Innovatie & Strategie

Dit is een bijdrage van Fruition Partners
Privacy
Frauduleuze transacties en persoonsgebonden data Bescherming van persoonsgegevens en wetshandhaving.

Frauduleuze transacties en persoonsgebonden data

Bescherming van persoonsgegevens en wetshandhaving.

11 september 2019
Door: Fruition Partners, partner

Bescherming van persoonsgegevens en wetshandhaving.

Voor 10 miljard euro aan verdachte transacties

Het onlangs verschenen jaarverslag van de Financial Intelligence Unit (FIU) rapporteerde over 2018 een recordbedrag van bijna 10 miljard euro aan – ontdekte – financiële transacties die als verdacht werden aangemerkt. Denk daarbij aan ernstige vermoedens van witwassen, dikwijls van drugsgelden, en aan financiering van terrorisme.

Financial Intelligence Unit (FIU) is de – bij de politie ondergebrachte – zelfstandige opererende autoriteit waar financiële dienstverleners volgens een wettelijke verplichting transacties moeten melden die ze niet vertrouwen. De FIU analyseert de meldingen en kent deze zo nodig het predicaat ‘verdacht’ toe. Denk aan de betaling van kapitaal huis via een bank in Dubai uit de verkoop van een antiek beeld. Of aan een bedrag van 100 duizend euro dat in kleine partjes wordt overgemaakt naar een bananenexporteur in Zuid-Amerika.

In 2018 zijn er 58 duizend verdachte transacties na analyse op de zeef van de FIU blijven liggen. De totale waarde bedroeg 9,7 miljard euro, In 2017 ging het nog om 40 duizend transacties met een waarde van 6,7 miljard euro. Voor Europa schat Europol de omvang van de verdachte transacties op 200 miljard euro per jaar.

Poortwachter

Banken, investeringsfondsen en andere financiële instellingen worden misbruikt door criminele bendes en terroristen. Het is bekend dat de kwaliteit van de financiële infrastructuur in Nederland ook criminelen aantrekt. En dat wordt kennelijk niet minder.

Als poortwachter zijn financiële instellingen bij wet verplicht zich in te spannen om witwassen en de financiering van terrorisme en van criminele activiteiten te voorkomen. Dat moeten ze doen door precies bij te houden wie hun klanten zijn en door hun transacties te monitoren. Dat gebeurt in processen als ‘know your customer’ (KYC) en ‘customer due diligence ‘(CDD) en door het monitoren van transacties.

In KYC gaat het om een zo compleet mogelijk beeld van de situatie van de cliënt en de beschrijving van de dienstverlening. Een CDD verwerkt klantinformatie in functie van risico’s. Richtlijnen voor de opstelling kunnen tot zo’n 50 pagina’s tekst beslaan. Doel is uit te sluiten dat een persoon of instelling is betrokken bij ernstige criminele activiteiten.

Recentelijk kwamen meerdere instellingen in het nieuws omdat ze deze taken volgends de AFM niet naar behoren uitvoeren. ING trof in september 2018 een recordschikking van 775 miljoen euro met het Openbaar Ministerie om vervolging voor falend witwasbeleid te verkomen. Rabobank kreeg toen een boete van 1 miljoen euro van de DNB omdat het klantendossiers tot en met 2016 niet op orde had. In maart van dit jaar kreeg Triodos een ‘aanwijzing’ – een soort laatste waarschuwing – om tekortkomingen in het tegengaan van mogelijk witwassen of het financieren van terrorisme door haar klanten. Ook de Volksbank kreeg al eerder een aanwijzing en moest een boete betalen voor het niet melden van verdachte transacties.

Nu krijgt ABNAMRO te horen dat haar integriteitscontrole van 5 miljoen particuliere klanten tekortschiet. De bank heeft haar klantendossiers niet voldoende op orde. Ook wordt het risico op financiële criminaliteit van klant met niet altijd goed ingeschat. Het is niet duidelijk of dit verwijst naar de kwaliteit van de risicoprofielen of naar de manier waarop ze klanten in de gaten houdt of naar een combinatie van die twee.  Het kan ook zijn dat de bank voor een grote groep klanten werkt met risicoprofielen die niet meer up-to-date zijn.

