Balanceren tussen bewaring en doorbreking van vertrouwelijkheid: de verplichting van banken en verzekeraars tot belangenafweging bij toepassing van de Wwft en het PIFI

1. Inleiding: meldplicht (Wwft) en registratieplicht (PIFI)

Banken en (levens)verzekeraars – hierna ook: ‘instellingen’ – zijn net als diverse andere poortwachters van het financiële stelsel op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) verplicht om bepaalde transacties te melden bij de Financiële inlichtingen eenheid (FIU).¹ Het gaat hierbij om transacties van of ten behoeve van hun cliënten die naar hun oordeel in een voldoende mate van waarschijnlijkheid verband houden met witwassen of financieren van terrorisme. Momenteel volgt dit uit de verplichte toepassing van de zogenoemde subjectieve indicator die een transactie als ongebruikelijk aanwijst als de instelling ‘aanleiding heeft om te veronderstellen dat deze verband kan houden met witwassen of financieren van terrorisme’.² Met ingang van 10 juli 2027 zal een instelling – dan aangeduid als ‘meldingsplichtige entiteit’ – op grond van de Europese Anti-witwasverordening³ moeten melden als deze ‘weet, vermoedt of redelijkerwijs kan vermoeden dat geldmiddelen of activiteiten, ongeacht het bedrag, opbrengsten van criminele activiteiten zijn of verband houden met terrorismefinanciering of criminele activiteiten’.⁴ Onder beide regimes is hoe dan ook sprake van een verplichting tot doorbreking van de vertrouwelijkheid in de relatie met de cliënt.

Vergelijkbare doorbrekingsplichten gelden daarnaast op grond van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen 2021 (PIFI) waaraan zowel (de meeste) banken als verzekeraars zich hebben verbonden. Het gaat hierbij om de opneming van verwijzingsgegevens van – kort gezegd – frauderende cliënten in het Extern Verwijzingsregister (EVR) en daaruit min of meer automatisch voortvloeiende aangifte bij politie of Openbaar Ministerie. Deze doorbrekingsplichten hebben geen wettelijke grondslag, maar gelden op basis van een contractueel arrangement (ook al is hantering hiervan uitsluitend toegestaan met een vergunning ingevolge de wet).⁵

Zoals hierna nog nader aan de orde zal komen is zowel de normstelling in de Wwft (alsook in de AMLR als ‘rechtsopvolger’) als die in het PIFI zeer open geformuleerd. Hierdoor moeten de instellingen zelf van geval tot geval bepalen of zij al dan niet verplicht zijn om tot melding respectievelijk registratie over te gaan. Anders gezegd is de normstelling feitelijk aan hun subjectieve oordeelsvorming overgelaten. Tegen deze achtergrond rijst de vraag op welke wijze banken en verzekeraars behoren om te gaan met het inherente conflict tussen het belang bij naleving van de hiervoor bedoelde ‘doorbrekingsplichten’ en het belang van de cliënt bij achterwege blijven van de doorbreking van de vertrouwelijkheid en daarmee juist bij nakoming van de verplichting tot bewaring daarvan (hierna: de ‘vertrouwelijkheidsplicht’).⁶ In paragraaf 2 zal worden betoogd dat instellingen zich hierbij moeten laten leiden door te onderscheiden balanceerplichten. In paragraaf 3 is een beschrijving opgenomen van de manier waarop instellingen deze balanceerplichten kunnen operationaliseren. Hierop volgt een analyse van de problematische aspecten in dit kader in paragraaf 4 met daarna in paragraaf 5 de formulering van voorstellen voor (deel)oplossingen hiervoor.

2. De verhouding tussen verplichtingen tot bewaring van vertrouwelijkheid en verplichtingen tot doorbreking daarvan: balanceerplichten

De balanceerplicht in het kader van de meldplicht van de Wwft/AMLR – balanceerplicht I

In de Wwft is – net als in de AMLR – niet bepaald hoe instellingen moeten omgaan met het conflict tussen de meldplicht en de vertrouwelijkheidsplicht. Alleen uit de zogenoemde civielrechtelijke vrijwaring zoals vervat in artikel 20 Wwft respectievelijk artikel 72 AMLR volgt dat de wetgever heeft gedacht aan civielrechtelijke implicaties van de meldplicht. Op grond van de Wwft geldt een dergelijke ‘vrijwaring’ van aansprakelijkheid voor door de cliënt ten gevolge van een melding geleden schade als de instelling meldt ‘in de redelijke veronderstelling uitvoering te geven’ aan een wettelijke verplichting daartoe. Uit de wetsgeschiedenis valt niet op te maken wat de wetgever hiermee precies heeft bedoeld. Een minimalistische interpretatie hiervan zou met zich brengen dat de poortwachter voor haar beslissing om te melden een logische redenering moet kunnen geven (en daarmee dat de beslissing niet onredelijk in de zin van onlogisch mag zijn). Hierbij gaat het dan om redelijkheid in enge zin, waarmee slechts een ondergrens is gegeven met het oog op het belang van instellingen om bij de uitvoering van de Wwft ‘gedoe’ met cliënten te voorkomen. Bij een andere interpretatie impliceert de redelijkheidscomponent in de vrijwaring een verplichting om bij de oordeels- en besluitvorming ook de belangen van de cliënt adequaat mee te wegen. Daarin is dan met ‘redelijke veronderstelling’ eerder gedoeld op een redelijkheid in ruime zin (ook wel te duiden als ‘redelijkheid en billijkheid’). Artikel 6 AVG, waarin de alternatieve voorwaarden voor (AVG-)rechtmatigheid van verwerking van persoonsgegevens zijn geformuleerd, biedt geen expliciete steun voor de ene of de andere interpretatie. De voorwaarde van de wettelijke grondslag⁷ is immers slechts aldus geformuleerd dat de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Hierin valt dus niet iets te lezen als dat (i) instellingen bij de uitleg van de wet de belangen van anderen moeten meewegen, of dat (ii) de wettelijke verplichting onder omstandigheden gelet op het belang van derden – zoals cliënten – zou kunnen of moeten wijken voor daaraan tegengestelde verplichtingen, zoals in dit kader een verplichting om juist geen persoonsgegevens te verstrekken (de vertrouwelijkheidsplicht).⁸ Met de invoering van de AMLR verandert deze situatie mijns inziens niet. De daarin vervatte civielrechtelijke vrijwaring luidt verkort namelijk aldus dat het te goeder trouw melden van informatie aan de FIU tot geen enkele vorm van aansprakelijkheid leidt.⁹ Uit de AMLR blijkt verder niet of de wetgever met ‘te goeder trouw' in dit verband inhoudelijk heeft gedoeld op een enge versie van ‘in de redelijke veronderstelling’ als hiervoor weergegeven, dan wel iets als ‘niet te kwader trouw’ (in de zin van niet opzettelijk ten nadele van de andere partij) of toch iets als ‘redelijk en billijk’ (in de zin dat de instelling bij de toepassing van het recht wel degelijk de belangen van de andere partij behoort te verdisconteren).

