U-bocht vernietigt recht op financiële privacy

U-bocht vernietigt recht op financiële privacy

Of hoe de EU door de aansporing van de FATF van elke blockchain een data-surveillancesysteem maakt

Inmiddels is het voor iedereen salonfähig om te klagen over het niet respecteren van privacy. Zelfs de best onderzochte app op het gebied van privacy, de als open source-project gebouwde CoronaMelder, moest het constant ontgelden omdat het heel misschien zo zou kunnen zijn dat ergens inbreuk op de privacy van burgers gemaakt zou kunnen worden.

En dat is goed. Heel goed. Al tientallen jaren leken privacyvoorvechters tegen complete desinteresse van politiek en publiek aan te lopen als het om online privacy ging. Niemand leek het iets te kunnen schelen, totdat daar langzaam verandering in kwam onder aanvoering van de EU. De Algemene Verordening Gegevensbescherming of AVG werd in eerste instantie gehaat. Nu blijkt dat ‘Europa’ daarmee in een groot deel van de wereld de eisen voor privacy op internet iets heeft verbeterd en nu vinden we het ineens ‘onze’ AVG.

Ondertussen vindt op grote schaal een privacyschending-in-wording plaats die alles wat met de AVG is bereikt, volledig teniet doet. Dat allemaal als gevolg  van een organisatie die stilletjes achter de schermen de boel aanjaagt: de Financial Action Task Force of FATF.

Waarom is dit belangrijk?

Blockchains en afgeleiden worden steeds meer gebruikt binnen allerlei decentrale systemen op internet
Ongemerkt zullen steeds meer mensen hier gebruik van maken
Door richtsnoeren van de Financial Action Task Force zullen alle virtuele tokens of coins in de toekomst gevolgd gaan worden 
Daarmee veegt de EU in een paar woorden alles dat bereikt is met de AVG van tafel

De FATF is geen wetgevend orgaan, maar zorgt wel voor zogenaamde richtsnoeren. Hou je je niet aan die richtsnoeren of veins je er niet aan mee te doen, dan lig je er voor een groot deel van het internationale handelsverkeer uit, vooral het handels- en financiële verkeer met de VS.

Toevallig beoordeelt de FATF volgend jaar Nederland en ons land staat er niet goed op. Telkens weer blijkt dat grote grijze geldstromen ongehinderd door het Nederlandse financiële systeem kunnen lopen. Dat alles zorgt voor een overijverig Ministerie van Financiën dat alle regeltjes van de FATF minutieus in wil voeren en zich eraan wil houden. Of toch in ieder geval op papier. Een van die regeltjes zorgt voor een extreme vorm van het constant volgen van burgers en bedrijven over de hele wereld, zonder dat daar aanleiding voor is. Deze vorm van privacyschending moet ‘helpen in de strijd tegen witwassen’, maar we weten allemaal dat de echte boeven hier altijd weer wegen omheen weten te vinden. Een wassen neus met enorme gevolgen voor de gewone mens.

Travel rule voor cryptobedrijven

Vorig jaar kwam de FATF met regels waarin zogenaamde Virtual Asset Service Providers of vasp’s bij elke transactie naam en adres van zowel zender als ontvanger mee moesten sturen. Dit heet ook wel de travel rule waarbij klantinformatie met de transactie mee moet reizen.

De discussie over de travel rule leek tot nu toe beperkt tot de groep bedrijven die zich bezighielden met virtuele valuta en directe afgeleiden daarvan. Veel blockchainontwikkelaars leefden in de veronderstelling dat de regel aan hen voorbij zou gaan. Dat was ook niet gek als je kijkt naar de huidige definitie van virtuele valuta in de Europese anti-witwasregels. Kort samengevat: een digitale weergave van een waarde die niet door een centrale bank of overheidsinstantie wordt uitgegeven, maar wel als ruilmiddel wordt geaccepteerd1

Die laatste definitie is in aanstaande EU-regelgeving, de Regulation on Markets in Crypto-assets (MiCA), veranderd en heel breed gemaakt. Zo sluit de regelgeving beter aan bij de FATF-definitie van crypto assets2, namelijk een digitale weergave van waarde of rechten die elektronisch kan worden overgedragen met behulp van distributed ledger-technologie3, waar ook blockchains onder vallen.

