Inmiddels is het voor iedereen salonfähig om te klagen over het niet respecteren van privacy. Zelfs de best onderzochte app op het gebied van privacy, de als open source-project gebouwde CoronaMelder, moest het constant ontgelden omdat het heel misschien zo zou kunnen zijn dat ergens inbreuk op de privacy van burgers gemaakt zou kunnen worden.
En dat is goed. Heel goed. Al tientallen jaren leken privacyvoorvechters tegen complete desinteresse van politiek en publiek aan te lopen als het om online privacy ging. Niemand leek het iets te kunnen schelen, totdat daar langzaam verandering in kwam onder aanvoering van de EU. De Algemene Verordening Gegevensbescherming of AVG werd in eerste instantie gehaat. Nu blijkt dat ‘Europa’ daarmee in een groot deel van de wereld de eisen voor privacy op internet iets heeft verbeterd en nu vinden we het ineens ‘onze’ AVG.
Ondertussen vindt op grote schaal een privacyschending-in-wording plaats die alles wat met de AVG is bereikt, volledig teniet doet. Dat allemaal als gevolg van een organisatie die stilletjes achter de schermen de boel aanjaagt: de Financial Action Task Force of FATF.
De FATF is geen wetgevend orgaan, maar zorgt wel voor zogenaamde richtsnoeren. Hou je je niet aan die richtsnoeren of veins je er niet aan mee te doen, dan lig je er voor een groot deel van het internationale handelsverkeer uit, vooral het handels- en financiële verkeer met de VS.
Toevallig beoordeelt de FATF volgend jaar Nederland en ons land staat er niet goed op. Telkens weer blijkt dat grote grijze geldstromen ongehinderd door het Nederlandse financiële systeem kunnen lopen. Dat alles zorgt voor een overijverig Ministerie van Financiën dat alle regeltjes van de FATF minutieus in wil voeren en zich eraan wil houden. Of toch in ieder geval op papier. Een van die regeltjes zorgt voor een extreme vorm van het constant volgen van burgers en bedrijven over de hele wereld, zonder dat daar aanleiding voor is. Deze vorm van privacyschending moet ‘helpen in de strijd tegen witwassen’, maar we weten allemaal dat de echte boeven hier altijd weer wegen omheen weten te vinden. Een wassen neus met enorme gevolgen voor de gewone mens.
Travel rule voor cryptobedrijven
Vorig jaar kwam de FATF met regels waarin zogenaamde Virtual Asset Service Providers of vasp’s bij elke transactie naam en adres van zowel zender als ontvanger mee moesten sturen. Dit heet ook wel de travel rule waarbij klantinformatie met de transactie mee moet reizen.
De discussie over de travel rule leek tot nu toe beperkt tot de groep bedrijven die zich bezighielden met virtuele valuta en directe afgeleiden daarvan. Veel blockchainontwikkelaars leefden in de veronderstelling dat de regel aan hen voorbij zou gaan. Dat was ook niet gek als je kijkt naar de huidige definitie van virtuele valuta in de Europese anti-witwasregels. Kort samengevat: een digitale weergave van een waarde die niet door een centrale bank of overheidsinstantie wordt uitgegeven, maar wel als ruilmiddel wordt geaccepteerd1.
Die laatste definitie is in aanstaande EU-regelgeving, de Regulation on Markets in Crypto-assets (MiCA), veranderd en heel breed gemaakt. Zo sluit de regelgeving beter aan bij de FATF-definitie van crypto assets2, namelijk een digitale weergave van waarde of rechten die elektronisch kan worden overgedragen met behulp van distributed ledger-technologie3, waar ook blockchains onder vallen.
Onder zo’n brede interpretatie van de definitie van een crypto-asset vallen in feite bijna alle (toekomstige) blockchaintoepassingen4, zoals bijvoorbeeld een virtueel zwaard in een computerspel of blockchaintoepassingen binnen de transport en logistiek. Omdat alles in de toekomst vermoedelijk een zogenaamde digital twin of digitale representatie krijgt, is de reikwijdte nauwelijks voor te stellen5.
