CIA kijkt via achterdeur mee bij banken ‘Onze waarden staan op het spel’

Banken, ook Nederlandse, werken mee met Amerikaanse geheime diensten. Over privacyschending, boetes ende lange arm van de VS. „Montesquieu is overboord gegooid.”

Halverwege het gesprek maakt Jacob Kohnstamm een vergelijking.

Zomaar even, om het probleem duidelijk op de kaart te zetten.

„Wat zou u ervan vinden als Poetin of de Chinezen hier uw financiële gegevens zouden opvragen? Uw spaartegoeden, hypotheek, bankafschriften. Zouden wij dat accepteren?”

De voorzitter van het College Bescherming Persoonsgegevens (CBP), de privacywaakhond van Nederland, laat even een stilte vallen. Dan gaat hij door: „Precies dát gebeurt nu door de Amerikanen. En die toenemende greep vanuit de VS is niet aanvaardbaar. Het leidt ertoe dat we de normen en waarden van de VS hier opgelegd krijgen. En dat terwijl er geen sprake is van wederkerigheid. Als Europa gegevens zou opeisen van Amerikaanse bedrijven, dan staan de VS op hun kop. Dit rechtvaardigt een sterk optreden.”

Het zit de Collegevoorzitter hoog: „In ons rechtstelsel hebben we checks and balances, die met de extraterritoriale werking van de Amerikaanse wetgeving teniet worden gedaan. Die bepalingen brengen het Europese rechtstelsel uit balans en overschaduwen het.”

De War on Terror, die na ‘9/11’ losbarstte, wordt door de Amerikanen niet alleen uitgevochten met kruisraketten of bomtapijten op Tora Bora. Sinds 2002 hebben ze hun greep op de wereldwijde informatiestromen verstevigd. Maar waar de veiligheidsmaatregelen op luchthavens vaak nog zichtbaar zijn, is er ondertussen ook een sluipende, maar minstens zo ingrijpende ontwikkeling aan de gang in de financiële wereld. Duizenden accountants en specialisten zijn op zoek naar de financiële sporen van terroristen, in de VS, maar vooral ook daarbuiten. En daarbij gaan de Amerikanen ver.

Een tipje van de sluier is vorig jaar juni opgelicht door The New York Times. De geheime dienst CIA bleek sinds de aanslagen dagelijks de beschikking te hebben over miljoenen bankoverschrijvingen uit de hele wereld, óók van klanten van Nederlandse en andere Europese banken. Dat gebeurde met hulp van de Belgische organisatie SWIFT, die voor 8.100 banken en financiële instellingen in de hele wereld de internationale overboekingen verwerkt.

De onthulling schudde Europa wakker. De Art. 29 Data Protection Working Party, de verzameling van Europese privacytoezichthouders, veroordeelde de „heimelijke, systematische en langdurige overdracht van persoonsgegevens door SWIFT aan het Amerikaanse ministerie van Financiën”. Dat gebeurde ook nog eens op „een vertrouwelijke, niet-transparante en systematische manier zonder rechtsgrondslag, en zonder de mogelijkheid van onafhankelijke controle”. Het was een schending van „fundamentele Europese principes van dataprotectie en een overtreding van de Belgische en Europese wetten”, zeggen de privacytoezichthouders.

De klanten van de banken, wier gegevens naar Amerika zijn doorgespeeld, was nooit verteld wat er gebeurde. De toezichthouders van SWIFT, zoals de Europese Centrale Bank en de Nationale Bank van België wisten ervan, maar zwegen. De meeste centrale banken informeerden zelfs hun eigen overheden niet. Zo kreeg de Belgische regering pas aan de vooravond van de publicatie in de The New York Times te horen wat er aan de hand was. Premier Guy Verhofstadt van België veroordeelde de schending van de privacy.

Hoe zit het eigenlijk in Nederland? Eén ding is zeker: waar in andere EU-landen en het Europees Parlement veel beroering ontstond na de SWIFT-onthulling, ging de affaire in Nederland betrekkelijk geruisloos voorbij. Terwijl ook hier dezelfde patronen zichtbaar waren.

De Nederlandsche Bank (DNB), toezichthouder op de Nederlandse banken en daarnaast medetoezichthouder op de betrouwbaarheid en bedrijfszekerheid van de systemen van SWIFT, is ook in 2002 door SWIFT op de hoogte gesteld. DNB lichtte vervolgens het ministerie van Financiën in, meldde minister Zalm (Financiën, VVD) na de onthulling in antwoord op vragen uit de Tweede Kamer. Vier jaar lang hadden DNB en Financiën aan de Kamer en privacywaakhond CBP niets verteld (zie: Privacybeschermer haalt uit naar DNB).

