Onderzoek 911: CIA kijkt via achterdeur mee bij banken

Banken, ook Nederlandse, werken mee met Amerikaanse geheime diensten. Over privacyschending, boetes en de lange arm van de VS. „Montesquieu is overboord gegooid.” En de monetaire autoriteiten zwegen vier jaar lang tegenover Tweede Kamer.

Uit NRC, door Joep Dohmen en Dimitri Tokmetzis

Halverwege het gesprek maakt Jacob Kohnstamm een vergelijking. Zomaar even, om het probleem duidelijk op de kaart te zetten. „Wat zou u ervan vinden als Poetin of de Chinezen hier uw financiële gegevens zouden opvragen? Uw spaartegoeden, hypotheek, bankafschriften. Zouden wij dat accepteren?”

De voorzitter van het College Bescherming Persoonsgegevens (CBP), de privacywaakhond van Nederland, laat even een stilte vallen.

Dan gaat hij door: „Precies dát gebeurt nu door de Amerikanen.

En die toenemende greep vanuit de VS is niet aanvaardbaar. Het leidt ertoe dat we de normen en waarden van de VS hier opgelegd krijgen. En dat terwijl er geen sprake is van wederkerigheid. Als Europa gegevens zou opeisen van Amerikaanse bedrijven, dan staan de VS op hun kop. Dit rechtvaardigt een sterk optreden.”

Het zit de Collegevoorzitter hoog: „In ons rechtstelsel hebben we checks and balances, die met de extraterritoriale werking van de Amerikaanse wetgeving teniet worden gedaan. Die bepalingen brengen het Europese rechtstelsel uit balans en overschaduwen het.”

De War on Terror, die na ‘9/11’ losbarstte, wordt door de Amerikanen niet alleen uitgevochten met kruisraketten of bomtapijten op Tora Bora. Sinds 2002 hebben ze hun greep op de wereldwijde informatiestromen verstevigd. Maar waar de veiligheidsmaatregelen op luchthavens vaak nog zichtbaar zijn, is er ondertussen ook een sluipende, maar minstens zo ingrijpende ontwikkeling aan de gang in de financiële wereld. Duizenden accountants en specialisten zijn op zoek naar de financiële sporen van terroristen, in de VS, maar vooral ook daarbuiten. En daarbij gaan de Amerikanen ver.

Een tipje van de sluier is vorig jaar juni opgelicht door The New York Times. De geheime dienst CIA bleek sinds de aanslagen dagelijks de beschikking te hebben over miljoenen bankoverschrijvingen uit de hele wereld, óók van klanten van Nederlandse en andere Europese banken. Dat gebeurde met hulp van de Belgische organisatie SWIFT, die voor 8.100 banken en financiële instellingen in de hele wereld de internationale overboekingen verwerkt.

De onthulling schudde Europa wakker. De Art. 29 Data Protection Working Party, de verzameling van Europese privacytoezichthouders, veroordeelde de „heimelijke, systematische en langdurige overdracht van persoonsgegevens door SWIFT aan het Amerikaanse ministerie van Financiën”. Dat gebeurde ook nog eens op „een vertrouwelijke, niet-transparante en systematische manier zonder rechtsgrondslag, en zonder de mogelijkheid van onafhankelijke controle”. Het was een schending van „fundamentele Europese principes van dataprotectie en een overtreding van de Belgische en Europese wetten”, zeggen de priva cytoezichthouders.

De klanten van de banken, wier gegevens naar Amerika zijn doorgespeeld, was nooit verteld wat er gebeurde. De toezichthouders van SWIFT, zoals de Europese Centrale Bank en de Nationale Bank van België wisten ervan, maar zwegen.

De meeste centrale banken informeerden zelfs hun eigen overheden niet. Zo kreeg de Belgische regering pas aan de vooravond van de publicatie in de The New York Times te horen wat er aan de hand was. Premier Guy Verhofstadt van België veroordeelde de schending van de privacy.

Hoe zit het eigenlijk in Nederland?

Eén ding is zeker: waar in andere EU-landen en het Europees Parlement veel beroering ontstond na de SWIFT-onthulling, ging de affaire in Nederland betrekkelijk geruisloos voorbij. Terwijl ook hier dezelfde patronen zichtbaar waren.

De Nederlandsche Bank (DNB), toezichthouder op de Nederlandse banken en daarnaast medetoezichthouder op de betrouwbaarheid en bedrijfszekerheid van de systemen van SWIFT, is ook in 2002 door SWIFT op de hoogte gesteld.

DNB lichtte vervolgens het ministerie van Financiën in, meldde minister Zalm (Financiën, VVD) na de onthulling in antwoord op vragen uit de TweedeKamer.Vier jaar lang hadden DNB en Financiën aan de Kamer en privacywaakhond CBP niets verteld (zie: Privacybeschermer haalt uit naar DNB).

Wie, negen maanden na de onthulling over SWIFT, denkt dat het illegaal doorsluizen van bankgegevens aan de Amerikanen is gestopt, heeft het mis. Zeker, de Europese Commissie en de VS onderhandelen momenteel over een verdrag: daardoor zou Europa voortaan op de hoogte zijn welke gegevens de Amerikanen precies ‘aftappen’.

Privacybeschermer haalt uit naar DNB
Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens (CBP), houdt zijn irritatie over collega-toezichthouder De Nederlandsche Bank (DNB) niet binnensmonds. „DN B is al sinds 2002 op de hoogte van de gegevensoverdracht door SWIFT. DNB wist dat het politiek gevoelig lag. Anders had ze de minister van financiën niet zelf ingelicht.

