Halverwege het gesprek maakt Jacob Kohnstamm een vergelijking.

Zomaar even, om het probleem duidelijk op de kaart te zetten.

„Wat zou u ervan vinden als Poetin of de Chinezen hier uw financiële gegevens zouden opvragen? Uw spaartegoeden, hypotheek, bankafschriften. Zouden wij dat accepteren?”

De voorzitter van het College Bescherming Persoonsgegevens (CBP), de privacywaakhond van Nederland, laat even een stilte vallen. Dan gaat hij door: „Precies dát gebeurt nu door de Amerikanen. En die toenemende greep vanuit de VS is niet aanvaardbaar. Het leidt ertoe dat we de normen en waarden van de VS hier opgelegd krijgen. En dat terwijl er geen sprake is van wederkerigheid. Als Europa gegevens zou opeisen van Amerikaanse bedrijven, dan staan de VS op hun kop. Dit rechtvaardigt een sterk optreden.”

Het zit de Collegevoorzitter hoog: „In ons rechtstelsel hebben we checks and balances, die met de extraterritoriale werking van de Amerikaanse wetgeving teniet worden gedaan. Die bepalingen brengen het Europese rechtstelsel uit balans en overschaduwen het.”

De War on Terror, die na ‘9/11’ losbarstte, wordt door de Amerikanen niet alleen uitgevochten met kruisraketten of bomtapijten op Tora Bora. Sinds 2002 hebben ze hun greep op de wereldwijde informatiestromen verstevigd. Maar waar de veiligheidsmaatregelen op luchthavens vaak nog zichtbaar zijn, is er ondertussen ook een sluipende, maar minstens zo ingrijpende ontwikkeling aan de gang in de financiële wereld. Duizenden accountants en specialisten zijn op zoek naar de financiële sporen van terroristen, in de VS, maar vooral ook daarbuiten. En daarbij gaan de Amerikanen ver.

Een tipje van de sluier is vorig jaar juni opgelicht door The New York Times. De geheime dienst CIA bleek sinds de aanslagen dagelijks de beschikking te hebben over miljoenen bankoverschrijvingen uit de hele wereld, óók van klanten van Nederlandse en andere Europese banken. Dat gebeurde met hulp van de Belgische organisatie SWIFT, die voor 8.100 banken en financiële instellingen in de hele wereld de internationale overboekingen verwerkt.

De onthulling schudde Europa wakker. De Art. 29 Data Protection Working Party, de verzameling van Europese privacytoezichthouders, veroordeelde de „heimelijke, systematische en langdurige overdracht van persoonsgegevens door SWIFT aan het Amerikaanse ministerie van Financiën”. Dat gebeurde ook nog eens op „een vertrouwelijke, niet-transparante en systematische manier zonder rechtsgrondslag, en zonder de mogelijkheid van onafhankelijke controle”. Het was een schending van „fundamentele Europese principes van dataprotectie en een overtreding van de Belgische en Europese wetten”, zeggen de privacytoezichthouders.

De klanten van de banken, wier gegevens naar Amerika zijn doorgespeeld, was nooit verteld wat er gebeurde. De toezichthouders van SWIFT, zoals de Europese Centrale Bank en de Nationale Bank van België wisten ervan, maar zwegen. De meeste centrale banken informeerden zelfs hun eigen overheden niet. Zo kreeg de Belgische regering pas aan de vooravond van de publicatie in de The New York Times te horen wat er aan de hand was. Premier Guy Verhofstadt van België veroordeelde de schending van de privacy.

Hoe zit het eigenlijk in Nederland? Eén ding is zeker: waar in andere EU-landen en het Europees Parlement veel beroering ontstond na de SWIFT-onthulling, ging de affaire in Nederland betrekkelijk geruisloos voorbij. Terwijl ook hier dezelfde patronen zichtbaar waren.

De Nederlandsche Bank (DNB), toezichthouder op de Nederlandse banken en daarnaast medetoezichthouder op de betrouwbaarheid en bedrijfszekerheid van de systemen van SWIFT, is ook in 2002 door SWIFT op de hoogte gesteld. DNB lichtte vervolgens het ministerie van Financiën in, meldde minister Zalm (Financiën, VVD) na de onthulling in antwoord op vragen uit de Tweede Kamer. Vier jaar lang hadden DNB en Financiën aan de Kamer en privacywaakhond CBP niets verteld (zie: Privacybeschermer haalt uit naar DNB).

