de Kamer gedeeld. Vanaf die datum is in afstemming met de bankensector en de betrokken overheidspartijen gewerkt aan de vormgeving van het verwijzingsportaal bankgegevens.

3 Deze leden vragen de regering daarnaast welke verdere uitbreidingen van het verwijzingsportaal bankgegevens (VB) gewenst of bedacht zijn.

Met de bankensector en de betrokken overheidsdiensten wordt momenteel gesproken over welke uitbreidingen wenselijk zijn. Dit bevindt zich nog in de inventarisatiefase. Wel bestaat het voornemen om het verwijzingsportaal ook te gaan gebruiken voor het opvragen van identificerende gegevens door de Belastingdienst, om zo de identiteit te achterhalen van een betaler in het geval van een onjuist betalingskenmerk of als een betalingskenmerk ontbreekt. Over verdere uitbreiding van het verwijzingsportaal bankgegevens is nog geen besluit genomen.

4 Voorts vragen de leden van de SP-fractie hoe en wanneer de doelmatigheid van het VB geëvalueerd zal worden.

Hiervoor wordt verwezen naar het antwoord op vraag 1.

5 De leden van de SP-fractie vragen tevens waarom er voor is gekozen om een evaluatie in te stellen via AMvB en waarom dat niet in de wetstekst zelf toegevoegd kan worden?

Er is voor gekozen om in het wetvoorstel geen evaluatiebepaling op te nemen, maar bij algemene maatregel van bestuur te voorzien in een jaarlijks door de Minister van Justitie en Veiligheid op te stellen verslag en een tweejaarlijks uit te voeren audit naar de uitvoering van het Besluit verwijzingsportaal bankgegevens. Hiermee kunnen het gebruik en de werking van het verwijzingsportaal bankgegevens worden gemonitord. Het verslag ziet op het aantal malen dat door tussenkomst van het verwijzingsportaal bankgegevens gegevens zijn opgevraagd en gevorderd door bevoegde autoriteiten en verstrekt door banken, uitgesplitst naar wettelijke grondslag van de vordering of het verzoek en naar bevoegde autoriteit. De audit ziet op de werking van het verwijzingsportaal bankgegevens en op de kwaliteit van de vorderingen, verzoeken en verstrekkingen van gegevens. Aangezien de regels over het gebruik en de werking van het verwijzingsportaal bankgegevens zijn opgenomen in het Besluit verwijzingsportaal bankgegevens, is ook de regeling van de verslaglegging en de audit daarin opgenomen. Het besluit wordt op korte termijn openbaar geconsulteerd.

2. Aanleiding en doel van het wetsvoorstel

6 De leden van de VVD-fractie willen weten in hoeverre dit wetsvoorstel bijdraagt aan uniformering en standaardisering? Zij vragen ook wat wordt bedoeld met dat dit wetsvoorstel «»(in beginsel)»» uniformeert?

Banken worden op dit moment op verschillende manieren benaderd door de betrokken overheidspartijen met vorderingen en bevragingen. Het verwijzingsportaal bankgegevens uniformeert en standaardiseert dit proces en de vorm waarin de informatie met dit proces wordt gedeeld. Het verwijzingsportaal bankgegevens is een centraal loket waarbij vorderingen en verzoeken om gegevens door betrokken overheidsdiensten kunnen worden ingediend en waarbij banken de gevorderde of gevraagde gegevens kunnen verstrekken. Omdat de bevoegdheden van de betrokken overheidspartijen verschillend zijn kan er geen sprake zijn van gehele uniformering van dit proces.

7 Deze leden vragen verder hoeveel tijd er verloren gaat met het handmatig opvragen van deze gegevens? Hoeveel tijd wordt er dus gewonnen met dit wetsvoorstel?

De praktijk leert dat bij het handmatig vorderen en opvragen van gegevens bij banken het langere tijd kan duren voordat de gegevens verstrekt worden. Dit kan variëren van enkele dagen tot enkele weken. Een bevraging via het verwijzingsportaal bankgegevens levert binnen 30 seconden resultaat. Een berekening van de tijd die met dit wetsvoorstel wordt gewonnen is niet mogelijk, omdat geen registratie plaatsvindt van de tijd die het op dit moment kost om gegevens handmatig te vorderen en op te vragen.

8 De leden van de SP-fractie erkennen dat sneller uitwisselen effectief kan zijn voor de opsporing van witwassen en terrorismefinanciering, toch vragen zij waar de stelling dat transparantie een afschrikwekkende werking heeft op gebaseerd is.

Niet duidelijk is waar deze leden genoemde stelling hebben gevonden.

2.1 Wenselijkheid van geautomatiseerde ontsluiting

9 De leden van de VVD-fractie begrijpen dat dit wetsvoorstel niet zo zeer de opsporings- en controlebevoegdheden van de respectievelijke overheidsorganen verandert, maar vooral de techniek en elektronische procedure waarmee die bevoegdheden worden uitgeoefend. Kan de regering deze globale duiding bevestigen?

Dit is correct. Het verwijzingsportaal bankgegevens is een technische voorziening die het mogelijk maakt sneller en accurater gegevens te vorderen of op te vragen en te verstrekken op basis van al bestaande bevoegdheden.

10 De leden van de VVD-fractie vragen zich verder af wat het portaal verandert aan de internationale uitwisseling van gegevens. Nu elke EU-lidstaat beschikt over een vergelijkbaar systeem, zou het gemakkelijk moeten worden internationale opsporingsverzoeken te accommoderen. Hoe ziet de regering zich dit ontwikkelen?

Nu elke lidstaat een geautomatiseerd en gecentraliseerd systeem moet hebben voor het opvragen of vorderen van identificerende gegevens, zullen in EU-verband dit soort gegevens in het kader van grensoverschrijdende opsporingsonderzoeken inderdaad sneller kunnen worden uitgewisseld.

11 De leden van de D66-fractie lezen dat het huidige proces van vorderen of opvragen van gegevens te langzaam is. Hoelang duurt het momenteel gemiddeld om bij vordering of opvraging te beschikken over de gevraagde gegevens? Hoe vaak komt het nu voor dat er fouten staan in de opgevraagde gegevens? Met hoeveel denkt de regering dit te kunnen versnellen en verbeteren door de voorgestelde automatische koppeling?

De praktijk leert dat bij het handmatig vorderen en opvragen van gegevens aan banken het langere tijd kan duren voordat de gegevens verstrekt worden. Dit kan variëren van enkele dagen tot enkele weken. Een bevraging via het verwijzingsportaal bankgegevens levert binnen 30 seconden resultaat.

Het is met de huidige wijze van handmatig vorderen en bevragen niet mogelijk een uitspraak te doen over hoe vaak het voorkomt dat er fouten staan in de opgevraagde gegevens. Er kunnen op twee manieren onjuiste gegevens worden verstrekt. In de eerste plaats kan de bank onjuiste gegevens geregistreerd hebben in haar administratie en deze onjuiste gegevens verstrekken. In de tweede plaats kan de bank minder gegevens verstrekken dan gevraagd of gegevens verstrekken die niet worden gevraagd. Voor het eerstgenoemde geval geldt dat het verwijzingsportaal bankgegevens de datakwaliteit van banken niet kan verbeteren. De banken zijn hiervoor zelf verantwoordelijk. Om zoveel mogelijk te voorkomen dat banken onjuiste gegevens verstrekken, zoals bedoeld in het tweede geval, wordt bij de ingebruikname van het verwijzingsportaal bankgegevens met elke bank afzonderlijk uitvoerig getest of zij de juiste gegevens uit hun administraties leveren.

12 De leden van de fractie van GroenLinks vragen de regering iets meer context te schetsen over het aantal vorderingen en verzoeken dat jaarlijks (handmatig) plaatsvindt. Kan dat per partij worden uitgesplitst?

Blijkens het WODC-onderzoek uit 2011, Brandstof voor de opsporing: Evaluatie Wet bevoegdheden vorderen gegevens, bedroeg in 2008 het aantal vorderingen op grond van artikel 126nc Wetboek van Strafvordering 6000. In 2011 geven de betrokken partijen aan dat de aantallen sindsdien fors zijn gestegen. Volgens recente schattingen van de politie, bijzondere opsporingsdiensten en Belastingdienst dient de politie tussen de 9.500 en 11.500 vorderingen per jaar in. Door de bijzondere opsporingsdiensten gezamenlijk ongeveer tussen de 5.000 en 6.500 vorderingen. Recentere cijfers zijn niet beschikbaar.