Als een toezichthouder weet of kan vermoeden dat de Nederlandse wet wordt overtreden, vind ik het merkwaardig en verwijtbaar dat ze haar collega-toezichthouder niet inlicht. Ik heb daar wel aanstoot aan genomen”.

DNB zegt dat het toezicht op de privacy niet in haar takenpakket zit. Kohnstamm: „Formeel gezien klopt dat. Maar er staat DNB niets in de weg om ons op de hoogte te stellen. Waarom wel de minister waarschuwen en niet het CBP”?

Het CBP stuurde begin januari een brief naar alle banken met daarin de opdracht hun klanten in te lichten dat de Amerikanen hun gegevens kunnen onderscheppen.

In reactie hierop werd Kohnstamm half februari bij de centrale bank voor een gesprek gevraagd. Flip Klopper, directeur betalingsverkeer, kondigde aan binnenkort namens de banken met een antwoordbrief te komen.

Een „merkwaardige” opstelling , zegt Kohnstamm. „De gang van zaken verbaast me. Het CBP schrijft een brief aan de banken en dringt aan op naleving van de wet. Als reactie daarop krijgen wij nu een brief van een collega-toezichthouder die zich in dit geval kennelijk meer als belangenbehartiger opstelt dan als toezichthouder”.

Kohnstamm dreigt de banken met een last onder dwangsom in het geval zij hun wettelijke plicht niet nakomen tot het verschaffen van informatie over wat er met de persoonsgegevens van hun klanten via SWIFT gebeurt. „De banken overtreden op dit punt zonder twijfel de wet. Zij dienen hun klanten te informeren. Als toezichthouder kunnen we niet aanvaarden dat de banken er mee weg komen”.

De toezichthouder zegt ook te weinig bevoegdheden te hebben.

Kohnstamm: „We kunnen pas een ‘boete’ opleggen nadat we een bank hebben gewaarschuwd dat zij het niet nog een keer moet doen. Het zou wel zo effectief zijn als we stevige boetes zonder waarschuwing vooraf konden uitdelen”.

DNB zegt dat zij zelf contact heeft gezocht met het CBP toen deze in januari over de SWIFT-kwestie een brief had gestuurd aan de banken. „Afgesproken is dat wij met de banken overleggen hoe ze met informatie aan hun klanten het CBP tegemoet kunnen komen, in afwachting van een oplossing door de Europese en Amerikaanse politiek”, zegt DNB.

Maar ondertussen laat SWIFT de CIA nog steeds meekijken.

De vraag die opdoemt is of de SWIFT-affaire op zichzelf staat. Gebruiken de Amerikanen misschien nog andere middelen om financiële informatie te vergaren? En wordt die informatie alleen voor terrorismebestrijding gebruikt of misschien ook voor economische spionage?

Kortom: hoever reikt de greep van de VS op Europese financiële instellingen?

Bij de officiële instanties blijkt het antwoord op deze vragen niet makkelijk te vinden.

Directeur toezicht Arnold Schilder van DNB verwijst naar de antwoorden van de minister van Financiën aan de Tweede Kamer, en zegt dat hij zich „niet herkent in het beeld dat Nederlandse banken stelselmatig, buiten rechtshulpverzoeken om, informatie verstrekken aan de Amerikaanse autoriteiten.”

Ook de Nederlandse Vereniging van Banken (NVB) geeft geen uitsluitsel.

De woordvoerder is kort: „Geen commentaar.”

Wat de bevoegdheden van Amerikaanse opsporingsdiensten zijn, is wettelijk vastgelegd en wordt ook met enige regelmaat besproken tijdens openbare hoorzittingen van het Congres. Startpunt is de Patriot Act die vlak na 11 september 2001 van kracht werd. Daarmee brachten de Amerikanen met één pennenstreek wereldwijd banken onder hun gezag.

Artikel 319 stelt dat de ministers van Financiën en Justitie financiële informatie mogen opvragen bij alle banken in de VS, óók bij de bijkantoren van buitenlandse banken. Buitenlandse banken die slechts een rekening hebben bij een Amerikaanse bank zijn ook verplicht mee te werken. Iedere financiële instelling die internationale overboekingen in dollars doet, valt hiermee onder deze wet.

En dat zijn in de praktijk zo goed als alle banken in de wereld.

Al op 12 februari 2002, kort na de inwerkingtreding van de Patriot Act, werd duidelijk wat dit betekent.

Plaatsvervangend onderminister van Financiën Mary Lee Warren zei op een hoorzitting van het Congres: „Het geeft ons een mechanisme om buitenlandse bankgegevens op te vragen met administratieve dwangbevelen.”

Dat was geen loze kreet.

Want in de eerste drie maanden dat de wet van kracht was, waren er meteen 90 buitenlandse bankrekeningen gecontroleerd. Inmiddels zijn we jaren verder en kunnen meer dan 150 Amerikaanse overheidsdiensten, van CIA, FBI, OFAC tot de Amerikaanse postdienst, de bestanden van financiële instellingen laten doorzoeken.

Dat gaat allemaal via het Amerikaanse Financial Crimes Enforcement Network.

Als het Financial Crimes Enforcement Network (FinCEN) een verzoek om informatie krijgt, dan wordt dat doorgestuurd naar de 29.000 instellingen waar zij contact mee onderhoudt, waaronder de bijkantoren van de buitenlandse banken en de Amerikaanse banken die de rekening van buitenlandse banken beheren. Binnen twee weken zijn de banken, meldt FinCEN, verplicht aan te geven of de gevraagde informatie aanwezig is. Het antwoord van de banken wordt teruggekoppeld naar de verzoekende dienst. Die kan bij een positief bericht zelf actie ondernemen en de informatie bij de bank opvragen.

