Internetbank Bunq mag AI inzetten om witwaspraktijken en het financieren van terrorisme te voorkomen, las ik bij Tweakers. De Nederlandsche Bank had de bank opgedragen om een traditionele, checklist-gebaseerde controle van haar klanten uit te voeren, maar de hoogste financiële bestuursrechter (het CBb) zegt nu dat dit te kort door de bocht was. DNB heeft niet bewezen dat bunq met haar methode van het vaststellen van het doel en de beoogde aard van de zakelijke relatie en de monitoring daarvan niet voldoet aan de open normen van de Wwft, aldus het CBb. De term “inzet van AI” is voor mij dan weer wat voorbarig.
De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) bevat een controversiële eis, namelijk dat banken in de strijd tegen witwassen en financiering van terrorisme hun (nieuwe en bestaande) klanten moeten indelen in risicoprofielen, en op die basis ze meer of minder indringend monitoren. Zoals het FD schrijft: DNB vraagt om een analysemethodiek die een vaste set regels volgt en heel precies voorschrijft hoe banken dat moeten doen.
Bunq deed het anders: zij verdeelde haar klanten in twee groepen, de ‘gewone’ klanten en de ‘ongewone’ klanten noem ik ze maar even. De bank had namelijk een profiel van “regular users” gedefinieerd, en je kon daar binnen of buiten vallen:
- Age: 18-60 year
- Country of residence: NL, BE, DE, AT, IT, ES, FR
- Purpose: Standard Payment Account
- Monthly outgoing transaction volume: EUR 10.000
- Maximum balance: EUR 10.000
- Number of payments per month: Up to 150
Op het moment dat dit niet (langer) het geval is, stelt bunq – afhankelijk van het risicoprofiel van de betreffende klant en de afwijkingen van de klant ten opzichte van het regular user profiel – automatisch een aantal vragen aan de klant. Als een klant deze vragen niet binnen de gestelde periode beantwoordt, wordt de klant toegang tot de rekening (tijdelijk) ontzegd.Op basis van de antwoorden wordt het profiel van de klant bijgesteld, wat dus meestal zal leiden tot intensievere monitoring. Dat is binnen doel en strekking van de wet, want die schrijft geen specifieke techniek voor. Maar de DNB had er wel grote moeite mee, want Bunq onderzoekt nieuwe klanten niet in detail maar noemt iedereen “regular” totdat er risicosignalen komen. Zoals het CBb het samenvat:
In het bestreden besluit heeft DNB uiteengezet dat uit het gegeven dat bunq een standaardprofiel aan nieuwe particuliere klanten toekent kan worden opgemaakt dat dit profiel niet is gebaseerd op specifiek bij de klant ingewonnen informatie. Een standaardprofiel stelt een instelling verder niet in staat om te bepalen wat nu het doel en de beoogde aard van de zakelijke relatie is, maar leidt enkel tot een aanname van bunq daarover. Dat bunq heeft vastgesteld dat haar particuliere klanten een homogene groep vormen, maakt dat niet anders.Het CBb concludeert echter dat Bunq wél adequaat handelt. De wet bevat een open norm, en DNB heeft niet inhoudelijk aangetoond waarom Bunq’s methode leidt tot foute of tekortkomende classificaties of monitoring. De standaardrekening is beperkt in wat je ermee kunt doen, de kans op risico op witwassen of financiering is derhalve klein. En bovendien corrigeert Bunq dus snel het beeld zodra de klant de grenzen opzoekt. Dat laatste is precies wat traditionele banken ook doen, want weliswaar moet je daar gedetailleerde formulieren invullen, daar kúnnen mensen immers liegen dus je moet toch continu monitoren wat er gebeurt dat afwijkt van het verwachte.