De Belastingdienst gaat het verwijzingsportaal bankgegevens gebruiken voor meerdere processen. Voor de verifiëring van bankrekeningnummers (1BRN) in verband met het doen van betalingen geldt dat dit thans gaat om circa 700.000 tot 900.000 verzoeken per jaar. Daarnaast vinden nog verzoeken plaats die verband houden met de inning van belastingen en de betaling van toeslagen. Het betreft ongeveer 25.000 verzoeken per jaar.

13 De leden van de SP-fractie vragen de regering hoe zij gaat beoordelen welke stijging in het bevragen van informatie onwenselijk is. Wat zou zij vinden van een situatie waar de standaard werkwijze behelst dat ieders gegevens opgevraagd worden?

Het openbaar ministerie heeft het gezag over de opsporing en ziet toe op de (mate van) inzet van opsporingsbevoegdheden. Het is niet aan de regering om over die inzet te oordelen. De bevoegdheid om gegevens via het verwijzingsportaal bankgegevens te vorderen of op te vragen is wettelijk geregeld. In het kader van opsporing zijn dat de bepalingen in het Wetboek van Strafvordering, de Wet op de economische delicten en de Aanwijzing opsporingsbevoegdheden van het College van procureurs-generaal, in het kader van de FIU de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en in het kader van de Belastingdienst de Algemene wet inzake rijksbelastingen, de Algemene wet inkomensafhankelijke regelingen en de Invorderingswet 1990. Van de bevoegdheid om de gegevens te vorderen of op te vragen kan slechts gebruik worden gemaakt indien voldaan is eisen en voorwaarden die de wettelijke regeling aan toepassing van de bevoegdheid stelt. Van een standaard werkwijze waarmee ieders gegevens worden opgevraagd kan dan ook geen sprake zijn.

2.2. Europese verplichting

14 De leden van de fractie van GroenLinks vragen of dit wetsvoorstel voldoet aan alle eisen van de Europese richtlijn.

Ik begrijp deze vraag aldus dat genoemde Kamerleden doelen op de richtlijn tot wijziging van de vierde anti-witwasrichtlijn (hierna: de wijzigingsrichtlijn)1.

Het onderhavige wetsvoorstel en het Besluit verwijzingsportaal bankgegevens, dat op korte termijn openbaar wordt geconsulteerd, strekken tot implementatie van artikel 32bis van de wijzigingsrichtlijn. Het verwijzingsportaal bankgegevens heeft een breder bereik dan de wijzigingsrichtlijn voorschrijft doordat er meer overheidsinstanties zijn aangesloten en meer soorten gegevens kunnen worden opgevraagd dan de wijzigingsrichtlijn voorschrijft. Het verwijzingsportaal bankgegevens voldoet daarmee volledig aan de vereisten van artikel 32bis.

2.3 Het verwijzingsportaal bankgegevens

15 De leden van de fractie van GroenLinks vragen de regering of is overwogen om een systeem met fiattering binnen het VB daadwerkelijk te testen, om vast te kunnen stellen of er daadwerkelijk sprake zou zijn van vertraging en in hoeverre dit opweegt tegen de risico’s van fiattering buiten het VB.

In de ontwerpfase van het verwijzingsportaal bankgegevens is met de banken en betrokken overheidsdiensten uitvoerig overleg gevoerd over de wijze van fiattering. Fiattering is immers geen wettelijk vereiste, maar beleid. Op basis van dit overleg is overeenstemming bereikt over de keuze om de fiattering buiten het portaal te laten plaatsvinden. Daarbij zijn tevens maatregelen afgesproken die mogelijke risico’s van fiatteren buiten het portaal afdoende mitigeren. Deze maatregelen betreffen onder meer: uitvoering van een periodieke audit, een gebruikersprotocol waarin is vastgelegd hoe het verwijzingsportaal bankgegevens door overheidsdiensten moet worden gebruikt en een aanpassing van de aanwijzing van het OM betreffende het gebruik van bevoegdheden door opsporingsdiensten.

2.4 Identificerende en andere gegevens

16 De leden van de VVD-fractie vragen of er nog andere manieren zijn, naast het zoeken op het Burgerservicenummer (BSN), om effectieve en efficiënte gegevensopsporing te bevorderen.

In het verwijzingsportaal bankgegevens kunnen op verschillende manieren identificerende gegevens worden opgevraagd bij banken. Op basis van productgegevens (bijvoorbeeld IBAN of ander productnummer) kunnen cliëntgegevens worden opgevraagd, op basis van cliëntgegevens (BSN, naam-adres-woonplaats, KvK-nummer) kunnen productgegevens worden opgevraagd en gegevens van personen die zeggenschap hebben over deze producten.

17 De leden van de CDA-fractie constateren dat er bij of krachtens algemene maatregel van bestuur zal worden uitgewerkt welke soorten gegevens via het verwijzingsportaal beschikbaar en opvraagbaar zullen zijn. Ook lezen deze leden dat welke gegevens een aangesloten overheidsinstantie in een concreet geval kan opvragen of vorderen af zal hangen van de grondslag waarvoor die gebruikt wordt. De leden van de CDA-fractie begrijpen dat in het kader van doelbinding en de algemene verordening gegevensbescherming (AVG) het van belang is dat duidelijk is omschreven wanneer een overheidsinstantie gebruik mag maken van informatie in het verwijzingsportaal. Deze leden vragen de regering of er rekening is gehouden met omstandigheden dat een overheidsinstantie op basis van verschillende bevoegdheden verschillende informatie kan opvragen en deze zelf kan combineren tot een overzicht. Acht de regering dit wenselijk? En is dit toegestaan op basis van de AVG, zo vragen leden van de CDA-fractie.

Ten behoeve van het gebruik van het verwijzingsportaal bankgegevens is voorzien in een autorisatie- en inlogvoorziening waarmee uitsluitend medewerkers die op grond van hun functie bevoegd zijn bepaalde gegevens op te vragen, toegang krijgen tot het verwijzingsportaal. De betreffende medewerker is gebonden aan de vorderingsgrondslag en kan niet meer of andere gegevens opvragen dan waartoe hij bevoegd is. Een medewerker kan binnen een instantie geautoriseerd worden om het verwijzingsportaal op grond van meerdere wettelijke bevoegdheden te bevragen. Er kan echter geen sprake zijn van het vervolgens combineren van de verkregen informatie. Verdere verwerking van de ontvangen informatie is alleen mogelijk wanneer bestaande wet- en regelgeving daarvoor ruimte biedt.

18 Ook vragen de leden van de CDA-fractie hoe een zoekopdracht concreet in zijn werk gaat. Kan een overheidsinstantie op basis van enkele identificerende gegevens binnen het verwijzingsportaal alle overige, nog ontbrekende gegevens opzoeken?

Het geven van een zoekopdracht in het verwijzingsportaal bankgegevens gaat als volgt. Allereerst zorgt de (opsporings)ambtenaar ervoor dat hij beschikt over een door een hulpofficier van justitie/teamleider ondertekende vordering/verzoek. Als dat het geval is logt de (opsporings)ambtenaar in op het verwijzingsportaal bankgegevens en gaat akkoord met de gebruikersvoorschriften. Hij vult de rechtsgrond in waarop gevorderd/gevraagd wordt en verklaart door middel van aanvinken dat de vordering is ondertekend door de hulpofficier van justitie/teamleider. Vervolgens kiest hij op basis van welke informatie identificerende gegevens worden gevorderd/opgevraagd, te weten op basis van cliëntgegevens of op basis van productgegevens, en voert deze gegevens in en geeft ook aan bij welke bank(en) wordt gevorderd/opgevraagd. Vervolgens verstuurt de (opsporings)ambtenaar de opdracht naar de bank(en). Na ontvangst van de vordering/het verzoek verzamelt de bank de gevraagde gegevens en verstrekt deze aan de opvragende instantie. De verstrekte gegevens worden door de bank in twee bestandsformaten in het verwijzingsportaal aangeboden, binnen 30 seconden na indienen van het verzoek. De (opsporings)ambtenaar download de bestanden binnen vijf minuten na het aanbieden van de gegevens en slaat deze op in de eigen werkomgeving. De verstrekte bestanden worden na vijf minuten uit het verwijzingsportaal verwijderd. En overheidsinstantie kan alleen die gegevens vorderen/opvragen waartoe hij op grond van een wettelijke bevoegdheid, genoemd in het wetsvoorstel, bevoegd is.