Ingrijpend
De travel rule is nog niet van toepassing, maar we kunnen in Zwitserland al zien wat voor impact de regel kan hebben op privacy. De Zwitserse toezichthouder heeft namelijk een richtsnoer gepubliceerd hoe die de travel rule wil inzetten. De Zwitserse regels vereisen dat de cryptobedrijven kunnen bewijzen dat de persoon achter de ontvangende wallet6 die ook echt bezit. Dat schendt niet alleen de privacy van de ontvangende persoon, maar door de werking van deze decentrale online systemen ook de privacy van iedereen verderop in de keten. Daarnaast moet je je afvragen of je weer een bak aan persoonsgegevens bij een derde partij wil neerleggen die alleen maar gestolen kunnen worden.
Een bericht op de website van De Nederlandsche Bank, tegenwoordig ook toezichthouder op de Nederlandse cryptobedrijven, laat zien dat het hier ook die kant op gaat. De aanbieder van cryptodiensten in Nederland moet vaststellen dat de persoon ook daadwerkelijk de ontvanger of verzender van de cryptovaluta is. Een ander voorstel vereist zelfst dat bekend moet zijn dat de wallet van de ontvanger daadwerkelijk van die ontvanger is. Met andere woorden: je mag cryptovaluta kopen, maar vanaf dat moment wordt je behandeld alsof je verdacht bent in de ogen van DNB.
Aan de andere kant kun je stellen dat het niet zo raar is dat DNB wil weten wie wat ontvangt of verstuurt. Dat gebeurt bij banken toch ook? Dat klopt een beetje. Als je een betaling aan iemand in het buitenland doet, hoeft de bank alleen maar te checken of de ontvanger op een sanctielijst staat. Of de ontvanger daadwerkelijk over de bankrekening kan beschikken, is zelfs niet van belang. Toch doet DNB alsof deze regels uit de sanctiewet voortvloeien, terwijl dat bij banken niet eens van toepassing is.
Zijn er dan nu helemaal geen checks and balances bij die cryptobedrijven in Nederland? Zeker, in de meeste gevallen worden transacties uitgevoerd met behulp van iDeal, waardoor sowieso al de identiteit van de koper bekend is. Met behulp van al lang bestaande regels is het daardoor al heel goed mogelijk om vreemde transacties te monitoren. Met het grote verschil dat eerst een strafbaar feit moet zijn vastgesteld voordat verder onderzoek gedaan wordt naar de betrokkenen.
Eeuwige datasurveillance
Al ruim dertig jaar lang passen we steeds meer datasurveillance toe op banken en andere financiële instellingen, zonder noemenswaardig succes. Wat de Europese Commissie en de FATF voorstellen is dat we voor crypto-toepassingen en toekomstige blockchains een nog groter sleepnet gaan neerzetten. Dit is water naar de zee dragen, dat laten de ervaringen rond de FinCEN-papers en FIU-meldingen7 overduidelijk zien. Het gevolg: nog meer massaal data verzamelen en iedereen al vast als schuldige aanmerken. Er worden massaal data verzameld alsof mensen schuldig zijn en van enig echt vervolg is geen sprake. De kleine spelers worden lastig gevallen en de grote blijven buiten schot.
Hoe zou die datasurveillance in de fysieke wereld voelen? Stel, je geeft of leent een papieren boek aan iemand. Hier, alsjeblieft. Een boek, veel plezier ermee. Dat hoeft niemand te zien, de boekhandel niet die het boek ooit verkocht en de gever hoeft niet te weten of de gelukkige krijger het boek ooit nog aan iemand anders geeft. Stel dat dit verboden wordt, dat je je boek alleen nog maar met behulp van een derde partij aan iemand anders mag geven, omdat het anders illegaal is?
Belachelijk zouden we dat vinden.