Wie, negen maanden na de onthulling over SWIFT, denkt dat het illegaal doorsluizen van bankgegevens aan de Amerikanen is gestopt, heeft het mis. Zeker, de Europese Commissie en de VS onderhandelen momenteel over een verdrag: daardoor zou Europa voortaan op de hoogte zijn welke gegevens de Amerikanen precies ‘aftappen’. Maar ondertussen laat SWIFT de CIA nog steeds meekijken.

De vraag die opdoemt is of de SWIFT-affaire op zichzelf staat. Gebruiken de Amerikanen misschien nog andere middelen om financiële informatie te vergaren? En wordt die informatie alleen voor terrorismebestrijding gebruikt of misschien ook voor economische spionage? Kortom: hoever reikt de greep van de VS op Europese financiële instellingen?

Bij de officiële instanties blijkt het antwoord op deze vragen niet makkelijk te vinden.

Directeur toezicht Arnold Schilder van DNB verwijst naar de antwoorden van de minister van Financiën aan de Tweede Kamer, en zegt dat hij zich „niet herkent in het beeld dat Nederlandse banken stelselmatig, buiten rechtshulpverzoeken om, informatie verstrekken aan de Amerikaanse autoriteiten.”

Ook de Nederlandse Vereniging van Banken (NVB) geeft geen uitsluitsel. De woordvoerder is kort: „Geen commentaar.”

Wat de bevoegdheden van Amerikaanse opsporingsdiensten zijn, is wettelijk vastgelegd en wordt ook met enige regelmaat besproken tijdens openbare hoorzittingen van het Congres. Startpunt is de Patriot Act die vlak na 11 september 2001 van kracht werd. Daarmee brachten de Amerikanen met één pennenstreek wereldwijd banken onder hun gezag.

Artikel 319 stelt dat de ministers van Financiën en Justitie financiële informatie mogen opvragen bij alle banken in de VS, óók bij de bijkantoren van buitenlandse banken. Buitenlandse banken die slechts een rekening hebben bij een Amerikaanse bank zijn ook verplicht mee te werken. Iedere financiële instelling die internationale overboekingen in dollars doet, valt hiermee onder deze wet. En dat zijn in de praktijk zo goed als alle banken in de wereld.

Al op 12 februari 2002, kort na de inwerkingtreding van de Patriot Act, werd duidelijk wat dit betekent. Plaatsvervangend onderminister van Financiën Mary Lee Warren zei op een hoorzitting van het Congres: „Het geeft ons een mechanisme om buitenlandse bankgegevens op te vragen met administratieve dwangbevelen.”

Dat was geen loze kreet.

Want in de eerste drie maanden dat de wet van kracht was, waren er meteen 90 buitenlandse bankrekeningen gecontroleerd. Inmiddels zijn we jaren verder en kunnen meer dan 150 Amerikaanse overheidsdiensten, van CIA, FBI, OFAC tot de Amerikaanse postdienst, de bestanden van financiële instellingen laten doorzoeken. Dat gaat allemaal via het Amerikaanse Financial Crimes Enforcement Network.

Als het Financial Crimes Enforcement Network (FinCEN) een verzoek om informatie krijgt, dan wordt dat doorgestuurd naar de 29.000 instellingen waar zij contact mee onderhoudt, waaronder de bijkantoren van de buitenlandse banken en de Amerikaanse banken die de rekening van buitenlandse banken beheren. Binnen twee weken zijn de banken, meldt FinCEN, verplicht aan te geven of de gevraagde informatie aanwezig is. Het antwoord van de banken wordt teruggekoppeld naar de verzoekende dienst. Die kan bij een positief bericht zelf actie ondernemen en de informatie bij de bank opvragen. Om de informatie te krijgen, kunnen de toezichthouders, ministeries en opsporingsdiensten een administratief dwangbevel uitvaardigen. Daar komt geen rechter en officier van justitie aan te pas.

Het tappen van SWIFT past dus volgens de VS binnen de bevoegdheden, die de opsporings- en veiligheidsdiensten in dat land sinds ‘9/11’ hebben. Die bevoegdheden gaan zover dat ze informatie kunnen opeisen over klanten die zich buiten de jurisdictie van de VS bevinden.