Onder zo’n brede interpretatie van de definitie van een crypto-asset vallen in feite bijna alle (toekomstige) blockchaintoepassingen4, zoals bijvoorbeeld een virtueel zwaard in een computerspel of blockchaintoepassingen binnen de transport en logistiek. Omdat alles in de toekomst vermoedelijk een zogenaamde digital twin of digitale representatie krijgt, is de reikwijdte nauwelijks voor te stellen5.

Ingrijpend

De travel rule is nog niet van toepassing, maar we kunnen in Zwitserland al zien wat voor impact de regel kan hebben op privacy. De Zwitserse toezichthouder heeft namelijk een richtsnoer gepubliceerd hoe die de travel rule wil inzetten. De Zwitserse regels vereisen dat de cryptobedrijven kunnen bewijzen dat de persoon achter de ontvangende wallet6 die ook echt bezit. Dat schendt niet alleen de privacy van de ontvangende persoon, maar door de werking van deze decentrale online systemen ook de privacy van iedereen verderop in de keten. Daarnaast moet je je afvragen of je weer een bak aan persoonsgegevens bij een derde partij wil neerleggen die alleen maar gestolen kunnen worden.

Een bericht op de website van De Nederlandsche Bank, tegenwoordig ook toezichthouder op de Nederlandse cryptobedrijven, laat zien dat het hier ook die kant op gaat. De aanbieder van cryptodiensten in Nederland moet vaststellen dat de persoon ook daadwerkelijk de ontvanger of verzender van de cryptovaluta is. Een ander voorstel vereist zelfst dat bekend moet zijn dat de wallet van de ontvanger daadwerkelijk van die ontvanger is. Met andere woorden: je mag cryptovaluta kopen, maar vanaf dat moment wordt je behandeld alsof je verdacht bent in de ogen van DNB. 

Aan de andere kant kun je stellen dat het niet zo raar is dat DNB wil weten wie wat ontvangt of verstuurt. Dat gebeurt bij banken toch ook? Dat klopt een beetje. Als je een betaling aan iemand in het buitenland doet, hoeft de bank alleen maar te checken of de ontvanger op een sanctielijst staat. Of de ontvanger daadwerkelijk over de bankrekening kan beschikken, is zelfs niet van belang. Toch doet DNB alsof deze regels uit de sanctiewet voortvloeien, terwijl dat bij banken niet eens van toepassing is.

Zijn er dan nu helemaal geen checks and balances bij die cryptobedrijven in Nederland? Zeker, in de meeste gevallen worden transacties uitgevoerd met behulp van iDeal, waardoor sowieso al de identiteit van de koper bekend is. Met behulp van al lang bestaande regels is het daardoor al heel goed mogelijk om vreemde transacties te monitoren. Met het grote verschil dat eerst een strafbaar feit moet zijn vastgesteld voordat verder onderzoek gedaan wordt naar de betrokkenen.

Eeuwige datasurveillance

Al ruim dertig jaar lang passen we steeds meer datasurveillance toe op banken en andere financiële instellingen, zonder noemenswaardig succes. Wat de Europese Commissie en de FATF voorstellen is dat we voor crypto-toepassingen en toekomstige blockchains een nog groter sleepnet gaan neerzetten. Dit is water naar de zee dragen, dat laten de ervaringen rond de FinCEN-papers en FIU-meldingen7 overduidelijk zien. Het gevolg: nog meer massaal data verzamelen en iedereen al vast als schuldige aanmerken. Er worden massaal data verzameld alsof mensen schuldig zijn en van enig echt vervolg is geen sprake. De kleine spelers worden lastig gevallen en de grote blijven buiten schot. 

