Wie leest een verslag aan de Tweede Kamer waar minister Hoekstra volgende week over stemt, dat begint over ‘de FATF die de FATF-standaarden aangepast heeft om te verduidelijken hoe deze moeten worden toegepast in verband met ‘virtual assets’’? Toch kan deze oersaaie, technische zin leiden tot een van de grootste privacyschendingen van onze tijd.
De belangrijkste speler in dit verhaal is de Financial Action Task Force (FATF). Deze instantie regelt op internationaal niveau zaken rond het bestrijden van witwassen en het financieren van terroristische organisaties. Nederland zit ook in deze task force bij monde van het ministerie van Financiën. Voorstellen van de FATF worden overgenomen door de G20 waardoor deze voorstellen gelden als mondiale standaarden.
De FATF spreekt ook over aanpassingen rond cryptovaluta en blockchaintechnologie. Op dit moment wordt gesproken over voorstellen van verschillende autoriteiten die al jaren regels willen invoeren ‘om effectieve regulering van en toezicht op virtual asset service providers of VASPs te waarborgen’. Niet toevallig staan de wijzigingen op de agenda nu de VS dit jaar de voorzittersrol vervullen.
De kern van de privacyschending vormt de aanbeveling waarmee alle VASPs van zogenaamde virtual assets ook informatie moeten verzamelen en uitwisselen over klanten. Het venijn zit hem in de paragraaf waar staat dat alle overdrachtsgegevens van de partijen van de hele keten van transfers of transacties beschikbaar moet zijn. Wanneer dit particulieren zijn, zijn het persoonsgegevens en is de Algemene Verordening Gegevensbescherming (AVG), de strenge Europese privacywet, van toepassing. Wie denkt dat het alleen om digitaal geld of cryptovaluta gaat, vergist zich.
Plenaire vergadering
In februari 2019 hield de FATF een plenaire vergadering over de zaak. In het verslag van de vergadering komt naar voren dat de term virtual asset gebruikt wordt om te ‘voorkomen dat de indruk ontstaat dat er sprake is van een wettig betaalmiddel’. Op deze manier hoeft de termen ‘virtual currencies’ of ‘cryptocurrencies’ niet gebezigd te worden. Het probleem is alleen dat de term ‘virtual assets’ volledig multi-interpretabel is en daarmee lijkt die term niet afdoende om in de toekomst werkelijke kaders vast te leggen omdat praktisch alles eronder kan vallen.
Een ander problematisch punt bij de rapportage van het ministerie van Financiën over deze vergadering is de uitleg in een Kamerbrief van 21 maart 2019 dat het zou gaan om ‘het terrein van girale overschrijvingen’, terwijl het juist helemaal niet gaat over financiële transacties in het bekende gebied van ‘ouderwets’ geld. Hiermee is de kamer op onjuiste wijze geïnformeerd en wordt voorbijgegaan aan de brede toepasbaarheid van deze systemen.
In een reactie op een brief gestuurd op 23 mei door Stichting Privacy First en de VBNL aan de minister van Financiën reageert de minister met de mededeling dat eind juni, dus na het tekenen van de aanbevelingen, duidelijk moet worden wat precies onder virtual assets valt. De reactie kwam op 12 juni, op de dag dat het debat over onder andere deze FATF-stemming met de Nederlandse volksvertegenwoordiging gevoerd werd.
Gegevens op straat
De FATF beperkt zijn aanbevelingen vermoedelijk niet tot cryptovaluta zoals bitcoin, maar spreekt van virtual assets, een niet-gedefinieerde en daardoor erg ruime term. In de breedste interpretatie is elk digitaal ‘ding’ dat van eigenaar kan wisselen een virtueel goed. Cryptogeld, maar ook een figuur in een game of zogenaamde virtual twins van fysieke goederen in de ‘echte’ wereld. Daarnaast zouden ook airmiles en bonuspunten eronder vallen, net als toekomstig te verhandelen tokens, zoals energietokens, die een bepaalde waarde vertegenwoordigen.