Automatisering is de sleutel

De Nederlands-Britse fintech Safened controleert voor banken razendsnel de identiteit van nieuwe klanten. Ze stellen banken in staat om klanten binnen enkele minuten een rekening te laten openen via hun smartphone en voldoen aan alle wettelijke vereisten van KYC. Commercieel directeur Kirk Gunning noemt zichzelf “een soort uitsmijter die goedbedoelende personen binnenlaat en boeven buiten houdt.”

Als je de dossiers van 5 miljoen particuliere klanten wilt controleren, dan kan dat alleen geautomatiseerd. De gegevens uit de klantendossiers worden getoetst aan de regelgeving uit de Europese directieven voor witwassen en financiering van terrorisme en het beleid en de vereisten van de processen van de bank zelf. ABNAMRO checkt met het Amerikaanse RDC of klanten voorkomen in een wereldwijde database met tien miljoen namen van mensen die ooit als verdachte of veroordeelde in het nieuws zijn geweest. Alle banken zetten robots in bij het voorwerk. De robots verzamelen de data van klanten en maken ook een analyse van het betalingsverkeer. Afwijkingen komen vanzelf naar boven. Met kunstmatige intelligentie worden steeds geavanceerdere algoritmes ontwikkeld om risicovol gedrag in de gaten te houden. Geconstateerde afwijkingen worden met de hand geanalyseerd; een monsterklus waar bij iedere grootbank vele honderden mensen aan werken.

Automatisering van de controle

Bij meerdere gelegenheden ventileerde Frank Elderson, directeur toezicht bij de Nederlandse Bank dit jaar, dat banken weliswaar honderden miljoen uitgeven aan de opschaling van hun poortwachtersfunctie, maar dat de invulling allesbehalve adequaat is. Hij geeft aan dat het lijkt te schorten aan 'conviction at the top', de overtuiging in de bestuurskamer dat de poortwachtersfunctie een kerndomein van de bank is.

De crux lijkt te liggen in de spanning tussen commercieel gewin en de kosten voor de bijdrage in de bestrijding van criminaliteit. Maar instellingen kunnen het zich makkelijker maken door ook de controle op KYC- en CDD-processen te automatiseren. Het bij de meeste banken gebruikt enterpise service platform ServiceNow biedt daar – in de Governance Compliance Risk (GRC) modules – goede mogelijkheden voor.

Dat kan er als volgt uitzien:

De voorgestelde aanpak maakt dat – any time – de kwaliteit van de toetsing op de agenda van het bestuur staat. De kwaliteit van de dossiers – gedefinieerd in termen van de wet- en regelgeving en het door de bank zelf bepaalde risicoprofiel – is permanent beschikbaar.

Persoonsgebonden data

De AVG geeft individuele burgers de mogelijkheid zijn persoonsgegevens te verhuizen van de ene naar een andere dienstverlener. Als hij daarbij gebruik maakt van zijn recht om ‘vergeten te worden’ verdwijnen alle sporen bij de eerste dienstaanbieder. Bij de bestrijding van fraude wil je het tegenovergestelde. Zo constateerde een bank een verdacht betalingsgedrag bij een klant. Navraag bij die klant naar de aard van de betaling leverde niet op. De gealarmeerde klant zegt zijn rekening op. De bank kan ook zelf besluiten de rekening te beëindigen. In beide gevallen is het voor zo’n persoon – tot de dag van vandaag – mogelijk bij een andere bank vrolijk opnieuw te beginnen.

Nederlandse banken wilden al langer samen optreden tegen witwaspraktijken. Het lijkt logisch; immers, twee weten meer dan één. Soms vormen diverse losse stukjes informatie samen opeens wel een plausibele aanwijzing in de richting van malafide praktijken. De AGV laat toe gegevens te raadplegen indien dit nodig is om aan een wettelijke verplichting te voldoen. Hoe groter het risico op witwassen, hoe meer gegevens men dus mag raadplegen en onder voorwaarde delen.

Banken krijgen nu toestemming voor de oprichting van een transactiemonitor. Daarmee kunnen klanten worden gescreend en overboekingen naar aangesloten banken in de gaten worden gehouden. Banken blijven echter individueel verantwoordelijk voor hun toezichthoudende taken en dienen een duidelijk (risico)beleid te formuleren waarin de wettelijke verplichtingen worden afgezet tegen de rechten en vrijheden van de cliënt op het gebied van privacy. Het is niet gek om zo’n beleid door de Autoriteit Persoonsgegevens te laten beoordelen. De bescherming van persoonsgegevens is een commitment, meer dan een verplichting op een takenlijst.

Reactie toevoegen