Wie, negen maanden na de onthulling over SWIFT, denkt dat het illegaal doorsluizen van bankgegevens aan de Amerikanen is gestopt, heeft het mis. Zeker, de Europese Commissie en de VS onderhandelen momenteel over een verdrag: daardoor zou Europa voortaan op de hoogte zijn welke gegevens de Amerikanen precies ‘aftappen’. Maar ondertussen laat SWIFT de CIA nog steeds meekijken.

De vraag die opdoemt is of de SWIFT-affaire op zichzelf staat. Gebruiken de Amerikanen misschien nog andere middelen om financiële informatie te vergaren? En wordt die informatie alleen voor terrorismebestrijding gebruikt of misschien ook voor economische spionage? Kortom: hoever reikt de greep van de VS op Europese financiële instellingen?

Bij de officiële instanties blijkt het antwoord op deze vragen niet makkelijk te vinden.

Directeur toezicht Arnold Schilder van DNB verwijst naar de antwoorden van de minister van Financiën aan de Tweede Kamer, en zegt dat hij zich „niet herkent in het beeld dat Nederlandse banken stelselmatig, buiten rechtshulpverzoeken om, informatie verstrekken aan de Amerikaanse autoriteiten.”

Ook de Nederlandse Vereniging van Banken (NVB) geeft geen uitsluitsel. De woordvoerder is kort: „Geen commentaar.”

Wat de bevoegdheden van Amerikaanse opsporingsdiensten zijn, is wettelijk vastgelegd en wordt ook met enige regelmaat besproken tijdens openbare hoorzittingen van het Congres. Startpunt is de Patriot Act die vlak na 11 september 2001 van kracht werd. Daarmee brachten de Amerikanen met één pennenstreek wereldwijd banken onder hun gezag.

Artikel 319 stelt dat de ministers van Financiën en Justitie financiële informatie mogen opvragen bij alle banken in de VS, óók bij de bijkantoren van buitenlandse banken. Buitenlandse banken die slechts een rekening hebben bij een Amerikaanse bank zijn ook verplicht mee te werken. Iedere financiële instelling die internationale overboekingen in dollars doet, valt hiermee onder deze wet. En dat zijn in de praktijk zo goed als alle banken in de wereld.

Al op 12 februari 2002, kort na de inwerkingtreding van de Patriot Act, werd duidelijk wat dit betekent. Plaatsvervangend onderminister van Financiën Mary Lee Warren zei op een hoorzitting van het Congres: „Het geeft ons een mechanisme om buitenlandse bankgegevens op te vragen met administratieve dwangbevelen.”

Dat was geen loze kreet.

Want in de eerste drie maanden dat de wet van kracht was, waren er meteen 90 buitenlandse bankrekeningen gecontroleerd. Inmiddels zijn we jaren verder en kunnen meer dan 150 Amerikaanse overheidsdiensten, van CIA, FBI, OFAC tot de Amerikaanse postdienst, de bestanden van financiële instellingen laten doorzoeken. Dat gaat allemaal via het Amerikaanse Financial Crimes Enforcement Network.

Als het Financial Crimes Enforcement Network (FinCEN) een verzoek om informatie krijgt, dan wordt dat doorgestuurd naar de 29.000 instellingen waar zij contact mee onderhoudt, waaronder de bijkantoren van de buitenlandse banken en de Amerikaanse banken die de rekening van buitenlandse banken beheren. Binnen twee weken zijn de banken, meldt FinCEN, verplicht aan te geven of de gevraagde informatie aanwezig is. Het antwoord van de banken wordt teruggekoppeld naar de verzoekende dienst. Die kan bij een positief bericht zelf actie ondernemen en de informatie bij de bank opvragen. Om de informatie te krijgen, kunnen de toezichthouders, ministeries en opsporingsdiensten een administratief dwangbevel uitvaardigen. Daar komt geen rechter en officier van justitie aan te pas.

Het tappen van SWIFT past dus volgens de VS binnen de bevoegdheden, die de opsporings- en veiligheidsdiensten in dat land sinds ‘9/11’ hebben. Die bevoegdheden gaan zover dat ze informatie kunnen opeisen over klanten die zich buiten de jurisdictie van de VS bevinden.

Via SWIFT kunnen de Amerikanen een schat aan informatie krijgen: over de omvang van een internationale overboeking, de betrokken banken, het tijdstip, de zender en de ontvanger.

