In het Verenigd Koninkrijk wordt komende week een lastige verplichting van kracht voor bedrijven die in de sfeer van crypto-tokens bezig zijn met overboekingen en handel. Zij moeten veel individuele klantdata rond gaan sturen naar ontvangers in allerlei landen, zonder dat die toevoeging iets toevoegt. Ter voorkoming van de inbreuk op die grondrechten stuurde HRIF.EU vandaag deze brief aan de premier van het Verenigd Koninkrijk om de invoering van die travel rule voor crypto te schrappen evenals de huidige toepassing voor andere financiële instellingen.
Waarom die oproep aan de Britse Autoriteiten?
De regel plaatst bedrijven in het Verenigd Koninkrijk voor een dilemma om hetzij die nieuwe regel te schenden hetzij het principe van data-minimalisatie uit hun eigen UK-GDPR. Al die extra informatie is namelijk niet nodig voor hun eigen controle-doeleinden, maar alleen om buitenlandse politie-autoriteiten het werk makkelijker te maken.
Echter, de data moet voor alle transacties boven een grensbedrag worden opgestuurd ongeacht de vraag of de klant verdacht is van enige misdaad. Terwijl de politie met één telefoontje of e-mail op verzoek die data ook kan krijgen, in gevallen waarin ze aantonen dat er een verdenking op witwassen of terrorismefinanciering is.
Het gevolg is dat bedrijven in het Verenigd Koninkrijk nu gegevens gaan verwerken van Europese burgers en bedrijven en die ook gaan doorsturen naar andere bedrijven, zonder dat het echt nodig is. Alleen omdat het moet en omdat ze bang zijn voor boete’s.
Waar zit hem de kneep ?
Meestal kiezen bedrijven voor de makkelijkste weg. En dan gaan ze de privacy schenden omdat dat makkelijker en goedkoper is dan het schenden van witwaswetten, waarop hoge boete’s staan. Dat moet echter afgelopen zijn en daarom heeft HRIF.EU in de brief ook duidelijk aangekondigd indien nodig rechtszaken te zullen voeren om de schade van consumenten en bedrijven te verhalen. Het doel is om de compliance officers en juridische experts bij die bedrijven een duidelijk extra argument te geven aan hun bedrijfsleiding om de regel niet (meer) uit te voeren.
Er is ruim bewijs voor de onvoldoende juridische basis onder deze regels en tal van wetenschappers en privacy autoriteiten hebben eerder al gewaarschuwd dat verstrekking van gegevens van klanten gebaseerd moet zijn op goede afwegingen en regels. Zie bijvoorbeeld ook de waarschuwing van de European Data Protection Board:
The EDPB considers it as a matter of the utmost importance that the anti-money laundering
measures are compatible with the rights to privacy and data protection enshrined in Articles 7
and 8 of the Charter of Fundamental Rights of the European Union, the principles of necessity
of such measures in a democratic society and their proportionality, and the case law of the
Court of Justice of the European Union.
Gaat dit effect hebben?
Ja en nee. De Britse overheid gaat niet overmorgen stoppen. Die treinen gewoon door. Maar Britse bedrijven met een beetje eergevoel en gevoel voor dataminimalisatie hebben nu een hart onder de riem gestoken gekregen door onze stichting. Zij kunnen weigeren de regel uit te voeren en verwijzen naar onze brief als bewijs. Om die reden is de brief ook wat uitgebreider gemaakt.
Wat ze daar in Engeland misschien niet beseffen, en we ze ook niet uitgelegd hebben, is dat we in Nederland nieuwe regels hebben die het mogelijk maken om massa-schadeclaims in te dienen. Dus als er straks op de één of andere manier een serieuze hack is geweest of serieuze schade is gekomen voor Europese burgers of bedrijven, kan onze stichting één van de procespartijen zijn die hierin een rol speelt.
Zijn mijn data internationaal nog wel goed beschermd?
Nee. Het is duidelijk dat de verzendplichting van privé data naar andere bedrijven, concurrenten en partijen in landen waar de dataprotectie niet op orde is gewoon geen goed idee is. Maar goed, lees daarvoor de brief en kijk ook eens op de website van Noyb, de stichting van Max Schrems, die al jaren probeert de data protectie op orde te brengen, telkens bij de rechter gelijk krijgt, maar waar de voortgang gewoon te weinig is.
Als stichting leggen we ons niet neer bij de huidige situatie. Het is duidelijk dat gewoon overleggen en beleefde brieven niet helpen en vooral aansprakelijkheid en tijdige juridische actie partijen in beweging brengt. Dat begint met een beleefd verzoek om iets niet te doen. En dat wordt daarna gevolgd door meer. En dat zetten we dan weer op dit blog.
Is het allemaal niet te vergezocht?
Van roken krijg je kanker. Dat was al jaren bekend maar uiteindelijk moest het op de pakjes komen te staan. Ook deze vergaande antiwitwasregels zijn schadelijk voor de consument en bedrijven. Je hoeft dat niet overmorgen te ontdekken, maar op een dag liggen je gegevens op de verkeerde plek en dan heeft een Artificeel Intelligent Monitoring systeem zaken bij elkaar gehusseld en kun je allerlei dingen niet meer. Hoe en op grond van welke data is niet duidelijk.
Wij willen dat als stichting voorkomen, en zorgen dat partijen niet achteraf gaan zeggen: ‘maar we wisten helemaal niet dat die data verstrekking schadelijk was’. Wie schade veroorzaakt moet te zijner tijd vergoeden en dat geldt ook hier.