Met een grote advertentie van de Nederlandse Vereniging van Banken werden we op 17 april jl. op de hoogte gebracht van iets wat we al een jaar weten. De VS vragen bij SWIFT, het kantoor dat de internationale overboekingen regelt, klantgegevens op in het kader van de bestrijding van terrorisme. Nu zijn de banken natuurlijk wettelijk verplicht ons van dit feit op de hoogte te stellen, maar het blijft vreemd dat dit pas nu gebeurd, en niet in 2001, vanaf het moment dat SWIFT de gegevens doorgaf.
De inhoud van de advertentie is bovendien misleidend. De banken melden dat ‘ Swift gevolg heeft gegegeven aan dwingende overheidsbevelen voor het opvorderen van beperkte gegevens voor uitsluitend gebruik in het kader van terrorismebestrijding’. Hebben de banken hun huiswerk niet gedaan? Willen ze hun eigen onmacht in deze zaak verdoezelen?
Hoe kan je in een advertentie melden dat de VS ‘beperkte gegevens’ opvordert, als zowel de Belgische Privacy Commissie, de Artikel 29 Werkgroep van de Europese Unie als de Europese Toezichthouder voor gegevensbescherming reeds gemeld hebben dat de VS juist onbeperkt gegevens opvroeg?
De Belgische Privacy Commissie constateerde dat de Amerikaanse dwangbevelen juist na 11 september 2001 van karakter waren veranderd. “Ze kunnen gekwalificeerd worden als niet geïndividualiseerde massale opvragingen (“Rasterfandung” of “carpet sweeping” techniek) in een eerste fase. Het toepassingsgebied is, zowel materieel als territoriaal als in de tijd, zeer breed. De dwangbevelen werden toegepast voor alle transacties die verband houden of kunnen houden met terrorisme, in verband met een x-aantal landen en jurisdicties, op die datum, of van … tot … variërend van één tot meerdere weken, binnen en/of buiten de VS. Het gaat dus om boodschappen over interbancaire transacties binnen de VS., van of naar de VS., en buiten de VS., zoals bijvoorbeeld binnen de EU.”
Ook achterhaalde de Belgische Privacy Commissie dat de VS een zeer brede definitie van terrorisme gebruikten: “de aanpak van aanvallen van terroristen tegen de VS die na 11 september 2001 plaatsvonden en een globaal netwerk van terroristencellen die een bedreiging zouden bieden voor verder geweld tegen VS onderdanen, VS eigendom en belangen en belangen in het thuisland en buitenland.”
In praktijk werden (en worden?) de gegevens van SWIFT door een ‘black box’ van de Amerikaanse UST binnengehaald. Met een eigen ontwikkeld zoeksysteem kon vervolgens een grote bulk aan gegevens doorzocht worden.
Hoe ‘beperkt’ waren die opvragingen dan? De Belgische Privacy Commissie meldde in haar onderzoek van 27 september 2006 dat de UST vanaf september 2006 64 dwangbevelen naar SWIFT heeft doen uitgaan. Aan al de bevelen is voldoen. De Belgen wilden een inschatting maken van de hoeveelheid gegevens die daarmee gemoeid was en probeerden vervolgens toegang te verkrijgen tot het systeem. Het verzoek tot toegang tot de ‘black box’ werd door SWIFT met een beroep op het belang van de nationale veiligheid afgewezen.
De Belgische Commissie concludeerde wel dat ‘men uit het algemene toepassingsgebied van de dwangbevelen en het gemiddelde volume van het aantal berichten dat dagelijks via de SWIFTNet FIN dienst wordt afgehandeld wel kan afleiden dat het aantal boodschappen dat is onderworpen aan de dwangbevelen en zich bevindt in de zwarte doos enorm hoog moet liggen’.
Hoe hoog bleek uit een brief Swift van 14 september 2006. SWIFT meldde in de brief dat de UST “het volle recht heeft onder Amerikaans recht om de SWIFT US afdeling te onderwerpen aan een dwangbevel teneinde alle SWIFT boodschappen mede te delen” . Dit betekent dus dat, alleen al voor het jaar 2005, een totaal van 2.518.290.000 SWIFTNet Fin boodschappen aan dwangbevelen kan onderworpen worden .
Het valt dus helaas wel tegen met de in de advertentie van de Nederlandse Banken vermelde ‘beperkte’ opvorderen van klantgegevens. Wat ook tegenvalt, is de toch al vier jaar durende lakse houding in deze kwestie door de Centrale Banken en financiële instellingen. Bij de bestrijding van terrorisme gaan poorten open, waarvan het eigenlijk maar de vraag is wat het oplevert. Gerichte opvraging van gegevens van personen waartegen een verdenking bestaat is wettelijk geregeld. De VS kan via een rechtshulpverzoek probleemloos dat soort gegevens krijgen. Maar massaal, in bulk, ongericht financiële gegevens opvragen is niet nodig en wettelijk niet toegestaan.
De toezichthouders zijn het ook allen over meerdere dingen eens. Het toezicht van de Centrale banken op SWIFT roept veel vragen op gezien de geheimhouding die de datatransfer van SWIFT naar de VS gedurende 4 jaar kenmerkte. Er moet zo snel mogelijk gehandeld gaan worden volgens de Europese regelgeving.
Ook de Nederlandse Banken hebben een belangrijke rol. De financiële instellingen en de Centrale Banken dienen te onderzoeken of er alternatieve technische mogelijkheden bestaan die wel in overeenstemming zijn met de Europese Datarichtlijn.