-
06 februari 2007
SWIFT, een half jaar later
De harde conclusies in Europa hebben in Nederland nog niet geleid tot harde
actie. Het College Bescherming Persoonsgegevens bevraagt de financiële
instellingen naar hun werkwijze. De Nederlandse bank verwijst slechts
naar gedateerde kamerantwoorden uit september 2006 door minster Zalm.
De New York Times en de Wall Street Journal onthulden eind juni 2006 dat
de CIA de financiële gegevens van SWIFT doorzoekt. SWIFT, gevestigd in
Brussel, staat voor Society for Worldwide Interbank Financial
Telecommunication. In totaal zijn 7.863 financiële instellingen uit 202
landen bij SWIFT aangesloten, die dagelijks een bedrag in de orde van 12
miljard euro afhandelen. Vorig jaar verwerkte SWIFT 123 miljoen
internationale overboekingen. Het doel van de CIA zou zijn het opsporen
van internationale overboekingen die mogelijk gerelateerd zijn aan
terrorisme.
Naar aanleiding van deze onthulling heeft het Europese parlement op 6
juli jl. een resolutie aangenomen waarin opheldering wordt gevraagd aan
de Europese Centrale Bank, de Europese Commissie, en de regeringen in
Europa. Zij moeten bekendmaken wat zij wisten over de inzage van
bankgegevens van particulieren door de Amerikaanse inlichtingendienst
CIA. Privacy International heeft vervolgens in 17 landen, waaronder
Nederland, bij instellingen die toezicht houden op privacyregels een
klacht ingediend tegen de overdracht van zulke informatie.
Zowel het Europese Parlement als Privacy International maakt zich zorgen
over de bescherming van de persoonsgegevens, het ontbreken van een
wettelijke basis voor overdracht van gegevens aan de CIA en mogelijke
bijeffecten zoals bijvoorbeeld economische spionage.
De Belgische Commissie voor bescherming van de persoonlijke levensfeer
(vergelijkbaar met het Nederlands College Bescherming Persoonsgegevens)
kwam als belangrijkste toezichthouder (SWIFT is immers in Brussel
gevestigd) eind september 2006 met een uitgebreid rapport over de zaak.
De vraag die de Privacy Commissie wilde beantwoorden was of er in het
dossier SWIFT sprake was van schending van Belgische privacywetgeving.
Uit het rapport blijkt dat niet de CIA, maar de United States Department
of the Treasury (UST), en dan specifiek de afdeling 'Office of Foreign
Assets Control (OFAC)' dwangbevelen heeft gericht aan SWIFT waarin
persoongegevens werden opgevraagd.
De dwangbevelen werden gegeven op grond van het Terrorist Finance
Tracking Program Executive Order 13224 - een bevel van de Amerikaanse
president van 23 september 2001. Als wettelijke basis voor dit bevel en
het Terrorist Finance Tracking Program beroept de Amerikaanse regering
zich op de International Emergency Economic Powers Act van 1977 en de
United Nations Participation Act.
De Belgische Privacycommissie concludeerde dat SWIFT de Belgische wet
had overtreden, in het bijzonder de notificatieplicht bij het vastleggen
van persoonsgegevens. Wat betreft het doorgeven van de persoonsgegevens
aan de Amerikaanse UST stelde de Belgische privacycommissie dat SWIFT
substantiële inschattingsfouten had gemaakt bij het voldoen aan de
Amerikaanse bevelen. ‘Van het begin af aan had SWIFT zich moeten
realiseren dat de fundamentele principes van de Europese wetten in acht
hadden moeten worden genomen. De Europese Privacy Commissie had moeten
worden ingelicht, er had gekeken moeten worden naar de bewaartermijn, de
proportionaliteit, de controle op de afgegeven gegevens en een
onafhankelijk toezicht".
De Belgische Privacy Commissie constateerde dat de Amerikaanse
dwangbevelen na 11 september 2001 van karakter waren veranderd. "De
dwangbevelen van de UST zijn van een totaal verschillend karakter en
kunnen gekwalificeerd worden als niet geïndividualiseerde massale
opvragingen ("Rasterfandung" of "carpet sweeping" techniek) in een
eerste fase. Het toepassingsgebied van de dwangbevelen is, zowel
materieelals territoriaal als in de tijd zeer breed. Het wordt
gedefinieerd in de dwangbevelen en in de onderhandelingsbriefwisseling
tussen de VS en SWIFT. De dwangbevelen werden toegepast voor alle
transacties die verband houden of kunnen houden met terrorisme, in
verband met een x-aantal landen en jurisdicties, op die datum, of van
... tot ... variërend van één tot meerdere weken, binnen en/of buiten de
VS. Het gaat dusom boodschappen over interbancaire transacties binnen de
VS., van of naar de VS., en buiten de VS., zoals bijvoorbeeld binnen de
EU.”