Al met al heeft de wet (zowel de Wwft als de AMLR) in elk geval niet uitgesloten dat instellingen bij hun oordeelsvorming en besluitvorming inzake de meldplicht rekening houden met de belangen van de cliënt. Naar mijn mening zijn in elk geval banken en verzekeraars civielrechtelijk ook verplicht om dat te doen. De voor hen als balanceerplicht te duiden norm houdt in dat banken en verzekeraars de wet op een voor de cliënt zo gunstig mogelijke wijze behoren uit te leggen, in plaats van een nog net logisch verdedigbare interpretatie te kiezen. Deze inhoud vloeit meer specifiek voort uit artikel 2 Algemene Bankvoorwaarden (ABV) respectievelijk de voor verzekeraars geldende gedragscodes. Artikel 2 ABV schrijft namelijk voor dat banken ‘zo goed mogelijk’ rekening moeten houden met de belangen van de cliënt (waaronder het belang van de cliënt bij bewaring van vertrouwelijkheid).¹⁰ Voor verzekeraars geldt onder meer de verplichting van artikel 2.4 van de Gedragscode Verzekeraars 2018 (randnr. 23) om het klantbelang voorop te stellen, ‘ook als spanning ontstaat tussen politieke keuzes en klantwensen’.¹¹ Verder is relevant dat verzekeraars op grond van artikel 5.2.1 onder h van de Gedragscode Verwerking Persoonsgegevens Verzekeraars (GVPV) alleen strafrechtelijke gegevens verwerken (waaronder door verstrekking aan de FIU) als naleving van wet- en regelgeving dit ‘vereist’. Voor zover de instelling een voor de cliënt gunstiger interpretatie van de wet kan vinden waarbij melding achterwege kan blijven, geldt namelijk dat de wet de verstrekking van gegevens niet per se vereist (en deze verwerking om deze reden dan ook achterwege behoort te blijven). Saillant hierbij is nog wel dat voor zover een melding strikt genomen niet de verstrekking van strafrechtelijke gegevens¹² behelst, de verstrekkingsmogelijkheden op grond van de GVPV minder vergaand beperkt zijn. Omdat de AMLR de meldplicht betrekt op verdachte transacties – in plaats van ongebruikelijke transacties zoals nu onder de Wwft – speelt dit sowieso niet meer zodra deze per 10 juli 2027 van toepassing zal zijn.

De balanceerplicht valt te karakteriseren als wat onze oosterburen aanduiden met ‘Obliegenheit’ (te vertalen als (rechtens relevante) ‘gehoudenheid’). Het gaat hierbij om een naar haar aard niet-afdwingbare plicht. Het staat de instelling op zichzelf ook vrij om in strijd daarmee te handelen, maar deze moet daarmee dan wel consequenties voor de eigen rechtspositie aanvaarden.¹³ In dit verband gaat het hierbij dan meer in het bijzonder om aansprakelijkheid voor de schade die de cliënt ten gevolge van melding lijdt. De grondslag voor deze aansprakelijkheid is dan ofwel de toerekenbare tekortkoming in de nakoming van een (contractuele) vertrouwelijkheidsplicht, ofwel onrechtmatige daad (in de vorm van een inbreuk op het grondrecht van eerbiediging van de persoonlijke levenssfeer, dan wel van een doen in strijd met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt). De wettelijke vrijwaringen van aansprakelijkheid helpen de instelling in voorkomend geval niet als de instelling gelet op de balanceerplicht de lat voor ‘redelijke veronderstelling’, respectievelijk voor ‘te goeder trouw’ te laag heeft gelegd. Hiermee is de balanceerplicht een soort metanorm die de instelling verplicht om een andere – in dit kader wettelijke – verplichting op een bepaalde manier in te vullen. In dit verband gaat het bij dergelijke invulling om de bepaling of zij een transactie al dan niet moet melden. Het kan hierdoor zo zijn dat de instelling aansprakelijk is voor de schade die een cliënt lijdt door haar melding, ook als zij daartoe is overgegaan op basis van een op zichzelf tekstueel geldige interpretatie van artikel 16 Wwft respectievelijk artikel 69 AMLR. Dat is het geval als de instelling bij een eveneens geldige maar voor de cliënt gunstiger interpretatie melding achterwege had moeten laten.

