Autoriteit Persoonsgegevens houdt Deloitte rapport en kerninformatie achter over sleepnet banken – HRIF.EU doet klokkeluiders-melding over AP bij EDPB.
HRIF.EU is al bijna twee jaar aan het bakkeleien met de Autoriteit Persoonsgegevens (AP) over het bancaire sleepnet. Er zaten onbevoegd miljarden gegevens in en zo’n 1,5 miljard bijzondere persoonsgegevens, zonder juridische titel. De banken wisten dat het niet mocht, De Nederlandsche Bank (DNB) wist het en AP wist het eigenlijk ook.
In de procedure van HRIF.EU tegen de AP is er daarbij een heel belangrijk document dat maar niet gegeven wordt: een rapport van Deloitte Risk Advisory B.V. Services over de vernietiging van de klantdata bij Transactie Monitoring Nederland (TMNL).
Waarover gaat het cryptisch Woo-besluit op website AP?
Wie de website AP bekijkt ziet er sinds afgelopen week (pas!) een cryptisch Woo-besluit van 27 november 2025 staan. Het gaat over data van vier marktpartijen (vier grootbanken) over de AVG.
Voor uw informatie: dat is dus het geheime sleuteltje en informatie waar het publiek van Nederland – die per persoon honderden keren in het sleepnet hebben gezeten – recht op heeft. Maar de AP weigert dit te geven. De AP heeft ook in alle drukte het Woo-besluit pas 2 maanden later gepubliceerd. Daarmee heeft niemand in Nederland meer recht om in bezwaar te gaan tegen het besluit. En het publiek blijft verschoond van de relevante informatie over het sleepnet.
Wij hebben zelf de hoofdlijn van de brieven banken wel. En nu is het tijd om het wél te openbaren. U kunt daarin terugzien hoe de AP heel netjes gewoon alle informatie die ons kan helpen de AVG-overtreding vast te stellen zwartlakt. En vervolgens weigert de AP ook die relevante achtergehouden rapporten en informatie aan de Rechtbank Amsterdam te strekken. Dat is hoe de AP met informatie-manipulatie probeert een geschil te winnen.
Het is onbegrijpelijk dat de Autoriteit Persoonsgegevens al deze informatie voor het publiek onder de pet houdt. Het hele sleepnet was een strafrechtelijke overtreding, een overtreding van artikel 9 AVG en artikel 10 Wwft. Dát is de reden dat de banken er schielijk mee stopten toen de grond hen te heet onder de voeten werd.
In de brieven die de AP nu achterhoudt (ziehier) zijn alle gelegenheidsredeneringen van banken te lezen over het bancaire sleepnet en hoe dat allemaal legitiem zou zijn. Maar als je die smoesjes vergelijkt met wat de banken zélf eerder aan de AP hebben gezegd over het sleepnet (zie dit andere Woo-verzoek van de AP uit de tijd dat ze nog wél open wilde zijn over dit onderwerp) dan zie je de discrepantie. Banken draaien en zijn niet oprecht over het sleepnet.
Waarom is dat rapport relevant?
Dat rapport is zo relevant omdat we in dat rapport kunnen gaan lezen of de mensen van Deloitte, die dit eind juli hebben opgesteld, wisten dat TMNL zélf per 2 juli 2024 (toen het sleepnet moest stoppen) allerlei data van het sleepnet aan de Financial Intelligence Unit ging geven (via NDA). We zien dat terug in deze Woo-stukken (die natuurlijk ook nog steeds niet door de AP onderzocht of verstrekt zijn…).
Ook kan uit het rapport en uit de NDA van TMNL duidelijk worden of de banken gestopt zijn omdat het van DNB moest, van de RvC TMNL of omdat Amazon Services als Cloud Provider de opdracht tot einde oefening TMNL gegeven heeft. Afijn, zo zijn er nog wel de nodige stukken die ons punt duidelijk maken: banken overtraden massief artikel 9 AVG, artikel 10 Wwft en dat vergt normering en handhaving. En ook herstel van de schade (onrechtmatige meldingen FIU).
Zowel in de rechtszaak HRIF.EU als in het kader van publieke openbaarmaking is dat rapport van Deloitte, zijn de brieven van banken en de NDA van TMNL met FIU heel relevant. Maar AP weigert het te geven. Ze doet alsof haar neus bloedt. Er is ‘verder onderzoek’ nodig voordat ze kan besluiten tot handhaving sleepnet. Maar dat is niet nodig: de stukken die ze achterhoudt maken de conclusie over de overtreding door banken binnen 10 minuten helder.
