Partnerschappen voor informatie-uitwisseling: nieuwe mogelijkheid om informatie te delen onder de AMLR

6 minuten

een nieuwe grondslag voor meldingsplichtige entiteiten (hierna: instellingen) om informatie met betrekking tot het verrichte cliëntenonderzoek (Customer Due Diligence, CDD) en transactiemonitoring (TM) met elkaar te delen in zogenoemde ‘partnerschappen voor informatie-uitwisseling’ (zie artikel 75 AMLR). Deze nieuwe ontwikkeling doet denken aan het Nederlandse initiatief van vijf Nederlandse banken om hun ‘krachten’ op het gebied van transactiemonitoring te bundelen in Transactie Monitoring Nederland (TMNL). Dit samenwerkingsverband stuitte uiteindelijk op veel weerstand, met name vanwege privacy-bezwaren.[1] De aanstaande invoering van de AMLR heeft uiteindelijk een einde gemaakt aan TMNL in haar huidige vorm, en naar ik begrijp wordt TMNL de aankomende tijd opnieuw opgezet om straks onder de AMLR een doorstart te maken.[2]

Een partnerschap voor informatie-uitwisseling

Een partnerschap voor informatie-uitwisseling is – kort samengevat – een mechanisme waarbinnen instellingen, eventueel aangevuld met publieke autoriteiten, informatie over cliënten mogen uitwisselen. De AMLR stelt wel strikte voorwaarden aan deze vorm van informatie-uitwisseling, en introduceert daarbij verschillende waarborgen. Het gaat het bestek van deze blog te buiten om deze allemaal uitvoerig te bespreken, maar hieronder worden de meest belangrijke punten besproken.

Belangrijkste randvoorwaarden

Een partnerschap voor informatie-uitwisseling mag niet worden aangegaan zonder dat de relevante toezichthouder(s), en de relevante toezichthouder(s) met betrekking tot de Verordening (EU) 2016/679 (AVG), hebben geverifieerd dat het voorgenomen partnerschap voldoet aan de eisen die de AMLR aan een dergelijk samenwerkingsverband stelt. Ook moet worden bezien of een Data Protection Impact Assessment door de betrokken partijen is uitgevoerd. Als algemeen uitgangspunt heeft te gelden dat informatie alleen mag worden uitgewisseld indien dat “strikt noodzakelijk” is voor de naleving van de AMLR, en de informatie-uitwisseling in lijn is met (Europese) grondrechten, en andere procedurele waarborgen.

 

Een even belangrijke voorwaarde voor een dergelijk partnerschap is dat informatie die mag worden uitgewisseld beperkt is. In het samenwerkingsverband mag alleen – voor zover noodzakelijk – informatie gedeeld worden over de volgende zaken:

 

  • de cliënt, en indien nodig de uiteindelijk belanghebbende (Ultimate Beneficial Owner, UBO) van de cliënt;
  • het doel en aard van de zakelijke relatie/transactie, en indien nodig, de bron van de middelen/vermogen van de cliënt;
  • de transacties van de cliënt;
  • de risicofactoren verbonden aan de cliënt;
  • het risicoprofiel van de cliënt;
  • bewijsstukken; en
  • vermoedens van verdachte transacties.

 

Een andere beperkende voorwaarde is dat de informatie die gedeeld mag worden alleen mag zien op – kort samengevat – hoog risico cliënten, of cliënten voor wie nog aanvullende informatie moet worden verzameld om vast te stellen of er sprake is van een hoog risico. Ook moeten instellingen passende maatregelen nemen, waaronder pseudonimisering, om – kort gezegd – de beveiliging en vertrouwelijkheid van de gedeelde informatie te waarborgen.

 

Een deelname aan een partnerschap ontslaat een instelling niet van haar verplichting om eigenstandig onderzoek te doen en afwegingen te maken. Een instelling mag geen conclusies trekken of besluiten nemen die invloed hebben op de zakelijke relatie op basis van ontvangen informatie zonder de informatie ook zelf te hebben beoordeeld. Van een instelling wordt verwacht dat zij alle informatie die zij in het kader van de samenwerking ontvangt meeneemt in haar beoordeling, en in haar administratie ook vastlegt op basis van welke informatie ze tot welk oordeel is gekomen (inclusief waar deze informatie van afkomstig is).