Maar banken hebben natuurlijk veel méér gegevens over hun klanten, zoals andere rekeningen, hypotheken en betalingsgeschiedenissen. En ook die gegevens willen de Amerikanen hebben, zeggen advocaten en adviseurs tegen NRC Handelsblad. Een aantal wil niet met naam in de krant. Daarvoor zijn de zakelijke belangen van hun cliënten, de banken, aan de Amerikaanse kant van de oceaan, te groot.

Europese banken staan, zo wordt duidelijk, voor een dilemma. Aan de ene kant willen ze hun relatie en positie in de VS niet beschadigen. Maar aan de andere kant mogen ze volgens Europese wetten voor strafvordering en voor privacybescherming zulke gegevens niet afstaan zonder dat de vereiste juridische wegen zijn bewandeld.

Volgens de ‘koninklijke weg’ zouden de Amerikanen eerst een rechtshulpverzoek moeten doen, of een verzoek moeten indienen bij een Nederlandse toezichthouder. Als banken toch rechtstreeks aan de ‘achterdeur’ informatie afgeven aan de Amerikanen, overtreden ze in Europa de wet.

Die achterdeur staat open, weet Eric Schreuders, partner van privacy-adviesbedrijf Net2Legal in Leiden. „De VS gaan ervan uit dat hun regels van toepassing zijn op alle banken die een kantoor hebben in Amerika. Dat geldt voor de hele bank, dus ook voor het Europese moederbedrijf. Een rechtshulpverzoek vergt al snel maanden. Een officier van justitie toetst de aanvraag en filtert er mogelijk informatie uit. Waarom zou een Amerikaanse opsporingsdienst die moeite nemen, als hij alle informatie veel sneller rechtstreeks bij de bank kan opvragen?”

De Amerikanen hebben een stok achter de deur voor het geval Europese banken niet meewerken, benadrukt Cees Schaap, witwasdeskundige en directeur van SBV-Forensics in Dordrecht. „Banken die de gegevens niet overhandigen, kunnen een boete krijgen die in de miljoenen loopt. In het uiterste geval trekt Amerika de bankvergunning in. Geen zaken doen in of met de VS is geen optie. Als een verzoek binnenkomt, zal een bank loyaal reageren.”

Postdoconderzoeker Bart Custers aan de Universiteit van Tilburg, die overheid en banken adviseert in privacykwesties, zegt dat het geen moeilijke keuze is om de gegevens, ondanks alle bezwaren, tóch af te staan. „De grote banken halen een flink deel van hun omzet uit Amerika. Die gaan dat echt niet in gevaar brengen. Bedrijven kijken naar wat het kost. Aan de ene kant heb je de Nederlandse privacytoezichthouder, het CBP, die relatief lage boetes kan opleggen: pakweg de prijs van een business class vliegticket. Aan de andere kant heb je de Amerikanen die boetes opleggen die in de tientallen miljoenen lopen. Aan welke kant van de oceaan ga je dan zitten?”

Daar komt bij, zegt Rogier Raas, partner bij advocatenkantoor Stibbe, dat bestuurders en managers van een bank in de VS in uitzonderlijke gevallen persoonlijk aansprakelijk gesteld kunnen worden als ze niet meewerken. Raas: „Als een organisatie een boete krijgt, dan is daar nog wel mee te leven. Zodra medewerkers aan vervolging blootstaan of niet meer naar de VS kunnen, dan heeft een bank een groter probleem. De kans op vervolging kan al voldoende reden zijn om mee te werken.”

Geconfronteerd met de mogelijkheid dat de banken zelf, naar Europees inzicht op illegale wijze, gegevens aan Amerikaanse autoriteiten verstrekken, zegt directeur toezicht van De Nederlandsche Bank, Arnold Schilder, dat hem zulke feiten „als zodanig” en „stelselmatig” niet bekend zijn.

De feiten die Schilder niet kent zijn wel bekend bij de advocaten en adviseurs met wie deze krant sprak. Zij bevestigen dat de banken zijn bezweken onder druk van de VS. Advocaat Rogier Raas (Stibbe) memoreert een zaak waarbij een bank in Nederland een Amerikaans verzoek kreeg om klantgegevens te overleggen. De bank had niet veel keuze.

De gegevens bevinden zich in een grijze jurisdictie, zegt Raas: „Informatie is tegenwoordig een vloeibaar geheel. Grote banken hebben tentakels over de hele wereld en overal liggen gegevens opgeslagen.”