Om de informatie te krijgen, kunnen de toezichthouders, ministeries en opsporingsdiensten een administratief dwangbevel uitvaardigen.

Daar komt geen rechter en officier van justitie aan te pas.

Het tappen van SWIFT past dus volgens de VS binnen de bevoegdheden, die de opsporings- en veiligheidsdiensten in dat land sinds ‘9/11’ hebben. Die bevoegdheden gaan zover dat ze informatie kunnen opeisen over klanten die zich buiten de jurisdictie van de VS bevinden.

Via SWIFT kunnen de Amerikanen een schat aan informatie krijgen: over de omvang van een internationale overboeking, de betrokken banken, het tijdstip, de zender en de ontvanger.

Europees banksysteem SWIFT verwerkt 10 miljoen transacties per dag

SWIFT, de Society for Worldwide Interbank Financial Telecommunications in het Belgische Terhulpen verwerkt meer dan tien miljoen internationale transacties per dag voor 8.100 banken en financiële instellingen in de hele wereld. Op twee servers, in Terhulpen en in New York, worden de transacties geregistreerd en 124 dagen bewaard.

Kort na de aanslagen van 11 september 2001 dwong het Amerikaanse ministerie van Financiën toegang tot de gegevens af. De CIA mocht, ten behoeve van terrorismebestrijding, in het geheim in de gegevens grasduinen. In 2003 kreeg SWIFT bedenkingen over het tappen door de CIA. De organisatie wilde er liever vanaf. De Amerikaanse centrale bankier Alan Greenspan en de directeur van de FBI intervenieerden persoonlijk om de medewerking van SWIFT te behouden.

Vanaf die tijd is er enige controle op welke gegevens worden getapt. Een volgens SWIFT „onafhankelijke controleur”, adviesbureau Booz Allen Hamilton, ziet toe op de naleving van de Amerikaanse wetten voor privacy en strafvordering. Actiebeweging Privacy International betwist echter dat het adviesbureau onafhankelijk is. De Amerikaanse overheid is een grote klant van Booz Allen Hamilton. In de senior consulting staff van het bureau zitten diverse oud-werknemers van geheime diensten, onder wie een voormalige directeuren van de CIA en de National Security Agency (NSA).

Op 23 juni vorig jaar bracht The New York Times het bestaan van het geheime programma naar buiten. Volgens Europese privacytoezichthouders is de gegevensoverdracht van SWIFT in strijd met de Europese richtlijnen en de nationale wetten van België, waar SWIFT onder valt. Ook de Belgische regering heeft de gegevensoverdracht bestempeld als illegaal.

Desgevraagd zegt Arnold Schilder, directeur toezicht van De Nederlandsche Bank (DNB), dat het toezicht van DNB en haar medetoezichthouders op SWIFT is gericht op de betrouwbaarheid van de technische systemen. DNB heeft een verantwoordelijkheid voor het bevorderen van de goede werking van het betalingsverkeer. Schilder: „DNB werd in 2002 op de hoogte gesteld en heeft dit onmiddellijk gemeld aan de minister van Financiën. Nu eind 2006 is gebleken dat de Europese privacy-autoriteiten bezwaar maken, zal dit op Europees-Amerikaans politiek niveau moeten worden opgelost.”

Het Nederlandse ministerie van Financiën zegt desgevraagd geen oordeel te hebben over de legaliteit van de gegevensoverdracht. Een woordvoerder laat weten dat op Europees niveau naar een oplossing wordt gezocht. De Raad van Ministers en de Europese Commissie hebben hiertoe een gezamenlijke werkgroep ingesteld. Het ministerie zegt ook in Nederland naar een oplossing te zoeken. Welke concrete stappen daarvoor worden genomen „kan en wil” de woordvoerder niet vertellen.

Ook SWIFT zelf zegt in een reactie een politieke oplossing toe te juichen: „Het probleem is het verschil in wetgeving.

Daardoor is een grijs gebied ontstaan en dat moet politiek opgelost worden.”

Maar banken hebben natuurlijk veel méér gegevens over hun klanten, zoals andere rekeningen, hypotheken en betalingsgeschiedenissen.

En ook die gegevens willen de Amerikanen hebben, zeggen advocaten en adviseurs tegen NRC Handelsblad. Een aantal wil niet met naam in de krant. Daarvoor zijn de zakelijke belangen van hun cliënten, de banken, aan de Amerikaanse kant van de oceaan, te groot.

Europese banken staan, zo wordt duidelijk, voor een dilemma. Aan de ene kant willen ze hun relatie en positie in de VS niet beschadigen. Maar aan de andere kant mogen ze volgens Europese wetten voor strafvordering en voor privacybescherming zulke gegevens niet afstaan zonder dat de vereiste juridische wegen zijn bewa ndeld.

Volgens de ‘koninklijke weg’ zouden de Amerikanen eerst een rechtshulpverzoek moeten doen, of een verzoek moeten indienen bij een Nederlandse toezichthouder. Als banken toch rechtstreeks aan de ‘achter - deur’ informatie afgeven aan de Amerikanen, overtreden ze in Europa de wet.