De balanceerplicht in het kader van de registratieplicht van het PIFI – balanceerplicht II

Anders dan in de Wwft en de AMLR is in het PIFI wel aandacht besteed aan de wijze waarop instellingen moeten omgaan met het conflict tussen de doorbrekingsplichten en de vertrouwelijkheidsplicht. De deelnemers aan het PIFI moeten namelijk op grond van artikel 5.2.1 daarvan het ‘proportionaliteitsbeginsel’ in acht nemen. Dit geldt zowel bij de beslissing om überhaupt verwijzingsgegevens in het EVR op te nemen als bij de bepaling van de duur daarvan.¹⁴ De in dit kader te hanteren criteria volgen uit de formulering van de voorwaarde voor (AVG-)rechtmatige verwerking als weergegeven in artikel 6 lid 1 sub f AVG, oftewel de voorwaarde van het ‘gerechtvaardigd belang’. Deze criteria houden in dat (i) sprake moet zijn van een of meer gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, (ii) de verwerking noodzakelijk moet zijn voor de behartiging van die belangen, en (iii) de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen niet zwaarder wegen dan die belangen. In het PIFI is niet nader uitgewerkt hoe de deelnemers deze criteria moeten toepassen. Hierin valt niet meer op te maken dan dat ‘het bij het proportionaliteitsbeginsel gaat om de vraag of er een redelijke verhouding bestaat tussen de aantasting van het privacy recht van de Betrokkene, die het gevolg is van de registratie enerzijds en de legitieme doelen die worden nagestreefd met de registratie anderzijds’ respectievelijk dat dit beginsel ‘noopt tot een zorgvuldige afweging tussen de diverse belangen’. Wat hiervan ook zij, duidelijk is mijns inziens wel dat volgens het PIFI adequate belangenafweging moet plaatsvinden (voorwaarde c) bij:

1. de beoordeling of de gedraging(en) van de (rechts)persoon een bedreiging vormden, vormen of kunnen vormen voor (I) de (financiële) belangen van cliënten en/of medewerkers van een Financiële Instelling, alsmede de (Organisatie van de) Financiële Instelling(en) zelf of (II) de continuïteit en/of de integriteit van de financiële sector (voorwaarde a); alsook bij
2. de beoordeling of in voldoende mate vaststaat dat de betreffende (rechts)persoon betrokken is bij de aan de orde zijnde gedraging(en) (voorwaarde b).

Wat betreft de feiten op grond waarvan de instelling overgaat tot registratie heeft de Hoge Raad al in 2009 bepaald dat sprake moet zijn van zodanige concrete feiten en omstandigheden dat zij een als strafbaar feit te kwalificeren bewezenverklaring – in de zin van artikel 350 Wetboek van Strafvordering – kunnen dragen. Het moet hierbij primair gaan om een feit dat conform het PIFI kwalificeert als fraude. Dit betekent ook dat de deelnemende instelling als maatstaf moet nemen of de vastgestelde gedragingen een zwaardere verdenking dan een redelijk vermoeden van schuld opleveren.¹⁵ Dit vereiste van relatief hoog in te schatten waarschijnlijkheid geldt niet alleen ten aanzien van het gepleegd zijn van een (relevant) strafbaar feit als zodanig, maar ook ten aanzien van de strafrechtelijk relevante betrokkenheid van de cliënt hierbij. Daarnaast indiceert deze maatstaf dat de instelling de belangen van de cliënt in de beoordeling betrekt. Zo zal de instelling voldoende zorgvuldig onderzoek moeten verrichten om daadwerkelijk tot een gefundeerd oordeel hierover te (kunnen) komen zoals dat ook in een ‘echte’ strafrechtelijke procedure – juist ook in belang van de verdachte – gebeurt. Verder zal aan de orde moeten komen in hoeverre het belang van derden (de andere deelnemers aan het waarschuwingssysteem) bij de opneming van de gegevens van de cliënt op de zwarte lijst van het EVR – uitgaande van het vaststaan van relevante betrokkenheid van de cliënt bij strafbare feiten – voldoende zwaar wegen. De hantering van het concept ‘bedreiging’ hierbij vergt dat instellingen ook in dit kader een adequate kans-inschatting/risicoanalyse en - classificatie maken.

Aldus zijn instellingen ook in het kader van het PIFI verplicht te balanceren, maar dan tussen uitsluitend civielrechtelijke verplichtingen (in plaats van tussen een publiekrechtelijke verplichting en een civielrechtelijke verplichting zoals bij de hiervoor beschreven balanceerplicht I). De verplichting om te balanceren tussen de verplichting om de vertrouwelijkheid te doorbreken door registratie in het EVR (en daaropvolgende gegevensverwerkingen) en de verplichting om de vertrouwelijkheid te bewaren heeft hierbij niet het karakter van Obliegenheit. Het gaat er hierbij dan ook – anders dan bij balanceerplicht I – niet zozeer om welke (interpretatie van de) verplichting moet prevaleren, maar om welke verplichting überhaupt bestaat. Juist vanwege het verplicht toe te passen proportionaliteitsbeginsel – en de juist ook daardoor begrensde reikwijdte van de vertrouwelijkheidsplicht – kan dat er maar één zijn. Als voldaan is aan de voorwaarden bij beoordeling mede op basis van adequate belangenafweging, dan geldt de doorbrekingsplicht wel en de vertrouwelijkheidsplicht niet en als niet is voldaan aan de voorwaarden geldt de vertrouwelijkheidsplicht en niet de doorbrekingsplicht. De doorbrekingsplicht en de vertrouwelijkheidsplicht vormen in dit kader dus communicerende vaten. Als de instelling de vertrouwelijkheid doorbreekt terwijl daarvoor geen verplichting bestaat, dan is deze daardoor onverkort aansprakelijk voor de schade bij de cliënt ten gevolge daarvan. Ook voor deze balanceerplicht geldt dat banken en verzekeraars bij de bepaling van wat een adequate belangenafweging is moeten uitgaan van hun commitment om zelfs ‘zo goed mogelijk’ rekening te houden met de belangen van de cliënt respectievelijk het 'klantbelang voorop' te stellen.

