David Zwarts en Wilco Mackaaij (Delta Capita) over de spagaat tussen privacy en witwasbestrijding

24 mei 2022 Banken.nl

In de verhitte strijd tegen witwassen snakken banken naar meer inzicht in hun klanten. Het onderling delen van gegevens kan hierbij helpen. Dit is mogelijk binnen het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI), maar hierbij zijn banken wel gebonden aan strikte regels. In de podcast Compliance Adviseert sprak gastheer Erik Reissenweber erover met David Zwarts en Wilco Mackaaij van financieel adviesbureau Delta Capita.

De laatste tien jaar heeft de aandacht voor customer due diligence (CDD) een gigantische vlucht genomen. Sinds de invoering van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) in 2008 er streng op toegezien of banken wel voldoende doen om financiële criminaliteit tegen te gaan.

David Zwarts, hoofd van de Delta Capita Academy, merkt op dat banken er in hun doorlichting van klanten steeds vaker mee worden geconfronteerd dat zij ook klant zijn bij andere banken. Het gebrek aan inzicht en transparantie werken misbruik in de hand, stelt Zwarts.

David Zwarts, Head of Academy, Delta Capita

Banken zouden daarom maar wat graag willen weten wat er “aan die kant van de muur” gebeurt. “Je zou eigenlijk dat integrale plaatje willen hebben om het gedrag van die klant te begrijpen”, aldus Zwarts.

Het delen van informatie

Dit is waar PIFI in het spel komt. Binnen dit protocol kunnen financiële instellingen in sommige gevallen gegevens delen. Het incidentenwaarschuwingssysteem biedt aangesloten financiële instellingen de mogelijkheid om gegevens over frauderende (rechts)personen te registreren en uit te wisselen. Er moet daarvoor dus wel sprake zijn van een incident, zoals fraude of misleiding.

Wilco Mackaaij, fraude- en KYC-specialist bij Delta Capita, legt uit dat PIFI zich daarmee onderscheidt van de standaardmogelijkheden van know your customer-afdelingen. “Vanuit fraude mag daar gedeeld worden omdat fraude onder een veiligheidsafdeling valt. En dat is misschien het grootste verschil met KYC-afdelingen, die horen niet bij de veiligheidsafdelingen van een bank”, aldus Mackaaij.

De banken die zijn aangesloten bij PIFI kunnen gegevens toetsen via het extern verwijzingsregister (EVR), legt hij uit. “Je kunt dan aan een andere bank vragen wat de reden is van registratie.” Het delen van informatie is volgens hem echter nog wel summier. “Er wordt niet uitgebreid verteld wat er is gebeurd.”

Privacy en witwasbestrijding bijten elkaar

Dat het systeem nog niet waterdicht is, blijkt ook uit wat Zwarts vertelt over wat er gebeurt als er bijvoorbeeld vermoedens van witwassen zijn, of als er andere redenen zijn om te twijfelen aan de integriteit van de klant vanuit KYC-perspectief. “Als zo iemand dan naar een andere bank gaat, dan staat hij niet in het EVR-register. Dus dat is echt wel een zwakte van het systeem.”

Die zwakte heft alles te maken met de bescherming van privacy. Zwarts onderkent het belang hiervan, maar wijst tegelijk op de grote beperkingen die daarmee gepaard gaan. “Die privacywetgeving aan de ene kant en de verplichtingen die we hebben vanuit de Wwft aan de andere kant, dat bijt elkaar. En dat is iets waar banken, instellingen, maar ook de wetgever en toezichthouders enorm mee worstelen.”

PIFI is inmiddels gemeengoed geworden tussen financiële instellingen, al zijn er volgens Zwarts ook partijen die niet zijn aangesloten. “Dat kan een bewuste keuze zijn, maar dan loop je als instelling het risico dat eventuele fraudeurs die je eigenlijk niet binnen je muren wilt hebben toch bij jou voet aan de grond krijgen en bij jou diensten kunnen afnemen.”

