Op grond van de Wwft moeten financiële instellingen onderzoeken of een cliënt een PEP is.¹ Reden: zij zouden extra vatbaar voor corruptie zijn. Ook directe familieleden (partner, ouder en kind) moeten worden geïdentificeerd. De regelgever stelde de lijst van functies op. Welke specifieke personen het betreft moeten financiële instellingen zelf achterhalen. En dus ligt hier een verdienmodel. Tal van commerciële partijen achterhalen inmiddels wie op de PEP-lijst behoren, om deze lijst en daarop gebaseerde diensten te verkopen. De Europese privacytoezichthouder (EDPB) heeft flinke zorgen over de accuratesse van en omgang met deze persoonsgegevens.

De PEP-lijst trok mijn aandacht bij de voorbereiding van een publicatie over het UBO-register, verankerd in Europese regelgeving (richtlijnen AMLD 4 en 5). Dit register bevat gegevens over Ultimate Beneficial Owners: natuurlijke personen die een direct of indirect eigendoms- of zeggenschapsbelang van meer dan 25% in een onderneming hebben. Talloze andere lezers van het NJB, waaronder leden van de redactie, staan met hun advocatenpraktijk BV in dit register vermeld. Een deel van het register is openbaar: iedereen kan naam, geboortemaand en -jaar, nationaliteit en omvang van eigendom of zeggenschap van de (pseudo-)UBO opvragen. Het combineren van deze gegevens met andere openbaar toegankelijke gegevens (adres, bedrijven van familieleden, hoogte hypotheek, etc.) levert een interessant profiel van tienduizenden UBO’s op.

De lucratieve handel in gegevens benodigd voor het uitvoeren van talloze compliance-regels groeit als kool. Bedrijven gespecialiseerd in risicomanagement leveren tegen betaling geautomatiseerde checks en andere verrijkte diensten aan de hand van PEP-lijsten, UBO-gegevens, sanctielijsten maar ook het scannen van sociale media. Op de website van een van deze bedrijven valt te lezen: 'Is hij of zij negatief in het nieuws geweest of is hij ooit failliet gegaan? Onze check maakt duidelijk of de desbetreffende persoon “ooit buiten zijn boekje is gegaan".'²

De ontwikkeling is een doorn in het oog van vele partijen. Niet alleen omdat er flink geld mee wordt verdiend en de zorgvuldigheid van de diensten te wensen overlaat. De Vereniging van Familiebedrijven Nederland wees in een open brief aan de Tweede Kamer over het UBO-register op het risico dat de openbaar toegankelijke gegevens gebruikt worden voor crimineel handelen, pesterijen en intimidatie. En niet verrassend wordt er ook geprocedeerd. Zo stapte burgerrechtenbeweging Privacy First naar de rechter met als eis de (voorlopige) buitenwerkingstelling van het UBO-register wegens onder meer strijd met de Europese privacyregels. De eis werd in kort geding, zowel in eerste aanleg als in hoger beroep afgewezen. Ons land dient aan de EU-verplichtingen te voldoen zolang de EU-regeling zelf niet buiten werking is gesteld, aldus het oordeel in beide instanties. Of en in hoeverre de UBO-regeling in stand blijft, wordt dit najaar duidelijk als het EU-HvJ prejudiciële vragen, voorgelegd door een Luxemburgse rechter, beantwoordt.

Als we op de conclusie van Advocaat-Generaal Pitruzella mogen afgaan, is de verplichting tot gedeeltelijke openbaarheid niet van de baan. De verplichting is niet in strijd met de Europese privacyregels nu de preventiedoelstelling van de richtlijn niet valt te bereiken met het bieden van inzage aan uitsluitend overheidsinstanties, aldus de A-G. Een opmerkelijke vaststelling nu de Europese wetgever initieel afzag van het oprichten van een deels openbaar register, juist omdat het disproportioneel en onnodig (en niet effectief) was. Simpel geformuleerd: echte boeven duiken toch wel via stromannen voor de registratieplicht. En dus worden alle onschuldigen belast met een plicht die grote (privacy)risico's kent. Onder druk vanuit de politiek kwam het register er toch. Wie wat meer achtergronden wenst, leze de analyse van Simon Lelieveldt uit maart 2021.

Wel interpreteert de A-G de betreffende richtlijnen op onderdelen privacy-vriendelijker dan de Nederlandse wetgever bij het opstellen van de implementatiewet. Allereerst wat betreft de reikwijdte van de ‘uitzonderlijke omstandigheden’ die kunnen rechtvaardigen dat de openbare gegevens van de UBO worden afgeschermd voor het publiek. In ons land is afscherming alleen mogelijk als het gaat om personen die van overheidswege beveiligd zijn. De A-G concludeert dat deze mogelijkheid ook ingeroepen kan worden wanneer het risico bestaat van fraude, ontvoering, chantage, afpersing, pesterijen, geweld of intimidatie, alsook elke inbreuk op de grondrechten van de UBO. Ten tweede concludeert de A-G dat het EU-Handvest en de AVG zo uitgelegd dienen te worden dat toegang tot de UBO-gegevens – zijnde persoonsgegevens – niet op anonieme basis mag plaatsvinden. De AVG vereist dat de persoon die het openbare deel van het register raadpleegt, kenbaar is voor de UBO.

Met zijn conclusie geeft de A-G heel voorzichtig tegengas tegen de al jaren dominante benadering bij de aanpak van witwassen en terrorismefinanciering: een benadering ingegeven vanuit abstracte zeggenschap in organisaties (UBO’s) en type personen (PEPs), uitsluitend gericht op beheersing van risico’s en op verzamelen en delen van zoveel mogelijk (persoons)gegevens. Er lijkt ruimte voor een benadering ingegeven vanuit de menselijke maat en de vaststelling dat achter iedere abstracte organisatie of type beroep uiteindelijk individuen – kwetsbare mensen van vlees en bloed schuilgaan. De aanpak van witwassen en terrorismefinanciering is belangrijk. Maar niet tegen elke prijs. Fundamentele rechten gelden ook voor UBOs en PEPs en stellen zowel grenzen als voorwaarden aan openbaarheid van persoonsgegevens.

Dit Vooraf verschijnt in NJB 2022/1838, afl. 27. 

Afbeelding van Pete Linforth via Pixabay

Noten:

1 Artikel 8, vijfde lid, Wwft. 

2 Zie bijvoorbeeld www.sentinels.ai

Over de auteur(s)

Corien Prins

Hoogleraar Recht en Informatisering