2.5 Aansluiting op het verwijzingsportaal bankgegevens: private partijen

19 De leden van de VVD-fractie vragen of en hoe dit wetsvoorstel kan bijdragen aan de onderlinge samenwerking tussen de Nederlandse banken. Zij wijzen daarbij op de «verlanglijst tegen witwassen en terrorismefinanciering», waarin wordt gepleit voor meer mogelijkheden om gezamenlijk te werken aan «customer due diligence» en transactiemonitoring.

In het kader van het plan van aanpak witwassen dat ik samen met de Minister van Justitie en Veiligheid op 30 juni aan de Tweede Kamer heb gezonden, heb ik ook onderzoek gedaan naar de mogelijkheden voor informatie-uitwisseling. Daarbij heb ik ook gekeken naar de mogelijkheden voor gezamenlijk cliëntenonderzoek en gezamenlijke transactiemonitoring. Er bestaan op dit moment geen wettelijke belemmeringen voor gezamenlijk cliëntenonderzoek.

Er bestaan wel wettelijke belemmeringen voor een gezamenlijke transactiemonitoring, omdat op grond van de Wwft uitbesteding van de transactiemonitoring niet is toegestaan. Momenteel bereid ik een wetsvoorstel voor dat deze wettelijke belemmering wegneemt. Dat wetsvoorstel zal ook andere maatregelen bevatten die in het plan van aanpak witwassen zijn aangekondigd, zoals het verbod voor beroeps- en bedrijfsmatige handelende kopers en verkopers van goederen om contante betalingen te accepteren van een bedrag vanaf 3.000 euro. Een concept van dat wetsvoorstel zal dit najaar openbaar worden geconsulteerd.

20 De leden van de fractie van GroenLinks vragen of de regering kan bevestigen dat dit wetsvoorstel er op geen enkele manier toe leidt dat private partijen meer persoonsgegevens van burgers in kunnen zien. Klopt het dat private partijen geen gebruik kunnen maken (als opvragende partij) van het VB?

Het is juist dat het wetsvoorstel geen mogelijkheid biedt voor private partijen om als vragende partij gebruik te maken van het verwijzingsportaal bankgegevens.

2.6 Aansluiting op het verwijzingsportaal bankgegevens: bevoegde overheidsinstanties

21 De leden van de VVD-fractie vragen of er ook andere instanties zijn geweest die interesse hebben getoond om aan te sluiten.

De Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (KBvG) heeft namens de gerechtsdeurwaarders interesse getoond om aan te sluiten op het verwijzingsportaal bankgegevens. Gerechtsdeurwaarders zouden het verwijzingsportaal kunnen gebruiken in hun rol als informatie-instantie op grond van de Uitvoeringswet verordening Europees bevel tot conservatoir beslag op bankrekeningen (Uitvoeringswet EAPO). Er is voor gekozen niet aan dit verzoek te voldoen, aangezien de aangesloten instellingen zijn geselecteerd vanwege hun betrokkenheid bij criminaliteitsbestrijding en belastinginning en de taken van gerechtsdeurwaarders daar los van staan.

22 De leden van de D66-fractie lezen dat een aantal partijen toegang krijgen tot de portaal, waaronder de Nederlandse Voedsel- en Warenautoriteit (NVWA) en de Inspectie Leefomgeving en Transport. Kan de regering aangeven wat hun rol is bij het opsporen en bestrijden van terrorismefinanciering en witwassen?

In het actieplan Rijksbrede aanpak van fraude is in 2013 aan de Kamer gemeld2 dat onderzocht zou worden of het haalbaar is om de wijze van opvragen, vorderen en verstrekken van identificerende gegevens bij en door banken efficiënter in te richten door dit proces te automatiseren. Daarbij is het altijd de bedoeling geweest dit in het kader van opsporing te doen voor alle strafbare feiten waarvoor de bevoegdheid bestond deze gegevens te vorderen. Het zou immers niet efficiënt zijn om voor bepaalde strafbare feiten het proces te automatiseren en voor andere strafbare feiten het handmatige proces te laten voortbestaan. De nationale beleidswens gaat dus verder dan de wijzigingsrichtlijn, die zich enkel richt op witwassen en terrorismefinanciering. Overigens is recent een Europese richtlijn aangenomen die de lidstaten verplicht het verwijzingsportaal bankgegevens voor de opsporing van meer strafbare feiten dan alleen witwassen en terrorismefinanciering beschikbaar te stellen.3 Overigens kunnen de opsporingsonderzoeken die de NVWA en de ILT uitvoeren aspecten bevatten die betrekking hebben op het witwassen van crimineel vermogen.

23 Deze leden vragen verder of de regering voor alle in de memorie van toelichting genoemde organisaties kan aangeven bij hoeveel zaken van terrorismefinanciering en witwassen zij de afgelopen tien jaar jaarlijks betrokken zijn geweest?

Over de betrokkenheid van deze organisaties bij aantallen zaken met betrekking tot terrorismefinanciering en witwassen is geen (actuele) informatie beschikbaar. Zie ook het antwoord op vraag 22.

24 De leden van de fractie van GroenLinks constateren dat het VB ook gebruikt kan worden om misbruik met toeslagen te voorkomen. In hoeverre had dit wetsvoorstel de problemen bij de Belastingdienst in het kader van de fouten die zijn gemaakt bij de kinderopvangtoeslag kunnen vergroten of verkleinen?

Het klopt dat het verwijzingsportaal bankgegevens ook voorziet in de mogelijkheid om gegevens op te vragen die voor de uitbetaling van toeslagen van belang zijn. Concreet gaat het daarbij om de mogelijkheid om te controleren of een toeslag wordt uitbetaald op een bankrekening die op naam staat van de toeslaggerechtigde. Omdat de Belastingdienst de gegevens die via het verwijzingsportaal bankgegevens verstrekt zullen worden al kon opvragen bij de banken, heeft dit geen invloed (gehad) op de problematiek rondom de kinderopvangtoeslag. Door het proces via het verwijzingenportaal te laten verlopen is dit sneller, minder bewerkelijk en kan de privacy van rekeninghouders nog beter worden geborgd. In het algemeen voorziet dit wetsvoorstel in digitalisering en uniformering van reeds bestaande mogelijkheden voor gegevensuitwisseling. Door dit wetsvoorstel kan de Belastingdienst in algemene zin zijn bestaande wettelijke taken beter uitvoeren.

2.7 Het beheer van het portaal

25 De leden van de CDA-fractie lezen dat het portaal zal worden beheerd door de Justitiële Informatiedienst. Verdere invulling zal gebeuren via algemene maatregel van bestuur, zo constateren de leden van de CDA-fractie. Deze leden vragen de regering hoe ver de Justitiële Informatiedienst is met de voorbereiding op de inrichting van het portaal. Loopt de Informatiedienst hierbij tegen bepaalde knelpunten aan of is de ontwikkeling tot nu toe goed verlopen?

De Justitiële Informatiedienst is intensief bij het ontwerp en de ontwikkeling van het verwijzingsportaal bankgegevens betrokken. Zij is ook intensief betrokken bij het in gebruik nemen van het portaal door banken en overheidsdiensten. Hierdoor is de Justitiële Informatiedienst goed voorbereid om het verwijzingsportaal bankgegevens in beheer te nemen. De ontwikkeling van het portaal is tot nu toe goed gelopen.

26 Ook vragen de leden van de CDA-fractie of de ontwikkeling intern is gedaan of dat er externe partijen betrokken waren bij de ontwikkeling.

De ontwikkeling van het verwijzingsportaal bankgegevens is uitgevoerd door een combinatie van interne en externe partijen.

3.3 Toezicht

27 De leden van de VVD-fractie vragen waarom er een extra FTE nodig is voor een systeem dat als doel stelt om uitvraging efficiënter te maken.

Met het wetsvoorstel verwijzingsportaal bankgegevens wordt DNB belast met een nieuwe toezichtstaak, namelijk het toezicht op de aansluitverplichting door de in wet genoemde financiële instellingen. De aansluitverplichting is een nieuw vereiste voor de genoemde financiële instellingen. Het toezicht daarop is een nieuwe taak voor DNB, waarvoor, op basis van de tot nu toe gemaakte inschattingen van aantallen aan te sluiten instellingen, de inzet van 1 FTE nodig is.