Het is dat continue monitoring waar die AI – machine learning – een rol speelt, als ik het zo lees. Ik zie wel hoe je met ML makkelijker patronen en uitschieters kunt detecteren, zodat je sneller en met minder handwerk kunt zien waar mensen rare dingen aan het doen zijn. Dit “behoeft geen bespreking meer”, aldus het CBb, want het bezwaar van DNB is kort gezegd dat als je aan de poort te makkelijk bent, je dús tekort schiet bij je continue controle:
Op de zitting van het College heeft DNB ook uiteengezet dat het ontoereikende cliëntenonderzoek aan de poort doorwerkt in de transactiemonitoring. Uit wat hierover onder 8.5.5 en 8.6.4 is overwogen, volgt dat dit uitgangspunt onjuist is. Daarom moet worden geoordeeld dat DNB niet het bewijs heeft geleverd dat bunq geen adequate voortdurende controle op haar zakelijke relatie met haar klanten uitoefent.Wel was Bunq terecht op de vingers getikt voor het niet opvolgen van vier concrete dossiers met signalen, en het niet goed onboarden van politiek prominente personen (politically exposed persons of PEP). PEPs zijn extra kwetsbare categorieën burgers, zoals directeuren, landelijke politici of rechters. Signalen bij een PEP moeten dus gevoeliger en sneller worden opgepakt.
Bunq is erg blij natuurlijk, een ‘overwinning voor de vooruitgang’ noemt men het in het FD. En ja, het is zeker een goede zaak dat bevestigd is dat de Wwft open normen kent en dat de inzet van ML niet perse ontoereikend genoemd moet worden. Maar de strijd is nog niet gestreden: DNB kan nieuw beleid maken en een nieuw besluit nemen op de onderzoeksmethode van Bunq.
Arnoud
Er bestaat doch zoiets als “onschuldig tenzij anders bewezen…”, een principe waar Bunq (afgeleid uit dit artikel) dus vanuit schijnt te gaan. Dit ontspant de relatie met de klant, komt er eens een uitschieter waardoor de klant opvalt, kan gekeken worden of dit inderdaad “een uitschieter” ist (opas erfenis is op de rekening gestort en daardoor ligt het saldo gering boven de gestelde grens) of dat het hier iets structurelers is. De houding van DNB vind ik in deze dan ook niet conform het principe van een rechtstaat.
Wel vreemd is dat als je tot het rijkere deel van Nederland behoort (meer dan 10000 op je rekening, eens een keer een auto kopen of een aandelenwinst uitkeren zodat je boven de 10000 transactie komt), of als je ouder bent dan 60(!), dat je dan meteen verdacht bent, een hoger risicoprofiel hebt.
Alsof een gepensioneerde tandarts een hoog risico zou hebben op witwassen en terrorisme!
Hoe voelt dat, in dezelfde categorie zitten als de bijstandsmoeder die bij iedere uitgave van fraude beschuldigd wordt?
Maar serieus, het valt wel mee. Dit triggert alleen een extra controle, waarbij je een paar vragen moet beantwoorden. Gaat dat goed, dan is er verder niets aan de hand. Had jij die 10k aan die Nigeriaanse prins(-es) van 27 gegeven die heel graag met jou, gepensioneerde tandarts van 67.5 wil trouwen maar een visum moet kopen, dan zou ik ook graag alarmbellen af zien gaan.
Dat is een flauwe vergelijking.
Ten eerste krijgt die bijstandsmoeder bijstand ONDER BEPAALDE VOORWAARDEN, waarbij het logisch is dat gecheckt wordt (DOOR DE OVERHEID!) of aan die voorwaarden voldaan wordt, terwijl die gepensioneerde tandarts gewoon vrij over zijn eigen vermogen wil beschikken zonder door allerlei hoepels te moeten springen.
Ten tweede zijn witwassen en terrorisme financieren ook op zichzelf al strafbaar en ook nog eens zeer zeldzaam. Als de overheid zijn zaakjes op orde heeft (voldoende opsporingscapaciteit) hoeft de overheid aan de banken geen signaleringsplicht op te leggen (die de banken interpreteren als een opsporingsplicht omdat ze zeer risicomijdend zijn, en die de banken niet goed kunnen uitvoeren omdat ze geen rekening kunnen/hoeven houden met het grondrecht om vrij over zijn eigendom te kunnen beschikken. )
Die extra controle kan ook weer niet voldoende zijn (bijvoorbeeld omdat die lagere bediende met zijn salaris van 3000€ per maand zich gewoon niet kan voorstellen waarom die gepensioneerde tandarts 20 K€ overmaakt voor de bouw van een schooltje in Tsjaad, dat zal wel voor terrorisme zijn, denkt die bankbediende), waarna er nog een intensievere controle volgt. En klagen kun je niet als klant, want dan willen ze je niet meer als klant.
