Word abonnee

De schaduwkant van compliance

Is compliance niet te ver doorgeschoten? Gaan de ‘goeden’ door te veel druk op fraude- en risicobeheersing lijden onder de ‘kwaden’? Hoe vatbaar zijn verzekeraars voor witwasrisico’s? Beperkt de privacywetgeving de mogelijkheden van het doen van cliëntonderzoek? Deze vragen stelden de kijkers aan Dick Alblas, gastspreker bij het door NIBE-SVV georganiseerde webinar ‘Compliance: over Richtlijnen, Risico’s en Red Flags’ op 5 oktober 2020. In dit artikel diept hij een aantal van die vragen verder uit.

Tijdens het compliancewebinar stond ik stil bij de ontwikkelingen in het compliancevak met een focus op de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). De vragen die in dit artikel centraal staan gaan over de relatie tussen de Wwft en schadeverzekeraars, over de vraag of compliance niet te ver is doorgeschoten, over de relatie tussen de Algemene verordening gegevensbescherming (AVG) en de Wwft en over de recente ontwikkelingen in de wetgeving.

Wwft en verzekeraars

Een van de vragen betrof de relevantie van de Wwft voor de schadeverzekeringspraktijk. Een zeer terechte vraag. Schadeverzekeraars zijn immers geen instelling op grond van de Wwft. Levensverzekeraars juist wel. Zij zijn als Wwft-instelling gebonden aan alle verplichtingen uit die wet. Er is nauwelijks literatuur over het risico van witwassen in relatie tot schadeverzekeraars. De bekendste publicatie op dit terrein betreft het rapport van de Financial Action Task Force (FATF) uit 2004 (!). De FATF acht het risico voor schadeverzekeraars gering. Dit vanwege de sterk georganiseerde markt en de inherente instelling van een verzekeraar om misbruik en fraude tegen te gaan. Het rapport noemt enkele voornamelijk levensverzekeringscases, waarbij daadwerkelijk sprake was van witwassen. Het meest recente Nationale Risk Assessment 2019, waarin de kwetsbaarheid van Nederland op het gebied van witwassen wordt beschreven, komt niet verder dan dat verzekeraars een kanaal zijn dat misbruikt kan worden ‘om giraal geld wit te wassen’. Het meldpunt ongebruikelijke transacties, de Financial Intelligence Unit (FIU), heeft sinds jaar en dag een onveranderlijke lijst van ‘praktijkvoorbeelden’ op haar website. Deze lijst is gedateerd en beschrijft nogal theoretische mogelijkheden van witwassen bij het afsluiten, de premiebetaling van of de uitkering op levenpolissen. Er is dus niet zoveel empirisch bewijs dat verzekeraars vatbaar zijn voor witwasrisico’s, of het nu schadeverzekeraars zijn of levensverzekeraars. Uit het jaarrapport van de FIU blijkt dat levensverzekeraars in 2019 in totaal zeven meldingen van een ongebruikelijke transactie hebben gedaan, waarvan één melding als verdacht is bestempeld. Dit op een totaal van 2,2 miljoen meldingen van ongebruikelijke transacties in 2019.

Er is niet zoveel empirisch bewijs dat verzekeraars vatbaar zijn voor witwasrisico’s

Levensverzekeraars

Levensverzekeraars moeten daarentegen wel een volledig op de Wwft gebaseerd stelsel van risicoanalyse en -beheersing van witwas- en terrorismefinancieringsrisico’s hebben ingeregeld. Juist zo’n aanpak is, zo betoogde ik ook in het webinar, echter evenzeer van belang voor schadeverzekeraars. De verplichtingen op grond van de Wet financieel toezicht en meer in het bijzonder de artikelen 3:10 en 3:17 Wft, waar het gaat om de beheerste en integere uitoefening, leiden er mijns inziens toe dat er niet veel verschil zal bestaan tussen het KYC-beleid op grond van de Wwft als de Wft. Dit maakt dat de uitgangspunten waar het gaat om de beheersing van witwas- en terrorismefinancieringsrisico’s net zo belangrijk zijn voor schadeverzekeraars.

Er is nog een aspect dat de aandacht verdient. Dat is namelijk de Sanctiewet en de daarop gebaseerde Regeling toezicht Sanctiewet. Nog niet zo lang geleden tikte De Nederlandsche Bank (DNB) verzekeraar Vivat op de vingers, omdat onvoldoende zou zijn getoetst of klanten of begunstigden op een sanctielijst stonden of waren gevestigd in zogenoemde hoog-risicolanden. DNB sprak van ‘ernstige tekortkomingen’. Ook deze verplichtingen uit de Sanctiewet betekenen dat er tussen het regime van de Wwft, Wft en deze Sanctiewet om een integere bedrijfsvoering te borgen, geen groot onderscheid mag bestaan.