4. Gegevensbescherming

28 De leden van de VVD-fractie benadrukken het belang van adequate gegevensbescherming en vragen welke aanvullende vormen van gegevensbescherming overwogen zijn.

Ten behoeve van het ontwerp van het verwijzingsportaal bankgegevens en het wetsvoorstel is uitvoerig overleg geweest met banken en de betrokken overheidsdiensten over de bescherming van persoonsgegevens. Daarbij is voortdurend getoetst op bestaande regelgeving op het gebied van gegevensbescherming. Tijdens de ontwikkeling van het portaal is een uitgebreide gegevensbeschermingseffectbeoordeling (PIA) uitgevoerd in samenwerking met alle toekomstig gebruikers van het portaal. In het verwijzingsportaal bankgegevens is een aantal voorzieningen getroffen specifiek ter bescherming van persoonsgegevens. Zo moeten de betrokken overheidsdiensten bij het indienen van een verzoek in het verwijzingsportaal bankgegevens zoveel mogelijk bekende gegevens invoeren om te voorkomen dat een bevraging bij een bank teveel hits oplevert. Indien een bevraging meer dan drie hits oplevert bij een bank, worden door die bank geen gegevens verstrekt. In dat geval moet de betrokken overheidsdienst meer specifieke informatie aan de bank leveren, zodat deze gerichter kan zoeken teneinde tot minder hits te komen. Verder zijn in het verwijzingsportaal bankgegevens automatische controles ingevoerd op geldige IBAN-nummers en BSN’s.

29 De leden van de fractie van GroenLinks vragen of de regering kan bevestigen dat er, behalve het BSN, niks verandert aan de hoeveelheid gegevens die wordt gedeeld en dat het hier alleen gaat om een digitalisering en niet om een verdere inperking van de privacy.

Het verwijzingsportaal bankgegevens verandert alleen iets aan de wijze waarop bestaande gegevensuitwisseling plaatsvindt, de grondslagen voor deze gegevensuitwisselingen zijn neergelegd in de verschillende wetsartikelen die worden genoemd in het voorgestelde artikel 3.267i van de Wft. Er is met dit wetsvoorstel geen sprake van een uitbreiding van het soort gegevens dat gevraagd en verstrekt mag worden. Het verwijzingsportaal baseert zich uitsluitend op al bestaande wettelijke mogelijkheden voor het vorderen en opvragen van gegevens.

30 De leden van de SP-fractie zien meerwaarde in het VB maar realiseren zich ook dat het kwetsbaar is als gegevens van iemand worden verzameld, zonder dat hiervoor concrete aanleiding is, of als blijkt dat die aanleiding onterecht is. Welke mogelijkheden zijn er voor mensen om de gegevensverzameling die via het VB heeft plaatsgevonden te laten vernietigen?

Als een bevoegde autoriteit via het verwijzingsportaal bankgegevens gegevens over een persoon heeft gevorderd of opgevraagd kan de betrokken persoon aan de gegevensverantwoordelijke verzoeken om inzage, rectificatie, aanvulling, verwijderen of vernietigen van zijn of haar persoonsgegevens. De gegevensverantwoordelijk is in bepaalde gevallen verplicht om deze gegevens te wissen. Deze verplichting geldt echter niet als de gegevensverwerking noodzakelijk en evenredig is ter waarborging van de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare orde. De gegevensverantwoordelijke kan een beroep doen op deze uitzonderingsgrond als het onderzoek kan worden belemmerd indien de gegevens van de betrokkene worden gewist of als de betrokkene wordt geïnformeerd over de gegevens die een bevoegde autoriteit over hem of haar heeft verzameld.4 Een gegevensverantwoordelijke beoordeelt per geval of al dan niet gebruik wordt gemaakt van deze weigeringsgrond.

31 Deze leden vragen verder of het mogelijk is om mensen op enig moment op de hoogte te stellen van het feit dat er gegevens verzameld zijn via het VB?

Banken kunnen cliënten van wie gegevens zijn opgevraagd via het verwijzingsportaal bankgegevens daarover informatie verstrekken nadat de overheidsdienst die de informatie heeft opgevraagd daarvoor toestemming heeft gegeven. Als in een strafzaak gegevens worden gebruikt die via het verwijzingsportaal bankgegevens zijn verkregen, wordt dit vermeld in het proces-verbaal van de opsporingsdienst. Deze informatie komt voor de betrokkene beschikbaar bij de vervolging door het OM.

32 De leden van de SP-fractie voorts of de regering erkent dat de gegevens altijd tot iemand behoren en dat diegene moet kunnen weten dat er door overheidsdiensten aan gegevensverzameling is gedaan? Kan de regering hierop in gaan?

Hetgeen onder punt 30 is gezegd over het recht van een betrokkene op verwijdering/vernietiging van zijn of haar gegevens geldt ook voor het recht op inzage5 in van hem of haar verwerkte persoonsgegevens. Tevens wordt verwezen naar het antwoord op vraag 31.

4.1 Verwerking van persoonsgegevens in het portaal

33 De leden van de VVD-fractie lezen dat de persoonsgegevens van de gebruikers van het portaal worden opgeslagen. Kan de regering aangeven of deze gegevens te allen tijde herleid kunnen worden tot specifieke personen? Deze leden willen er zeker van zijn dat toegangscodes e.d. in de praktijk niet vrijelijk worden gedeeld met collega’s of tijdelijke medewerkers. Wordt bijvoorbeeld overwogen het BSN van de bevoegde medewerkers als identificatie te gebruiken?

Van personen die geautoriseerd zijn het verwijzingsportaal bankgegevens te gebruiken wordt, indien zij een verzoek via het portaal indienen, hun e-mailadres opgeslagen. Dit is bedoeld om het gebruik van het verwijzingsportaal bankgegevens te kunnen monitoren en auditen. Volgens de algemeen geldende voorschriften voor informatiebeveiliging6 van de betrokken overheidsdiensten, is het medewerkers niet toegestaan hun toegangscodes vrijelijk te delen. Mede hierom is de toegang tot het verwijzingsportaal bankgegevens voor de medewerkers van de betrokken overheidsdiensten direct gekoppeld aan hun algemene inlogaccount van de organisatie waarvoor ze werkzaam zijn.

34 De leden van de D66-fractie lezen dat de ervaring in andere landen is dat er na automatisering vaker, maar gerichtere gegevens worden opgevraagd. Kan de regering dit cijfermatig onderbouwen? Welke landen hebben automatisering al ingevoerd en met hoeveel zijn daardoor de aantallen aanvragen toegenomen? Kan de regering het aannemelijk maken dat in die landen gerichtere uitvragen hebben geleid tot dan wel het opvragen van minder persoonsgegevens, dan wel betere resultaten in opsporing van witwassen en terrorismefinanciering?

Voor de beantwoording van deze vragen is geen informatie beschikbaar.

35 De leden van de SP-fractie vragen de regering of zij in zullen gaan op het advies van de Raad van State om wel geïntegreerde fiattering door te voeren. Hoe groot zou de vertraging hiervan zijn op het systeem? Hoe heeft de regering het belang hiervan afgewogen?

Er is in het verwijzingsportaal bankgegevens niet gekozen voor een systeem van interne fiattering, omdat dit tot vertraging van het opvraagproces zou leiden. Immers, er is niet altijd is een hulpofficier van justitie beschikbaar om een vordering te fiatteren. Daarnaast heeft een hulpofficier niet altijd direct een middel voorhanden waarmee hij toegang heeft tot het verwijzingsportaal om de vordering te fiatteren. Interne fiattering vereist daarnaast het apart autoriseren van hulpofficieren van justitie om vorderingen in het verwijzingsportaal bankgegevens te mogen fiatteren. Dit brengt een hogere beheerlast met zich mee. Om het risico van onterechte vorderingen en bevragingen via het verwijzingsportaal bankgegevens als gevolg van externe fiattering zoveel mogelijk te beperken, zijn extra waarborgen gecreëerd. Zo is er een Gebruikersprotocol opgesteld waarin is beschreven hoe het verwijzingsportaal bankgegevens gebruikt moet worden, waaronder de wijze van fiatteren. Daarnaast zijn er op diverse plekken binnen het verwijzingsportaal bankgegevens waarborgen ingebouwd. Zo moet een opsporingsambtenaar telkens wanneer hij een bevraging via het verwijzingsportaal bankgegevens wil doen, in het systeem verklaren dat hij zich aan de regels houdt, waaronder die betreffende de fiattering. In dat kader moet hij voor elk verzoek in het verwijzingsportaal bankgegevens verklaren dat de schriftelijke vordering is geaccordeerd door de (hulp)officier van justitie/teamleider en door wie precies. Verder kan hij alleen een vordering of verzoek doen waartoe hij op grond van zijn functie bevoegd is. Dit hangt samen met zijn autorisatie. Daarnaast vinden er periodiek audits plaats, waarbij ook specifiek naar de fiattering wordt gekeken. Tot slot gaat het OM zijn aanwijzing over het gebruik van bevoegdheden door opsporingsorganisaties op dit punt aanscherpen.