Ook achterhaalde de Belgische Privacy Commissie dat de VS een zeer brede
definitie van terrorisme gebruikten: "de aanpak van aanvallen van
terroristen tegen de VS die na 11 september 2001 plaatsvonden en een
globaal netwerk van terroristencellen die een bedreiging zouden bieden
voor verder geweld tegen VS onderdanen, VS eigendom en belangen en
belangen in het thuisland en buitenland."
In oktober 2006 hield het Europese Parlement een hoorzitting over SWIFT,
waarbij de leden van EP spraken met de President van de Europese
Centrale Bank, SWIFT, de Nationale Bank van België en deskundigen op het
gebied van gegevensbescherming om het juridische kader te onderzoeken
waarbinnen SWIFT de gegevens verzamelde en uitwisselde.
Tijdens de hoorzitting vertelde Francis Vanbever van SWIFT dat het
bedrijf zowel in de VS als in Europa automatisch alle gegevens bewaart
om in geval van een calamiteit de activiteiten altijd voort te kunnen
zetten. De gegevens vallen hiermee dus zowel onder de Europese
(Belgische) als de Amerikaanse wet. Volgens Vanbever werden er overigens
alleen gegevens doorgegeven die betrekking hadden op lopende
terrorismeonderzoeken.
Jean-Claude Trichet (directeur van de Europese Centrale Bank) meldde dat
‘de regels wat betreft vertrouwelijkheid er de oorzaak van waren dat
geen van de betrokken centrale banken de EU-regeringen of de
autoriteiten op het gebied van gegevensbescherming van de kwestie op de
hoogte konden worden gesteld.’
Tijdens de hoorzitting gaf ook de voorzitter van de Belgische Senaat,
mevrouw A. M. Lizin een overzicht van de uitkomsten van de verschillende
onderzoeken in België.
Lizin meldde overigens dat de “Senior level oversight Group” (G-10),
bestaande uit de Nationale Banken van een aantal deelnemende lidstaten
(waaronder België en Nederland) al in februari 2002 op de hoogte waren
gesteld van het bestaan van de dwangbevelen. SWIFT heeft getracht de
goedkeuring van de centrale banken te verkrijgen tot uitvoering van de
dwangbevelen, maar de overseers hebben altijd herhaald dat er geen
sprake kon zijn van goedkeuring of certificatie van hun kant’.
Vlak na de hoorzitting van het Europese Parlement kwam op 22 november
2006 vervolgens de Europese Privacy Commissie (Artikel 29 Werkgroep) met
haar conclusies over de SWIFT-zaak. Om te beginnen stelt de Artikel 29
Werkgroep dat ook in de strijd tegen terrorisme en misdaad fundamentele
rechten beschermd dienen te worden.
Verder sluit het rapport aan bij de Belgische bevindingen, maar voegt
toe dat SWIFT en de financiële autoriteiten in de EU beiden
verantwoordelijkheid dragen: ‘niet alleen SWIFT maar ook de financiële
instituties in de EU hebben nagelaten om personen te informeren dat er
bij SWIFT persoonsgegevens verwerkt en bewaard werden’. Dit betekent dat
ook de directeur van de Nederlandse Bank in gebreke is gebleven.
Een belangrijke conclusie was dat de EU Data Protection Directive
95/46/EC van toepassing is bij het uitwisselen van persoonsgegevens via
het SWIFT netwerk Mede hierom benadrukte de Artikel 29 Werkgroep dat de
Europese financiële autoriteiten een ernstige steek hebben laten vallen:
ze hadden de plicht om te zorgen dat SWIFT volgens de Europese regels
werkt. De nalatigheid van de Europese autoriteiten blijft verbazingwekkend.
SWIFT is volgens de Artikel 29 Werkgroep in gebreke gebleven wat betreft
de notificatieplicht betreffende het verwerken van persoongegevens en
betreffende het opzetten van tweede centrum in de VS, waar ook alle
Europese data worden bewaard.