Het toezicht op financieel verkeer is toch net zo goed een voorwaarde (een wet) als het toezicht op bijstandsuitkeringen? In beide gevallen mag je de activiteit alleen doen als je toezicht toelaat. Anders gezegd: het is verboden te bankieren als de overheid niet mee mag kijken (via de bank).
Nee, het gaat om wat de ‘normale’ situatie is en de AFWIJKING die de wet daarop bepaalt. Je moet niet de uitzondering tot basisregel maken.
De default bij een uitkering is is dat je zelf voor je levensonderhoud instaat, en de afwijking is dat je daar onder bepaalde voorwaarden hulp van de staat bij krijgt.
Ook is de default dat je over je eigendommen mag beschikken (art 17 EU Charter of Fundamental Rights : Eenieder heeft het recht de goederen die hij rechtmatig heeft verkregen, in eigendom te bezitten, te gebruiken, erover te beschikken en te vermaken.) en de afwijking daarvan is dat de overheid mag meekijken als je dat via een bank doet.
Nu zeg je: de ene wet is wel terecht en de andere niet. Dat is niet de discussie (voor mij). Mij ging het erom dat in beide gevallen een burger inzage moet geven in de financiën, wat een enorm gevoel van privacy-inbreuk geeft. Beiden doen immers niets verkeerd maar worden op voorhand als crimineel aangemerkt. Bij die bijstandsgerechtigde is immers ook geen aanwijzing dat ze frauderen, het is “er is geld op je rekening gezet dus bewijs maar dat het legaal is” en bij die tandarts is het “je maakte 10k over naar Ghana dus bewijs maar dat het legaal is”. Ik zie principieel het verschil niet qua aanleiding voor overheidsoptreden.
Jawel, bij die bijstandsgerechtigde is ‘er is geld op je rekening gezet’ een indicatie, of zelfs bewijs (afhankelijk van de omstandigheden), dat die persoon niet voldeed, of niet langer voldoet, aan de voorwaarden om bijstand te krijgen. De bewijslast dat hij voldoet aan de voorwaarden rust op die persoon.
Bij die tandarts is die 10K naar Ghana gewoon het vrij beschikken over eigendommen. Die persoon heeft geen bewijslast dat het naar een legaal doel is (alles is legaal, tenzij wettelijk bepaald is dat het illegaal is), de overheid heeft een bewijslast dat het illegaal is.
Je kunt je ook afvragen hoe vaak een 60er een nieuwe bankrekening opent bij een specifieke online bank. Ik verwacht dat de classificatie van de ‘standaardklant’ gewoon gemiddeld jonger is waardoor het vangnet ook meteen op leeftijd filtert. Over 10 jaar verwacht ik dat die leeftijd ‘gemiddeld’ hoger ligt, d.w.z. dat dit filter ook anders wordt afgesteld.
En vergeet niet dat dit enkel de “Hee, dit is een uitzonderlijke klant”-melding betreft. Hoeveel 60ers zouden er een rekening bij bunq hebben?
Als deze set criteria de gehele set is, wordt het voor iemand die kwaad wil nu wel héél makkelijk om bewust binnen de grenzen van de regular user te blijven (op leeftijd na, is de rest te beïnvloeden).
Er kijkt dus nog steeds een AI mee naar je transactiegedrag, en die springt niet alleen aan als je die grenzen te buiten gaat. Dat is ook een beetje het punt van bunq, ze doen niet eenmalig een classificatie en dan na een jaar eens kijken waar we staan, ze monitoren continu alleen het defaultprofiel vullen ze als gemiddelde in in plaats van een individuele intake te doen. DNB vindt dat je iedereen zo’n intake moet doen, bunq vindt van niet omdat ~90% vervolgens alsnog in het defaultprofiel terechtkomt. En als iemand met het defaultprofiel op dag 2 verdachte transacties gaat doen dan staat zijn account op dag 3 dicht. Dat laatste is het doel van de wet, dus dan is dit toch prima?