Want hier ziet u wat een inkijk wat wij en ABN AMRO meldde aan AP dat er in het sleepnet zat: betaling aan politieke partij én aan religieuze instelling:
Ons geduld wordt op de proef gesteld door onvolledige informatievoorziening AP (Alles Prima)
Sinds een paar maanden hebben de afkorting AP aangepast naar ‘Alles Prima’. We leggen in deze video bij Holland Gold uit hoe de AP de banken in bescherming neemt en weigert te handhaven op het grootste illegale sleepnet aller tijden.
En in de tussentijd is de AP al bijna 2 jaar lang met allerlei tournures bezig om zowel het publiek (zie Woo-besluit) als de Rechtbank geen volledig inzicht te geven over de feiten in de zaak. Dit is treurig en een keiharde realiteit waarmee de waarheidsvinding lastig wordt.
AP informeert de Rechtbank onvolledig
Als de AP eerlijk zou zijn naar de Rechtbank,
- dan zou de AP wél een nette inventarislijst van stukken in het sleepnet geschil sturen en dan zou de Rechtbank kunnen zien dat HRIF.EU al van vóór de oprichting met AP communiceert over klokkeluiders-thema’s in financieel toezicht
- dan zou de Rechtbank zelf kunnen zien hoe de AP toestemming vraagt voor handhaving FIU over automatische verdachtverklaring om vervolgens zélf te kunnen constateren dat de AP dat niet handhaaft,
- dan zou de Rechtbank zelf kunnen zien hoe de AP al in 2019 tegen banken en FEC-raad zegt: je mag niet monitoren op religieuze gegevens om vervolgens de zichtbare monitoring op die gegevens in het sleepnet banken ongemoeid te laten
- dan zou de Rechtbank zelf kunnen zien hoe de AP in oktober 2024 aan Lelieveldt vraagt om zijn klacht in te trekken terwijl het gaat om een miljarden transacties omspannend sleepnet.
Zo kunnen we nog even doorgaan. De AP geeft de Rechtbank eenvoudigweg niet de op de zaak betrekking hebbende stukken en dat kán niet. Maar het gebeurt wel. Het stelt ons geduld op de proef. Maar vooral ook: het laat zien dat er in Nederland gewoon geen toezichthouder op de AVG is, als het op financieel transactieverkeer aankomt. De AP kijkt gewoon weg van de overtreding en zit nu vooral HRIF.EU in de rechtszaal te dwarsbomen.
De AP kijkt weg als het spannend wordt, laat dat helder zijn
AP kreeg in 2021 alle informatie over het sleepnet al. DPIA en verwerkings-systematiek die liet zien dat particulieren in het sleepnet zaten. Dat lees je in de Woo-stukken. Maar de AP kijkt weg als het spannend wordt. Ziehier de uitleg van NVB en banken aan de AP over het gegeven dat er pseudoniem particuliere data in het sleepnet zat.
Maar de AP keek gemakshalve even de andere kant uit. Terwijl ze netjes vooraf door banken zijn ingepraat. Maar ze wilden niet de stukken TMNL lezen. Want dat zou maar een ongemakkelijke noodzaak tot handhaving opleveren. En dat wilde ze – omwille van de goede vrede – liever vermijden.
Dan schrijft de AP in juli 2023 wel doodleuk op in een brief aan Financiën dat pseudonomisering niet voldoende is. Maar de AP weet op dat moment gewoon al 2 jaar dat de banken de wet al overtreden op dit punt. Lees hier hoe duidelijk de AP is.
Het feit dat de AP ook ná die brief niet heeft ingegrepen, terwijl ze weet dat er particuliere gegevens in de pot TMNL zitten, laat overduidelijk zien dat de AP kampioen pittige brievenschrijver is, maar nooit ingrijpt.
Zélfs nu HRIFEU in september 2024 alle bewijs heeft ingeleverd blijft AP duiken voor haar handhavingsplicht. Maar als drie jaar lang, 10 miljard ten onrechte gemonitorde betaaltransacties van particulieren geen reden zijn voor handhaving, heb je dan je prioriteiten als AP wel helemaal op een rijtje? Dit hele bancaire sleepnet kwalificeert toch precies als beleidsprioriteit massasurveillance die jullie eergisteren publiceerden? Waarom dan dat gedogen?