Hoe zou die datasurveillance in de fysieke wereld voelen? Stel, je geeft of leent een papieren boek aan iemand. Hier, alsjeblieft. Een boek, veel plezier ermee. Dat hoeft niemand te zien, de boekhandel niet die het boek ooit verkocht en de gever hoeft niet te weten of de gelukkige krijger het boek ooit nog aan iemand anders geeft. Stel dat dit verboden wordt, dat je je boek alleen nog maar met behulp van een derde partij aan iemand anders mag geven, omdat het anders illegaal is?

Belachelijk zouden we dat vinden. 

Maar dat is precies wat er nu gaande is. In de regelgeving van de FATF, regels die dus niet moeten, maar wel iedereen zal toepassen, staat dat de volgende klantgegevens met die virtuele transacties naar de andere partijen mee moet worden gestuurd, anders mag je de transacties niet uitvoeren: 

The required information includes the: (i) originator’s name (i.e., the sending customer); (ii) originator’s account number where such an account is used to process the transaction (e.g., the VA wallet); (iii) originator’s physical (geographical) address, or national identity number, or customer identification number (i.e., not a transaction number) that uniquely identifies the originator to the ordering institution, or date and place of birth; (iv) beneficiary’s name; and (v) beneficiary account number where such an account is used to process the transaction (e.g., the VA wallet). It is not necessary for the information to be attached directly to the VA transfer itself. The information can be submitted either directly or indirectly.

Onder het mom van witwassen en terrorismebestrijding wordt alles elke keer weer vloeibaar. Het is de stoplap waarmee alles dat eigenlijk niet kan of mag toch ineens probleemloos overal doorkomt.

Kamervragen en Europese klachtenprocedure

Het is niet zo dat niemand deze uitbreiding van regelgeving zag aankomen, maar het is complex en een heel langdurig proces dat eigenlijk niet samen te vatten is. Simon Lelieveldt, voormalig hoofd toezicht en financiële markten van de Nederlandse Vereniging van Banken, werkte al in 2006 aan de invoering van de travel rule in het bankwezen. Inmiddels is hij zelfstandig adviseur voor verschillende fintechbedrijven en luidt al ruim een jaar de noodklok rond de FATF-regels en andere datasurveillance. Samen met Privacy First en de Vereniging Bitcoinbedrijven Nederland stuurde hij brieven aan zowel de Minister van Financiën Hoekstra en de Eerste Kamer. Daarop kwam een ontwijkend antwoord van Het Ministerie dat deed alsof het alleen voor bitcoins bedoeld was en nooit opgerekt zou worden tot overige digitale blockchaintokens. Inmiddels wordt die definitie inderdaad opgerekt.

Lelieveldt heeft inmiddels een infringementklacht bij de Europese Commissie ingediend met betrekking tot de vijfde Anti-witwaswet van de EU (oh ja, die is er ook nog). Daar wijst hij, onder verwijzing naar een vuistdik proefschrift op het in strijd zijn met fundamentele mensenrechten van de witwasregelgeving, op 17 punten. Inmiddels heeft hij ook antwoord gekregen van de Commissie. Men probeert de discussie onder het tapijt te vegen:

The EU legislator carefully considered the fundamental rights aspects of 5th Anti Money Laundering Directive at time of its adoption, and concluded it remains limited to what is necessary and proportional.

In addition, you do not indicate how the Dutch law at stake would go beyond the processing provided for under the 5th Anti Money Laundering Directive and constitute unlawful processing.

As pointed out by the Dutch Data protection authority, the European Commission will draw up a report on the implementation of the Anti-Money Laundering Directive by January 2022. Pursuant to Article 65 of this Directive, the report will include in particular “an evaluation of how fundamental rights and principles recognized by the Charter of Fundamental Rights of the European Union have been respected”.

Given the above, the European Commission does not intend to open an infringement procedure.