Die achterdeur staat open, weet Eric Schreuders, partner van privacyadviesbedrijf Net2Legal in Leiden. „De VS gaan ervan uit dat hun regels van toepassing zijn op alle banken die een kantoor hebben in Amerika. Dat geldt voor de hele bank, dus ook voor het Europese moederbedrijf. Een rechtshulpverzoek vergt al snel maanden. Een officier van justitie toetst de aanvraag en filtert er mogelijk informatie uit. Waarom zou een Amerikaanse opsporingsdienst die moeite nemen, als hij alle informatie veel sneller rechtstreeks bij de bank kan opvragen?”

De Amerikanen hebben een stok achter de deur voor het geval Europese banken niet meewerken, benadrukt Cees Schaap, witwasdeskundige en directeur van SBV-Forensics in Dordrecht. „Banken die de gegevens niet overhandigen, kunnen een boete krijgen die in de miljoenen loopt. In het uiterste geval trekt Amerika de bankvergunning in. Geen zaken doen in of met de VS is geen optie. Als een verzoek binnenkomt, zal een bank loyaal reageren.”

Postdoconderzoeker Bart Custers aan de Universiteit van Tilburg, die overheid en banken adviseert in privacykwesties, zegt dat het geen moeilijke keuze is om de gegevens, ondanks alle bezwaren, tóch af te staan. „De grote banken halen een flink deel van hun omzet uit Amerika. Die gaan dat echt niet in gevaar brengen. Bedrijven kijken naar wat het kost. Aan de ene kant heb je de Nederlandse privacytoezichthouder, het CBP, die relatief lage boetes kan opleggen: pakweg de prijs van een business class vliegticket. Aan de andere kant heb je de Amerikanen die boetes opleggen die in de tientallen miljoenen lopen. Aan welke kant van de oceaan ga je dan zitten?”

Daar komt bij, zegt Rogier Raas, partner bij advocatenkantoor Stibbe, dat bestuurders en managers van een bank in de VS in uitzonderlijke gevallen persoonlijk aansprakelijk gesteld kunnen worden als ze niet meewerken.

Raas: „Als een organisatie een boete krijgt, dan is daar nog wel mee te leven. Zodra medewerkers aan vervolging blootstaan of niet meer naar de VS kunnen, dan heeft een bank een groter probleem. De kans op vervolging kan al voldoende reden zijn om mee te werken.”

Geconfronteerd met de mogelijkheid dat de banken zelf, naar Europees inzicht op illegale wijze, gegevens aan Amerikaanse autoriteiten verstrekken, zegt directeur toezicht van De Nederlandsche Bank, Arnold Schilder, dat hem zulke feiten „als zodanig” en „stelselmatig” niet bekend zijn.

De feiten die Schilder niet kent zijn wel bekend bij de advocaten en adviseurs met wie deze krant sprak. Zij bevestigen dat de banken zijn bezweken onder druk van de VS. Advocaat Rogier Raas (Stibbe) memoreert een zaak waarbij een bank in Nederland een Amerikaans verzoek kreeg om klantgegevens te overleggen. De bank had niet veel keuze.

De gegevens bevinden zich in een grijze jurisdictie, zegt Raas: „Informatie is tegenwoordig een vloeibaar geheel. Grote banken hebben tentakels over de hele wereld en overal liggen gegevens opgeslagen.”

Soms is het voor een bank moeilijk om de rechtmatigheid van een verzoek te bepalen. „Moeten ze iedere keer als een verzoek binnenkomt advocaten inschakelen?”, zegt Raas. „Dat gebeurt dus niet altijd. Bij ieder verzoek worden wel vragen gesteld: Is het rechtmatig, dan kun je gegevens verstrekken. Is het niet rechtmatig, dan liever niet, maar hoe hard wil je het spelen?” Meestal zijn Amerikaanse advocatenkantoren bij zulke afwegingen betrokken. „Wij worden doorgaans om algemeen advies gevraagd in de trant van ‘wat moeten we doen als’. Dan weet je dat er een verzoek is binnengekomen.”

Witwasdeskundige Cees Schaap herinnert zich een zaak waarbij een Amerikaanse toezichthouder een internationale betaling van Nederland naar Panama had onderschept, en daarop actie ondernam.

Hoe vaak zijn banken in Nederland in de afgelopen vijf jaar geconfronteerd met informatieverzoeken uit de VS, buiten de reguliere rechtshulpverzoeken om? Wat voor soort informatie is opgevraagd en is die informatie ook geleverd?

ABN Amro en ING ontkennen noch bevestigen het uitleveren van informatie via de achterdeur. De Rabobank geeft toe de gevraagde informatie in Amerika te overleggen, maar wil geen details geven (zie: ‘We doen precies wat we volgens de Amerikaanse wet moeten doen’).

De Europese Federatie van Banken (EFB) laat weten „zeer bezorgd” te zijn over de straffen en de extraterritoriale werking van de Patriot Act. Ook de EFB wil niet in detail treden, omdat de federatie betrokken is bij het zoeken naar een oplossing.

Dat Amerika zo eenvoudig tot financiële gegevens uit Europa toegang kan krijgen, mag van forensisch accountant Cees Schaap niet lichtvaardig worden opgenomen: „Nederlandse onderdanen worden blootgesteld aan het recht van een andere staat.”

‘We doen precies wat we volgens de Amerikaanse wet moeten doen’
De Rabobank laat weten dat haar vestiging in New York inderdaad verzoeken krijgt van Amerikaanse opsporingsdiensten buiten het officiële rechtshulptraject om, gebaseerd op de Patriot Act. „Daar wordt door ons aan meegewerkt, ook als het gaat om bankgegevens die uit Europa komen.

Wij doen precies wat we volgens de Amerikaanse wet moeten doen”, zegt een woordvoerster. De bank wil niet zeggen niet hoeveel verzoeken jaarlijks binnenkomen. Ook over de inhoud ervan zegt de bank niets.