De brede term virtual asset zal ook de fysieke wereld raken met de eerder genoemde virtual twins. In de nabije toekomst kun je het eigenaarschap van bijvoorbeeld je auto aan een andere eigenaar overdragen met zo’n virtuele ‘tweelingauto’ als eigendomsbewijs. Aan een dergelijk virtueel goed hangen persoonsgegevens die op dit moment niet meegestuurd hoeven te worden. Ze zijn beschikbaar bij de verschillende instanties die te maken hebben met deze overdracht, in Nederland onder andere de RDW. Als het nodig is voor autoriteiten zoals de politie of opsporingsdiensten om deze gegevens te verkrijgen om onderzoek te doen naar witwassen of andere duistere zaken, dan kunnen zij de gegevens bij deze partijen vorderen.
Volgens de aanbeveling van de FATF in paragraaf 7b zullen bij de transfer van virtual assets de herleidbare gegevens van beide partijen die te maken hebben met de transactie of overdracht, met al hun gegevens, in deze hele transactieketen terechtkomen. Die informatie moet volgens de paragraaf voor iedereen in de waardeketen beschikbaar zijn en blijft zichtbaar voor eenieder in die hele transactieketen.
Privacyschending
Door deze aanbeveling worden bij transacties waar een particulier bij betrokken is, persoonsgegevens door de hele keten verspreid, iets dat met heel veel moeite bestreden is met de komst van de AVG.
De AVG lijkt hiermee genegeerd te worden. We hoeven maar te kijken naar de perikelen rond de invoering van het Payment Service Directive 2 (PSD2) om te leren dat het beschermen van de privacy van Europese burgers lastig is. Het eerste voorstel voor de PSD2 stamt uit 2012 en ging in maart 2018 in. Op meerdere punten biedt de PSD2 beperkte en vooral papieren waarborgen, die mogelijk ontstonden doordat de AVG later dan de PSD2 van kracht werd, namelijk mei 2018.
Klantgegevens internationaal opvraagbaar
In het geval van de FATF-regulering leidt het opnemen van persoonsgegevens tot het verzenden van gegevens van klanten of andere persoonsgegevens naar buiten de Europese Unie. Het verzenden van gegevens is juist met veel moeite bestreden nadat aan het licht kwam dat via het internationale bancaire systeem SWIFT klantgegevens probleemloos door de VS waren uit te lezen. Verder spraken zowel het Hof van Justitie in Europa (2016) als het Supreme Court in de VS (2018) zich op grond van privacy-overwegingen expliciet uit tegen het vasthouden van soortgelijke gegevens in de telecomsector.
Voor Stichting Privacy First zijn de aanbevelingen van de FATF aanleiding een dringend beroep te doen op de minister en de aanbevelingen van tafel te halen. Volgens deze onafhankelijke stichting moeten de voorstellen eerst beoordeeld worden door de bril van de AVG en niet alleen door die van Financiën. ‘Onder het mom van bestrijding van witwassen zet de minister zijn handtekening onder een ontwikkeling die alleen maar kan leiden tot privacyschendingen. Op dit moment zijn de aanbevelingen zo ruim dat de minister niet kan weten waar hij ‘ja’ tegen zegt.’
Privacy First zegt niet alleen geschrokken te zijn van de FATF-aanbevelingen maar ook het proces waarbij kritiek op het voorstel niet gehoord wordt. Stichting Privacy First vat het kort en bondig samen: ‘Het is weer een voorbeeld dat fintech en persoonsgegevens zo verweven raken, dat structurele aandacht moet komen voor financiële privacy. Dit voorstel zou niet alleen door Financiën afgehandeld mogen worden.’
Doof voor kritiek
Nederlandse marktpartijen hadden al eerder kritiek geuit op de voorstellen. Ze staan niet alleen in hun kritiek. Over de hele wereld wordt met lede ogen aangezien hoe de voorgestelde regels onder grote druk worden aangenomen. De FATF raadpleegde de visie van de markt en kreeg een lawine van kritiek over zich heen. Daarbij zaten talloze constructieve suggesties die zowel recht doen aan de opsporingsdoelen als aan randvoorwaarden rond privacy. De reacties aan de FATF bleven echter geheim en het debat werd verder achter gesloten deuren gevoerd. De tekst bleef ongewijzigd.
In Nederland ontstond de situatie dat een brandbrief vanuit de marktpartijen en Privacy First is gestuurd aan het ministerie van Financiën waar vooralsnog niets mee gedaan is. De brief leidde niet tot een verdere uitnodiging van het ministerie. Het eerstvolgende bericht daarna vanuit Financiën was het persbericht van de G20 afgelopen weekend. Daarin juichten de ministers de voorgenomen aanbeveling van de FATF toe. Zowel internationaal als nationaal toont het ministerie van Financiën zich daarmee doof voor gerechtvaardigde vragen rond de privacybescherming.