Lelieveldt heeft inmiddels ook al een reactie terug gestuurd:

I am somewhat puzzled why your services would attach a different weight to the observations of our DPA-s as well as the recent Court of Justice verdicts on export of data to the US. Of course the complaint form does not allow elaborate wording, which is why I referred to the dissertation of C. Kaiser. It provides 17 fundamental legal arguments why there are already now violations of human rights by means of the AMLD5 rules. I would have hoped those would be taken into consideration. The referral to the planned evaluation procedure is interesting in this respect but does not equal a further consideration by the Court of Justice, to which the procedure might provide access.

Tegelijk verzucht hij dat de procedure hem merkwaardig voorkomt, aangezien hij met 25 jaar ervaring in het veld van Europese regelgeving behoorlijk de weg weet en erop vertrouwde dat een goed onderbouwd argument van een insider toch op zijn minst zijn weg zou moeten vinden naar het Hof van Justitie. 

If with my 20 plus years of experience I am unable to convince you to at least take the complaint into further consideration, what would it take for any other less-EU-law literate citizen to be able to do so?

Zal het tij keren?

Het heeft zes jaar geduurd voordat we af waren van het versturen van transactiegegevens van elke SWIFT-transactie naar de VS. Gaan we nu weer dezelfde fout maken om een probleem aan te pakken dat heel ergens anders zijn oorsprong heeft? Het lijkt er wel op.

Uiteindelijk zorgen de FINCEN-papers weer tot veel woorden bij banken, uiteraard weer zonder veroordelingen. Banken zullen nog duurdere systemen gaan inzetten en honderden miljoenen zullen er weer tegenaan gegooid worden om voor de bühne te zorgen dat ‘het lijkt alsof  er wat aan gedaan wordt’. Over een paar jaar zal weer blijken dat de grote vissen probleemloos door alle mazen van de richtsnoeren heen wisten te zwemmen, weer gevolgd door nieuw onderzoek. Weer mea culpa’s en sorry’s en weer geen topmensen de bak in. Wel weer de volgende hap uit het laatste beetje privacy, of wat er nog van over is. 

Zolang de oorzaken van witwassen en ander potentieel criminele geldstromen niet aangepakt worden, zal er niets veranderen voor de echte boeven. Slechts het klootjesvolk, wij dus, hebben er last van en wij doen er al lang niet meer toe wat het accepteren van deze privacyschendende U-bocht laat zien.

Door de werking van blockchain(achtige) technieken, wordt het heel erg makkelijk iedereen voor altijd te blijven volgen. Het recht op privacy wordt hiermee volledig teniet gedaan. Dat is nog vreemder als je bedenkt dat het niet heel moeilijk is om via bestaande juridische wegen mensen te mogen onderzoeken waarbij dezelfde informatie naar boven te halen is, het vergt alleen iets meer werk.
Er is een lichtpuntje: de rechter. Het Europese hof van Justitie heeft pittige uitspraken gedaan die de privacy beschermen. In Nederland hadden we de SyRi-uitspraak en start binnenkort een rechtszaak van Privacy First tegen een verplicht dataregister van aandeelhouders dat sinds eind september verplicht gevuld moet worden. Te hopen is dat  ook in deze zaak de rechter de burger wél beschermt tegen een te uitbundig privacyschendende overheid.

1. …a digital representation of value that is not issued or guaranteed by a central bank or a public authority, is not necessarily attached to a legally established currency and does not possess a legal status of currency or money, but is accepted by natural or legal persons as a means of exchange and which can be transferred, stored and traded electronically;
2. ‘crypto-asset’ means a digital representation of value or rights, which may be transferred and stored electronically, using distributed ledger or similar technology;
3. a class of technologies which support the distributed recording of encrypted data.
4. FATF-aanbeveling: The required information includes the: (i) originator’s name (i.e., the sending customer); (ii) originator’s account number where such an account is used to process the transaction (e.g., the VA wallet); (iii) originator’s physical (geographical) address, or national identity number, or customer identification number (i.e., not a transaction number) that uniquely identifies the originator to the ordering institution, or date and place of birth; (iv) beneficiary’s name; and (v) beneficiary account number where such an account is used to process the transaction (e.g., the VA wallet). It is not necessary for the information to be attached directly to the VA transfer itself. The information can be submitted either directly or indirectly, as set forth in in INR. 15.
5. Je zou zelfs kunnen beargumenteren dat Facebook daarom Libra bouwde: zo moeten ze mensen volgen, want het zijn de regels, ook al gaat het tegen de AVG en rechten van de mens in.
6. Een wallet is een veelomvattende term voor een persoonlijke digitale ‘kluis’ waar je waardevolle digitale spullen in kunt bewaren. DNB noemt het ‘cryptobewaarportemonnee’.
7. FIU: Financial Intelligence Unit