Maar dat is precies wat er nu gaande is. In de regelgeving van de FATF, regels die dus niet moeten, maar wel iedereen zal toepassen, staat dat de volgende klantgegevens met die virtuele transacties naar de andere partijen mee moet worden gestuurd, anders mag je de transacties niet uitvoeren:
The required information includes the: (i) originator’s name (i.e., the sending customer); (ii) originator’s account number where such an account is used to process the transaction (e.g., the VA wallet); (iii) originator’s physical (geographical) address, or national identity number, or customer identification number (i.e., not a transaction number) that uniquely identifies the originator to the ordering institution, or date and place of birth; (iv) beneficiary’s name; and (v) beneficiary account number where such an account is used to process the transaction (e.g., the VA wallet). It is not necessary for the information to be attached directly to the VA transfer itself. The information can be submitted either directly or indirectly.
Onder het mom van witwassen en terrorismebestrijding wordt alles elke keer weer vloeibaar. Het is de stoplap waarmee alles dat eigenlijk niet kan of mag toch ineens probleemloos overal doorkomt.
Kamervragen en Europese klachtenprocedure
Het is niet zo dat niemand deze uitbreiding van regelgeving zag aankomen, maar het is complex en een heel langdurig proces dat eigenlijk niet samen te vatten is. Simon Lelieveldt, voormalig hoofd toezicht en financiële markten van de Nederlandse Vereniging van Banken, werkte al in 2006 aan de invoering van de travel rule in het bankwezen. Inmiddels is hij zelfstandig adviseur voor verschillende fintechbedrijven en luidt al ruim een jaar de noodklok rond de FATF-regels en andere datasurveillance. Samen met Privacy First en de Vereniging Bitcoinbedrijven Nederland stuurde hij brieven aan zowel de Minister van Financiën Hoekstra en de Eerste Kamer. Daarop kwam een ontwijkend antwoord van Het Ministerie dat deed alsof het alleen voor bitcoins bedoeld was en nooit opgerekt zou worden tot overige digitale blockchaintokens. Inmiddels wordt die definitie inderdaad opgerekt.
Lelieveldt heeft inmiddels een infringementklacht bij de Europese Commissie ingediend met betrekking tot de vijfde Anti-witwaswet van de EU (oh ja, die is er ook nog). Daar wijst hij, onder verwijzing naar een vuistdik proefschrift op het in strijd zijn met fundamentele mensenrechten van de witwasregelgeving, op 17 punten. Inmiddels heeft hij ook antwoord gekregen van de Commissie. Men probeert de discussie onder het tapijt te vegen:
The EU legislator carefully considered the fundamental rights aspects of 5th Anti Money Laundering Directive at time of its adoption, and concluded it remains limited to what is necessary and proportional.
In addition, you do not indicate how the Dutch law at stake would go beyond the processing provided for under the 5th Anti Money Laundering Directive and constitute unlawful processing.
As pointed out by the Dutch Data protection authority, the European Commission will draw up a report on the implementation of the Anti-Money Laundering Directive by January 2022. Pursuant to Article 65 of this Directive, the report will include in particular “an evaluation of how fundamental rights and principles recognized by the Charter of Fundamental Rights of the European Union have been respected”.
Given the above, the European Commission does not intend to open an infringement procedure.
Lelieveldt heeft inmiddels ook al een reactie terug gestuurd:
I am somewhat puzzled why your services would attach a different weight to the observations of our DPA-s as well as the recent Court of Justice verdicts on export of data to the US. Of course the complaint form does not allow elaborate wording, which is why I referred to the dissertation of C. Kaiser. It provides 17 fundamental legal arguments why there are already now violations of human rights by means of the AMLD5 rules. I would have hoped those would be taken into consideration. The referral to the planned evaluation procedure is interesting in this respect but does not equal a further consideration by the Court of Justice, to which the procedure might provide access.
Tegelijk verzucht hij dat de procedure hem merkwaardig voorkomt, aangezien hij met 25 jaar ervaring in het veld van Europese regelgeving behoorlijk de weg weet en erop vertrouwde dat een goed onderbouwd argument van een insider toch op zijn minst zijn weg zou moeten vinden naar het Hof van Justitie.
If with my 20 plus years of experience I am unable to convince you to at least take the complaint into further consideration, what would it take for any other less-EU-law literate citizen to be able to do so?
Zal het tij keren?