PEP’s

Actueel is ook de aandacht die er in dit kader dient te zijn voor zogenoemde Politiek Prominente Personen, ook wel Politically Exposed Persons (‘PEP’s’). Recent is een grote vermogensbeheerder door DNB gewaarschuwd omdat onvoldoende aandacht bestaat voor het screenen van cliënten, waaronder ook het vooraf vaststellen of iemand een PEP is of niet. Of iemand een PEP is, is niet alleen van belang in het kader van de Wwft, maar zeker ook in het kader van de beheerste integere bedrijfsvoering. Een PEP kan immers bijvoorbeeld corruptierisico’s met zich meebrengen, zeker als het bijvoorbeeld een buitenlandse PEP is afkomstig uit de zogenoemde hoog-risicolanden.

Is de gegevensverwerking noodzakelijk voor naleving van de Wwft, dan zal de verwerkingsverant-woordelijke niet snel in strijd met de AVG komen

In zowel de Systematische integriteitsrisicoanalyse (SIRA) op grond van de Wft als de door de instelling op grond van de Wwft uit te voeren risicoanalyse dienen de kwetsbaarheden voor de hiervoor genoemde risico’s te worden geanalyseerd. Wetenschappelijk onderzoek naar de kwetsbaarheid van verzekeraars op deze risicogebieden zou een goede steun zijn in de rug van verzekeraars en intermediairs.

Wwft en doorgeschoten compliance

We hebben te maken met ingewikkelde materie. Niemand overziet meer het totale spectrum van risico’s waarmee financiële instellingen te maken hebben. De verschillende wetten en ook het verschil in concrete aandacht voor de risico’s maken dat de druk op de compliancefunctie binnen de organisaties de afgelopen twintig jaren enorm is toegenomen. In het webinar heb ik duidelijk gemaakt dat die institutionalisering van compliance ook een schaduwkant kent. Diverse kijkers vroegen niet alleen naar het belang, maar ook naar het nut van compliance. Schieten we niet te ver door en introduceren we daarmee niet veel te veel wantrouwen, terwijl de economie toch uiteindelijk is gebaseerd op vertrouwen? Zullen niet te veel goeden onder weinig kwaden gaan lijden? Terechte vragen. Ongebreideld geloof in nieuwe technologie kent schaduwkanten. Doorgeschoten compliance ten aanzien van fraude- en risicobeheersing kan ertoe leiden dat uiteindelijk meer schade ontstaat dan dat ermee wordt voorkomen. De recente ontwikkelingen in de Toeslagenaffaire maken dit duidelijk. Dit gevaar ligt ook zeker binnen de financiële sector op de loer. Er rust een grote verantwoordelijkheid op zowel raden van bestuur van financiële ondernemingen als op de toezichthouders (DNB en AFM) en het Openbaar Ministerie om compliance niet te laten escaleren. Handhavingsdruk op de financiële ondernemingen moet in de pas blijven lopen met het aanpakken en vervolgen van de daadwerkelijke criminelen die misbruik maken van het systeem. Die verhouding lijkt in toenemende mate zoek. De winst en het succes zullen meer gevonden worden in samenwerking, het preventief uitwisselen van handhavingsinformatie en het met elkaar ontwikkelen van gedegen opleidingen voor (niet alleen compliance-) medewerkers.

Wwft en AVG

Het recht op bescherming van je persoonsgegevens speelt ook bij de Wwft een belangrijke rol, die de aandacht verdient. De Algemene verordening gegevensbescherming (AVG) biedt een grondslag voor de verwerking van persoonsgegevens in het kader van het voldoen aan een op de verwerkingsverantwoordelijke rustende verplichting (artikel 6 lid 1 sub c AVG). In de Wwft is vastgesteld welke gegevens bij een cliëntenonderzoek moeten worden vastgelegd (artikel 33 Wwft). Deze gegevens moeten ook bij een eventuele melding van een ongebruikelijke transactie aan de FIU worden verstrekt of kunnen aanvullend door de FIU worden opgevraagd. De Wwft besteedt specifiek aandacht aan de privacyaspecten door in artikel 34a voorschriften te geven voor de bescherming van de persoonsgegevens. Zo mogen de gegevens alleen worden verwerkt voor het voorkomen van witwassen en financieren van terrorisme. Ook moet de client voorafgaande aan de dienstverlening worden gewezen op het feit dat ten behoeve van de naleving van de Wwft gegevens worden verwerkt. De verwerkte gegevens moeten worden bewaard tot vijf jaar na de beëindiging van de clientrelatie of de uitvoering van de transactie. In het webinar gaf ik aan dat het verwerken van gegevens niet snel met een beroep op de AVG is tegen te houden. Is de gegevensverwerking noodzakelijk voor het kunnen naleven van de verplichtingen uit de Wwft, dan zal de verwerkingsverantwoordelijke niet snel in strijd met de AVG komen. Het volledig bewaren van het document waarmee de identiteit van de client is geverifieerd is niet noodzakelijk om de verplichtingen uit de Wwft na te leven. Ook het vastleggen van het burgerservicenummer (BSN) of een foto van de cliënt is niet nodig. Tenslotte is het vastleggen van gegevens alsof sprake is van een verscherpt cliëntenonderzoek terwijl je kon volstaan met een vereenvoudigd cliëntenonderzoek, eveneens niet noodzakelijk.