Grootste internationale online privacyschending dreigt door ingewikkeld akkoord

Grootste internationale online privacyschending dreigt door ingewikkeld akkoord

Hoekstra stemt volgende week

Wie leest een verslag aan de Tweede Kamer waar volgende week over wordt gestemd dat begint over “de FATF die de FATF-standaarden aangepast heeft om te verduidelijken hoe deze moeten worden toegepast in verband met ‘virtual assets’? Toch kan deze oersaaie, technische zin leiden tot een van de grootste privacyschendingen van onze tijd.

De grote speler in dit verhaal is de Financial Action Task Force (FATF). Deze instantie regelt op internationaal niveau allerlei zaken rond het bestrijden van witwassen en het financieren van terroristische organisaties. Nederland zit ook in deze task force bij monde van het Ministerie van Financiën. Voorstellen van de FATF worden overgenomen door de G20 waardoor deze voorstellen gelden als mondiale standaarden.

De FATF spreekt ook over aanpassingen rond cryptovaluta en blockchaintechnologie. Op dit moment wordt gesproken over voorstellen van verschillende autoriteiten die al jaren regels willen invoeren “om effectieve regulering van en toezicht op ‘virtual asset service providers’ te waarborgen.” Niet toevallig staan de wijzigingen op de agenda nu de Verenigde Staten dit jaar de voorzittersrol vervullen.

De kern van de privacyschending vormt de aanbeveling waarmee alle VASPs van zogenaamde virtual assets ook informatie moeten verzamelen en uitwisselen over klanten. Het venijn zit hem in de paragraaf die zegt dat alle overdrachtsgegevens van de partijen van de hele keten van transfers of transacties beschikbaar moet zijn. Wanneer dit particulieren zijn, zijn het persoonsgegevens en is de Algemene Verordening Gegevensbescherming of AVG, de strenge Europese privacywet, van toepassing. Wie denkt dat het alleen om digitaal geld of cryptovaluta gaat vergist zich.

Plenaire vergadering

In februari 2019 hield de Financial Action Task Force een plenaire vergadering over de zaak. In het verslag van de vergadering komt naar voren dat de term virtual assets gebruikt wordt om te ‘voorkomen dat de indruk ontstaat dat er sprake is van een wettig betaalmiddel’. Op deze manier hoeft de term ‘virtual currencies’ of ‘cryptocurrencies’ niet gebruikt te worden. Het probleem is alleen dat de term ‘virtual assets’ volledig multi-interpretabel is en daarmee lijkt die term niet afdoende om in de toekomst werkelijke kaders vast te leggen omdat praktisch alles eronder kan vallen.

Een ander problematisch punt bij de rapportage van het Ministerie van Financiën over deze vergadering is de uitleg in een Kamerbrief van 21 maart 2019 dat het zou gaan om ‘het terrein van girale overschrijvingen’, terwijl het juist helemaal niet gaat over financiële transacties in het bekende gebied van ‘ouderwets’ geld. Hiermee is de kamer op onjuiste wijze geïnformeerd en wordt voorbijgegaan aan de brede toepasbaarheid van deze systemen.

