Brief regering; Audit verwijzingsportaal bankgegevens - Wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd ontsluiten van identificerende gegevens alsmede enkele andere gegevens door banken en andere betaaldienstverleners (Wet verwijzingsportaal bankgegevens) - Hoofdinhoud
Deze brief is onder nr. 8 toegevoegd aan wetsvoorstel 35238 - Wet verwijzingsportaal bankgegevens i.
Inhoudsopgave
Officiële titel | Wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd ontsluiten van identificerende gegevens alsmede enkele andere gegevens door banken en andere betaaldienstverleners (Wet verwijzingsportaal bankgegevens); Brief regering; Audit verwijzingsportaal bankgegevens |
---|---|
Documentdatum | 18-01-2024 |
Publicatiedatum | 18-01-2024 |
Nummer | KST352388 |
Kenmerk | 35238, nr. 8 |
Externe link | origineel bericht |
Originele document in PDF |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2023-2024
35 238 |
Wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd ontsluiten van identificerende gegevens alsmede enkele andere gegevens door banken en andere betaaldienstverleners (Wet verwijzingsportaal bankgegevens) |
Nr. 8 |
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 18 januari 2024 Het Verwijzingsportaal Bankgegevens is een digitale voorziening voor de geautomatiseerde verstrekking van gegevens die worden opgevraagd door de daartoe bevoegde overheidsdiensten in de strafrechtketen, zoals de politie, en de Belastingdienst (bevragers). Banken en andere betaaldienstverleners (verstrekkers) zijn wettelijk verplicht om aan dergelijke vorderingen of bevragingen door deze diensten te voldoen. In artikel 5 lid 3 van het Besluit verwijzingsportaal bankgegevens is opgenomen dat er tweejaarlijks een audit wordt gedaan naar de goede uitvoering van het besluit. In lid 4 van het besluit is opgenomen dat de eerste vijf jaar na de inwerkingtreding van het besluit de audit jaarlijks zal worden gedaan. Het besluit is op 10 september 2020 inwerking getreden. Bij brief van 8 juli 20221 is uw Kamer geïnformeerd over de vertraging die is ontstaan bij het uitvoeren van de audit. Met deze brief bied ik u, conform het Besluit, een verslag aan van deze audits. De auditrapportages zijn bijgesloten. In deze brief ga ik ook in op een drietal toezeggingen2 gedaan door de Minister van Financiën tijdens de behandeling van het Wetsvoorstel verwijzingsportaal bankgegevens in uw Kamer. Aanleiding Op grond van het besluit wordt bij de audit ingegaan op de werking van het Verwijzingsportaal Bankgegevens en de kwaliteit van de vorderingen, verzoeken en verstrekkingen van gegevens. In 2022/2023 zijn er drie audits uitgevoerd: naar het beheer van het portaal in de periode 2021 tot en met september 2022, naar de bevragingen met het portaal door de FIOD in de |
1 Kamerstuk 35 238, nr. 7. 2 Handeling II 2019-2020, nr. 31, item 58. |
kst-35238-8 ISSN 0921 - 7371 's-Gravenhage 2024 |
Tweede Kamer, vergaderjaar 2023-2024, 35 238, nr. 8 1 |
periode 2021 tot en met september 2022 en de bevragingen met het portaal door de politie in 2022.
Het beheer van het portaal is ondergebracht bij de Justitiële Informatiedienst (Justid) en werkt als doorgeefluik tussen de verstrekkers en de bevragers. Hiermee is het proces van het vorderen van gegevens en het voldoen aan een vordering gedigitaliseerd. Het voldoet daarmee ook aan de Europese verplichting uit artikel 32bis van de gewijzigde vierde Europese anti-witwasrichtlijn (2018/843) van 2018. De Justitiële Informatiedienst heeft zelf geen inzage in of toegang tot de gegevens van de banken en andere betaaldienstverleners of de bevragingen van de opsporingsdiensten, het openbaar ministerie, de Financial Intelligence Unit Nederland (FIU-NL) of de Belastingdienst.
De wettelijke kaders waarin bevoegdheden rond het opvragen en vorderen van bankgegevens zijn vastgelegd, zijn onder meer: het Wetboek van Strafvordering (WvSv), de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), en de Algemene wet inzake rijksbelastingen (AWR) en de Invorderingswet (IW). Deze bevoegdheden zijn met de komst van het Verwijzingsportaal Bankgegevens niet gewijzigd.