Reactie op brief
Om elf uur op 12 juni stuurde de minister van Financiën een reactie aan Privacy First en VBNL. Simon Lelieveldt, adviseur regelgeving met focus op fintech en blockchain, reageert als volgt op de brief:
‘De minister gaat nogal karig in op de maatschappelijke vraagpunten die in de originele brief vanuit de markt zijn aangekaart. Het politieke probleem van botsing van internationale regels rond privacy en die rond opsporing komt niet ter sprake. Het Tele2-arrest van het Hof van Justitie blijft onbesproken en we horen ook niet of de Autoriteit Persoonsgegevens ernaar heeft gekeken.’
En verder: ‘Ik zie de minister zeggen dat de uitleg van definities later wordt verduidelijkt. Er komt een evaluatie nadien en contactgroepen voor de uitwerking. Maar de definities zelf worden intussen wel aangenomen en die hebben een brede reikwijdte waar niet op terug te pakken zal zijn. Verder stelt de minister dat informatie alleen bij Virtual Asset Service Providers terechtkomt terwijl de aan te nemen regel ook spreekt over ‘counterparts (if any).’ Dit strookt niet maar hoe het precies zit komen we niet te weten. De minister en FATF schermen namelijk alle informatie en precieze teksten af en wat hij doet is stellen: vertrouw me, het komt allemaal goed. De geschiedenis rond Swift laat echter zien dat het een kostbare vergissing kan worden.’
Maar ook: ‘De feitelijke oproep aan de minister was om de discussie breder te trekken en een goede maatschappelijke belangenafweging te organiseren. Hij doet het tegenovergestelde: hij technocratiseert het proces en de inhoud. Wetenschappers noemen dat ‘depolitiseren’ en doorgaans kom je ermee weg. In datzelfde technocratische domein kan hij echter ook weten dat de effectiviteit van de soortgelijke maatregel in de banksector zeer beperkt is. De hele regel leidt dus tot veel kosten, negatieve privacy-impact, mensenrechtenschending en geen baten.’
Tot slot: ‘Ik verwacht dat het vervolg wordt dat het aan de rechter is om de belangenafweging tussen privacy en opsporing te maken. Het is uit de rechtspraak in EU en VS, alsook mensenrechtenverdragen, vrij duidelijk dat je als overheid omwille van criminaliteitsbestrijding niet zomaar iedereens data kan gaan vasthouden en laten rondsturen.’
Met de komst van de brief zijn ook de vragen die wij eerder deze week stelden aan het ministerie van Justitie en Veiligheid en het ministerie van Financiën, namelijk of zo alles wat bereikt is rond de AVG niet teniet gedaan wordt en hoe virtual assets geïnterpreteerd moeten worden, beantwoord. De vereisten rond de AVG en informatiebescherming legt de minister bij de marktpartijen en ‘implementatie van de FATF-aanbevelingen’ dienen rekening te houden met de AVG. Tevens hebben de FATF-aanbeveling geen wetgevende werking, maar dat lijkt eerder een stoplap omdat het verleden duidelijk anders heeft laten zien.
Hoe virtual assets gezien moeten worden, is in de brief handig ontweken door dit naar de toekomst door te schuiven en er maar vanuit te gaan dat dit wel goed komt, althans, zo zou je het kunnen lezen, maar dat staat open voor interpretatie.
Dit lijkt een saaie regelgeving in de trant van ‘het zal wel’ maar niets is minder waar. Het is weer een stap in de verkeerde richting van een minder prettige samenleving.
Niet voor niets dat er door diverse organisaties en deskundigen aan de bel wordt getrokken. Het gaat hier om een schending van mensenrechten die met bloed, zweet en tranen zijn verkregen. Deze afstaan onder het mom van vage beweringen is niet aan de orde. Derhalve zal de verantwoordelijke minister ter verantwoording moeten worden geroepen om meer transparant te zijn.
Dit zijn de momenten waarop je als ICT specialist je verantwoordelijkheid moet nemen om de samenleving in bescherming te nemen. Daarom ben ik lid van de stichting Privacy First. Deze digitale burgerrechten activisten komen op voor uw en mijn rechten.