De financiële autoriteiten hebben bovendien hun plicht verzaakt SWIFT te
wijzen op de wettelijke regels. Zij hebben de taak zich op de hoogte te
stellen van de details (zowel technisch alsjuridisch) en hun
verantwoordelijkheid ten opzichte van SWIFTwaar te maken. Ze dragen
immers de verantwoordelijk ten opzichte van hun klanten dat er
zorgvuldig, volgens de geldende regels met hen toevertrouwde
persoonsgegevens wordt omgegaan. Dit belang is volgens de Artikel 29
Werkgroep alleen maar groter nu vast staat dat er een massale transfer
is geweest naar een land (de VS) waar de bescherming van persoongegevens
op een zeer laag peil staat.
Uiteindelijke concludeerde de Artikel 29 Werkgroep dat ‘het gebrek aan
openheid en adequate en effectieve controlemechanismen in het proces van
transfer van persoonsgegevens naar de VS een ernstige inbreuk vormen op
de EU Data Protection Directive.'
Volgens de Artikel 29 Werkgroep diende er onmiddellijk actie te worden
ondernomen.
- De procedure moet in overeenstemming worden gebracht met de regels.
- De internationale transfer moet ook onmiddellijk in overstemming
worden gebracht met de regels.
- SWIFT moet er voor zorgen dat onmiddellijk wordt voldaan aan de
Belgische Privacywetgeving
- De nationale banken moeten inzicht verschaffen in het toezicht op
SWIFT. Ook dit toezicht dient te voldoen aan de Europese privacyregels.
- De financiële instellingen dienen met onmiddellijke ingang hun
cliënten op de hoogte te stellen van de verwerking van hun
persoonsgegevens door SWIFT en het feit dat de VS toegang kunnen krijgen
tot deze gegevens.
- De financiële instellingen en de Centrale Banken dienen te onderzoeken
of er alternatieve technische mogelijkheden bestaan die wel in
overeenstemming zijn met de Europese Datarichtlijn.
Naar aanleiding van het rapport van de Artikel 29 Werkgroep heeft de
Europese Commissaris van Justitie, Franco Frattini, de lidstaten
gevraagd te onderzoeken hoe zij de Europese privacyrichtlijn
geïmplementeerd hebben. Ook in 2003 heeft de Europese Commissie hier een
onderzoek naar verricht en toen bleek dat de richtlijn 95/46/EC heel
divers was ingevoerd in de lidstaten. Ook maakte de Europese Commissie
zich destijds al ernstige zorgen over het gebrekkige niveau van kennis
over de regelgeving. Het gevolg daarvan was dat er in veel gevallen niet
voldaan werd aan de richtlijn van de Europese Commissie. In veel landen
ontbrak het aan voldoende middelen om de regels te handhaven. Naar
aanleiding van de SWIFT-affaire heeft de Europese Commissie de lidstaten
gevraagd opnieuw verslag te doen van de implementatie van de
datarichtlijn 95/46/EC.
Tijdens de Europese Top van 15 en 16 december 2006 kaartte de Belgische
premier Guy Verhofstadt SWIFT nogmaals aan. Hij probeerde te benadrukken
dat de hele kwestie een Europese zaak was en dat niet alleen België
verantwoordelijk kon worden gehouden voor de illegale datatransfer. De
Europese Commissie lijkt er ook zo over te denken, maar wacht nog met
een definitief oordeel tot de rapporten van de lidstaten binnen zijn.
Het Belgische blad Knack meldde op 15 januari 2007 dat bijna al die
rapporten binnen zijn. Nog twee lidstaten zijn bezig, maar ook deze
zullen vermoedelijk voor 1 februari een verslag hebben ingeleverd. Op
basis van deze rapporten en het rapport van de Artikel 29 Werkgroep zal
de Europese Commissie vervolgens beslissen of er sprake is van een
schending van het Europese recht en of er een zogenaamde 'procedure van
ingebrekestelling' tegen België zal worden opgestart.
Het Europese Parlement is naar aanleiding van de hoorzitting van oktober
2006 ook nog bezig met een onderzoek. De commissie Burgerlijke
vrijheden, Justitie en Binnenlandse zaken heeft contact gezocht met
democratische senatoren in Washington om in samenwerking met hen de
toedracht van de feiten te onderzoeken. Ook wordt de voorzitter van de
Europese Centrale Bank, Jean-Claude Trichet, nogmaals ondervraagd.
In december vroegen het lid van Europees Parlement, Pervenche Beres aan
de Europese Commissie wat de uitkomst was van het onderzoek van de
Europese Commissie naar de werkwijze in de lidstaten. Ook wilde Beres
weten of de data van SWIFT in de VS in het Automatic Targeting System
worden gebruikt. Dit systeem houdt gegevens bij van alle passagiers en
vrachtverkeer van en naar de VS en screent het op mogelijke terroristen.