Volgens de Rabobank komen ook bij het hoofdkantoor in Utrecht „sporadisch” verzoeken vanuit Amerika binnen.

In zo’n geval verwijst de bank de vragende instantie door naar de Amerikaanse ambassade in Nederland of naar de Nederlandse politie. De woordvoerster: „Die komen dan met het verzoek terug bij ons, soms door tussenkomst van de Nederlandse geheime dienst, de AIVD.”De dienst krijgt de gegevens van de Rabobank en die stuurt hij dan door naar de VS.

ING zegt in een schriftelijke reactie dat het „in strijd is met ons beleid om nadere informatie te verstrekken omtrent gegevens die door de autoriteiten worden opgevraagd en omtrent de vraag in hoeverre ING aan deze verzoeken gevolg heeft gegeven.”

Bij ABN Amro is het weinig anders: „ABN Amro respecteert de nationale, Europese en andere relevante internationale wetgeving ten aanzien van het verstrekken van informatie aan autoriteiten.

Als er een spanningsveld bestaat tussen de eisen die door autoriteiten [..] aan ons gesteld worden, dan gaan wij daarover – als dat nodig is – in overleg met onze toezichthouders om tot een oplossing te komen.”

Het raakt de rechtsbescherming van de Europese burger omdat er geen checks and balances meer zijn, aldus Schaap. De VS kunnen bij allerlei financiële gegevens in Europa komen zonder dat een rechter in Europa de rechtmatigheid daarvan kan controleren. Schaap: „Montesquieu is overboord gegooid. Een standaardtoetsing door een onafhankelijke partij is niet meer de norm.”

Uiteindelijk gaat het in deze kwestie om wie de regels bepaalt: Europa of Amerika. Alle conflicten zoals rond de passagiersgegevens in de luchtvaart, rond SWIFT en nu met de banken, draaien om de vraag wie sterker is, vindt de Tilburgse onderzoeker Custers. „De VS zijn daarbij in het voordeel. Die spreken uit één mond. De EU moet er telkens met 27 lidstaten uit zien te komen.”

Maar het houdt niet op bij cliëntgegevens van Europese banken, de Amerikaanse arm reikt verder. Dat vermoedt Willem Debeuckelaere. Hij is ondervoorzitter van de Belgische Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Debeuckelaere vreest dat SWIFT of banken of vliegtuigpassagierslijsten maar stukjes van de puzzel zijn.

Debeuckelaere: „Voor zover wij het nu zien, gaat het niet alleen om banken. We hebben nog geen concrete bewijzen, maar ook andere bedrijven die een band met de VS hebben, kunnen gevraagd worden de meest vertrouwelijke gegevens van hun Europese klanten te leveren. Neem softwarebedrijven die economische, medische of juridische gegevens van klanten uit Europa in handen hebben.

Er zijn nogal wat firma’s uit de VS die hier werken. Volgens de Amerikaanse wetgeving kunnen bedrijven als Unisys verplicht worden die informatie door te sturen.”

Waar houdt het op? De Amerikaanse wet geldt immers ook voor niet-Amerikaanse bedrijven. Debeuckelaere: „Neem uw KLM of Koninklijke Shell. Ook bij hen kunnen gegevens, van welke aard dan ook, worden opgevraagd. Je moet er niet aan denken wat dat kan betekenen.”

De Nederlandse privacycontroleur, het College Bescherming Persoonsgegevens, vindt dat de politiek moet ingrijpen. De complexiteit van de transatlantische gegevensverstrekking is te groot om aan de toezichthouders alleen over te laten.

Voorzitter Kohnstamm: „Wij zijn een kleine club en er zijn beperkingen aan hoeveel we kunnen onderzoeken. De politiek moet de regie nemen en met ons optrekken. Hier staan de Europese normen en waarden op het spel.”

Reacties

Door: Leon | March 15, 2007 7:48 PM | 62.23

DNB eist uitleg van de banken
Door een onzer redacteuren

Rotterdam, 15 maart. Toe- zichthouder De Nederlandsche Bank (DNB) wil van de banken opheldering over het afgeven van klantgegevens aan de CIA en andere Amerikaanse inlichtingen- en opsporingsdiensten. Dat zeggen bronnen in de bankwereld.

Het initiatief volgt op een toezegging van minister Bos (Financiën, PvdA) aan de Tweede Kamer dat hij het verstrekken van privacygevoelige informatie door banken aan de VS zal onderzoeken.

Een woordvoerder van DNB zegt: „Als er signalen binnenkomen, gaan wij daar serieus naar kijken”.

Zaterdag verklaarden advocaten, adviseurs en deskundigen in NRC Handelsblad dat Amerikaanse diensten als CIA en FBI rechtstreeks bij Europese banken in de VS informatie van individuele Europese klanten vragen, en krijgen.

Volgens Europese en ook Nederlandse wetten mag dat niet. De ’a chterdeurverzoeken’ zijn een schending van de privacy en in strijd zijn met strafrechtelijke procedures.

De Rabobank bevestigde tegenover deze krant dat dergelijke verzoeken gehonoreerd worden.

Volgens de Amerikaanse antiterrorismewet zijn banken verplicht mee te werken.

Inmiddels overlegt de Nederlandse Vereniging van Banken (NVB) met het College Bescherming Persoonsgegevens. CBPvoorzitter Jacob Kohnstamm meldde zaterdag dat banken boetes kunnen verwachten als zij hun klanten er niet van op de hoogte stellen dat hun gegevens in handen kunnen komen van de VS.