De AP zegt in naam op te komen voor de GDPR maar verkwanselt die achter de schermen in bestuurders-sessies!
Alle mooie brieven van de AP, we kennen ze. Een keiharde brief uit juli 2023 waarin werd uitgelegd: zelfs mét wet is het bancaire sleepnet niet rechtmatig. De teksten in de Tweede Kamer: irreparabel en de toelichting: als banken dit gaan doen, dan moeten we de verwerking stopzetten. Het is allemaal voor de bühne en het papier niet waard waarop het geschreven is. Want achter de schermen is het AP: Alles Prima.
Kunnen we dat hardmaken?
Ja hoor. Er is gewoon een bestuurlijk overlegje (ziehier), waarin in alle banken, NVB, FIU en DNB en Ministerie van Financiën bepalen wat goed is voor Nederland in de nieuwe witwasaanpak.
Dit heeft geen klap met democratie en mensenrechten te maken. Dat is aanbodgedreven beleids-massage pur sang. En dát is de reden, beste Minister Heinen, dat het witwasbeleid zo vastloopt.
Wat we in de besluitnotities Financiën terug kunnen lezen is het motorblok achter de witwasmanier die ons land nog steeds teistert. En dat de AP vooraf ingekapseld wordt. Dat gebeurde met het sleepnet en nu weer. Daarom durft de AP niet te handhaven richting banken. Ze zitten namelijk in zo’n constructief bestuurlijk overleg met alle overtreders thee te drinken. Lees de besluitnota’s er maar op na.
AP reactie op Europese witwasregels of Europese soevereiniteit: ze doen er niet toe want de AP vindt ALLES PRIMA
Je ziet het als je het door hebt.
Want lees nu eens met deze kennis, de laatste publicaties van de AP, zoals de wetgevingstoets bij toekomstige witwasmonitoring op grond van EU regels. Over de Europese soevereiniteit en hoe je daar vanuit de GDPR tegenaan moet kijken. Het klinkt mooi, maar het zegt niets. Want de Autoriteit Persoonsgegevens weigert nu al een belangrijke norm te handhaven: bijzondere persoonsgegevens onder artikel 9 mogen zonder wettige grondslag niet verwerkt worden.
Dus als de AP die harde verbodsregel artikel 9 nu al niet handhaaft bij een feitencomplex van 1,5 miljard artikel 9 schendingen, denkt u dan dat de AP ooit zal ingrijpen als het ertoe doet?
Nee natuurlijk. Alles Prima. Dat is de AP. De AP is gewoon niet je beste vriend als het op de AVG aankomt.
Zijn jullie een beetje boos?
Ja, u leest het goed. We zijn boos, verontrust en ons geduld is op. Dit jaar staan we voor een uitermate vermoeiende en kostbare juridische procedure tegen de AP. Omdat het bizarre feit is dat de AP weigert uw grondrechten te beschermen. Het kan niet waar zijn, maar het is wel zo.
En dus is het tijd voor de volgende stap. Want dat AP het in Nederland onder de pet wil houden en ze dat dankzij het nationale beleidsmotorblok en dankzij het onvolledig informeren van Rechtbank lukt begrijpen we. Maar dat maakt het Europeesrechtelijk nog niet rechtmatig.
Want de AP is één ding vergeten. Als het sleepnet Europees is, dan moet de AP haar Europese dataprotectie-autoriteiten voorafgaand aan het besluit over handhaving consulteren. Dat staat in artikel 60 AVG. Maar ja, ook daar gaat de AP soepel mee om.
AP overtreedt nu zélf de AVG – samenwerkingsplicht onder artikel 60
We zetten het even duidelijk neer, voor de specialisten.
Als je een Europese overtreding aan het onderzoeken bent, als nationale gegevensbeschermingsautoriteit, dan heb je onder artikel 60 AVG een consultatieplicht met andere autoriteiten in andere landen. De AP legt dat zelf ook uit bij het kopje: grensoverschrijdende gegevensverwerkingen op de eigen site.