Ik het het vonnis niet gelezen, maar dat makes sense. Ik interpreteerde dat voor de groep regular users periodiek gekeken werd of ze nog aan de genoemde set voldeden:
Ik las het dat zolang je hier binnen blijft, er geen vervolgactie wordt ondernomen (dus geen verdere vragenlijsten).Relevant nieuwsbericht van de Autoriteit Persoonsgegevens:
https://autoriteitpersoonsgegevens.nl/nl/nieuws/nieuwe-wet-opent-deur-naar-ongekende-massasurveillance-door-banken
Quote uit bovenstaande bovenstaande persbericht van een AP bestuurder:
Dit nieuwbericht betreft dus nieuwe (nog verder gaande) wetgeving
Met de nuance dat dat gaat over de situatie dat er één gecentraliseerde (bankoverstijgende) database zou zijn.
Dat is inderdaad een nieuwsbericht over het nieuwe wetsvoorstel. Maar het huidige systeem gaat ook al erg ver. In het vonnis krijg je een inkijkje wat banken allemaal al aan het verwerken zijn.
Met een enorme hooibaal aan meldingen tot gevolg waar dan die ene speld uitgevist moet worden. Alles uiteraard met de beste intenties, maar willen we dit echt?
Dat doen ze omdat er een wettelijke plicht is. Dus ja, kennelijk wil de meerderheid dit.
Ten eerste is de strekking van de uitspraak nu net dat DNB de wet anders uitlegt dan nodig was, maar ten tweede is ‘de meerderheid wil het’ geen goed argument om dit soort systemen te blijven optuigen. Daarom hebben we onder andere het EVRM. Ten derde stemmen mensen zelden op individuele titel voor een wetsvoorstel, maar hebben ze ooit een parlementariër gemandateerd om een keuze te maken voor nog niet bestaande wetsvoorstellen. Als je daadwerkelijk wil weten wat de meerderheid wil, dan moet je dus een referendum houden. Maar dan komt (1) een groot deel niet opdraven (2) krijg je ook slechte uitkomsten. Als we namelijk alles zouden doen wat de meerderheid wil, mondt dat vermoedelijk uit in een onprettige samenleving. Backdoors in encryptie om maar wat te noemen. Want de meerderheid wil het.
Een andere steeds weer terugend argument is ‘ik heb niets te verbergen, dus wat maakt het uit’. Totdat blijkt dat eigenlijk iedereen wel wat te verbergen heeft en massa surveillance geen goed idee blijkt te zijn.
Dat is het namelijk niet. Ook al hebben mensen steeds goede intenties.
DNB is een interessante toezichthouder om mee te werken. De reguliere ‘rules of the game’ bij de toezichthouders (zoals: ACM, NVWa, NZa, …) gaan bij DNB veel minder op dan bij de andere toezichthouders. DNB voert haar eigen beleid, zonder openheid (WOB / WOO), zonder al teveel rechtszekerheid voor de onder toezicht staande organisaties en met een flinke dosis daadkracht. Die rechtszekerheid ontbreekt vooral omdat als zwaard van Damocles de (her-)beoordeling van de geschiktheid van de bestuurder boven de markt hangt. Ik vind het dapper dat Bunq dit heeft durven op te pakken. Wil je niet luisteren, dan is dat een aanleiding voor een herbeoordeling van geschiktheid en valt te raden hoe die beoordeling uitvalt (casus: Delta Lloyd, overigens m.i. terecht). Mijn beeld is dat de andere toezichthouders veel meer geneigd zijn om zich bijv. te houden aan de beginselen van de AWB dan DNB, vooral omdat in andere sectoren bedrijven wél naar de rechter durven te stappen.