Via SWIFT kunnen de Amerikanen een schat aan informatie krijgen: over de omvang van een internationale overboeking, de betrokken banken, het tijdstip, de zender en de ontvanger.

Maar banken hebben natuurlijk veel méér gegevens over hun klanten, zoals andere rekeningen, hypotheken en betalingsgeschiedenissen. En ook die gegevens willen de Amerikanen hebben, zeggen advocaten en adviseurs tegen NRC Handelsblad. Een aantal wil niet met naam in de krant. Daarvoor zijn de zakelijke belangen van hun cliënten, de banken, aan de Amerikaanse kant van de oceaan, te groot.

Europese banken staan, zo wordt duidelijk, voor een dilemma. Aan de ene kant willen ze hun relatie en positie in de VS niet beschadigen. Maar aan de andere kant mogen ze volgens Europese wetten voor strafvordering en voor privacybescherming zulke gegevens niet afstaan zonder dat de vereiste juridische wegen zijn bewandeld.

Volgens de ‘koninklijke weg’ zouden de Amerikanen eerst een rechtshulpverzoek moeten doen, of een verzoek moeten indienen bij een Nederlandse toezichthouder. Als banken toch rechtstreeks aan de ‘achterdeur’ informatie afgeven aan de Amerikanen, overtreden ze in Europa de wet.

Die achterdeur staat open, weet Eric Schreuders, partner van privacy-adviesbedrijf Net2Legal in Leiden. „De VS gaan ervan uit dat hun regels van toepassing zijn op alle banken die een kantoor hebben in Amerika. Dat geldt voor de hele bank, dus ook voor het Europese moederbedrijf. Een rechtshulpverzoek vergt al snel maanden. Een officier van justitie toetst de aanvraag en filtert er mogelijk informatie uit. Waarom zou een Amerikaanse opsporingsdienst die moeite nemen, als hij alle informatie veel sneller rechtstreeks bij de bank kan opvragen?”

De Amerikanen hebben een stok achter de deur voor het geval Europese banken niet meewerken, benadrukt Cees Schaap, witwasdeskundige en directeur van SBV-Forensics in Dordrecht. „Banken die de gegevens niet overhandigen, kunnen een boete krijgen die in de miljoenen loopt. In het uiterste geval trekt Amerika de bankvergunning in. Geen zaken doen in of met de VS is geen optie. Als een verzoek binnenkomt, zal een bank loyaal reageren.”

Postdoconderzoeker Bart Custers aan de Universiteit van Tilburg, die overheid en banken adviseert in privacykwesties, zegt dat het geen moeilijke keuze is om de gegevens, ondanks alle bezwaren, tóch af te staan. „De grote banken halen een flink deel van hun omzet uit Amerika. Die gaan dat echt niet in gevaar brengen. Bedrijven kijken naar wat het kost. Aan de ene kant heb je de Nederlandse privacytoezichthouder, het CBP, die relatief lage boetes kan opleggen: pakweg de prijs van een business class vliegticket. Aan de andere kant heb je de Amerikanen die boetes opleggen die in de tientallen miljoenen lopen. Aan welke kant van de oceaan ga je dan zitten?”

Daar komt bij, zegt Rogier Raas, partner bij advocatenkantoor Stibbe, dat bestuurders en managers van een bank in de VS in uitzonderlijke gevallen persoonlijk aansprakelijk gesteld kunnen worden als ze niet meewerken. Raas: „Als een organisatie een boete krijgt, dan is daar nog wel mee te leven. Zodra medewerkers aan vervolging blootstaan of niet meer naar de VS kunnen, dan heeft een bank een groter probleem. De kans op vervolging kan al voldoende reden zijn om mee te werken.”

Geconfronteerd met de mogelijkheid dat de banken zelf, naar Europees inzicht op illegale wijze, gegevens aan Amerikaanse autoriteiten verstrekken, zegt directeur toezicht van De Nederlandsche Bank, Arnold Schilder, dat hem zulke feiten „als zodanig” en „stelselmatig” niet bekend zijn.