Gelet op hierop is de regering van oordeel dat de bestaande wijze van fiatteren (extern) voldoende waarborgen bevat om het risico van onterechte vorderingen en verzoeken en – als gevolg daarvan – onterechte gegevensverstrekking zoveel mogelijk te beperken.

36 De leden van de SP-fractie vragen de regering hoe gebruikers van het portaal de verstrekte gegevens op zullen slaan en verwerken binnen de aangesloten instantie? Hoe werkt het door in dossiervorming als de gegevens slechts beperkte tijd beschikbaar zijn in het portaal?

De door een bank verstrekte gegevens komen in het verwijzingsportal bankgegevens beschikbaar in de vorm van een te downloaden bestand. De medewerker van de overheidsdienst die de gegevens heeft opgevraagd heeft vijf minuten de gelegenheid om deze gegevens te downloaden en op te slaan in het systeem van zijn organisatie. Binnen het systeem van zijn eigen organisatie kan hij met de verstrekte gegevens verder aan de slag.

Na vijf minuten worden de gegevens in het verwijzingsportaal bankgegevens verwijderd. Als de medewerker de gegevens niet tijdig heeft gedownload, kan hij deze alleen verkrijgen door opnieuw een verzoek in te dienen.

4.4 Algemeen

37 De leden van de D66-fractie lezen dat overleg met de bankensector is voorzien over het verhoogde risico tot gegevensverwerking. Heeft dit overleg inmiddels plaatsgevonden en zo ja, wat zijn hiervan de conclusies?

Banken zijn vanaf de ontwerpfase betrokken bij de ontwikkeling van het verwijzingsportaal bankgegevens en het wetsvoorstel. Daarbij heeft de verwerking van persoonsgegevens veel aandacht gehad, zowel het aspect van informatiebeveiliging als gegevensbescherming. Deze overleggen hebben er toe geleid dat er specifieke afspraken zijn gemaakt over de inrichting van het verwijzingsportaal bankgegevens en over maatregelen met betrekking tot het gebruik. Deze maatregelen zijn onder meer het uitvoeren van periodieke audits, opstellen van een gebruikersprotocol waarin is vastgelegd hoe het verwijzingsportaal bankgegevens door overheidsdiensten moet worden gebruikt en een aanpassing van de aanwijzing van het OM betreffende het gebruik van bevoegdheden door opsporingsdiensten.

38 Deze leden lezen voorts in het rapport van de Raad van State dat ook zij vraagt om betere waarborgen om onnodige gegevensverstrekking tegen te gaan. Desalniettemin verwerpt de regering fiattering. Kan het kabinet dit nader onderbouwen? Deze leden willen verder weten welke mogelijkheden de regering ziet om het risico van onnodige gegevensverstrekking te verlagen?

Het verwijzingsportaal bankgegevens en het proces voor het gebruik zijn zodanig ontworpen dat het risico op onnodige gegevensvertrekking zeer laag is. Verwezen wordt op dit punt naar het antwoord op vraag 35.

39 Deze leden vragen de regering om de proportionaliteit van voorgestelde maatregel nader te onderbouwen, mede in het licht van het recht op anonimiteit en bescherming van de persoonlijke levenssfeer.

De grotere inbreuk op de persoonlijke levenssfeer staat naar het oordeel van de regering in verhouding tot de doelen van de verwerking van persoonsgegevens via het verwijzingsportaal bankgegevens. Het uitgangspunt blijft dat voor het indienen van een vordering of verzoek om gegevens via het verwijzingsportaal bankgegevens, net als nu het geval is, steeds aan de daarvoor geldende voorwaarden moet zijn voldaan, bijvoorbeeld dat sprake moet zijn van een verdenking van een misdrijf. Ook is rekening gehouden met de situatie dat er gegevens kunnen worden verstrekt van personen waar de bevoegde autoriteiten niet naar op zoek blijken te zijn, zoals dat nu ook kan gebeuren. Een verschil met het huidige opvraagproces is dat er bij het gebruik van het verwijzingsportaal bankgegevens geen persoonlijk contact meer is voorafgaand aan de verstrekking tussen de opsporingsambtenaar en de bank. Om te voorkomen dat bij gebruik van het verwijzingsportaal bankgegevens wel gegevens van een grote groep personen worden verstrekt, is afgesproken dat zoveel mogelijk beschikbare informatie wordt ingevoerd in het systeem, dat gematcht kan worden op basis van het BSN en dat enkel gegevens worden teruggestuurd als een zoekvraag tot maximaal drie personen leidt.

40 De aan het woord zijnde leden lezen voorts dat het Ministerie van Justitie zal nagaan of het portaal bevoegd is gebruikt en met inachtneming van de juiste procedures. Wordt dit voor elke zaak achteraf bekeken?

Nee, dit zal plaatsvinden op basis van een steekproef.

4.7 Gebruik burgerservicenummer

41 De leden van de VVD-fractie vragen waarom er bij deze gelegenheid niet voor is gekozen banken in hun bedrijfsvoering en onderlinge communicatie vrijuit gebruik te laten maken van het burgerservicenummer. De huidige beperking hieraan doet in hun ogen geen recht aan de bijzondere positie van de banken en hun wettelijke taken.

In het kader van dit wetsvoorstel zijn de risico’s van het gebruik van het burgerservicenummer als koppelnummer in het portaal afgewogen tegen de voordelen van dit gebruik. Breder gebruik van het burgerservicenummer binnen banken brengt andere risico’s en voordelen mee, zodat de noodzaak daarvan een nieuwe beoordeling vergt, die buiten het bestek van dit wetsvoorstel valt. In de agenda financiële sector van december 2018 heb ik wel aangekondigd dat ik samen met de sector, DNB en AFM onderzoek doe naar de mogelijkheden voor informatie-uitwisseling om de uitvoering van het cliëntenonderzoek door Wwft-instellingen effectiever te maken. De resultaten van dit onderzoek zijn gepubliceerd als onderdeel van het Plan van Aanpak Witwassen dat ik op 30 juni 2019 aan Uw Kamer heb gestuurd. Daarin kondig ik aan dat ik (onder meer) hierover formeel advies zal vragen aan de Autoriteit Persoonsgegevens. De uitkomst hiervan zal ik meewegen bij mijn afweging over de noodzaak en proportionaliteit van breder gebruik van het burgerservicenummer door banken.

42 De leden van de SP-fractie erkennen dat het gebruik van het BSN zaken erg vergemakkelijkt. Zij vragen de regering hoe de groeiende problematiek van identiteitsfraude is betrokken bij het opzetten van de VB. Kan zij hierop ingaan?

Het gebruik van het burgerservicenummer is met extra waarborgen omkleed, omdat het burgerservicenummer, wanneer het in verkeerde handen valt, identiteitsfraude makkelijker kan maken. Eén van deze waarborgen is dat het alleen kan worden gebruikt voor wettelijk bepaalde doelen. Hoe beperkter die doelen zijn, hoe kleiner de kans dat het burgerservicenummer in verkeerde handen terecht komt. Het wetsvoorstel verwijzingsportaal bankgegevens bepaalt uitdrukkelijk dat het burgerservicenummer in het kader van het verwijzingsportaal bankgegevens alleen wordt gebruikt als koppelnummer en beperkt daarmee de mogelijkheden op identiteitsfraude. Verder is van belang dat de partijen die het burgerservicenummer in het verwijzingsportaal bankgegevens gebruiken al over dit nummer beschikken. Het wetsvoorstel levert dan ook geen uitbreiding op van de kring van partijen die het burgerservicenummer gebruiken, zodat ook het risico op identiteitsfraude zeer beperkt is.