3. Operationalisering van de balanceerplichten

Zoals hiervoor uiteengezet laat de verhouding tussen vertrouwelijkheidsplicht en de doorbrekingsplichten zich karakteriseren aan de hand van de geformuleerde balanceerplichten. Op basis daarvan moeten banken en verzekeraars de juiste balans zien te vinden tussen hun belangen enerzijds en die van de cliënt anderzijds. Zij moeten de relevante belangen afwegen op drie niveaus, namelijk bij – kort gezegd –:

1. de verzameling van – de voor de te vellen oordelen relevante – gegevens oftewel feitenonderzoek;¹⁶
2. de beoordeling of de transactie kwalificeert als ongebruikelijke dan wel verdachte transactie respectievelijk of sprake is van een registratiesituatie waarin is voldaan aan voorwaarden a en b van artikel 5.2.1 PIFI;
3. de besluitvorming om al dan niet tot melding respectievelijk registratie in het EVR over te gaan.

De hiervoor vereiste oordeelsvorming is complex, omdat hierbij de instelling niet alleen belangen als zodanig moet afwegen, maar hierbij ook kansen moet verdisconteren en moet bepalen of sprake is van strafbare feiten. De te verdisconteren kansen betreffen in het kader van de meldplicht de waarschijnlijkheid dat een transactie daadwerkelijk verband houdt met witwassen of financieren van terrorisme, wettelijk aangeduid als ‘risico’ (meer specifiek witwasrisico’s of (A)ML/TF risk). De in het kader van het PIFI relevante kansen betreffen zoals hiervoor al aan de orde kwam de waarschijnlijkheid dat de cliënt in relevante zin betrokken is bij fraude én de waarschijnlijkheid dat dit een relevante bedreiging oplevert. Instellingen moeten niet alleen deze kansen inschatten, maar ook bepalen of deze kansen de door hen zelf op basis van de open normen van de Wwft/AML respectievelijk het PIFI te bepalen kans-drempel overschrijden. Deze kans-inschatting vergt ook strafrechtelijke kwalificatie van de geconstateerde gedragingen, namelijk of hiermee sprake is van het delict witwassen of financieren van terrorisme¹⁷ respectievelijk een delict onder de noemer 'fraude'.¹⁸

Op basis van het concept van de balanceerplichten zoals hiervoor uiteengezet en de normstelling in de Wwft respectievelijk het PIFI zoals deels uitgekristalliseerd in rechterlijke uitspraken en adviezen van het Kifid, valt de wijze waarop banken en verzekeraars deze plichten kunnen operationaliseren op verkorte wijze weer te geven zoals is gedaan in de onderstaande tabellen. Na vervanging van de Wwft door de AMLR zal de voornaamste aanpassing hiervan liggen in de verhoging van de kans-drempel waarboven een transactie voor melding bij de FIU in aanmerking komt (vanwege de aanknoping van de meldplicht bij verdachte transacties in plaats van bij ongebruikelijke transacties).

Tabel I: Balanceerplicht in verband met artikel 16 Wwft/artikel 69 AMLR = balanceerplicht I

Tabel II: Balanceerplicht in verband met PIFI = balanceerplicht II

Zoals ook Blom en Rutten op basis van hun uitgebreide onderzoek stellen, moeten instellingen een op het individuele geval toegesneden belangenafweging maken.¹⁹ Zij benoemen dat instellingen hierbij algemene gezichtspunten of een puntenmatrix kunnen gebruiken. Zij signaleren in het kader van de bepaling van de registratieduur dat de overheidsrechter onder meer de volgende – door betrokkenen aan te voeren – factoren relevant acht: de kans op recidive, de leeftijd van de betrokkene, het motief om fraude te plegen, de mogelijkheid van betrokkene om zijn of haar beroep uit te voeren en de hoogte van het bij de fraude betrokken bedrag. Als factoren die de Geschillencommissie van het Kifid in de belangenafweging betrekt noemen zij de jeugdige leeftijd van betrokkene, een persoonlijkheidsstoornis of psychische problemen, het betuigen van spijt, het erkennen dat fraude is gepleegd en dat daarvan is geleerd, meewerken aan de claimbehandeling of het fraudeonderzoek, dat het om een gering fraudebedrag gaat, dat de betrokkene niet eerder bij fraude betrokken is geweest of dat betrokkene zelf slachtoffer is. Dat een verzekering duurder wordt of de reputatie van de betrokkene wordt aangetast heeft in dit verband voor zowel de overheidsrechter als de Geschillencommissie geen invloed. Tot op zekere hoogte zullen deze factoren ook een rol spelen bij de belangenafweging die ten grondslag ligt aan de beslissing om überhaupt al dan niet tot registratie in het EVR over te gaan. Voor de in de tabel opgenomen factoren volgt dit ook direct uit relevante uitspraken van de overheidsrechter en het Kifid. Delicaat in dit kader is nog wel de rol van de verwijtbaarheid van de cliënt in de oordeelsvorming. Deze is volgens zowel de overheidsrechter als de Geschillencommissie relevant in de belangenafweging. Voor de bepaling van de kans dat gedragingen van de cliënt al dan niet in een verdere toekomst een relevant nadeel zullen opleveren (bedreiging) kan verminderde verwijtbaarheid onder omstandigheden samengaan met een kleinere kans, maar onder andere omstandigheden juist ook met een grotere kans. Dit laatste is bijvoorbeeld het geval als een cliënt er door specifieke problemen weinig aan kan doen dat criminelen hem/haar als geldezel blijven inzetten of als hulppersoon bij het plegen van verzekeringsfraude.