De feiten die Schilder niet kent zijn wel bekend bij de advocaten en adviseurs met wie deze krant sprak. Zij bevestigen dat de banken zijn bezweken onder druk van de VS. Advocaat Rogier Raas (Stibbe) memoreert een zaak waarbij een bank in Nederland een Amerikaans verzoek kreeg om klantgegevens te overleggen. De bank had niet veel keuze.

De gegevens bevinden zich in een grijze jurisdictie, zegt Raas: „Informatie is tegenwoordig een vloeibaar geheel. Grote banken hebben tentakels over de hele wereld en overal liggen gegevens opgeslagen.”

Soms is het voor een bank moeilijk om de rechtmatigheid van een verzoek te bepalen. „Moeten ze iedere keer als een verzoek binnenkomt advocaten inschakelen?”, zegt Raas. „Dat gebeurt dus niet altijd. Bij ieder verzoek worden wel vragen gesteld: Is het rechtmatig, dan kun je gegevens verstrekken. Is het niet rechtmatig, dan liever niet, maar hoe hard wil je het spelen?” Meestal zijn Amerikaanse advocatenkantoren bij zulke afwegingen betrokken. „Wij worden doorgaans om algemeen advies gevraagd in de trant van ‘wat moeten we doen als’. Dan weet je dat er een verzoek is binnengekomen.”

Witwasdeskundige Cees Schaap herinnert zich een zaak waarbij een Amerikaanse toezichthouder een internationale betaling van Nederland naar Panama had onderschept, en daarop actie ondernam.

Hoe vaak zijn banken in Nederland in de afgelopen vijf jaar geconfronteerd met informatieverzoeken uit de VS, buiten de reguliere rechtshulpverzoeken om? Wat voor soort informatie is opgevraagd en is die informatie ook geleverd?

ABN Amro en ING ontkennen noch bevestigen het uitleveren van informatie via de achterdeur. De Rabobank geeft toe de gevraagde informatie in Amerika te overleggen, maar wil geen details geven (zie: ‘We doen precies wat we volgens de Amerikaanse wet moeten doen’).

De Europese Federatie van Banken (EFB) laat weten „zeer bezorgd” te zijn over de straffen en de extraterritoriale werking van de Patriot Act. Ook de EFB wil niet in detail treden, omdat de federatie betrokken is bij het zoeken naar een oplossing.

Dat Amerika zo eenvoudig tot financiële gegevens uit Europa toegang kan krijgen, mag van forensisch accountant Cees Schaap niet lichtvaardig worden opgenomen: „Nederlandse onderdanen worden blootgesteld aan het recht van een andere staat.”

Het raakt de rechtsbescherming van de Europese burger omdat er geen checks and balances meer zijn, aldus Schaap. De VS kunnen bij allerlei financiële gegevens in Europa komen zonder dat een rechter in Europa de rechtmatigheid daarvan kan controleren. Schaap: „Montesquieu is overboord gegooid. Een standaardtoetsing door een onafhankelijke partij is niet meer de norm.”

Uiteindelijk gaat het in deze kwestie om wie de regels bepaalt: Europa of Amerika. Alle conflicten zoals rond de passagiersgegevens in de luchtvaart, rond SWIFT en nu met de banken, draaien om de vraag wie sterker is, vindt de Tilburgse onderzoeker Custers. „De VS zijn daarbij in het voordeel. Die spreken uit één mond. De EU moet er telkens met 27 lidstaten uit zien te komen.”

Maar het houdt niet op bij cliëntgegevens van Europese banken, de Amerikaanse arm reikt verder. Dat vermoedt Willem Debeuckelaere. Hij is ondervoorzitter van de Belgische Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Debeuckelaere vreest dat SWIFT of banken of vliegtuigpassagierslijsten maar stukjes van de puzzel zijn.

Debeuckelaere: „Voor zover wij het nu zien, gaat het niet alleen om banken. We hebben nog geen concrete bewijzen, maar ook andere bedrijven die een band met de VS hebben, kunnen gevraagd worden de meest vertrouwelijke gegevens van hun Europese klanten te leveren. Neem softwarebedrijven die economische, medische of juridische gegevens van klanten uit Europa in handen hebben. Er zijn nogal wat firma’s uit de VS die hier werken. Volgens de Amerikaanse wetgeving kunnen bedrijven als Unisys verplicht worden die informatie door te sturen.”

