Privacy consument in het geding door verruiming FATF-richtlijnen

'Dit is minstens even relevant als sleepwet-achtige discussies,' zegt Lelieveldt, die als technisch bedrijfskundige actief is in het bankwezen en op het terrein van innovatief betalingsverkeer. 

Onder andere op Twitter en in zijn nieuwsbrief trok hij aan de bel over de op handen zijnde aanbevelingen.

Bekijk op twitter.com

Wat is er precies aan de hand? Met hulp van Lelieveldt leggen we het stapsgewijs uit.

Wat is de FATF?

Het draait zoals gezegd allemaal om de FATF: de Financial Action Task Force (on Money Laundering). Deze intergouvernementele organisatie is in 1989 opgericht op initiatief van de G7. Vrijwel alle landen ter wereld volgen de FATF-aanbevelingen. 

Het oorspronkelijke (hoofd)doel van de FATF was het tegengaan van witwaspraktijken.

Na de aanslagen op het WTC in New York in 2001 kwam hier een mandaat bij, te weten het bestrijden van terrorismefinanciering. Met het oog hierop zijn ministers van Financiën over de hele wereld toen overeengekomen dat alle klantinformatie van zender en ontvanger wordt toegevoegd aan betaalberichten.

'Dat gaat eigenlijk al heel ver,' zegt Lelieveldt, 'maar dit is vanwege terrorismedreiging zo afgesproken. Vervolgens gingen toen alle landen van de wereld die regels invoeren, waaronder ook Europa.'

Wat lijkt er te gaan veranderen?

De FATF staat nu op het punt om een nieuwe regel toe te voegen, die zorgt dat van nóg meer economische handelingen inzichtelijk wordt welke bedrijven en personen erbij betrokken zijn. De ondertekening van deze 'Draft Interpretative Note to FATF Recommendation 15' staat volgende maand op het programma. 'Vooral de Amerikanen zijn aan het pushen om deze regel er doorheen te krijgen,' zegt Lelieveldt.

De aanpassing in de tekst van de FATF-richtlijnen is vooral bedoeld om voortaan óók het verkeer van cryptovaluta (zoals Bitcoins) te kunnen reguleren en controleren - althans, zo lijkt het.

Wat gaat er in werkelijkheid veranderen?

Lelieveldt: 'De Amerikanen willen die ''truc'' uit 2001 herhalen, maar dan voor allerlei toekomstige transacties met nieuwe blockchaintechniek. Onder het mom van criminaliteitszorgen over bitcoinachtige transacties stellen ze de richtlijnen bij. Maar daarbij maken ze tegelijkertijd ruimte om allerlei economische transacties waarbij ''virtuele waarde'' is betrokken, ook mee te nemen.'

Lees meer over bitcoins en andere cryptomunten hier:

Radar-onderwerp: Cryptovaluta

Een andere term voor cryptovaluta of cryptomunten is virtual currency - virtuele valuta dus. De huidige tekst die de FATF wil toevoegen, rept echter niet van virtual currency maar van virtual assets - vrij vertaald: virtuele bezittingen, en van virtual asset service providers (VASPs), oftewel de bedrijven en organisaties die het handelsverkeer in zulke virtual assets mogelijk maken.

Waarom is die aanpassing een probleem?

Er zitten flinke haken en ogen aan deze aanpassing, volgens Lelieveldt. Ten eerste: 'Virtual assets is een veel breder begrip dan virtual currency, en dat is het venijnige. Er kan veel meer onder vallen dan alleen bitcoinachtige transacties. Denk bijvoorbeeld aan iets simpels als loyaltypunten van een winkel. Of microtransacties in een videospel: de in-game aankopen waarbij je als speler bijvoorbeeld een beter wapen, mooier kostuum of sterker harnas voor je personage kunt kopen.'

Hij vervolgt: 'Verder is de juridische ondergrond ongelijk: wat ''crypto'' is in land A, is dat niet in land B. Kortom, die definitie van virtual assets is slecht, onbepaald en te ruim. Er komt dus een verplichting aan waarbij we niet weten welke soorten bedrijven en transacties straks allemaal aan deze regels moeten voldoen.' 
 
Een tweede probleem heeft met privacy te maken: 'Volgens de aangepaste aanbeveling wordt de werkwijze dat standaard alle klantgegevens die horen bij een transactie van virtual assets de hele wereld ingeslingerd worden om daarna te zien of ze nodig zijn voor criminaliteitsbestrijding.'

Dat betekent dus dat een veiligheidsdienst of opsporingsorganisatie niet meer met een gericht verzoek hoeft aan te kloppen bij de betreffende dienstaanbieder in Europa ('Wij zijn klant X aan het onderzoeken, hebben jullie informatie over hem?'), maar al meteen toegang heeft tot alle data van alle klanten en transacties van die provider via een verzoek aan de betrokken bedrijven in eigen land, en daarin kan grasduinen.   

'Dit is een onnodige inbreuk op privacy van de betrokken bedrijven en klanten. Die data komt namelijk in potentie ook in handen van kwaadwillende overheden en niet-democratische regimes. Zelfs Europol zegt dat deze regelverruiming onnodig is voor het uitvoeren van haar opsporingswerkzaamheden. Ze spreken letterlijk van overkill,' weet Lelieveldt.

'Bij PSD2, de Europese richtlijn over betaaldienstverlening, geldt nog de regel dat gegevens delen alleen gebeurt met expliciete toestemming van jou als klant. Maar die gaat in deze nieuwe richtlijn niet op. Dit wordt namelijk een afspraak tussen regeringen, en daarmee een wettelijke verplichting.'

Wat is PSD2 ook alweer? Bekijk deze video voor meer uitleg:

Wie moet dit gaan tegenhouden?

Lelieveldt hoopt dat media-aandacht en publieke discussie leiden tot Kamervragen en een herziening van de voorgenomen aanpassingen. 

'Op dit moment is het zo dat op internationaal niveau dit besluit bijna afgehamerd is. Wat ik hoop is dat politici dit opmerken en Kamervragen gaan stellen. Laat de minister van Financiën maar uitleggen of dit goed is doordacht en wat er uit het overleg kwam met de andere ministeries, zoals Justitie, Binnenlandse Zaken en Economische Zaken. Ik ben benieuwd.'

Ondertussen zitten Lelieveldt en gelijkgestemden ook niet stil. 'Momenteel wordt door de VBNL (Verenigde Bitcoinbedrijven Nederland) gewerkt aan een brief aan de minister van Financiën. Ook stichting Privacy First zal die gaan ondertekenen.' In de brief spreken de organisaties hun zorgen uit en roepen ze de Minister op het besluit aan te houden, de gevolgen beter te onderzoeken en vooral ook: het parlement er beter bij te betrekken.