4. Problematische aspecten van de balanceerplichten

De hiervoor geformuleerde balanceerplichten vergen zoals ook uit de hiervoor weergegeven tabellen volgt de nodige inspanningen van de instellingen. De belangrijkste ‘juridische oorzaak’ hiervan is dat de doorbrekingsplichten die zij in de juiste balans moeten brengen met de vertrouwelijkheidsplicht nogal problematisch zijn.

Problematisch is de meldplicht in tweeërlei zin. Ten eerste is de norm zelf als zodanig problematisch en tweede is de normstelling problematisch door factoren die de verplichte oordeels- en besluitvorming ter zake van de naleving van de Wwft beïnvloeden. Conceptueel bezien versterken de problematiek van de normstelling zelf en de beïnvloedende factoren elkaar. Het meest problematische van de norm als zodanig is dat uit de formulering daarvan niet blijkt hoe instellingen überhaupt kansen (in de Wwft aangeduid als risico’s) in dit kader kunnen of moeten inschatten én niet blijkt bij welke kans-hoogte de transactie de kleur van een ongebruikelijke dan wel verdachte transactie krijgt (kans-drempel). Zoals met name Demetis uitgebreid heeft betoogd is twijfelachtig of een zinvolle en wetenschappelijk verantwoorde operationalisering van dergelijke kans-inschatting en communicatie naar aanleiding daarvan überhaupt mogelijk is.²⁰ Het is vermoedelijk dan ook daarom dat ten aanzien hiervan tot nu toe geen enkele ‘guidance’ hierover is gekomen van enige daarvoor in aanmerking komende autoriteit (de wetgever, de bankentoezichthouders, het Anti Money Laundering Centre, de Financial Intelligence Unit of de Financial Action Task Force). Mogelijk zal de Europese anti-witwasautoriteit (Authority for Anti-Money Laundering and Countering the Financing of Terrorism ofwel AMLA) hierin op termijn verandering brengen.²¹ Hierbij komt dat banken en verzekeraars bij de beoordeling ook de belangen van hun cliënten moeten betrekken. Aldus moeten zij belangen verdisconteren in de risicoanalyse en risico’s in de belangenafweging. Zoals met name Den Houdijker omstandig heeft toegelicht stelt alleen al de vereiste belangenafweging als zodanig zelfs professionele rechters voor intellectuele uitdagingen.²²

Problematische factoren die de oordeels- en besluitvorming door de instellingen beïnvloeden zijn onder meer de volgende. De FIU is niet heel transparant over de wijze waarop zij met de meldingen omgaat, meer in het bijzonder hoe zij (althans de directeur van de FIU) ertoe komt om bepaalde gemelde transacties te kwalificeren als verdachte transactie. Hierdoor kunnen instellingen niet goed beoordelen wat de gevolgen van ‘hun’ melding voor de betrokken cliënt zullen (kunnen) zijn. Terugkoppeling naar aanleiding van gemelde ongebruikelijke transacties vindt hooguit beperkt plaats waardoor instellingen ook niet goed kunnen leren en daarmee de oordeelsvorming en besluitvorming kunnen verbeteren. Hierbij komt dat cliënten vanwege de geheimhoudingsplicht – in elk geval niet vooraf – op de hoogte raken van het feit dat de instelling melding van ‘hun’ transacties verricht.²³ Hierdoor kunnen cliënten de doorbreking van de vertrouwelijkheid door melding ook niet voorkomen op basis van overtuigingskracht of een voorlopige voorziening door de civiele rechter (in de vorm van een verbod op melding). Voor zover al een procedure zou volgen over aansprakelijkheid voor de schade door onterechte melding, kunnen zij zich tot op zekere hoogte beroepen op de al genoemde wettelijke vrijwaring.²⁴ Zeker ook gelet hierop zullen instellingen bij de beoordeling en besluitvorming hun belang om niet het verwijt van de toezichthouder of het OM te krijgen de meldplicht niet na te leven eerder laten prevaleren en daarmee eerder meer dan minder transacties melden. Hiermee kunnen instellingen zich ook nog eens extra investeringen in onderzoek (à decharge) en oordeelsvorming besparen.

Ook de registratieplicht op grond van het PIFI (met daaraan gekoppeld de verplichting tot het doen van strafrechtelijke aangifte) is zowel bezien vanuit de normstelling zelf als vanuit systeemfactoren problematisch. Zo is de norm verregaand onbepaald op het punt van het al dan niet bestaan van een relevante ‘bedreiging’. Door de ook in dit verband inherente complexiteit van het beoordelen van kansen/ risico’s kan een groot aantal (rechts)personen op de zwarte lijst van de financiële sector komen te staan die daar niet op horen en daardoor ten onrechte buiten het reguliere financiële stelsel gaan vallen. Hierbij komt dat instellingen niet zoals rechters onpartijdig zijn, maar hun eigen belang afwegen tegen dat van hun cliënt. Bethlehem en Van Pelt stelden al in 2016 de terechte vraag in dit verband

‘hoe wenselijk het is dat verzekeraars in feite zelf voor politieagent én strafrechter spelen, terwijl de gevolgen voor betrokkenen verder strekken dan de enkele privaatrechtelijke relatie tussen hen en verzekeraar, mede bezien in het licht dat financiële instellingen een bijzondere maatschappelijke positie innemen en dat het grote impact heeft voor betrokkenen dat zij door registratie grotendeels worden afgesloten van financiële dienstverlening’.²⁵