Waar houdt het op? De Amerikaanse wet geldt immers ook voor niet-Amerikaanse bedrijven. Debeuckelaere: „Neem uw KLM of Koninklijke Shell. Ook bij hen kunnen gegevens, van welke aard dan ook, worden opgevraagd. Je moet er niet aan denken wat dat kan betekenen.”

De Nederlandse privacycontroleur, het College Bescherming Persoonsgegevens, vindt dat de politiek moet ingrijpen. De complexiteit van de transatlantische gegevensverstrekking is te groot om aan de toezichthouders alleen over te laten. Voorzitter Kohnstamm: „Wij zijn een kleine club en er zijn beperkingen aan hoeveel we kunnen onderzoeken. De politiek moet de regie nemen en met ons optrekken. Hier staan de Europese normen en waarden op het spel.”

Aanstoot

Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens (CBP), houdt zijn irritatie over collega-toezichthouder De Nederlandsche Bank (DNB) niet binnensmonds. „DNB is al sinds 2002 op de hoogte van de gegevensoverdracht door SWIFT. DNB wist dat het politiek gevoelig lag. Anders had ze de minister van financiën niet zelf ingelicht. Als een toezichthouder weet of kan vermoeden dat de Nederlandse wet wordt overtreden, vind ik het merkwaardig en verwijtbaar dat ze haar collega-toezichthouder niet inlicht. Ik heb daar wel aanstoot aan genomen”.

DNB zegt dat het toezicht op de privacy niet in haar takenpakket zit. Kohnstamm: „Formeel gezien klopt dat. Maar er staat DNB niets in de weg om ons op de hoogte te stellen. Waarom wel de minister waarschuwen en niet het CBP”?

Het CBP stuurde begin januari een brief naar alle banken met daarin de opdracht hun klanten in te lichten dat de Amerikanen hun gegevens kunnen onderscheppen. In reactie hierop werd Kohnstamm half februari bij de centrale bank voor een gesprek gevraagd. Flip Klopper, directeur betalingsverkeer, kondigde aan binnenkort namens de banken met een antwoordbrief te komen. Een „merkwaardige” opstelling, zegt Kohnstamm. „De gang van zaken verbaast me. Het CBP schrijft een brief aan de banken en dringt aan op naleving van de wet. Als reactie daarop krijgen wij nu een brief van een collega-toezichthouder die zich in dit geval kennelijk meer als belangenbehartiger opstelt dan als toezichthouder”.

Kohnstamm dreigt de banken met een last onder dwangsom in het geval zij hun wettelijke plicht niet nakomen tot het verschaffen van informatie over wat er met de persoonsgegevens van hun klanten via SWIFT gebeurt. „De banken overtreden op dit punt zonder twijfel de wet. Zij dienen hun klanten te informeren. Als toezichthouder kunnen we niet aanvaarden dat de banken er mee weg komen”.

De toezichthouder zegt ook te weinig bevoegdheden te hebben. Kohnstamm: „We kunnen pas een ‘boete’ opleggen nadat we een bank hebben gewaarschuwd dat zij het niet nog een keer moet doen. Het zou wel zo effectief zijn als we stevige boetes zonder waarschuwing vooraf konden uitdelen”.

DNB zegt dat zij zelf contact heeft gezocht met het CBP toen deze in januari over de SWIFT-kwestie een brief had gestuurd aan de banken. „Afgesproken is dat wij met de banken overleggen hoe ze met informatie aan hun klanten het CBP tegemoet kunnen komen, in afwachting van een oplossing door de Europese en Amerikaanse politiek”, zegt DNB.

De Rabobank laat weten dat haar vestiging in New York inderdaad verzoeken krijgt van Amerikaanse opsporingsdiensten buiten het officiële rechtshulptraject om, gebaseerd op de Patriot Act. „Daar wordt door ons aan meegewerkt, ook als het gaat om bankgegevens die uit Europa komen. Wij doen precies wat we volgens de Amerikaanse wet moeten doen”, zegt een woordvoerster. De bank wil niet zeggen niet hoeveel verzoeken jaarlijks binnenkomen. Ook over de inhoud ervan zegt de bank niets.