DNB is ook soms ouderwets. Zie bijv. deze casus. Ze hebben dikwijls de neiging om concrete implementaties voor te schrijven, zelfs als de wetgeving dat helemaal niet vereist (of toelaat? – voer voor juristen, maar zonder casussen geen invulling van de begrippen). Als je weet dat de grootbanken duizenden (!) mensen in dienst hebben voor KYC-activiteiten (op slechts miljoenen rekeningen), dan vraag ik me echt af in hoeverre een starre toezichthouder(s) (ACM + DNB) die handwerk en dossiervorming willen zien bijdraagt aan de betaalbaarheid en toegankelijkheid van bancaire diensten. (Even een parallel met andere toezichthouders: aan voedselveiligheid, zorgveiligheid of zorgdeclaraties werken schat ik niet zoveel mensen. Wellicht met een orde van grootte verschil. Dus blijkbaar is dit maatschappelijk ‘belangrijker’.)
Uiteindelijk zien we als burger geen effect op de georganiseerde misdaad (kan er wel zijn natuurlijk, maar aan de marge), op de toenemende verwevenheid van boven en onderwereld, etc. Daar bovenop nog de berichten dat de BD geen fraudemeldingen oppakt, dat de FIU niet genoeg capaciteit heeft, … Mijn conclusie is dat het voor een heel groot deel ‘security theater’ is zonder meetbare voordelen, die vooral kostenverhogend werken.
(Don’t believe this rant 😉 Een leuk proefschrift uit 2015 van Margot Aelen raakt ook aan deze thema’s. Prompt ging ze daarna bij DNB werken. Haar goed recht en super relevant. Maar m.i. opvallend dat er weinig aandacht vanuit bestuursrecht is voor dit soort stelsels van (in-)effectief beleid en de effecten daarvan. Ik zal een voorschot nemen: 25 basispunten op de hypotheekrente voor onzinnige KYC. Dat is minstens een miljard aan welvaartsverlies per jaar en past heel mooi bij 10k * € 100k KYC-medewerkers bij de grootbanken.)
Voor als je net als ik ook niet wist wat KYC is: Know Your Customer (zegt Google)
Sorry. ‘KYC officer’ (idd Know Your Customer) is één van de termen voor wat ‘ouderwets’ in het ‘Nederlands’ ‘compliance’ met Wwft en Sanctiewet heette. Het geheel is de Compliance-afdeling ontgroeid tot een ‘key concern’ op boardniveau. Ook van de zijkant (bijv. MiFiD II) komen regels invliegen die weer vragen om dossiervorming en -analyse op klantniveau. Je zou voor de grap onder de AVG je eigen analyse eens moeten opvragen bij de bank.
Heeft iemand voorbeelden van het soort vragen dat Bunq dan stelt als je je buiten de grenzen van dat standaard-profiel beweegt? Het komt op mij over alsof ze je dan opbellen of e-mailen met de vraag “goh, vertelt u eens waar dat bedrag ineens vandaan komt?”, of interpreteer ik het dan verkeerd? En hoe gaan ze het antwoord controleren? Ik vind het nogal een inmenging in mijn prive-zaken. Stel ik stort ineens 15K omdat ik op een beurs mijn over de loop van 30 jaar opgebouwde collectie magic-kaartjes heb verkocht, kan ik dan een telefoontje verwachten? Gaan bankmedewerkers dan maandenlang controleren waar ik allemaal geld uitgeef? En als ik dit antwoord geef, wat dan? Hoe gaat Bunq onderscheid maken tussen een verkochte tweedehands auto en geld dat ik heb uit verkoop van zwart bijklussen?
Is er trouwens bewijs dat die verplichte controle door banken ook echt daadwerkelijk resulteert in vervolging voor die misdrijven?
Goede vraag, kort antwoord: Er zijn geen aanwijzingen dat deze controles een serieuze impact op misdaad of terrorisme hebben.
Dat is ongeveer hoe het gaat inderdaad, hoewel meestal per brief. Recent en actueel voorbeeld is Willem Engel, wiens rekening werd opgeheven omdat hij geen goede antwoorden op deze KYC vragen had:
Geef je geen adequaat antwoord, dan kan dus je rekening worden geblokkeerd. Dat een en ander werkelijk nul effect heeft op het bestrijden van financiële criminaliteit of witwassen, is in het geheel geen argument.
Het storten van 15.000 euro in contanten is al jarenlang een verdachte transactie, daarvan wordt melding gemaakt bij het Meldpunt ongebruikelijke transacties. Op zijn minst krijg je dan bijzondere aandacht van de belastingdienst.