Belangenbehartiger NVB zegt dat de banken aan de wettelijke eis tot informatie aan klanten zullen voldoen. Het CBP wil dat er een campagne komt om rekeninghouders die internationale betalingen verrichten erop te wijzen dat de Amerikanen kunnen ‘meekijken’.

Door: Leon | April 30, 2007 9:37 AM | 62.25

Banken beloven klanten te informeren
Persoonsgegevens van klanten die internationale betalingen doen met behulp van het bankiersnetwerk SWIFT kunnen door de Amerikaanse autoriteiten worden ingevorderd in het kader van terrorismebestrijding. De Nederlandse Vereniging van Banken (NVB) heeft aan het College Bescherming Persoonsgegegevens (CBP) bevestigd dat de banken hun klanten zullen informeren over deze mogelijkheid. Het CBP had hier eerder op aangedrongen in het kader van zijn zorg voor de naleving van de wettelijke plicht om klanten goed te informeren over de verwerking van hun persoonsgegevens.

De banken zullen een gezamenlijke advertentie plaatsen in de landelijke dagbladen met een tekst waarin de klanten op het bestaan van de bovengenoemde gegevensverstrekking worden gewezen. Verder zullen de banken op korte termijn onderzoeken hoe zij hun klanten ook binnen de elektronische omgeving van het ‘internetbankieren’ kunnen wijzen op deze mogelijke verstrekking van gegevens. Omdat een deel van de klanten opdrachten niet via elektronische kanalen instuurt, zullen de banken eveneens op korte termijn onderzoeken hoe een dergelijk bericht ook bij de nieuw te verstrekken relevante papieren opdrachtformulieren gevoegd kan worden.

De SWIFT-zaak heeft de afgelopen maanden veel aandacht in de media gekregen, en het CBP heeft daar met de in Nederland opererende banken over gesproken. SWIFT is een wereldwijd opererend dienstverlenend bedrijf voor financieel berichtenverkeer dat internationale geldoverboekingen faciliteert. SWIFT slaat alle berichten gedurende 124 dagen op in twee verwerkingscentra – één in de EU en één in de VS. De berichten bevatten persoonsgegevens zoals de namen van afzender en ontvanger van een betaling. Na de terroristische aanslagen van september 2001 werd SWIFT bij dwangbevel door het Amerikaanse ministerie van Financiën ("UST" - United States Department of the Treasury) gesommeerd toegang te verschaffen tot de in de VS opgeslagen berichtgegevens. SWIFT gaf hieraan gevolg, maar bedong een aantal beperkingen op de toegang door UST. Berichten in de pers van eind juni, begin juli 2006 brachten de zaak in de openbaarheid.

Door: Leon | June 27, 2007 1:04 PM | 62.25

Europe's banks must inform customers of US snooping
Privacy chiefs have given Europe's banks a September deadline for alerting customers that their financial transactions could be tracked by US security agencies. Customers must be warned that even transactions within Europe could be monitored, they said.

The new rules come from the Article 29 Working Party, a committee of European data protection officials, and it has said that banks must inform customers when there is a danger that transactions could be monitored by authorities in the US.

The recommendation comes in the wake of a controversy over the fact that European inter-bank payment agency SWIFT was found to have allowed US authorities access to transaction details. The US claimed to need access in its counter-terrorism activities following attacks in the US on 11th September 2001. They were given access but account holders were not informed. SWIFT is a consortium owned by its member banks.

"The Working Party took stock of the progress made by SWIFT and financial institutions," said a statement from the Working Party following a meeting last week.

"The Working Party met again with representatives of SWIFT, who reported on progress achieved so far. The discussion with representatives of European banking associations focused in particular on the legal obligation of financial institutions to provide appropriate information to their clients on the fact that US authorities might have access to personal data when money is transferred within the European Union," it said.

Data protection officials said that banks and financial institutions had not yet gone far enough, and imposed a deadline on them.

"Although progress has been made, further action is still necessary to remedy the concerns the Working Party expressed previously. For that reason the Working Party set the 1st September 2007 as the deadline for financial institutions to take all necessary steps to improve the current situation," it said.

SWIFT has said that it felt obliged to comply with requests from US authorities because some of its servers are located in the US.

The handing over of transaction data has been criticised by the Working Party and by privacy regulators. The Working Party said that the move broke the privacy laws of the EU and of Belgium, where SWIFT is located.

The Swiss and the Belgian data protection commissioners each said that SWIFT had broken the law in passing details on without telling the parties involved.

Door: Leon | June 27, 2007 1:06 PM | 62.25

VS zetten banken onder druk over persoonsgegevens
Nederlandse financiële instellingen voelen een constante druk van Amerikaanse opsporingsinstanties om gegevens beschikbaar te stellen. Ons land zal erop aandringen dat de VS daarbij gebruik maken van de beschikbare formele kanalen. Uit onderzoek is echter niet gebleken dat Nederlandse banken systematisch direct gegevens verstrekken aan Amerikaanse autoriteiten, buiten bestaande formele kaders om.

Dat schrijven de ministers Wouter Bos (Financiën) en Ernst Hirsch Ballin (Justitie) aan de Tweede Kamer.

Zij lieten onderzoek doen, nadat de Tweede Kamer in maart aan de orde had gesteld dat mogelijk privacyregels worden overtreden bij het verstrekken van gegevens over bankafschriften aan de VS.