Volgens de Rabobank komen ook bij het hoofdkantoor in Utrecht „sporadisch” verzoeken vanuit Amerika binnen. In zo’n geval verwijst de bank de vragende instantie door naar de Amerikaanse ambassade in Nederland of naar de Nederlandse politie. De woordvoerster: „Die komen dan met het verzoek terug bij ons, soms door tussenkomst van de Nederlandse geheime dienst, de AIVD.” De dienst krijgt de gegevens van de Rabobank en die stuurt hij dan door naar de VS.

ING zegt in een schriftelijke reactie dat het „in strijd is met ons beleid om nadere informatie te verstrekken omtrent gegevens die door de autoriteiten worden opgevraagd en omtrent de vraag in hoeverre ING aan deze verzoeken gevolg heeft gegeven.”

Bij ABN Amro is het weinig anders: „ABN Amro respecteert de nationale, Europese en andere relevante internationale wetgeving ten aanzien van het verstrekken van informatie aan autoriteiten. Als er een spanningsveld bestaat tussen de eisen die door autoriteiten [..] aan ons gesteld worden, dan gaan wij daarover – als dat nodig is – in overleg met onze toezichthouders om tot een oplossing te komen.”

SWIFT, de Society for Worldwide Interbank Financial Telecommunications in het Belgische Terhulpen verwerkt meer dan tien miljoen internationale transacties per dag voor 8.100 banken en financiële instellingen in de hele wereld. Op twee servers, in Terhulpen en in New York, worden de transacties geregistreerd en 124 dagen bewaard.

Kort na de aanslagen van 11 september 2001 dwong het Amerikaanse ministerie van Financiën toegang tot de gegevens af. De CIA mocht, ten behoeve van terrorismebestrijding, in het geheim in de gegevens grasduinen. In 2003 kreeg SWIFT bedenkingen over het tappen door de CIA. De organisatie wilde er liever vanaf. De Amerikaanse centrale bankier Alan Greenspan en de directeur van de FBI intervenieerden persoonlijk om de medewerking van SWIFT te behouden.

Vanaf die tijd is er enige controle op welke gegevens worden getapt. Een volgens SWIFT „onafhankelijke controleur”, adviesbureau Booz Allen Hamilton, ziet toe op de naleving van de Amerikaanse wetten voor privacy en strafvordering. Actiebeweging Privacy International betwist echter dat het adviesbureau onafhankelijk is. De Amerikaanse overheid is een grote klant van Booz Allen Hamilton. In de senior consulting staff van het bureau zitten diverse oud-werknemers van geheime diensten, onder wie een voormalige directeuren van de CIA en de National Security Agency (NSA).

Op 23 juni vorig jaar bracht The New York Times het bestaan van het geheime programma naar buiten. Volgens Europese privacytoezichthouders is de gegevensoverdracht van SWIFT in strijd met de Europese richtlijnen en de nationale wetten van België, waar SWIFT onder valt. Ook de Belgische regering heeft de gegevensoverdracht bestempeld als illegaal.

Desgevraagd zegt Arnold Schilder, directeur toezicht van De Nederlandsche Bank (DNB), dat het toezicht van DNB en haar medetoezichthouders op SWIFT is gericht op de betrouwbaarheid van de technische systemen. DNB heeft een verantwoordelijkheid voor het bevorderen van de goede werking van het betalingsverkeer. Schilder: „DNB werd in 2002 op de hoogte gesteld en heeft dit onmiddellijk gemeld aan de minister van Financiën. Nu eind 2006 is gebleken dat de Europese privacy-autoriteiten bezwaar maken, zal dit op Europees-Amerikaans politiek niveau moeten worden opgelost.”

Het Nederlandse ministerie van Financiën zegt desgevraagd geen oordeel te hebben over de legaliteit van de gegevensoverdracht. Een woordvoerder laat weten dat op Europees niveau naar een oplossing wordt gezocht. De Raad van Ministers en de Europese Commissie hebben hiertoe een gezamenlijke werkgroep ingesteld. Het ministerie zegt ook in Nederland naar een oplossing te zoeken. Welke concrete stappen daarvoor worden genomen „kan en wil” de woordvoerder niet vertellen.

Ook SWIFT zelf zegt in een reactie een politieke oplossing toe te juichen: „Het probleem is het verschil in wetgeving. Daardoor is een grijs gebied ontstaan en dat moet politiek opgelost worden.”