4.8 Overige maatregelen

43 De leden van de CDA-fractie lezen dat er verschillende beveiligingsmaatregelen en -systemen worden ingericht om de veiligheid van het portaal te waarborgen. Zo komt er een beveiligde verbinding tussen het verwijzingsportaal en de banken, kan het koppelvlak van de bank alleen via het verwijzingsportaal bevraagd worden en worden er penetratietesten vereist die de bank dient uit te voeren. De leden van de CDA-fractie vragen in hoeverre er wordt toegezien dat banken deze maatregelen treffen? Ligt de verantwoordelijkheid hiervoor bij de Nederlandsche Bank (DNB)?

Als een bank gaat aansluiten op het verwijzingsportaal bankgegevens, dient deze in nauwe samenwerking met het project verwijzingsportaal bankgegevens en de Justitiële Informatiedienst een intensief proces te doorlopen. In dit proces wordt getoetst of de bank alle beveiligingsmaatregelen heeft getroffen die randvoorwaardelijk zijn om het verwijzingsportaal bankgegevens veilig te kunnen gebruiken. De verantwoordelijkheid voor het toetsen hiervan ligt niet bij DNB maar bij het project verwijzingsportaal bankgegevens. Als een bank eenmaal is aangesloten op het verwijzingsportaal ligt het toezicht daarop bij DNB.

44 De leden van de fractie van GroenLinks vragen de regering of zij nog uitbreidingen van het verwijzingsportaal op het oog heeft en zo ja, welke en met welk doel.

In afstemming met de bankensector en de betrokken overheidsdiensten wordt momenteel gesproken over welke uitbreidingen wenselijk zijn. Hierover is echter nog geen besluit genomen.

4.9 Rechten van betrokkenen

45 De leden van de D66-fractie lezen dat een betrokkene het recht heeft om aan bank en overheid te vragen welke gegevens zij van hem of haar hebben. Welke rechten heeft een betrokkene wanneer hij of zij van mening is dat gegevens onterecht zijn gedeeld of iemand onterecht inzage heeft gekregen? Hoe zou een betrokkene dit kunnen ontdekken, en welke vervolgstappen zou een betrokkene daarna kunnen nemen?

Voor de rechten van betrokkenen om inzage te vragen aan een bevoegde autoriteit of bank in van hem of haar verwerkte persoonsgegevens, verwijs ik naar het antwoord op vraag 30, 31 en 32.

46 De leden van de SP-fractie constateren dat de regering kiest voor een bestuursrechtelijk handhavingskader. Hierover hebben zij wat vragen. Allereerst betreffende de personen van wie de gegevens worden verzameld: betekent het bestuursrechtelijk handhavingskader dat een individu geen recht kan halen via een strafrechtprocedure, mocht diegene het oneens zijn met de gegevensverzameling? Is dat wenselijk?

De keuze voor een bestuursrechtelijk handhavingskader houdt in dat de aansluitverplichting voor banken en andere betaaldienstverleners op het verwijzingsportaal bankgegevens via het bestuursrecht wordt gehandhaafd. Als een bank in strijd handelt met deze wettelijke verplichting kan DNB een bestuursrechtelijk handhavingstraject starten. Dit kan ertoe leiden dat DNB aan de bank een bestuurlijke boete of last onder dwangsom oplegt, teneinde te bewerkstelligen dat een bank alsnog aan de aan sluitverplichting gaat voldoen. Als een betrokkene, van wie gegevens zijn verzameld via het verwijzingsportaal bankgegevens, van oordeel is dat deze gegevens onjuist zijn of in strijd met een wettelijk voorschrift zijn verwerkt, kan hij de verwerkingsverantwoordelijke verzoeken om verbetering, aanvulling, afscherming, verwijdering of vernietiging. Tegen een afwijzende beslissing is bezwaar en beroep mogelijk. Ook kan de betrokkene een klacht indienen bij de Autoriteit Persoonsgegevens. In gevallen waarin sprake is van een strafbaar feit kan altijd een strafrechtelijk handhavingstraject worden gestart.

47 Deze leden stellen dat in het geval dat een organisatie of instelling weigert mee te werken aan het VB, in eerste instantie een bestuursrechtelijk handhavingskader logisch is. Maar stel dat een organisatie stelselmatig de regels aan zijn laars lapt, dan moet een strafrechtprocedure uiteindelijk toch tot de mogelijkheden behoren? Deze leden vragen hoe de regering hier tegenaan kijkt.

Bij de keuze voor het sanctiestelsel is uitgegaan van het kabinetsstandpunt hierover, zoals opgenomen in het nader rapport7 naar aanleiding van het ongevraagd advies8 van de Afdeling advisering van de Raad van State van 13 juli 2015 inzake strafrechtelijke en bestuursrechtelijke sancties in de wetgeving en het handhavingsbeleid. Volgens het nader rapport is daarbij leidend de vraag in welk stelsel de naleving optimaal zal worden bevorderd en op welke wijze de ten behoeve van toezicht en handhaving ingezette middelen het meest effect sorteren. Het rapport bespreekt vervolgens een aantal factoren die een indicatie zijn dat bestuursrechtelijk handhaven het meest effectief is en een aantal factoren die eerder naar strafrecht leiden. In het geval van de aansluitplicht op het verwijzingsportaal bankgegevens bestaan vooral factoren die leiden tot bestuursrecht en zijn factoren die tot strafrecht zouden moeten leiden juist afwezig. Een belangrijke factor die pleit voor bestuursrechtelijke handhaving is de mogelijkheid die het bestuursrecht biedt om een last onder dwangsom op te leggen. Deze sanctie, die in het strafrecht ontbreekt, is bij uitstek geschikt om een verplichting als de aansluitplicht te handhaven. Ook de bestuurlijke boete is een passende sanctie, omdat de norm (de verplichting om aan te sluiten op het verwijzingsportaal bankgegevens) zich alleen tot rechtspersonen richt. De regering verwacht dat in het geval van de aansluitplicht bestuursrechtelijke sancties een sterker preventief effect zullen hebben, met name vanwege de dreiging van een last onder dwangsom.

48 De leden van de SP-fractie vragen de regering of het mogelijk is om in een tripartiet overleg tussen partijen te bezien welk strafrechtelijk kader in verschillende situaties het meest wenselijk is. Ook in ogenschouw nemende de toenemende maatschappelijke kritiek dat financiële instellingen er wel erg makkelijk met boetes of schikkingen vanaf komen, terwijl verantwoordelijken vrolijk blijven zitten. Zij vragen de regering een uitgebreid antwoord hierop.

Gelet op het antwoord op vraag 47 is een tripartiet overleg over de wenselijkheid van een strafrechtelijk handhavingskader volgens de regering niet opportuun.

49 De leden van de SP-fractie vragen zich af wat er gebeurt bij grootschalige data-lekken van dossiers met via het VB verzamelde informatie. Is dat aan betreffende instanties om dat te melden? Hoe worden de burgers van wie gegevens gelekt zijn geïnformeerd?

Ingeval van een grootschalig datalek is de verantwoordelijke voor de gegevensverwerking van waaruit het lek heeft plaatsgevonden, verplicht daarvan melding te doen bij de Autoriteit Persoonsgegevens en alle bij de gegevensverwerking en het datalek betrokken organisaties en personen. De gegevensverantwoordelijke is daarnaast verplicht alle maatregelen te treffen om schade zoveel mogelijk te beperken en te voorkomen.

5.2 BIT advies

50 De leden van de VVD-fractie hechten grote waarde aan het advies van het Bureau ICT-toetsing (BIT) en vragen zich af of een uitstel van een half jaar voldoende is om te voldoen aan de adviezen van het BIT. Dit geldt in het bijzonder voor het punt van de informatiebeveiliging. Kan de regering toezeggen dat het portaal bij ingebruikname op dit punt volkomen «in control» is?

Het BIT heeft in zijn advies negen aanbevelingen gedaan. Van deze aanbevelingen zijn er op dit moment zeven gerealiseerd; twee zijn nog onderhanden. De inspanningen zijn er op gericht deze in de tweede helft van 2019 ook te hebben gerealiseerd.

51 De leden van de D66-fractie lezen dat aan een belangrijk deel van de adviezen van het BIT is voldaan. Aan welk deel is nog niet voldaan en hoe wil het kabinet dit ondervangen?