De Auditdienst Rijk heeft aan de hand van een normenkader onderzoek gedaan naar het beheer van het Verwijzingsportaal Bankgegevens door Justid en de bevragingen door de FIOD. De afdeling Concernaudit van de politie heeft aan de hand van een normenkader onderzoek gedaan naar het gebruik van het Verwijzingsportaal Bankgegevens door de politie. Hieronder ga ik per audit in op de belangrijkste bevindingen en de opvolging daarvan.
Uit het onderzoek is gebleken dat Justid veel aandacht heeft besteed aan de inrichting van het beheer, zo is het Verwijzingsportaal gefaseerd in gebruik genomen en zijn openstaande punten na ingebruikname afgehandeld. Verder is het incidentenproces georganiseerd en zijn wijzigingen beheerst doorgevoerd. En ook de beheerprocessen en het logboek van bevragingen zijn ingericht.
Wel zijn er vier bevindingen gedaan die direct aandacht vragen van Justid en wordt een aantal verbetermogelijkheden voor onderdelen van het beheer gezien. Deze punten zijn reeds opgepakt en enkele ook al verholpen. Hieronder worden enkele bevindingen nader toegelicht.
De auditdienst heeft in haar onderzoek geconstateerd dat er te weinig zicht is op de beveiligingsmaatregelen door IT-dienstverleners waarvan Justid diensten afneemt.
Justid geeft in haar reactie aan dat de IT-dienstverleners gehouden zijn aan overheidsbeleid op beveiliging en dat dit ook in de dienstverlenings-afspraken is opgenomen. Deze afspraken bieden Justid de mogelijkheid rapportages uit te vragen bij de IT-dienstverleners en mee te werken aan audits op de naleving. Voor de evaluatie en mogelijke aanpassing van de afspraken zal een jaarlijks evaluatiemoment worden ingepland.
Verder heeft de auditdienst geconstateerd dat de voorziening voor het detecteren van oneigenlijke toegang of oneigenlijk gebruik van het Verwijzingsportaal nog niet af is. Justid heeft voor het Verwijzingsportaal Bankgegevens een systeem voor Security Information & Event Management ingericht. Dit is een systeem waarmee continu informatie uit computersystemen wordt verzameld en geanalyseerd. Het doel is om verdachte gebeurtenissen op het gebied van informatieveiligheid te ontdekken. Het systeem is nog niet af in de zin dat de onderbouwing van gemaakte keuzes ontbreekt en dat geplande activiteiten voor de verdere inrichting nog open staan. Ook is de toegezegde externe toetsing nog niet uitgevoerd.
Justid heeft in reactie op de bevindingen en aanbevelingen aangegeven een aanbevelingenmatrix te hebben opgesteld met de intentie de aanbevelingen binnen een redelijke termijn op te volgen. Er is binnen Justid een audit werkgroep die de opvolging van de bevindingen en aanbevelingen zal stimuleren.
Op basis van het onderzoek en met inachtneming van de aanbevelingen van de auditdienst ben ik van mening dat de beheersmaatregelen bij Justid toereikend zijn om de risico's op inbreuken op beveiliging of integriteit van de informatie-uitwisseling afdoende te beperken.
In het rapport over de audit bij de FIOD wordt geconstateerd dat de getoetste bevragingen van het portaal door de FIOD in lijn zijn met de afspraken in het gebruikersprotocol. Zo is elke getoetste bevraging gebaseerd op een vordering, en zijn de vorderingen, waarvoor een opsporingsambtenaar of een hulpofficier van Justitie van de FIOD bevoegd is, door een bevoegd persoon gedaan. Ook zijn de bevragingen die door de FIOD Infodesk voor andere onderdelen van de Belastingdienst en de Douane, inclusief die voor het Europees bureau voor fraudebestrijding (OLAF) zijn gedaan, volgens de werkinstructie uitgevoerd. Verder zijn alle bevragingen waarbij bij alle banken tegelijk zijn bevraagd op dat punt gemotiveerd. Wel zijn er administratieve verschillen geconstateerd bij sommige bevragingen, die verklaarbaar zijn. Zo bieden bijvoorbeeld de verbaliseringsinstructies meerdere opties en is het in het gebruikersprotocol niet duidelijk of het vereiste dat de bevrager in het Verwijzings-portaal Bankgegevens verklaart dat de vordering is ondertekend, inhoudt dat de vordering met naam of met naam en handtekening is ondertekend. Deze verschillen betekenen niet dat deze bevragingen niet voldoen aan de formele vereisten. Dat neemt niet weg dat het nodig is dat nadere afspraken worden vastgelegd of verduidelijkt. Dit zal door alle betrokken partijen worden opgepakt. Verder wordt geconstateerd dat de processen voor het verlenen van toegang tot het Verwijzingsportaal zijn ingericht.