Recente ontwikkelingen in de wetgeving

Een van de laatste ontwikkelingen op het gebied van de Wwft is de invoering van het UBO-register per 27 september jongstleden. In het register bij de Kamer van Koophandel worden de uiteindelijk belanghebbenden bij rechtspersonen geregistreerd voor zover zij een economisch belang of feitelijke zeggenschap van 25 procent of meer hebben. Rechtspersonen hebben tot 27 maart 2022 de gelegenheid de UBO’s in te schrijven. Wwft-instellingen dienen dit register te raadplegen bij hun cliëntenonderzoek. Bij afwijkingen moeten zij dit ook melden aan de Kamer van Koophandel.

Bij de Tweede Kamer ligt een Plan van aanpak witwassen dat inzet op drie pijlers. De eerste pijler is het verhogen van barrières. Naast het UBO-register is men voornemens ook een openbaar register voor de trustsector in te voeren. Daarnaast moeten vanaf 1 januari 2021 potentieel agressieve grensoverschrijdende belastingconstructies worden gemeld aan de Belastingdienst. Er is wetgeving in voorbereiding om bronbelasting op dividendstromen naar laagbelaste jurisdicties in te voeren en verdere maatregelen te nemen om brievenbusfirma’s tegen te gaan.

Institutionalisering van compliance heeft ook een schaduwkant

De tweede pijler ziet op het vergroten van effectiviteit van de poortwachtersfunctie en het toezicht. Met name in de bancaire sector vereist men echt maatregelen om de juiste ‘tone at the top’ te bereiken en wil men voldoende inspanningen en investeringen zien om witwassen aan te pakken. De casus ING en thans ABN AMRO zijn sprekende voorbeelden. Verder liggen er voorstellen om de informatie-uitwisseling te reguleren en de samenwerking tussen publieke en private partijen te verbeteren, ook op Europees niveau.

De derde pijler tenslotte betreft de versterking van de opsporing en vervolging. Inmiddels bestaat er een ruimere mogelijkheid van Wwft-toezichthouders om informatie te delen met andere handhavende instanties. Ook is er meer budget beschikbaar gesteld aan de politie, de FIOD, het FIU en het OM om de opsporings- en vervolgingscapaciteit op het terrein van witwassen en ondermijnende criminaliteit te intensiveren.

Evenwicht

Kortom, de bestrijding van witwassen is de afgelopen jaren een kernverantwoordelijkheid geworden voor zowel financiële instellingen als ook een topprioriteit bij toezichthouders en handhavers. Daarmee is het voor banken, verzekeraars en intermediairs een onderwerp dat prominent op de bestuursagenda zal staan. Tegelijkertijd verdient het een vurig pleidooi om bij de versterkte aandacht voor de rol van de poortwachters niet weg te kijken van diegenen die doelbewust misbruik maken van de financiële sector om hun crimineel verworven vermogen te verplaatsen of aan te wenden. Er moet evenwicht bestaan in de aanpak van compliance en de aanpak van het echte geboefte. Met een overmatige druk op handhaving en toezicht op poortwachters zullen uit vrees voor de toezichthouders te veel ‘goeden’ onder de ‘kwaden’ gaan lijden. Het verdient onze blijvende aandacht.

Het webinar ‘Compliance: over Richtlijnen, Risico’s en Red Flags’ is nog steeds terug te kijken

Reageer op dit artikel via deze link

 

Dick-Alblas 2_500

Mr D. (Dick) Alblas

De auteur is advocaat bij Vos & De Lange Advocaten, gespecialiseerd in financieel strafrecht en ondernemingsrecht, en kerndocent Wwft bij de Academie voor Bank en Verzekeringen aan de Universiteit van Amsterdam.

Andere artikelen: Editie 903 - april 2021

-->