Er zijn twee maatregelen uit het BIT-advies die nog niet zijn gerealiseerd. Dit betreft in de eerste plaats de installatie en inrichting van SIEM-software. De software is inmiddels geïnstalleerd en wordt de komende maanden verder ingericht. De tweede maatregel betreft de inrichting van een uitwijkvoorziening. Op dit moment zijn gesprekken gaande over de keuze van de uitwijklocatie en wordt er gewerkt aan een plan voor de inrichting daarvan.

52 De leden van de fractie van GroenLinks vragen de regering hoe groot het risico is dat hackers uit het binnen- of buitenland in het VB kunnen komen. Wat is het ergste dat er kan gebeuren als hackers ongemerkt toegang zouden krijgen?

Het risico dat hackers in het verwijzingsportaal bankgegevens kunnen komen is zeer klein, zo blijkt uit een onlangs uitgevoerde penetratietest door een extern bureau. In het geval van een hack kunnen er in het ergste geval datalekken plaatsvinden met persoonsgegevens en financiële gegevens, en wordt mogelijk zicht verkregen op lopende onderzoeken van de aangesloten overheidsorganisaties.

53 De leden van de SP-fractie constateren dat er hard gewerkt wordt aan de aanbevelingen van het advies van het BIT uit december 2018. De leden vragen de regering om het BIT om een nieuw advies te vragen als de aanbevelingen zijn uitgevoerd, vooral om te kijken of het goed is uitgevoerd. Is de regering bereid dit te doen?

De regering ziet geen aanleiding om het BIT om een nieuw advies te vragen als de aanbevelingen zijn uitgevoerd, omdat zeven van de negen aanbevelingen van het BIT inmiddels zijn gerealiseerd. Het belangrijkste onderdeel van het advies betrof het treffen van enkele beveiligingsmaatregelen. Onlangs is de beveiliging van het verwijzingsportaal bankgegevens door middel van een penetratietest uitvoerig en met goed gevolg getoetst door een extern bureau. Daarbij zijn geen ernstige gebreken geconstateerd. De twee aanbevelingen die momenteel nog niet zijn gerealiseerd, zullen in de tweede helft van 2019 alsnog zijn opgevolgd.

54 De leden van de SP-fractie constateren dat het BIT pleit voor een uitwijkmogelijkheid en dat hier opvolging aan wordt gegeven. Hoe wordt dat precies vorm gegeven?

Het voornemen is om op een externe locatie, die voldoet aan de gestelde beveiligingseisen, hardware en software te installeren die direct ingezet kan worden zodra zich een zodanige calamiteit voordoet op de locatie waar het verwijzingsportaal bankgegevens wordt gehost, dat uitwijken naar een andere locatie noodzakelijk is. Het gebruik van het verwijzingsportaal bankgegevens zal door de calamiteit gedurende beperkte tijd uit de lucht zijn. Gedurende deze periode kunnen overheidsdiensten informatie opvragen bij banken via het thans bestaande handmatige proces, tot het moment dat het verwijzingsportaal bankgegevens gebruikt kan worden vanuit de externe locatie.

6. Regeldruk

55 In een schatting is naar voren gekomen dat de incidentele kosten voor de banksector iets meer dan € 11.5 miljoen bedragen, zo lezen de leden van de CDA-fractie. De structurele kosten voor de bankensector worden op € 814.633 geschat. De leden van de CDA-fractie vragen de regering of de banken hebben aangegeven hoe zij deze kosten zullen dragen.

Nee, de banken hebben dat niet aangegeven.

56 Verwacht de regering dat dit gevolgen zal hebben voor de klanten van banken en of zij meer zullen gaan betalen voor het houden van een rekening, zo vragen de leden van de CDA-fractie.

De daadwerkelijke financiële consequenties van de aansluitverplichting op het verwijzingsportaal bankgegevens kunnen per bank sterk verschillen en zijn afhankelijk van de omvang van de klantenadministratie en de complexiteit van de technische infrastructuur bij banken. Daarbij komt dat de aansluiting op het verwijzingsportaal bankgegevens de administratieve lasten verlicht die gepaard gaan met de huidige handmatige wijze van beoordelen en beantwoorden van vorderingen en verzoeken om gegevens. Het is aan de banken en andere betaaldienstverleners om te bepalen hoe zij de kosten van de aansluitverplichting dragen en of zij deze al dan niet willen doorberekenen aan hun klanten.

57 Ook vragen de leden van de CDA-fractie of deze kosten voor kleinere organisaties niet veel zwaarder zullen wegen dan voor de grootbanken. In hoeverre wordt daar rekening mee gehouden?

In overleg met de Nederlandse Vereniging van Banken (NVB) en de kleinere banken is bekeken welke mogelijkheden er waren om rekening te houden met de mogelijk zwaardere impact voor kleinere organisaties. Daarop is in afstemming met alle betrokken partijen besloten de voorgenomen grens dat de data niet ouder mogen zijn dan 24 uur te verhogen naar 48 uur. Dit biedt deze banken de mogelijkheid een aansluiting op het verwijzingsportaal bankgegevens te realiseren die minder impact heeft voor kleinere organisaties. Ook heeft het projectteam zich, samen met de NVB, ingespannen om kleinere organisaties gezamenlijk in gesprek te brengen met derde partijen die voor deze organisaties mogelijk de ICT zouden kunnen ontwikkelen. Dit zou voor deze organisaties een kostenbesparing kunnen opleveren.

7. Consultatie en advies

58 De leden van de D66-fractie vragen de regering nader toe te lichten op welke wijze het Maatschappelijk Overleg Betalingsverkeer geconsulteerd is, en welke reacties hier zijn opgehaald.

Het Maatschappelijk Overleg Betalingsverkeer (MOB) is niet geconsulteerd over het onderhavige wetsvoorstel. Wel is de NVB, deelnemer aan het MOB, en een aantal grootbanken actief betrokken bij de ontwikkeling van het verwijzingsportaal bankgegevens. De NVB heeft ook een reactie ingediend naar aanleiding van de internetconsultatie van het wetsvoorstel. Hierop is ingegaan in paragraaf 7.2 van de memorie van toelichting bij het wetsvoorstel.

59 De leden van de fractie van GroenLinks vragen de regering aan welke opmerkingen/suggesties van de Raad van State niet (volledig) is voldaan en waarom niet.

Er is naar het oordeel van de regering in de toelichting bij het wetsvoorstel ingegaan op alle opmerkingen en suggesties van de Raad van State ten aanzien van het wetsvoorstel.

7.1 Internetconsultatie

60 De leden van de fractie van GroenLinks vragen de regering wat de belangrijkste kritiekpunten waren van de Stichting Privacy First. Hoe is hierop gereageerd door de regering? Aan welke opmerkingen/suggesties van de Stichting Privacy First is niet (volledig) voldaan en waarom niet?

In de eerste plaats merkt Stichting Privacy First in haar consultatiereactie op dat het verwijzingsportaal bankgegevens directe gevolgen heeft voor burgers, omdat dit ertoe leidt dat makkelijker grote hoeveelheden gegevens kunnen worden opgevraagd en het aantal opvragingen kan toenemen. Dit risico is bij de bouw van het verwijzingsportaal bankgegevens onderkend en is ondervangen door het inbouwen van extra waarborgen, zoals een gebruikersprotocol, waarin is beschreven hoe het verwijzingsportaal gebruikt moet worden, een opsporingsambtenaar moet bij elke bevraging in het verwijzingsportaal verklaren dat hij zich aan de regels houdt en dat de betreffende vordering is geaccordeerd door de (hulp)officier van justitie/teamleider en door wie precies. Ook kan hij alleen vorderingen of verzoeken doen waarvoor hij op grond van zijn functie geautoriseerd is. Daarnaast geldt dat door waar mogelijk gebruik te maken van het burgerservicenummer, zoveel mogelijk wordt voorkomen dat gegevens van personen worden opgevraagd waar men niet naar op zoek is.