In het onderzoek wordt aangegeven dat er aandacht nodig is voor het uitvoeren van periodieke controles, de Baseline Informatiebeveiliging Overheid-maatregelen voor het Verwijzingsportaal en het toezicht op het Verwijzingsportaal vanuit de Wet politiegegevens. De periodieke controles van de bevragingen en de verstrekte autorisaties, zoals afgesproken in het gebruikersprotocol, zijn nog niet uitgevoerd. Hoewel in het onderzoek niet is geconstateerd dat bevragingen niet conform de formele vereisten zijn gedaan, zijn deze periodieke controles van wezenlijk belang om een juist gebruik van het Verwijzingsportaal doorlopend te kunnen monitoren en tijdig te kunnen bijsturen als dat nodig is. De controle op de bevragingen ziet overigens alleen op de formele vereisten voor het doen van een bevraging. Of een vordering aan de materiële vereisten voldoet (bijvoorbeeld of er sprake is van een verdenking van een strafbaar feit) voor het doen van een vordering, is geen onderdeel van de audit, immers deze toets is aan de rechter in de strafzaak voorbehouden. Dit is met de ingebruikname van het Verwijzingsportaal niet veranderd.
De FIOD heeft in reactie op het onderzoek aangegeven op hoofdlijnen akkoord te zijn met de verslaglegging en zich te kunnen vinden in de conclusies. De FIOD is het eens met de bevindingen en is reeds gestart met het doorvoeren van de in het onderzoek genoemde mogelijkheden voor verbetering.
Op basis van het onderzoek en de toegezegde opvolging van de bevindingen ga ik ervan uit dat de FIOD de juiste maatregelen neemt om ook in de toekomst een rechtmatig gebruik van het Verwijzingsportaal te waarborgen. Dit zal in de periodieke controles en vervolgaudits getoetst worden.
In het onderzoek door de Concernaudit van de Politie wordt geconstateerd dat er op een groot aantal punten wordt voldaan aan de geldende wet- en regelgeving en de vastgelegde afspraken met het Verwijzingsportaal Bankgegevens. Op enkele punten zijn afwijkingen geconstateerd. Er wordt op vier punten advies voor verbetering gegeven.
Uit het onderzoek blijkt dat de politie met ongeveer 38.500 bevragingen een van de grootste gebruikers is van het Verwijzingsportaal. Een bevraging kan overigens tot meerdere verstrekkingen leiden, bijvoorbeeld bij de bevraging van alle banken. Bij het live gaan van het Verwijzingsportaal heeft de politie iedere politieambtenaar met opsporingsbevoegdheid geautoriseerd voor het Verwijzingsportaal. Dit betekent dat 50.000 medewerkers met opsporingsbevoegdheid bevragingen kunnen doen. Uit het onderzoek over 2022 is gebleken dat 2500 medewerkers het Verwijzingsportaal minimaal eenmaal hebben geraadpleegd.
Door het grote aantal autorisaties bestaat het risico dat door onervarenheid met procedure en uitvoering bevragingen niet conform de wet worden uitgevoerd. Uit de deelwaarneming blijkt niet van grote onvolkomenheden, maar wel dat de dossiervorming bij sommige bevragingen niet compleet is.
In het onderzoek wordt aan de korpsleiding geadviseerd de manier waarop nu bij de politie de autorisaties voor het Verwijzingsportaal zijn geregeld te heroverwegen. Daarnaast wordt geadviseerd periodieke deelwaarnemingen binnen de eenheden te implementeren om de rechtmatigheid van uitgevoerde bevragingen te toetsen en waar nodig bij te sturen.
Verder wordt in het onderzoek aan de korpsleiding geadviseerd een (centrale) contactpersoon/aanspreekpunt Verwijzingsportaal te benoemen en de dossiervorming, bewaring en vernietiging door eenduidige procesbeschrijvingen en werkinstructies te uniformeren.