Wat Autoriteit Persoonsgegevens weet uit gesprekken met banken en Transactie Monitoring Nederland, kunnen wij deels reconstrueren en terugzien in de dataset van gegevensdeling van ABN AMRO en Triodos Bank (die ook bij de AP bekend is). Daaruit blijkt dat het sleepnet structureel — over een periode van bijna drie jaar — transacties omvatte met bestemmingen zoals politieke partijen en religieuze instellingen, met herkomst uit meerdere lidstaten (o.a. Frankrijk, België en Duitsland). Alle particulieren ter wereld die een betaling deden aan politieke, religieuze organisaties of goede doelen organisatie met een rekening bij één van de TMNL-banken, zaten in het sleepnet.
De penningmeester van een betrokken politieke organisatie bevestigt die inkomende EU-betalingen op een rekening die ook in het sleepnet zat:
SEPA-betalingen werken inderdaad meestal prima, maar de ervaring leert dat we met sommige landen/banken toch problemen blijken te hebben. Mij is niet geheel duidelijk waarom. Maar met Frankrijk, België en Duitsland gaat het eigenlijk altijd wel goed.
Dit wijst op grensoverschrijdende verwerking (art. 4(23) GDPR), omdat de verwerking niet incidenteel is en betrokkenen in meerdere lidstaten raakt, terwijl het tevens gaat om transacties die politieke of religieuze overtuigingen kunnen onthullen (art. 9). In dat geval kan de AP niet nationaal soleren: zij moet motiveren waarom de samenwerkingsprocedure van art. 60 niet geldt, of aantonen dat zij die procedure wél heeft gevolgd (o.a. betrokken toezichthouders, gedeeld ontwerpbesluit, reacties/bezwaarsporen). Zónder die transparantie is de besluitvorming procedureel ondeugdelijk.
Europese Klokkenluidersmelding bij EDPB over disfunctioneren AP en weigering handhaving artikel 9 AVG in Nederland
Tja. Dan resteert maar één ding voor ons als HRIF.EU. We moeten de Europese collega’s van de AP dan maar zélf vragen om mee te laten lezen.
Daarom hebben we deze maand aan de EDPB en de internationale collega’s in de Financial Matters Expert Group gevraagd om eens een mee te lezen en allerlei stukken overhandigd.
Want de AP is ze ‘vergeten’ te vertellen dat ze hier in Nederland een internationaal, Europabreed sleepnet met AVG-9 schendingen onder de pet aan het houden zijn, terwijl die andere dataprotectie-autoriteiten (omwille van de EU-burgers uit eigen land die ook in hun artikel 9 grondrecht geschonden zijn) mee moeten beslissen en adviseren over handhaving.
De Oostenrijkse AP zal hier geïnteresseerd zijn. Die durft namelijk wél te handhaven. Die pakt Facebook aan omdat ze artikel 9 overtreden en ook de data naar de VS gingen. Precies hetzelfde als wat de NL banken deden met het sleepnet. Maar ja, als het om witwasbestrijding gaat doen we in Nederland meer dan Europa wil en als het om dataprotectie gaat doen we minder. De AP levert hiervan nu zelf het bewijs.
Steun HRIF.EU als je dataprotectie in het economisch verkeer je lief is – want de AP is niet je beste vriend
U ziet: we hebben er werk van gemaakt. We laten niet los. Het beleidsmatige motorblok tegenover ons is massief. Maar wij hebben het Europees recht aan onze zijde en willen dat het Europees recht ook in Nederland wordt toegepast. De tijd van het polderen en alles in Nederland op onze eigen manier overmatig en uitbundig doen moet voorbij zijn. Dit is precies waarom we zijn opgericht en waarom we .EU in onze naam hebben staan.
We zijn al jaren onderdeel van Europa en de AVG is al bijna 10 jaar oud. Het is bizar dat wij als stichting zélf het sleepnet van banken uit de lucht hebben moeten halen omdat de AP het niet durfde. En nu de AP zélf dan niet durft te handhaven en zélf artikel 60 van de AVG negeert en overtreedt, is onze hoop gevestigd op de buitenlandse collega’s van de AP.
Tenslotte, als u dit webartikel écht tot hier heeft gelezen, dan begrijpt u dat er veel werk in is gaan zitten. Als u ons wilt aanmoedigen, stuur vooral een e-mail met uw ervaringen naar legal@hrif.eu. Maar u kunt ook natuurlijk – blijf alstublieft onder de vrijstellingsgrens! – een kleine donatie doen aan Human Rights in Finance (EU), IBAN: NL94 TRIO 0320 7857 85.
Dank voor uw aandacht. Wij strijden verder.