Verder is door de Stichting Privacy First opgemerkt dat een deugdelijke onderbouwing ontbreekt van de noodzaak van het verwijzingsportaal bankgegevens. Ik ga ervan uit dat deze opmerking ziet op het wetsvoorstel voor zover dat verder gaat dan de implementatie van artikel 32bis van de wijzigingsrichtlijn. Het verwijzingsportaal bankgegevens is op dat punt noodzakelijk, omdat het betalingsverkeer steeds sneller verloopt en in toenemende mate digitaal is en niet aan grenzen is gebonden. Dit maakt dat met de huidige handmatige wijze van vorderen en opvragen van gegevens het steeds moeilijker wordt en in veel gevallen zelfs onmogelijk om geldstromen in kaart te brengen zonder actuele gegevens. Dit is toegelicht in paragraaf 2.1 van de memorie van toelichting. Daarnaast merkt Stichting Privacy First op dat de gegevens die via het verwijzingsportaal bankgegevens kunnen worden opgevraagd niet in de wet zelf zijn opgesomd. Op dit punt is in paragraaf 7.2 van de memorie van toelichting bij het wetsvoorstel ingegaan. De Stichting Privacy First heeft ook gevraagd om de samenhang aan te geven tussen dit wetsvoorstel en de Wiv 2017. Dit is besproken in paragraaf 7.2 van de memorie van toelichting. Tenslotte heeft Stichting Privacy First gevraagd om een nadere toelichting op het toezicht op het verwijzingsportaal bankgegevens

Hierop is ingegaan in paragraaf 3.3 van de memorie van toelichting.

7.2 Consultatiereacties

61 De leden van de VVD-fractie lezen dat de Nederlandse Vereniging van Banken (NVB) nogmaals heeft gepleit voor toegang tot de Basisregistratie Persoonsgegevens (BRP). Zij begrijpen de afweging van de regering om dat niet in het voorliggende wetsvoorstel te regelen, maar zouden graag vernemen in welke context en op welke termijn de regering hierover een standpunt gaat innemen. Gezien de wettelijke taken die banken moeten uitvoeren, zien deze leden hiervan de meerwaarde.

In de agenda financiële sector van december 2018 heb ik aangekondigd dat ik samen met de sector, DNB en AFM onderzoek doe naar de mogelijkheden voor informatie-uitwisseling om de uitvoering van het cliëntenonderzoek door Wwft-instellingen effectiever te maken. De resultaten van dit onderzoek zijn gepubliceerd als onderdeel van het Plan van Aanpak Witwassen dat ik op 30 juni 2019 aan Uw Kamer heb gestuurd. Daarin kondig ik aan dat ik (onder meer) hierover formeel advies zal vragen aan de Autoriteit Persoonsgegevens. De uitkomst hiervan zal ik meewegen bij mijn afweging over de noodzaak en proportionaliteit van breder gebruik van het burgerservicenummer door banken.

7.4 Advies Autoriteit Persoonsgegevens

62 De leden van de fractie van GroenLinks vragen de regering aan welke opmerkingen/suggesties van de Autoriteit Persoonsgegevens niet (volledig) is voldaan en waarom niet.

De AP adviseert in haar advies van 29 november 2018 om in de memorie van toelichting de beoogde invulling van de verwerkingsverantwoordelijkheid en de vormgeving van de relatie met de beheerder/verwerker uiteen te zetten. Naar aanleiding hiervan is dit uiteengezet in een nieuw ingevoegd paragraaf 4.5 van de memorie van toelichting. Hiermee is naar het oordeel van de regering geheel voldaan aan het advies van de AP.

ARTIKELSGEWIJZE TOELICHTING

Artikel 3:267i

63 De leden van de SP-fractie vragen de regering naar de reden voor het gebruik van een delegatiebepaling in artikel 3:267I, lid 4 Wft. Zij vragen om hierop een voorhangbepaling toe te passen gezien de omvangrijke aard van dit artikel.

Op basis van aanwijzing 2:35 van de Aanwijzingen voor de regelgeving wordt zeer terughoudend omgegaan met voorhangbepalingen. Het is belangrijk dat duidelijke keuzes worden gemaakt bij het niveau waarop voorschriften worden vastgesteld. Bij de voorliggende bepaling acht de regering het passend dat deze bij of krachtens algemene maatregel van bestuur worden vastgesteld, omdat het daarbij gaat op de uitwerking van een aantal eisen aan het verwijzingsportaal bankgegevens en aan het gebruik daarvan. In het wetsvoorstel zelf zijn de belangrijkste eisen vastgelegd. Zo is in het wetsvoorstel benoemd dat alleen identificerende gegevens, alsmede gegevens over de uiteindelijk belanghebbende en de begin- en einddatum van een rekening of kluis, kunnen worden opgevraagd. Verder is in het wetsvoorstel bepaald op basis van welke grondslagen vorderingen of verzoeken door de aangesloten overheidsinstanties via het verwijzingsportaal bankgegevens kunnen worden gedaan. Hiermee is voldoende omlijnd welke gegevens via het portaal kunnen worden gevorderd/opgevraagd en verstrekt en met welk doel. De opsomming van de specifieke gegevens die gevorderd/opgevraagd en verstrekt kunnen worden en de wijze waarop dat moet plaatsvinden, is geregeld bij algemene maatregel van bestuur. Er bestaat geen bijzondere reden om hierbij een voorhangbepaling op te nemen. Het besluit verwijzingsportaal bankgegevens wordt overigens openbaar geconsulteerd.

OVERIG

64 De leden van de SP-fractie vragen de regering wat de hoogte is van de Europese subsidie voor de VB en of deze structureel is bij doorlopende kosten.

De EU-subsidie is eenmalig en bedraagt maximaal 7,0 mln euro.

65 Deze leden vragen verder of de regering ook de volledige of gedeeltelijke kosten van het opzetten van de VB zou kunnen doorberekenen aan de financiële sector.

Met de banken is afgesproken dat de ontwikkel- en beheerkosten van het verwijzingsportaal bangegevens voor rekening komen van de overheid. Dit ligt ook voor de hand, aangezien de Minister van Justitie en Veiligheid verantwoordelijk is voor het beheer van het verwijzingsportaal bankgegevens. Daarnaast worden in het verwijzingsportaal ook gegevens verwerkt onder verantwoordelijkheid van andere overheidsinstanties in hun rol van bevoegde autoriteiten die gegevens vorderen of opvragen.

66 De leden van de SP-fractie vragen of en hoe bij het ontwerp van het VB en de te volgen protocollen lering is getrokken uit het Centraal Informatiepunt Onderzoek Telecommunicatie.

De ontwikkeling en de lessen uit het gebruik van het CIOT hebben bijgedragen aan de ontwikkeling van het verwijzingsportaal bankgegevens. Zo is er, in tegenstelling tot het CIOT, bij het verwijzingsportaal bankgegevens niet gekozen voor dataopslag in het systeem. Alle persoonsgegevens worden na vijf minuten verwijderd uit het portaal. Verder is in het ontwerp van het verwijzingsportaal bankgegevens direct de functionaliteit voor bewaartermijnen meegenomen. Bij het CIOT is dat in onvoldoende mate gebeurd waardoor er op dit punt nog wijzigingen moeten plaatsvinden. Voorts wordt er voor het beheer van het verwijzingsportaal bankgegevens, meer dan bij CIOT, gebruik gemaakt van generieke voorzieningen. Dit beperkt de beheerlast van het portaal.

De Minister van Financiën, W.B. Hoekstra


X Noot
1

Richtlijn (EU) 2018/843 van het Europees parlement en de Raad van 30 mei 2018 tot wijziging van Richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinancieriing, en tot wijziging van de Richtlijnen 2009/138/EG en 2013/36/EU (PbEU 2018, L 156).

X Noot
2

Kamerstukken II 2013/14, 17 050, nr. 450.

X Noot
3

Zie de artikelen 2(12) en 3(1) van richtlijn (EU) 2019/1153 van het Europees parlement en de Raad van 20 juni 2019 tot vaststelling van regels ter vergemakkelijking van het gebruik van financiële en andere informatie voor het voorkomen, opsporen, onderzoeken of vervolgen van bepaalde strafbare feiten, en tot intrekking van Besluit 2000/642/JBZ van de Raad. Deze richtlijn moet 1 augustus 2021 geïmplementeerd zijn.

X Noot
4

Zie de artikelen 17 en 23, eerste lid, onderdeel d, AVG jo. artikel 41, eerste lid, onderdeel d, en tweede lid, van de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

X Noot
5

Artikel 15 AVG.

X Noot
6

BIR 2017 (Baseline Informatiebeveiliging Rijksdienst 2017). Zie https://www.cip-overheid.nl/media/1151/20180210-bir2017-definitief.pdf

X Noot
7

Bijlage bij Kamerstukken II, 2017/18, 34 775-VI, nr. 102, met name onderdeel 3, p. 11–16.

X Noot
8

W03.15.0138/II.