Ja, maar belastingdienst is overheid, met klachtenprocedures, ombudsmannen en de mogelijkheid om desnoods naar de rechter te gaan. Dat is nog altijd beter dan de bank die eenzijdig kan besluiten de relatie op te zeggen omdat je niet meewerkt.
Ik heb onlangs inderdaad allerlei vragen gekregen van een online beleggingsbank (waar ik al meer dan 15 jaar zit) waar mijn geld vandaag komt (en echt geen hoog bedrag waarmee je kunt stoppen met werken, helaas). Toen ik naar waarheid antwoordde: deels erfenisje van vele jaren geleden en deels historisch spaargeld, was dat niet voldoende.
Toen vroegen ze naar een notariele akte voor die erfenis en een accountantsverklaring (waar ik voor heb moeten betalen) ivm mijn inkomen van de afgelopen 3 jaar uit mijn eenmanszaak. Ze stonden niet open voor het argument dat mijn huidige inkomen geen relatie heeft met mijn spaarcapaciteit van 10 of 15 jaar geleden, ze moesten coute-que-coute die accountantsverklaring hebben.
Ik voelde mij echt gewantrouwd, alsof ik moest bewijzen dat ik eerlijk aan mijn geld gekomen was.
Gevolg is wel dat ik langzamerhand bij die beleggingsbank aan het weggaan ben en dat ze mij als klant zullen kwijtraken. Als ze mij niet vertrouwen, vertrouw ik hen ook niet meer.
Sorry, maar het is ze wettelijk verboden jou te vertrouwen. Niets persoonlijks. Wat hier gebeurt, is een volkomen standaard uitvoering van de Wwft regels. Ander banken zullen hetzelfde doen.
Nou nee, het leek er op dat ze bewijs wilden dat ik NIET oneerlijk aan mijn geld was gekomen. Dergelijk bewijs is per definitie niet te geven.
Bovendien ging het om een bedrag dat heel gemakkelijk verklaard kan worden uit de normale spaarcapaciteit van een gezin met een gemiddeld inkomen, cumulatief over 25 jaar (wat bij mijn leeftijd en carriere past). Het feit dat ze dat (de waarheid en de volledig logische natuurlijke verklaring) niet wilden accepteren is wat mij stoort.
Dat is waar. Het doel moet zijn dat ze de herkomst vaststellen, dat is een feitenonderzoek, en daarna kun je oordelen of die herkomst eerlijk/legaal is. Enkel afgaan op de verklaring van de rekeninghouder is daarbij niet genoeg. Dus daarom snap ik het wel.
Het zal best redelijk verklaarbaar zijn, maar verklaarbaar zijn is niet hetzelfde al verklaard zijn. Hoe had jij dit willen bewijzen, anders dan “je moet mij geloven” wat bij niemand een geldig argument is?
Een historische herkomst verklaren kan nu eenmaal niet, omdat het normaal is dat je die documentatie niet meer hebt na die tijd en ook dat het onredelijke last is om een reconstructie van al je inkomsten en uitgaven over de laatste 25 jaar te doen, zelfs als je die documentatie wel ergens gedeeltelijk in een doos hebt.
Dat is een natuurlijk uitvloeisel van het op een gegeven moment invoeren van een dergelijke regeling. Wat er op het moment van invoering al is, daar kun je moeilijk een volledige historische documentatie van verwachten. Dus de norm zal daarvoor altijd ‘verklaarbaar ‘ moeten zijn, omdat ‘verklaard’ nu eenmaal onmogelijk is.
En bovendien kun je aan die historische herkomst, zelfs al zou die verdacht/onverklaard zijn naar de normen van nu, natuurlijk nooit een sanctie verbinden, omdat alles toen volledig volgens de regels gegaan is.
Als documenteerbaar is dat vrijwel de hele spaarsom stamt van voor de invoering van die regels (en die documentatie heeft de bank zelf) dan is meer info vragen gewoon een fishing expedition, niet een eerlijke vraag waar ze daadwerkelijk iets aan hebben.