Gegevens op straat

De FATF beperkt zijn aanbevelingen dus niet tot cryptovaluta zoals bitcoin, maar spreekt van virtual assets, een niet-gedefinieerde en daardoor erg ruime term. In de meest brede interpretatie is elk digitaal ‘ding’ dat van eigenaar kan wisselen een virtueel goed. Cryptogeld, maar ook een figuur in een game of zogenaamde virtual twins van fysieke goederen in de ‘echte’ wereld. Daarnaast zouden ook air miles en bonuspunten eronder vallen, net als toekomstig te verhandelen andere tokens, zoals energietokens, die een bepaalde waarde vertegenwoordigen.

De brede term virtual asset zal ook de fysieke wereld raken met de eerder genoemde virtual twins. In de nabije toekomst kun je het eigenaarschap van bijvoorbeeld je auto aan een andere eigenaar overdragen met zo’n virtuele ‘tweelingauto’ als eigendomsbewijs. Aan een dergelijk virtueel goed hangen persoonsgegevens die op dit moment niet meegestuurd hoeven te worden. Ze zijn beschikbaar bij de verschillende instanties die te maken hebben met deze overdracht, in Nederland onder andere de RDW. Als het nodig is voor autoriteiten zoals de politie of opsporingsdiensten om deze gegevens te verkrijgen om onderzoek te doen naar witwassen of andere duistere zaken, dan kunnen zij de gegevens bij deze partijen vorderen.

Volgens de aanbeveling van de FATF in paragraaf 7b zullen bij de transfer van virtual assets de herleidbare gegevens van beide partijen die te maken hebben met de transactie of overdracht, met al hun gegevens, in deze hele transactieketen terechtkomen. Die informatie moet volgens de paragraaf voor iedereen in de waardeketen beschikbaar zijn en blijft zichtbaar voor eenieder in die hele transactieketen.

Privacyschending

Door deze aanbeveling worden bij transacties waar een particulier bij betrokken is, persoonsgegevens door de hele keten verspreid, iets dat met heel veel moeite bestreden is met de komst van de AVG.

Het is niet de eerste keer dat de AVG genegeerd lijkt te worden. We hoeven maar te kijken naar de perikelen rond de invoering van het Payment Service Directive 2 of PSD2 om te leren dat het beschermen van de privacy van Europese burgers lastig is. Het eerste voorstel voor de PSD2 stamt uit 2012 en ging in maart 2018 in. Op meerdere punten biedt de PSD2 beperkte en vooral papieren waarborgen, die mogelijk ontstonden doordat de AVG later dan de PSD2 van kracht werd, namelijk mei 2018.

Klantgegevens internationaal opvraagbaar

In het geval van de FATF-regulering leidt het opnemen van persoonsgegevens tot het verzenden van gegevens van klanten of andere persoonsgegevens naar buiten de Europese Unie. Het ongeclausuleerd verzenden van gegevens is juist met veel moeite bestreden nadat aan het licht kwam dat via het internationale bancaire systeem SWIFT klantgegevens probleemloos door de Verenigde Staten uitgelezen konden worden. Verder spraken zowel het Hof van Justitie in Europa (2016) als het Supreme Court in de VS (2018) zich op grond van privacy-overwegingen expliciet uit tegen het vasthouden van soortgelijke gegevens in de telecomsector.

Voor Stichting Privacy First zijn de aanbevelingen van de FATF aanleiding een dringend beroep te doen op de Minister en de aanbevelingen van tafel te halen. Volgens deze onafhankelijke stichting moeten de voorstellen eerst beoordeeld worden door de bril van de AVG en niet alleen door die van Financiën. “Onder het mom van bestrijding van witwassen zet de Minister zijn handtekening onder een ontwikkeling die alleen maar kan leiden tot privacyschendingen. Op dit moment zijn de aanbevelingen zo ruim dat de Minister niet kan weten waar hij  ‘ja’ tegen zegt.”

Privacy First zegt niet alleen geschrokken te zijn van de FATF-aanbevelingen maar ook het proces waarbij kritiek op het voorstel niet gehoord wordt. Stichting Privacy First vat het kort en bondig samen: “Het is weer een voorbeeld dat Fintech en persoonsgegevens zo verweven raken, dat structurele aandacht moet komen voor financiële privacy. Dit voorstel zou niet alleen door Financiën afgehandeld mogen worden.”