Vorig jaar kwam al aan het licht dat de VS informatie opeisen van SWIFT, een organisatie die het betalingsverkeer regelt tussen banken in Europa en de VS. Gegevens van internationale betalingen worden door SWIFT zowel in de VS als in de Europese Unie opgeslagen. Sinds 2001 heeft SWIFT dwangbevelen ontvangen van het Amerikaanse ministerie van Financiën in het kader van onderzoek naar financiering van terrorisme. Daarnaast zouden Nederlandse banken rechtstreeks benaderd worden om gegevens beschikbaar te stellen.

De Europese privacy-toezichthouders oordeelden eind vorig jaar dat dit in strijd is met de richtlijnen van de Europese Unie. Bovendien hadden banken, die gebruik maken van SWIFT, hun klanten hierover moeten informeren. Dat laatste hebben Nederlandse banken inmiddels gedaan.

Daarnaast heeft de Europese Commissie afspraken gemaakt met de Amerikaanse overheid. Dat moet er toe leiden dat "extra waarborgen worden ingebouwd" bij het transport van persoonsgegevens naar de VS.

Uit onderzoek in Nederland kwamen vier gevallen naar voren waarin de Amerikaanse overheid direct Nederlandse financiële instellingen heeft benaderd. In twee van die gevallen maakten de Amerikanen geen overtreding. In één geval werden gegevens uitgewisseld met een Amerikaanse toezichthouder, waarmee Nederlandse toezichthouders geen afspraken gemaakt hadden.

In een ander geval vroeg de Amerikaanse justitie om nog onduidelijke redenen om informatie. Daarvoor zou een verzoek om rechtshulp moeten zijn ingediend, als het ging om een strafrechtelijk onderzoek. Nederland zal dit laatste in het overleg met de VS aan de orde stellen. (anp)

Door: Leon | June 29, 2007 9:51 AM | 62.25

EU legitimises US travel and bank data snoops
28.06.2007 - 17:51 CET | By Renata Goldirova

EUOBSERVER / BRUSSELS – In the final hours of its six-month EU presidency, Germany has succeeded in taking two thorny issues in current transatlantic relations off the table - the US' access to data on European air passengers and financial transactions.

On Friday (29 June), EU diplomats are expected to give the final go-ahead to a tentative agreement on the so-called passenger name records (PNR) deal, tailored to end lengthy wrangling over how Washington can gain, store and use information about every European traveller crossing the Atlantic.

Under the draft agreement, 34 pieces of data now collected by US law enforcement authorities will be reduced to 19 - including name, contact information, payment details, travel agency, itinerary and baggage information. Sensitive data such as ethnicity will not be listed, one EU diplomat said.

Washington will be allowed to store all data for seven years under an "active" or "operational" regime. Subsequently, it can extend this period for an additional eight years, but "dormant" data will be accessible under stricter rules.

The agreement - struck by US secretary of homeland security Michael Chertoff, German interior minister Wolfgang Schauble and EU home affairs commissioner Franco Frattini during a joint video conference on Wednesday - will replace an interim agreement, due to fade out at the end of July.

It remains unclear whether Washington can simply pull data directly from airline computers instead of receiving them based on a formal request and whether American law enforcement agencies - such as the CIA, the FBI and customs authorities - may share the data and under what conditions.

In the course of negotiations, flexibility in both areas was the US key demand.

Currently, the US customs and border protection agency may share them with other agencies, as long as they apply data protection standards comparable to those of the 27-nation EU bloc.

SWIFT sorted out as well

Meanwhile on Thursday (28 June) another agreement - on how the United States will handle data on European financial transactions operated by Belgian consortium SWIFT - was also hammered out.

The US has committed itself to use any data received from SWIFT exclusively for counter-terrorism purposes. The information may be retained for a maximum of five years.

In addition, SWIFT will "adequately" protect the privacy of data according to EU principles as laid out in 2000, while the European Commission will appoint an "eminent European" who will carry out annual oversights of Washington's commitments.

"The EU and the USA have to join forces in the fight against terrorism, but these activities should be done in full respect of fundamental rights, including data protection rights and the right to privacy of EU citizens," EU home affairs commissioner Franco Frattini said.

SWIFT, which stands for the Society for Worldwide Inter-bank Financial Telecommunications, manages the SWIFT codes for international payments. It handles about 11 million financial transactions per day in more than 200 countries worldwide.

The SWIFT package

Normally, the package contains the names of the donor and receiver, the account number and bank address as well as the amount and the intended purpose of the transfer.

The deal formally rubber stamped by EU environment ministers today allows the US data searches to go on, but on more firm legal grounds.

Last June, SWIFT was thrust into the limelight, as it became clear that officials from the CIA, the FBI and other US agencies had since 2001 been allowed to inspect the transfers as part of their global fight against terrorism.

The Belgian senate subsequently opened a case on the affair and ruled that Brussels-based SWIFT broke privacy rules.

Mr Frattini called on respective financial institutions "to take all the necessary steps to ensure their quick compliance with European data protection law."

All banks using SWIFT have to inform its customers about such transfers from now on.

Door: Leon | September 3, 2007 11:04 PM | 62.25

U.S. may invoke 'state secrets' to squelch suit against Swift By Eric Lichtblau, Friday, August 31, 2007
WASHINGTON: The Bush administration is signaling that it plans to turn once again to a favorite legal tool known as the "state secrets" privilege to try to shut down a lawsuit brought against a Belgium banking cooperative that secretly supplied millions of private financial records to the U.S. government, court documents show.