Op 31 januari jl debatteerde het Europees Parlement met Commissaris
Frattini over de kwestie. Uit de bijdrage van Frattini bleek dat er net
als over de PNT gegevens (passagiersgegevens van reizigers naar de VS)
over de SWIFT data transfer onderhandelt wordt met de VS. Uitgangspunt
voor Frattini vormt het rapport van de Artikel 29 werkgroep. De VS zou
moeten garanderen dat de gegevens alleen bij de bestridjing van
terrorisme worden gebruikt en dat de gegevens niet in bulk mogen worden
verschaft. Er moet duidelijk sprake zijn van een verdenking richting een
specifieke persoon, voordat bepaalde duidelijk omschreven data gegeven
kan worden. Er moet een duidelijk evenwicht zijn tussen
terrorismebestrijding, de bescherming van persoonsgegevens en
rechtszekerheid, aldus Frattini. Geïrriteerd melde Frattini dat slechts
zeven van de lidstaten verslag hebben gedaan van hun onderzoek naar
SWIFT. Italie heeft meer tijd gevraagd, maar de rest heeft helemaal niks
laten horen.
De verslagen van de zeven lidstaten bevestigen volgens Frattini het
beeld dat de Artikel 29 Werkgroep gaf: de financiële instellingen waren
niet op de hoogte van het feit dat SWIFT de gegevens doorgaf. De
Centrale Banken waren hiervan wel van op de hoogte. Met verdere stappen
wil Frattini wachten tot alle verslagen binnen zijn.
De SWIFT-zaak krijgt dus nog een flinke staart. In Nederland is het tot
op heden relatief stil geweest in deze kwestie. Ook blijkt dat minister
Zalm de Tweede Kamer in september vorig jaar maar gedeeltelijk heeft
ingelicht over de kwestie.
De tweedekamerleden Van Bommel en De Wit (SP) vroegen op 28 juni 2006 of
de regering op de hoogte was van verstrekking van de gegevens van SWIFT
aan de CIA (wat destijds de onthulling was), hoe de regering oordeelde
over deze verstrekking en welke juridische grondslag er was voor deze
verstrekking. Minister Zal melde natuurlijk dat het geen verstrekking
aan de CIA betrof maar ‘ dat de President van De Nederlandsche Bank
(DNB) mij in 2002 heeft meegedeeld dat de vestiging van Swift in de
Verenigde Staten administrative subpoenas had ontvangen tot verstrekking
van een aantal gegevens aan het Office of Foreign Assets Control van het
Amerikaanse Ministerie van Financiën, waaraan SWIFT moest voldoen’.
Zalm probeerde de kwestie blijkbaar te sussen door te stellen dat om het
‘een aantal administrative subpoenas’ gaat. Strikt formeel klopt dit
natuurlijk, maar inhoudelijk wist de Nederlandse Bank (als deelnemer aan
de G10 dat de VS een bulk aan gegevens opvroeg. De Belgische
Privacycommissie meldde immers dat “de dwangbevelen gekwalificeerd
kunnen worden als niet geïndividualiseerde massale opvragingen
("Rasterfandung" of "carpet sweeping" techniek) in een eerste fase’.
Verder gaf Zalm aan de onderzoeken van de Belgische en Europese Privacy
Commissie af te willen wachten.
Deze onderzoeken zijn inmiddels natuurlijk al een tijd beschikbaar maar
de minister heeft geen conclusies getrokken uit de harde conclusie die
in die rapporten werden getrokken.
De woordvoerder van de Nederlandse Bank, Tobias Oudejans, verwijst bij
navraag naar de reactie van de Nederlandse Bank op beide rapporten naar
de beantwoording van de Kamervragen door minister Zalm in september
vorig jaar. Aan de situatie zelf lijkt ondertussen weinig te zijn
vernadert. Navraag bij het College Bescherming Persoonsgegevens (CBP)
leert dat Nederland het verslag over de situatie in Nederland nog niet
naar de Europese Commissie heeft gezonden. Het CBP bevraagt momenteel de
financiële instellingen en de Nederlandse Bank over hun werkwijze ten
aanzien van de SWIFT zaak.
De afhandeling van de kwestie in Nederland roept een hoop vragen op. Het
lijkt erop dat minister Zalm de Tweede Kamer maar half heeft ingelicht,
dat er weinig haast wordt gemaakt met het verplicht inlichten van
klanten van financiële instellingen over de datatransfer en dat
Nederland traag is met beantwoorden van de vraag van de Europese
Commissie.
Er zou, een half jaar na de onthulling, toch ook in
Nederland helderheid moeten komen in deze zaak.