Soms is het voor een bank moeilijk om de rechtmatigheid van een verzoek te bepalen. „Moeten ze iedere keer als een verzoek binnenkomt advocaten inschakelen?”, zegt Raas. „Dat gebeurt dus niet altijd. Bij ieder verzoek worden wel vragen gesteld: Is het rechtmatig, dan kun je gegevens verstrekken. Is het niet rechtmatig, dan liever niet, maar hoe hard wil je het spelen?” Meestal zijn Amerikaanse advocatenkantoren bij zulke afwegingen betrokken. „Wij worden doorgaans om algemeen advies gevraagd in de trant van ‘wat moeten we doen als’. Dan weet je dat er een verzoek is binnengekomen.”

Witwasdeskundige Cees Schaap herinnert zich een zaak waarbij een Amerikaanse toezichthouder een internationale betaling van Nederland naar Panama had onderschept, en daarop actie ondernam.

Hoe vaak zijn banken in Nederland in de afgelopen vijf jaar geconfronteerd met informatieverzoeken uit de VS, buiten de reguliere rechtshulpverzoeken om? Wat voor soort informatie is opgevraagd en is die informatie ook geleverd?

ABN Amro en ING ontkennen noch bevestigen het uitleveren van informatie via de achterdeur. De Rabobank geeft toe de gevraagde informatie in Amerika te overleggen, maar wil geen details geven (zie: ‘We doen precies wat we volgens de Amerikaanse wet moeten doen’).

De Europese Federatie van Banken (EFB) laat weten „zeer bezorgd” te zijn over de straffen en de extraterritoriale werking van de Patriot Act. Ook de EFB wil niet in detail treden, omdat de federatie betrokken is bij het zoeken naar een oplossing.

Dat Amerika zo eenvoudig tot financiële gegevens uit Europa toegang kan krijgen, mag van forensisch accountant Cees Schaap niet lichtvaardig worden opgenomen: „Nederlandse onderdanen worden blootgesteld aan het recht van een andere staat.”

Het raakt de rechtsbescherming van de Europese burger omdat er geen checks and balances meer zijn, aldus Schaap. De VS kunnen bij allerlei financiële gegevens in Europa komen zonder dat een rechter in Europa de rechtmatigheid daarvan kan controleren. Schaap: „Montesquieu is overboord gegooid. Een standaardtoetsing door een onafhankelijke partij is niet meer de norm.”

Uiteindelijk gaat het in deze kwestie om wie de regels bepaalt: Europa of Amerika. Alle conflicten zoals rond de passagiersgegevens in de luchtvaart, rond SWIFT en nu met de banken, draaien om de vraag wie sterker is, vindt de Tilburgse onderzoeker Custers. „De VS zijn daarbij in het voordeel. Die spreken uit één mond. De EU moet er telkens met 27 lidstaten uit zien te komen.”

Maar het houdt niet op bij cliëntgegevens van Europese banken, de Amerikaanse arm reikt verder. Dat vermoedt Willem Debeuckelaere. Hij is ondervoorzitter van de Belgische Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Debeuckelaere vreest dat SWIFT of banken of vliegtuigpassagierslijsten maar stukjes van de puzzel zijn.

Debeuckelaere: „Voor zover wij het nu zien, gaat het niet alleen om banken. We hebben nog geen concrete bewijzen, maar ook andere bedrijven die een band met de VS hebben, kunnen gevraagd worden de meest vertrouwelijke gegevens van hun Europese klanten te leveren. Neem softwarebedrijven die economische, medische of juridische gegevens van klanten uit Europa in handen hebben. Er zijn nogal wat firma’s uit de VS die hier werken. Volgens de Amerikaanse wetgeving kunnen bedrijven als Unisys verplicht worden die informatie door te sturen.”

Waar houdt het op? De Amerikaanse wet geldt immers ook voor niet-Amerikaanse bedrijven. Debeuckelaere: „Neem uw KLM of Koninklijke Shell. Ook bij hen kunnen gegevens, van welke aard dan ook, worden opgevraagd. Je moet er niet aan denken wat dat kan betekenen.”

De Nederlandse privacycontroleur, het College Bescherming Persoonsgegevens, vindt dat de politiek moet ingrijpen. De complexiteit van de transatlantische gegevensverstrekking is te groot om aan de toezichthouders alleen over te laten. Voorzitter Kohnstamm: „Wij zijn een kleine club en er zijn beperkingen aan hoeveel we kunnen onderzoeken. De politiek moet de regie nemen en met ons optrekken. Hier staan de Europese normen en waarden op het spel.”