Doof voor kritiek

Nederlandse marktpartijen hadden al eerder kritiek geuit op de voorstellen. Ze staan niet alleen in hun kritiek. Over de hele wereld wordt met lede ogen aangezien hoe de voorgestelde regels onder grote druk worden aangenomen. De FATF raadpleegde de visie van de markt en kreeg een lawine van kritiek over zich heen. Daarbij zaten talloze constructieve suggesties die zowel recht doen aan de opsporingsdoelen als aan randvoorwaarden rond privacy. De reacties aan de FATF bleven echter geheim en het debat werd verder achter gesloten deuren gevoerd. De tekst bleef ongewijzigd.

In Nederland ontstond de situatie dat een brandbrief vanuit de marktpartijen en Privacy First is gestuurd aan het Ministerie van Financiën waar vooralsnog niets mee gedaan is. De brief leidde niet tot een verdere uitnodiging van het Ministerie. Het eerstvolgende bericht daarna vanuit Financiën was het persbericht van de G-20 afgelopen weekend. Daarin juichten de Ministers de voorgenomen aanbeveling van de FATF toe. Zowel internationaal als nationaal toont het Ministerie van Financiën zich daarmee doof voor gerechtvaardigde vragen rond de privacybescherming.

Update 12 juni 2019, 16:03: Inmiddels heeft het Ministerie van Justitie de brief die vandaag is verzonden aan Privacy First om 11 uur online gezet.

Desgevraagd reageert Simon Lelieveldt als volgt op de brief:

De Minister gaat nogal karig in op de maatschappelijke vraagpunten die in de originele brief vanuit de markt zijn aangekaart. Het politieke probleem van botsing van internationale regels rond privacy en die rond opsporing komt niet ter sprake. Het Tele2-arrest van het Hof van Justitie blijft onbesproken en we horen ook niet of de Autoriteit Persoonsgegevens hiernaar heeft gekeken.

Ik zie de Minister zeggen dat de uitleg van definities later wordt verduidelijkt. Er komt een evaluatie nadien en contactgroepen voor de uitwerking. Maar de definities zelf worden intussen wel aangenomen en die hebben een brede reikwijdte waar niet op terug te pakken zal zijn. Verder stelt de Minister dat informatie alleen bij Virtual Asset Service Providers terechtkomt terwijl de aan te nemen regel ook spreekt over ‘counterparts (if any).’ Dit strookt niet maar hoe het precies zit komen we niet te weten. De Minister en FATF schermen namelijk alle informatie en precieze teksten af en wat hij doet is stellen: vertrouw me: het komt allemaal goed. De geschiedenis rond Swift laat echter zien dat het een kostbare vergissing kan worden.

De feitelijke oproep aan de Minister was om de discussie breder te trekken en een goede maatschappelijke belangenafweging te organiseren. Hij doet het tegenovergestelde: hij technocratiseert het proces en de inhoud. Wetenschappers noemen dat ‘depolitiseren’ en doorgaans kom je ermee weg. In datzelfde technocratische domein kan hij echter ook weten dat de effectiviteit van de soortgelijke maatregel in de banksector zeer beperkt is. De hele regel leidt dus tot veel kosten, negatieve privacy-impact, mensenrechtschending en geen baten.

Ik verwacht dat het vervolg wordt dat het aan de rechter is om de belangenafweging tussen privacy en opsporing te maken. Het is uit de rechtspraak in EU en VS, alsook mensenrechtverdragen, vrij duidelijk dat je als overheid omwille van criminaliteitsbestrijding niet zomaar iedereens data kan gaan vasthouden en laten rondsturen.

Er is aan het Ministerie van Justitie en het Ministerie van Financiën om een reactie gevraagd, maar tot op heden is hier geen rechtstreeks antwoord op gekomen. De hierboven aangehaalde reactie is op een brief verzonden aan Privacy First en de VBNL.