Voor de banken is deze vraag onverkort relevant. Dit geldt temeer omdat instellingen bij een ‘hit’ in het EVR mogelijk überhaupt geen nader onderzoek meer verrichten, maar gelet op de registratie alleen al tot weigering of beëindiging van dienstverlening overgaan. Bij de oordeels- en besluitvorming in dit verband zal vermoedelijk een rol spelen dat de kans dat instellingen te maken krijgen met handhavend optreden wegens al te ‘gemakkelijke’ plaatsing van (rechts)personen op de zwarte lijst van het EVR nogal beperkt lijkt. Dit geldt wat betreft de Autoriteit Persoonsgegevens vanwege beperkte capaciteit. Wat betreft DNB bestaan geen aanknopingspunten voor de gedachte dat deze toezichthouder zich het belang van privacy/gegevensbescherming überhaupt aantrekt en te betrekken in het toezicht, bijvoorbeeld in het kader van de naleving van de regels ter zake van de beheerste en integere bedrijfsvoering. Weliswaar kunnen betrokken cliënten – juist doordat instellingen hen hierover moeten informeren – tegen registratie in het EVR opkomen bij de overheidsrechter of de Geschillencommissie, maar daartoe moeten zij wel een drempel over en de uitkomsten ervan zijn ongewis.

5. Oplossingen en aanbevelingen voor de praktijk

Met de koppeling van de meldplicht aan ‘ongebruikelijke transacties’ aan de hand van de subjectieve indicator zoals nu geformuleerd staat het anti-witwassysteem naar mijn mening sowieso niet ‘goed afgesteld’. Aan (nagenoeg) alle voorwaarden voor geoorloofde inbreuk op de aan de orde zijnde grondrechten is namelijk niet voldaan.²⁶ De koppeling van de meldplicht aan ‘verdachte transacties’ zoals in de AMLR gebeurt zal hierin enige verbetering brengen. Dat neemt niet weg dat de gesignaleerde complicaties die samenhangen met de hantering van een voorgeschreven (subjectieve) beoordeling aan de hand van een risicoconcept grotendeels blijven bestaan, temeer omdat het ook in dat geval aan de instelling blijft om te bepalen waar de lat ligt (en vervolgens of deze is gehaald). Hierbij komt dat het belang van kwaliteit van de oordeelsvorming (op basis van adequaat feitenonderzoek) en belangenafweging groter wordt, omdat de ernst van de doorbreking van de vertrouwelijkheid toeneemt. Met het predicaat ‘verdachte transactie’ geeft de instelling immers een nog sterkere lading mee aan de informatie die zij aan de FIU en daarmee indirect aan het Openbaar Ministerie verstrekt.

Binnen het huidige model waarbij instellingen uit eigen beweging moeten melden, vallen concrete verbeteringen bij de toepassing van de balanceerplichten mijns inziens nog te bereiken (met nadere regels) op het gebied van de beheerste en integere bedrijfsvoering, meer in het bijzonder ter zake van de 'oordeelsvormingsorganisatie'. Te denken valt bijvoorbeeld aan:

1. inrichting van een specifiek organisatieonderdeel dat de beslissing tot melding neemt, hantering van meer-ogenprincipes tot op bepaalde hiërarchisch niveaus met verplichte accordering door aangewezen personen van bijvoorbeeld de afdeling Veiligheidszaken of Juridische Zaken;
2. specifieke opleidings- en ervaringseisen te stellen aan de personen die binnen de bank bevoegdheid hebben tot beoordeling en beslissing in het kader van de meldplicht;
3. doorlopende en periodieke evaluatie van het meldsysteem (interne audit) – in aansluiting op de verplichte ‘gegevensbeschermingseffectbeoordeling’ van artikel 35 lid 7 AVG en ter zake van de onafhankelijke beoordeling van de kwaliteit van de afzonderlijke meldingen;
4. organisatie van interne tegenspraak, mogelijk zelfs door aanwijzing van een interne ‘advocaat’ die wijst op mogelijke andere hypothesen of scenario’s ter beperking van de effecten van ‘confirmation bias’ of tunnelvisie;
5. borging van de geheimhouding van de melding van een transactie zowel intern als extern, zich vertalend in organisatorische vereisten en nadere verplichtingen op het gebied van cybersecurity.

Hierbij zou ook de invoering passen van een in dit kader expliciete ‘bestuursrechtelijke vrijwaring’ en ‘strafrechtelijke vrijwaring’ ter bescherming van instellingen tegen een al te voortvarende toezichthouder en dito Openbaar Ministerie. Ter bepaling van wat een redelijke veronderstelling bij of redelijk handelen door de instelling is, kan het beslisschema zoals vervat in de hiervoor weergegeven tabel I als hulpmiddel fungeren.

Bij handhaving van een waarschuwingssysteem zoals dat op basis van het PIFI zou hiervoor mijns inziens in lijn met het bepaalde in artikel 10 AVG een wettelijke grondslag moeten komen met uitwerking in concrete vereisten met een eveneens daarop gebaseerd specifiek toezicht op de naleving daarvan. Ook in dit kader valt te denken aan mogelijkheden ten aanzien van de beheerste en integere organisatie zoals hiervoor al met betrekking tot de meldplicht voorgesteld. Afgezien van wettelijke vastlegging daarvan past bij naleving van de op instellingen rustende balanceerplicht II dat:

1. registratie alleen kan plaatsvinden als de ongeoorloofde gedragingen in voldoende mate aan de betrokkene kunnen worden verweten;
2. de lat (kans-drempel) voor opneming in het EVR zeer hoog ligt;
3. geen registratie plaatsvindt als de betreffende gedragingen een relevante bedreiging kunnen vormen, maar hooguit als dergelijke gedragingen daadwerkelijk een relevante bedreiging oftewel voldoende hoge kans op relevant nadeel vormen;
4. registratie onmiddellijk wordt beëindigd als de registratie heeft plaatsgevonden op grond van een feit in verband waarmee het OM tot seponering heeft besloten wegens gebrek aan bewijs, dan wel als de strafrechter tot vrijspraak heeft geoordeeld; en
5. een adequaat beslisschema wordt gehanteerd, mogelijk langs de lijnen zoals voorgesteld in tabel II.