Het heeft zes jaar geduurd voordat we af waren van het versturen van transactiegegevens van elke SWIFT-transactie naar de VS. Gaan we nu weer dezelfde fout maken om een probleem aan te pakken dat heel ergens anders zijn oorsprong heeft? Het lijkt er wel op.
Uiteindelijk zorgen de FINCEN-papers weer tot veel woorden bij banken, uiteraard weer zonder veroordelingen. Banken zullen nog duurdere systemen gaan inzetten en honderden miljoenen zullen er weer tegenaan gegooid worden om voor de bühne te zorgen dat ‘het lijkt alsof er wat aan gedaan wordt’. Over een paar jaar zal weer blijken dat de grote vissen probleemloos door alle mazen van de richtsnoeren heen wisten te zwemmen, weer gevolgd door nieuw onderzoek. Weer mea culpa’s en sorry’s en weer geen topmensen de bak in. Wel weer de volgende hap uit het laatste beetje privacy, of wat er nog van over is.
Zolang de oorzaken van witwassen en ander potentieel criminele geldstromen niet aangepakt worden, zal er niets veranderen voor de echte boeven. Slechts het klootjesvolk, wij dus, hebben er last van en wij doen er al lang niet meer toe wat het accepteren van deze privacyschendende U-bocht laat zien.
Door de werking van blockchain(achtige) technieken, wordt het heel erg makkelijk iedereen voor altijd te blijven volgen. Het recht op privacy wordt hiermee volledig teniet gedaan. Dat is nog vreemder als je bedenkt dat het niet heel moeilijk is om via bestaande juridische wegen mensen te mogen onderzoeken waarbij dezelfde informatie naar boven te halen is, het vergt alleen iets meer werk.
Er is een lichtpuntje: de rechter. Het Europese hof van Justitie heeft pittige uitspraken gedaan die de privacy beschermen. In Nederland hadden we de SyRi-uitspraak en start binnenkort een rechtszaak van Privacy First tegen een verplicht dataregister van aandeelhouders dat sinds eind september verplicht gevuld moet worden. Te hopen is dat ook in deze zaak de rechter de burger wél beschermt tegen een te uitbundig privacyschendende overheid.
Waarom is dit belangrijk?
Blockchains en afgeleiden worden steeds meer gebruikt binnen allerlei decentrale systemen op internet
Ongemerkt zullen steeds meer mensen hier gebruik van maken
Door richtsnoeren van de Financial Action Task Force zullen alle virtuele tokens of coins in de toekomst gevolgd gaan worden
Daarmee veegt de EU in een paar woorden alles dat bereikt is met de AVG van tafel
1. …a digital representation of value that is not issued or guaranteed by a central bank or a public authority, is not necessarily attached to a legally established currency and does not possess a legal status of currency or money, but is accepted by natural or legal persons as a means of exchange and which can be transferred, stored and traded electronically;
2. ‘crypto-asset’ means a digital representation of value or rights, which may be transferred and stored electronically, using distributed ledger or similar technology;
3. a class of technologies which support the distributed recording of encrypted data.
4. FATF-aanbeveling: The required information includes the: (i) originator’s name (i.e., the sending customer); (ii) originator’s account number where such an account is used to process the transaction (e.g., the VA wallet); (iii) originator’s physical (geographical) address, or national identity number, or customer identification number (i.e., not a transaction number) that uniquely identifies the originator to the ordering institution, or date and place of birth; (iv) beneficiary’s name; and (v) beneficiary account number where such an account is used to process the transaction (e.g., the VA wallet). It is not necessary for the information to be attached directly to the VA transfer itself. The information can be submitted either directly or indirectly, as set forth in in INR. 15.
5. Je zou zelfs kunnen beargumenteren dat Facebook daarom Libra bouwde: zo moeten ze mensen volgen, want het zijn de regels, ook al gaat het tegen de AVG en rechten van de mens in.
6. Een wallet is een veelomvattende term voor een persoonlijke digitale ‘kluis’ waar je waardevolle digitale spullen in kunt bewaren. DNB noemt het ‘cryptobewaarportemonnee’.
7. FIU: Financial Intelligence Unit