In de managementreactie op het onderzoek geeft de korpsleiding aan de bevindingen te herkennen. De korpsleiding geeft ter inleiding aan dat er op systeemniveau afdoende waarborgen bestaan voor compliance en risicobeheersing in het vorderingsproces. Wel zal er een product-owner voor het Verwijzingsportaal worden aangewezen, aan wie de beschrijving van lijn- en procesverantwoordelijkheden voor het Verwijzingsportaal in termen van taken, bevoegdheden en verantwoordelijkheden op organisatieniveau (operationeel, tactisch en strategisch) wordt opgedragen. Daaronder valt ook de algehele eindverantwoordelijkheid voor de uitvoering van het Verwijzingsportaal, inclusief de monitoring en bijsturing.
Verder geeft de korpsleiding aan dat de vier adviezen worden overgenomen.
Op basis van het onderzoek en de toegezegde opvolging van de bevindingen ga ik ervan uit dat de Politie de juiste maatregelen neemt om ook in de toekomst een rechtmatig gebruik van het Verwijzingsportaal te waarborgen. Ter uitvoering van alle adviezen van de afdeling Concernaudit is daartoe inmiddels de functie van landelijk coördinator Verwijzingsportaal Bankgegevens in het leven geroepen. De kerntaak van deze functie is toe te zien op de naleving van de van toepassing zijnde afspraken.
Monitoring opvolging bevindingen
Ik blijf met de beheerder, de bevragende diensten van het Verwijzings-portaal Bankgegevens en de banken in gesprek om te borgen dat de in de audits geconstateerde verbetermogelijkheden tijdig en volledig worden opgepakt en dat er, in ieder geval nog de komende vier jaar zoals in het besluit is opgenomen, jaarlijks een audit wordt uitgevoerd.
De twee bevindingen - bij zowel de FIOD als de politie - dat periodieke controles op bevragingen en autorisaties niet zijn uitgevoerd (en dat daar geen ernstige ongeregeldheden uit blijken) vind ik van zo'n wezenlijk belang voor het waarborgen van een rechtmatig gebruik van het Verwijzingsportaal dat ik de opvolging daarvan als voorwaarde stel voor het op termijn gebruik maken van de nieuwe functionaliteit van het Verwijzingsportaal voor het opvragen van saldo- en transactiegegevens. Het grote belang in het vertrouwen in de rechtmatige bevraging van het Verwijzingsportaal en dat de overheid aantoont prudent om te gaan met persoonsgegevens nopen daartoe.
Alle op het Verwijzingsportaal aangesloten diensten, dus niet alleen de FIOD en de politie, mogen op termijn alleen van de (nieuwe) functionaliteit voor het opvragen van saldo- en transactiegegevens gebruik maken als zij aantoonbaar halfjaarlijkse controles op zowel bevragingen als autorisaties hebben ingericht en tenminste twee keer op zowel bevragingen als autorisaties een controle hebben uitgevoerd. Hierover dienen zij tijdig te rapporteren aan het Ministerie van Justitie en Veiligheid en uit deze controles mogen naar het oordeel van het Ministerie van Justitie en Veiligheid geen grote onvolkomenheden blijken. In de toekomst zal, mochten uit deze periodieke controles en/of de audits wel grote onvolkomenheden bij een bevragende partij blijken, het ministerie indien nodig de mogelijkheid hebben om de bevraging via het Verwijzingsportaal voor de betroffen partij te bevriezen. De bevragende dienst zal dan tijdelijk moeten terugvallen op de oude wijze van vorderen/verzoeken bij banken en andere betaaldienstverleners.
Tijdens de behandeling van de Wet verwijzingsportaal bankgegevens in uw Kamer zijn er door de Minister van Financiën drie toezeggingen gedaan. Toegezegd is de Kamer te informeren over het aantal bevragingen via het Verwijzingsportaal Bankgegevens en in het kader van de audit in te gaan op de bijdrage die het Verwijzingsportaal levert bij de bestrijding van witwassen en op de mogelijkheid om de wet te omzeilen omdat een interne fiattering in het systeem ontbreekt. In het kader van de eerste audit van het Verwijzingsportaal doe ik deze toezeggingen gestand.