The lawsuit against the banking consortium, which is known as Swift, threatens to disrupt the operations of a vital national security program and to reveal "highly classified information" if it is allowed to continue, the Justice Department said in several recent court filings asserting its strong interest in seeing the lawsuit dismissed. A hearing on the future of the lawsuit was scheduled for Friday in federal court in Alexandria, Virginia.

The "state secrets" privilege, allowing the government to shut down public litigation on national security grounds, was once a rarely used tool. But the Bush administration has turned to it dozens of times in terrorism-related cases in seeking to end public discussion of everything from an FBI whistle-blower's claims to the abduction of a German terrorism suspect.

Most notably, the Bush administration has sought to use the state secrets assertion to kill numerous lawsuits against telecommunications carriers over the National Security Agency's domestic eavesdropping program, but a judge in California rejected that claim. The issue is now pending before an appeals court, where judges in a hearing two weeks ago expressed skepticism about the administration's claims.

Asserting the state secrets privilege requires the certification of both the director of national intelligence and the attorney general about the potential harm to national security. If the administration makes good on its intention to invoke the secrets claim in the lawsuit against Swift, it would be one of the most significant cases to test the claim.

Swift is considered the nerve center of the global banking industry, routing trillions of dollars each day between banks, brokerages and other financial institutions. The group's partnership with the U.S. government, first revealed in media reports in June 2006, gave officials at the CIA access to millions of records on international banking transactions in an effort to trace money that investigators believed might be linked to terrorist financing. Swift agreed to turn over large chunks of its database in response to a series of unusually broad subpoenas issued by the Treasury Department beginning months after the attacks of Sept. 11, 2001.

Bush administration officials have defended the banking data program as an important tool in its war on terror, but European regulators and privacy advocates were quick to denounce the program as improper and possibly illegal, and the pressure forced Swift and U.S. officials earlier this year to agree to tighter restrictions on how the data could be used.

Two U.S. banking customers sued Swift on invasion-of-privacy grounds. Many legal and financial analysts expected that the lawsuit would be thrown out because U.S. banking privacy laws are considered much more lax than those in much of Europe. But to the surprise of many, a judge refused to throw out the lawsuit in a ruling in June.

Door: Leon | October 9, 2007 4:10 PM | 62.25

Swift wijkt deels uit naar Zwitserland
Door een onzer redacteuren

Privacyregels EU omzeild

Rotterdam, 9 okt. Swift, de organisatie die vanuit België wereldwijd betalingen van financiële instellingen uitvoert, krijgt een filiaal in Zwitserland. Vanuit het nieuwe kantoor worden na 2009 de trans-Atlantische betalingen uitgevoerd.

Daarmee vermijdt de organisatie problemen met de regels voor privacy- en databescherming in de Europese Unie. Zwitserland is geen lid van de Unie.

Vorig jaar werd bekend dat het Amerikaanse ministerie van Financiën al jaren inzage heeft in gegevens van Swift. De organisatie heeft ook een vestiging in de VS.

Daar ligt een kopie van alle gegevens van Swift België. Op grond van Amerikaanse wetgeving was Swift verplicht deze betalingsgegevens te verstrekken aan de Amerikaanse autoriteiten, zonder tussenkomst van de EU. Swift overtrad daarmee Belgische en Europese privacywetgeving.

Europese klanten wisten niet dat hun gegevens rechtstreeks bij Amerikaanse opsporingsdiensten konden belanden.

Swift gaat nu in de vestigingen in België en Zwitserland het betalingsverkeer scheiden. Er komt een systeem voor interne Europese betalingen en een systeem voor trans-Atlantische betalingen. Gegevens van interne Europese betalingen worden niet meer opgeslagen in de VS. Het kantoor in Zwitserland zal samen met de Amerikaanse vestiging het dataverkeer uit de trans-Atlantische zone verwerken en opslaan.

Volgens Swift heeft de nieuwe werkwijze voordelen. „De verwerkingscapaciteit stijgt, de weerbaarheid van het netwerk verbetert, de kosten worden gedrukt, commerciële vooruitzichten verbeteren en door een tweede Operating Centre in Europa te plaatsen, wordt ook tegemoet gekomen aan de bekommernissen met betrekking tot de bescherming van gegevens”, aldus Swift in een verklaring. Het project kost 150 miljoen euro. Swift verwacht dat het nieuwe centrum operationeel zal zijn tegen eind 2009.

In juni kondigde de Europese Commissie aan een akkoord met de Amerikaanse regering te hebben bereikt over het dataverkeer.

De Amerikanen verklaarden de informatie uitsluitend te zullen gebruiken voor het opsporen van terroristen, en bijvoorbeeld niet voor onderzoeken naar georganiseerde misdaad. Informatie die niet nodig is voor onderzoek, wordt binnen vijf jaar vernietigd. Verder zou een ‘vooraanstaande Europeaan’ benoemd worden als toezichthouder.

Die moet in de gaten houden of de informatie die de Amerikanen opvragen in verhouding staat tot het aantal onderzoeken. De toezichthouder is tot nu toe niet benoemd.

Plaats een reactie

Naam:

E-mail adres:

URL:

Persoonlijke info onthouden?

Reacties: (je mag HTML tags gebruiken)

Als anti-spam maatregel moet je onder het woord 'bericht' typen (required):

Onderzoek 911

Via deze site wordt onderzoek naar de gebeurtenissen op elf september 2001 ("911") ondersteund.

CIA kijkt via achterdeur mee bij banken

TrackBack

Reacties

Plaats een reactie

Wie zijn wij

Laatste reacties

Zoeken

Agenda

E-mail lijst

Rubrieken

Maandoverzicht

Feed

Recente berichten

Copyleft

Links

Quote