 

In het verlengde hiervan is het, na instemming van de Financial Intelligence Unit (FIU) waar de verdachte transactie is gemeld, ook mogelijk om verdachte transacties binnen het partnerschap te delen. Instellingen moeten vervolgens nog wel een eigen beoordeling uitvoeren om te bezien of er sprake is van een transactie die ‘verband kan houden met witwassen of terrorismefinanciering’. Mocht een instelling op basis van deze (nieuwe) informatie tot de conclusie komen dat een andere transactie ook als verdacht moet worden bestempeld, dan moet deze nieuwe verdachte transactie gemeld worden aan de relevante FIU. Deze verplichting gaat ook op in het geval de eerder gedeelde verdachte transactie nog niet bekend is bij de FIU in de lidstaat waar de instelling is gevestigd.

Conclusie

Al met al is dit een interessante ontwikkeling. Aangezien deze samenwerkingsverbanden op het niveau van de AMLR zijn geregeld, is het voor lidstaten (waaronder Nederland) niet mogelijk om zelf nog aanvullende, dan wel meer beperkende, regels te stellen. De Nederlandse regering heeft op de achtergrond nog hard gelobbyd om hier een lidstaatoptie van te maken, maar dit is tijdens de onderhandelingsfase over het gehele EU-pakket van tafel geveegd door het Europees Parlement onder verwijzing naar het harmoniserende karakter van de Verordening.[3] Uit het feit dat TMNL niet helemaal is opgedoekt, en onder de AMLR een doorstart gaat maken, leid ik af dat er bij (bepaalde) Nederlandse (Wwft-)instellingen in ieder geval de wens bestaat om dergelijke partnerschappen voor informatie-uitwisselingen aan te gaan.

 

Tegen die achtergrond kan ik mij voorstellen dat dit een welkome stap is voor de sector. De wettelijke grondslag is er in ieder geval om informatie met elkaar uit te wisselen. De vraag is echter of een dergelijk initiatief onder de AMLR in Nederland van de grond gaat komen gezien de al bestaande privacy bezwaren. Op het oog heeft de (Europese) wetgever veel privacy waarborgen ingebouwd, met aandacht voor de evenredigheid van de gegevensdeling. Ook moet de AVG-toezichthouder, in Nederland: de Autoriteit Persoonsgegevens, verifiëren of aan de randvoorwaarden van de AMLR op dit punt is voldaan. Mocht een partnerschap door al deze juridische hoepels zijn gesprongen, dan rest de vraag of de (Nederlandse) consument zit te wachten op deze vorm van samenwerking. Feit is en blijft dat, weliswaar beveiligd en vertrouwelijk, grote hoeveelheden (gevoelige) data in dit samenwerkingsverband tussen instellingen wordt gedeeld. De praktijk zal dit moeten gaan uitwijzen. Mijn voorgevoel zegt dat hier het laatste – publieke en/of politieke – woord nog niet over is gezegd (of geschreven).

 

 

 

[1] Zie bijv: het advies van de Autoriteit Persoonsgegevens d.d. 10 maart 2020 ‘Advies consultatieversie voorstel voor de wet plan van aanpak witwassen’,  maar ook de inbreng van de Autoriteit Persoonsgegevens voor een rondetafelgesprek met de Tweede Kamer over het wetsvoorstel van plan aanpak witwassen d.d. 26 januari 2023 (https://www.autoriteitpersoonsgegevens.nl/documenten/inbreng-ap-rondetafelgesprek-wetsvoorstel-plan-van-aanpak-witwassen), Kamerstukken II 2022-23, 36 228, nr. 11 en de brief van de Autoriteit Persoonsgegevens d.d. 13 juli 2023 waarin de Autoriteit antwoord geeft op vragen vanuit de ministeries over het – gewraakte – wetsvoorstel plan van aanpak witwassen (https://www.autoriteitpersoonsgegevens.nl/uploads/2023-11/20230714_Antwoord_AP_op_vragen_MinFin_wet_plan_van_aanpak_witwassen.pdf).

[2] Zie bijv: het persbericht van TMNL d.d. 1 juli 2024 (https://tmnl.nl/article/transactiemonitoring-nederland-past-werkwijze-aan-nieuwe-europese-wetgeving-aan/).

[3] Zie de brief van de Minister van Financiën d.d. 16 april 2024, ‘Gevolgen AML-pakket en wetsvoorstel plan van aanpak witwassen’ (https://open.overheid.nl/documenten/c679fc34-d45a-466d-8ee0-56f2ac3d053f/file).