Noten

¹ Art. 16 lid 1 Wwft jo. art. 1a lid 1 resp. 1a lid 3 sub g Wwft.

² Art. 15 Wwft jo. art. 4 lid 1 Uitvoeringsbesluit Wwft 2018 jo. Bijlage 1 daarbij.

³ Verordening (EU) 2024/1624, veelal en daarom ook in deze bijdrage verder aangeduid met de afkorting AMLR voor Anti Money Laundering Regulation.

⁴ Art. 69 lid 1 AMLR.

⁵ Namelijk art. 33 lid 4 sub c Uitvoeringswet Algemene Verordening Gegevensbescherming.

⁶ Dit betreft het centrale thema van het promotieonderzoek waarop dit artikel is gebaseerd. Zie M. van Eersel, De verplichting tot wantrouwen in een vertrouwensrelatie, Over de verhouding tussen verplichtingen van banken tot doorbreking van vertrouwelijkheid ter bestrijding van financieel-economische criminaliteit en de tegengestelde verplichting van banken tot bewaring van vertrouwelijkheid, (diss. Open Universiteit), 2025. Zie over de fundamenten van de bedoelde vertrouwelijkheidsplicht nader in hoofdstuk 3 hiervan. Kort gezegd is de vertrouwelijkheidsplicht – hoewel voortvloeiend uit meerdere bronnen – primair een directe contractuele verplichting met inhoud en strekking zoals neergelegd in de voorwaarden die zowel (grote) banken als verzekeraars hanteren.

⁷ Art. 6 lid 1 sub c AVG.

⁸ Zoals nader uitgewerkt in het hiervoor bedoelde onderzoek (paragraaf 6.3) vormt deze omstandigheid mijns inziens juist een argument voor de stelling dat de meldplicht op basis van de zeer onbepaalde norm van de subjectieve indicator in strijd is met de AVG, althans met de daaraan ten grondslag liggende grondrechten op eerbiediging van de persoonlijke levenssfeer (oftewel privacy) en op de daaraan gerelateerde bescherming van persoonsgegevens. Kort gezegd komt dit argument erop neer dat als de wet in zo ruime mate de toetsing aan de voorwaarden voor het maken van geoorloofde inbreuk op de grondrechten overlaat aan de verwerkingsverantwoordelijken (in casu de instellingen) zoals is gedaan in de Wwft, deze wet dan bijgevolg niet als grondslag voor rechtmatige verwerking van persoonsgegevens kan gelden. Men zou korter ook kunnen stellen dat de AVG bij de formulering van de wettelijke grondslag voor gegevensverwerking in art. 6 lid 1 sub c AVG geen rekening heeft gehouden met wetten zoals de Wwft.

⁹ Art. 72 AMLR.

¹⁰ Banken committeren zich hieraan jegens hun cliënten door deze voorwaarden op de overeenkomsten met hen van toepassing te verklaren.

¹¹ Blijkens deze gedragscode zelf (meer in het bijzonder hoofdstuk 3 daarvan) kunnen cliënten rechtstreeks beroep doen op de bepalingen hiervan jegens de verzekeraar.

¹² Strafrechtelijke gegevens zijn conform art. 10 AVG (en op basis daarvan art. 10 GVPV) persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. Zoals de Autoriteit Persoonsgegevens deze definitie interpreteert gaat het hierbij – afgezien van veroordelingen – om ‘mogelijk gegronde verdenkingen’ en daarmee om situaties waarin er ‘concrete aanwijzingen zijn dat iemand een strafbaar feit heeft gepleegd’ (https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/wat-zijn-persoonsgegevens#strafrechtelijke-gegevens). Weliswaar gaat het bij toepassing van de subjectieve indicator per definitie om de mogelijkheid dat sprake is van een strafbaar feit – namelijk witwassen dan wel financieren van terrorisme – maar door de formulering daarvan zou een transactie in theorie al kunnen kwalificeren als een te melden ongebruikelijke transactie als minder dan een concrete aanwijzing bestaat (namelijk als de instelling ‘aanleiding heeft te veronderstellen dat de transactie verband kan houden met witwassen of financieren van terrorisme’).

¹³ Om deze reden wordt in het Nederlands recht de klachtplicht van art. 6:89 BW wel aangeduid als een Obliegenheit. Het staat vrij om niet tijdig over een gebrek in de prestatie bij de contractuele wederpartij te klagen, maar dan moet men aanvaarden dat men daarop dan later ook geen beroep meer kan doen. Zie nader over Obliegenheiten bijvoorbeeld C. Spierings, De eenzijdige rechtshandeling (diss. Nijmegen), Deventer: Wolters Kluwer 2017, par. 2.2.4 (Verbintenis, gebondenheid en rechtsplicht), K.J.O Jansen, Informatieplichten, Over kennis en verantwoordelijkheid in contractenrecht en buitencontractueel aansprakelijkheidsrecht (diss. Leiden), Deventer: Wolters Kluwer 2012, p. 37.

¹⁴ Art. 5.2.1 respectievelijk 4.3.3 en 5.3.2 PIFI jo. Annex (p. 42). Zie hierover wat betreft de banken paragraaf 4.3 van mijn proefschrift. Zie hierover wat betreft de verzekeraars onder meer uitgebreid R.A. Blom & S. Rutten, ‘Optellen of aftellen? De som van de belangenafweging bij EVR-registraties’, AV&S 2024/8, K. Engel, ‘Aandacht voor de EVR-registratietermijn’, AV&S 2023/13, S. Rutten & I. Venker, ‘Het onderzoek naar fraude: over afweging van belangen en (de gevolgen van) het overschrijden van grenzen’, VAST 2020/W-0005, B.I. Bethlehem & M. van Pelt, ‘Registratie van persoonsgegevens door verzekeraars in geval van verzekeringsfraude’, NTHR 2016/1.