Jaarverslag verstrekkingen
Ten aanzien van eerstgenoemde toezegging treft u in de bijlagen bij deze brief, conform het bepaalde in artikel 5 van het Besluit verwijzingsportaal bankgegevens, informatie over het aantal malen waarin door tussenkomst van het verwijzingsportaal bankgegevens aan een bevoegde autoriteit gegevens zijn verstrekt. Het verslag is uitgesplitst naar de wettelijke grondslag van de vordering of het verzoek en de bevoegde autoriteit. U ontvangt dit keer de verslagen over de jaren 2019 tot en met 2022. In het vervolg zal deze informatie jaarlijks worden opgenomen in het jaarverslag van het Ministerie van Justitie en Veiligheid.
Bijdrage Verwijzingsportaal aan de bestrijding van witwassen
Wat betreft de tweede toezegging volgt uit een rondgang langs de diensten die betrokken zijn bij de bestrijding van witwassen en als bevragende partij zijn aangesloten op het Verwijzingsportaal, dat deze diensten zeer tevreden zijn over het Verwijzingsportaal. Het Verwijzingsportaal in zijn huidige vorm is een stap in de goede richting om het financieel rechercheren naar een hoger plan te tillen. Waar het vorderen van gegevens bij banken en andere op het Verwijzingsportaal aangesloten betaaldienstverleners voorheen dagen kon duren, is het nu een kwestie van seconden dat gegevens voor verder (financieel) onderzoek kunnen worden verkregen. Geldstromen waarbij gebruik wordt gemaakt van het bancaire stelsel, kunnen sneller en beter inzichtelijk worden gemaakt. Dit komt de snelheid en de kwaliteit van onderzoeken naar onder meer witwassen ten goede. Deze bijdrage is echter niet te kwantificeren, omdat de effectiviteit van de bestrijding van witwassen door veel verschillende maatregelen van zowel preventieve als repressieve aard wordt bepaald.
De diensten geven verder aan dat het, om het proces van financieel rechercheren verder te versterken, noodzakelijk is om ook het vorderen van saldo- en transactiegegevens via het Verwijzingsportaal te laten lopen. Een voorstel voor wijziging van de Wet verwijzingsportaal bankgegevens dat dit beoogt, is in voorbereiding en zal op korte termijn aan uw Kamer worden aangeboden.
Omzeilen van de wet vanwege ontbreken fiattering in het Verwijzings-portaal
Tenslotte ten aanzien van de derde toezegging het volgende. Uw Kamer wilde bij de behandeling van het Wetsvoorstel verwijzingsportaal bankgegevens graag weten of de wet misschien ook omzeild kan worden. Vanwege het ontbreken van een systeem van interne fiattering zou de opsporing in het Verwijzingsportaal kunnen invoeren wat ze willen en vervolgens is het niet zeker of de wettelijke grondslag die is aangegeven ook daadwerkelijk juist is.
Met de fiattering wordt bedoeld de extra controle die is opgenomen in de aanwijzing opsporingsbevoegdheden van het openbaar ministerie. Die extra controle houdt in dat, bij een vordering verstrekking identificerende gegevens gericht aan financiële dienstverleners, de hulpofficier van justitie of, in geval van bijvoorbeeld een bijzondere opsporingsdienst, de teamleider de voorgenomen vordering op proportionaliteit en subsidiariteit toetst, waarna de vordering schriftelijk door de hulpofficier van justitie of teamleider wordt gedaan.
Deze extra controle vindt niet plaats in het Verwijzingsportaal, maar is onderdeel van het interne werkproces van en de interne dossiervorming door de bevragende dienst. Bij een bevraging via het Verwijzingsportaal moet wel in het Verwijzingsportaal worden vermeld welke hulpofficier van justitie of teamleider de vordering heeft ondertekend. Uit de audit is niet gebleken dat vorderingen niet door een hulpofficier van justitie of teamleider zijn ondertekend.
Bij de bevraging moet in het Verwijzingsportaal ook de wettelijke grondslag worden vermeld. Uit de audit is niet gebleken dat de wettelijke grondslag die in het Verwijzingsportaal is vermeld afweek van de wettelijke grondslag in de vordering.
Uit het vorenstaande blijkt dat bij de in de audit onderzochte bevragingen aan de formele vereisten bij het doen van een vordering aan een financiële dienstverlener is voldaan. Of een wettelijke grondslag ook daadwerkelijk juist is, is een materieel vereiste. De toets van een materieel vereiste is voorbehouden aan de rechter in de strafzaak.
De Minister van Justitie en Veiligheid,
-
D.Yesilgöz-Zegerius
Tweede Kamer, vergaderjaar 2023-2024, 35 238, nr. 8 7