Mackaaij vertelt dat het vanuit KYC-oogpunt lastig voor banken is om informeel te bellen over bepaalde vermoedens, omdat ze geen wettelijke basis hebben om dit te delen. “Vanuit fraude werd er weleens gebeld en dan gaat het over de context van wat is er gebeurd. Er ligt dan bewijs van het delict dat is begaan.”

Volgens Mackaaij zijn er zeker situaties waarbij het handiger om te bellen, maar gebeurt dit niet meer vaak. Hij noemt als voorbeeld uit het recente verleden speciale zaken die extra aandacht vroegen, en waarbij mailverkeer toch lastiger was om bepaalde dingen uit te leggen. “Dan werd er door de bank weleens contact opgenomen en dan gingen de veiligheidsafdelingen met elkaar praten om meer context te krijgen.”

Paper trail

Tegenwoordig worden met name de ‘paper trail’, ‘audit trail’ en dossiervorming steeds belangrijker, geeft Zwarts aan. “Daar zie je echt een stap van informeel bellen naar het gebruik van die sjablonen.”

Anderzijds heeft echter ook het misdaadgilde zich versneld een ander businessmodel aangemeten, zo legt hij uit, doordat mensen in coronatijd massaal zijn gaan thuiswerken, mailen en whatsappen.

“Daardoor zijn ook misdadigers meer gaan thuiswerken en zag je enorme toename in Whatsapp-fraude, phishing, spoofing en ander vormen van fraude. Dit heeft een enorme druk gelegd op de fraudeafdelingen van de verschillende instellingen, waardoor je ook daar het aantal fraudegevallen significant zag stijgen.”

Dat snelheid van handelen in geval van fraude cruciaal is, beamen beide specialisten. “De fraudeur staat naast het pinautomaat om het geld op te nemen”, zegt Mackaaij. “Daarom wordt er bij banken ook gewerkt met piketdiensten om die snelheid erin te houden”, valt Zwarts hem bij. “Snel acteren, redden wat er te redden valt.”

Toekomstperspectief

Met het oog op de ontwikkelingen voor de toekomst denkt Zwarts dat de uitspraak van een Europese rechter over het UBO-register een belangrijke rol gaat spelen. UBO staat voor ultimate beneficial owner, oftewel uiteindelijk belanghebbende van een organisatie.

Sinds september 2020 zijn vennootschappen en andere juridische entiteiten verplicht om deze eigenaren of de personen die zeggenschap hebben in te schrijven in dit register. Deze transparantie over wie aan de touwtjes trekt moet helpen in de strijd tegen financieel-economische criminaliteit.

Ook hier bijten privacy en witwasbestrijding elkaar echter. “Hoe kijkt de Europese rechter naar het samenspel tussen privacywetgeving aan de ene kant en wetgeving om een zuiver financieel systeem te hebben aan de andere kant?”, is de vraag die Zwarts stelt over het register.

Wilco Mackaay, Fraude en KYC specialist, Delta Capita

Andere aspecten die volgens hem een belangrijke rol gaan spelen in de strijd tegen financiële criminaliteit zijn onder meer ontwikkelingen op het gebied van interbancaire samenwerking, technologie, AI en robotisering.

Te midden van de wirwar aan wetten, protocollen en technologieën geeft Mackaaij tot slot aan dat ook het ouderwetse gezonde verstand van groot belang blijft. Logisch denken redeneren helpt hem altijd als hij bezig is met een casus. “Er zijn overal risico’s”, vertelt hij, “maar het gaat erom dat je je afvraagt: is het logisch dat die klant daar actief is en in die goederen handelt? Als je dat in je achterhoofd houdt, gaat dat je helpen in casussen.”

Zwarts benadrukt tot besluit dat het bewust omgaan met klantgegevens altijd belangrijk blijft, ook in deze verhitte strijd tegen witwassen. “Er zit overal een mens van vlees en bloed achter. We zorgen dat we te allen tijde op een integere manier omgaan met onze klantgegevens. Dus bewaak die balans tussen privacy aan de ene kant en het aanpakken van financieel-economische criminaliteit aan de andere kant.”

Luister hier de volledige podcast.

Meer over Delta Capita
Profielpagina
Delta Capita is een partner van Banken.nl