¹⁵ HR 29 mei 2009, ECLI:NL:HR:2009:BH4720, NJ 2009/243.

¹⁶ Over de inhoud en reikwijdte van het hier bedoelde onderzoek en de in dat kader vereiste oordeelsvorming wat betreft de meldplicht is de AMLR aanzienlijk meer specifiek dan de Wwft. Zo schrijft art. 69 lid 2 AMLR voor dat de ‘meldingsplichtige entiteiten’ in het kader van hun besluitvorming om al dan niet over te gaan tot melding (ingevolge lid 1 van dat artikel) moeten overgaan tot beoordeling van ‘de transacties of activiteiten die hun cliënten uitvoeren, op basis van en tegen alle relevante feiten en informatie waarvan zij kennis hebben of waarover zij beschikken’ alsmede dat een vermoeden op grond waarvan melding plaatsvindt gebaseerd moet zijn op ‘de kenmerken van de cliënt en diens tegenhangers, de omvang en aard van de transactie of activiteit of de methoden en patronen daarvan, het verband tussen verschillende transacties of activiteiten, de herkomst, de bestemming of het gebruik van geldmiddelen, of alle andere omstandigheden waarvan de meldingsplichtige entiteit kennis heeft, met inbegrip van de consistentie van de transactie of activiteit met de informatie verkregen op grond van het verplichte cliëntenonderzoek, waaronder het risicoprofiel van de client’.

¹⁷ Ex art. 420bis (opzetwitwassen), 420bis.1 (eenvoudig (opzet)witwassen”), 420ter (gewoontewitwassen), 420quater (schuldwitwassen) en 420quater.1 (eenvoudig schuldwitwassen) Wetboek van strafrecht, respectievelijk art. 421 Sr (financieren van terrorisme).

¹⁸ Het PIFI spreekt primair van “fraude” die door het waarschuwingssysteem moet worden voorkomen. Fraude is als zodanig niet in het Wetboek van Strafrecht gedefinieerd, maar fungeert als overkoepelende term voor diverse daarin wel bepaalde delicten. Hieronder vallen naast (de verschillende vormen van) witwassen en terrorismefinanciering, meer in het bijzonder oplichting (art. 326 Sr) en benadeling van schuldeisers (art. 340 ev Sr). In dit verband gaat het om sectorgerelateerde financieel-economische criminaliteit zoals bijvoorbeeld door het optreden als geldezel (‘money mule’), ‘phishing’, ‘spoofing’, whatsappfraude, hypotheekfraude en de diverse vormen van verzekeringsfraude.

¹⁹ R.A. Blom & S. Rutten, ‘Optellen of aftellen? De som van de belangenafweging bij EVR-registraties’, AV&S 2024/8.

²⁰ Zie meer in het bijzonder D.S. Demetis, Technology and Anti-Money Laundering: A Systems Theory and Risk-Based Approach, Cheltenham: Edward Elgar Publishing, Incorporated, 2010. In meer algemene zin hebben vooral Kahneman en Gigerenzer erop gewezen dat mensen moeite hebben met inschatting van kansen, waaronder door uitleg aan de hand van de zogenoemde ‘prosecutor’s fallacy’. Zie onder meer D. Kahneman, Thinking Fast & Slow, New York: Farrar, Straus and Giroux, 2011 (in het Nederlands verschenen onder de titel ‘Ons feilbare denken’) en G. Gigerenzer, Risk Savvy: How To Make Good Decisions, London: Penguin Books Ltd, 2015; Calculated risks, how to know when numbers deceive you, New York: Simon & Schuster, 2015; Rationality for mortals, Oxford University Press Inc, 2010; Reckoning with risk, learning to live with uncertainty, London: Penguin Books Ltd, 2003.

²¹ Mogelijk zal ook de inzet van AI-systemen hierbij een rol kunnen spelen. Zie hierover M. van Eersel, ‘Witwasbestrijding met kunstmatige intelligentie, Een voorverkenning van artificiële beoordeling van transacties bij of door banken onder de AI-Act’, NJB, 2025, nr. 23.

²² F.M.J. Den Houdijker, Afweging van grondrechten in een veellagig rechtssysteem, De toepassing van het proportionaliteitsbeginsel in strikte zin door het EHRM en het HvJ EU (diss. Leiden), Wolf Legal Publishers: Nijmegen 2012.

²³ Op grond van art. 23 Wwft en per 10 juli 2027 art. 73 AMLR.

²⁴ Op grond van art. 20 Wwft en per 10 juli 2027 in plaats daarvan art. 72 AMLR.

²⁵ B.I. Bethlehem & M. van Pelt, ‘Registratie van persoonsgegevens door verzekeraars in geval van verzekeringsfraude’, NTHR 2016/1, p. 2.

²⁶ Zie hierover meer in het bijzonder hoofdstuk 6.2 van mijn proefschrift. Het meest springende punt hierbij is dat het meldsysteem van de Wwft nauwelijks of überhaupt niet effectief is, althans dat niet of nauwelijks valt te meten dat het systeem ook maar enigszins effectief is. Dit komt deels door het te verwachten ontbreken van de noodzakelijke data, maar ook doordat de wetgever de doelstellingen niet adequaat heeft geformuleerd waardoor deze ook niet in concrete en meetbare grootheden zijn te operationaliseren, laat staan dat daarmee de vereiste causale verbanden kunnen worden aangetoond.