• Buro Jansen & Janssen is een onderzoeksburo dat politie, justitie, inlichtingendiensten, de overheid in Nederland en Europa kritisch volgt. Een grond-rechten kollektief dat al 30 jaar publiceert over uitbreiding van repressieve wetgeving, publiek-private samenwerking, bevoegdheden, overheids-optreden en andere staatsaangelegenheden.
    Buro Jansen & Janssen Postbus 10591, 1001EN Amsterdam, 020-6123202/06-34339533, info@burojansen.nl.
    Steun Buro Jansen & Janssen. Word donateur, NL56 INGB 0000 6039 04 ten name van Stichting Res Publica, Postbus 11556, 1001 GN Amsterdam.
  • Publicaties

  • Europa

  • Politieklachten

  • SWIFT, zwijgen is goud? (een half jaar later)

    Op 31 januari 2007 debatteerde het Europees Parlement over de het doorgeven van bankgegevens van SWIFT aan de VS. In juni 2006 werd bekend dat SWIFT op verzoek van de VS bulk data doorgaf over internationale financiële transacties. Eind 2006 concludeerden zowel de Belgische Privacycommissie als de privacywaakhond van de Europese Unie dat de datatransfer naar de VS onvoldoende waarborgen voor de privacy van klanten geeft. Bovendien sprak men de angst uit dat er mogelijk misbruik van de gegevens wordt gemaakt voor economische spionage. De harde conclusies in Europa hebben in Nederland nog niet geleid tot harde actie. Het College Bescherming Persoonsgegevens bevraagt de financiële instellingen naar hun werkwijze. De Nederlandse bank verwijst slechts naar gedateerde kamerantwoorden uit september 2006 door minster Zalm.

    De New York Times en de Wall Street Journal onthulden eind juni 2006 dat de CIA de financiële gegevens van SWIFT doorzoekt. SWIFT, gevestigd in Brussel, staat voor Society for Worldwide Interbank Financial Telecommunication. In totaal zijn 7.863 financiële instellingen uit 202 landen bij SWIFT aangesloten, die dagelijks een bedrag in de orde van 12 miljard euro afhandelen. Vorig jaar verwerkte SWIFT 123 miljoen internationale overboekingen. Het doel van de CIA zou zijn het opsporen van internationale overboekingen die mogelijk gerelateerd zijn aan terrorisme.
    Naar aanleiding van deze onthulling heeft het Europese parlement op 6 juli jl. een resolutie aangenomen waarin opheldering wordt gevraagd aan de Europese Centrale Bank, de Europese Commissie, en de regeringen in Europa. Zij moeten bekendmaken wat zij wisten over de inzage van bankgegevens van particulieren door de Amerikaanse inlichtingendienst CIA. Privacy International heeft vervolgens in 17 landen, waaronder Nederland, bij instellingen die toezicht houden op privacyregels een klacht ingediend tegen de overdracht van zulke informatie.
    Zowel het Europese Parlement als Privacy International maakt zich zorgen over de bescherming van de persoonsgegevens, het ontbreken van een wettelijke basis voor overdracht van gegevens aan de CIA en mogelijke bijeffecten zoals bijvoorbeeld economische spionage.

    De Belgische Commissie voor bescherming van de persoonlijke levensfeer (vergelijkbaar met het Nederlands College Bescherming Persoonsgegevens) kwam als belangrijkste toezichthouder (SWIFT is immers in Brussel gevestigd) eind september 2006 met een uitgebreid rapport over de zaak. De vraag die de Privacy Commissie wilde beantwoorden was of er in het dossier SWIFT sprake was van schending van Belgische privacywetgeving.
    Uit het rapport blijkt dat niet de CIA, maar de United States Department of the Treasury (UST), en dan specifiek de afdeling ‘Office of Foreign Assets Control (OFAC)’ dwangbevelen heeft gericht aan SWIFT waarin persoongegevens werden opgevraagd.
    De dwangbevelen werden gegeven op grond van het Terrorist Finance Tracking Program Executive Order 13224 – een bevel van de Amerikaanse president van 23 september 2001. Als wettelijke basis voor dit bevel en het Terrorist Finance Tracking Program beroept de Amerikaanse regering zich op de International Emergency Economic Powers Act van 1977 en de United Nations Participation Act.
    De Belgische Privacycommissie concludeerde dat SWIFT de Belgische wet had overtreden, in het bijzonder de notificatieplicht bij het vastleggen van persoonsgegevens. Wat betreft het doorgeven van de persoonsgegevens aan de Amerikaanse UST stelde de Belgische privacycommissie dat SWIFT substantiële inschattingsfouten had gemaakt bij het voldoen aan de Amerikaanse bevelen. ‘Van het begin af aan had SWIFT zich moeten realiseren dat de fundamentele principes van de Europese wetten in acht hadden moeten worden genomen. De Europese Privacy Commissie had moeten worden ingelicht, er had gekeken moeten worden naar de bewaartermijn, de proportionaliteit, de controle op de afgegeven gegevens en een onafhankelijk toezicht’.
    De Belgische Privacy Commissie constateerde dat de Amerikaanse dwangbevelen na 11 september 2001 van karakter waren veranderd. “De dwangbevelen van de UST zijn van een totaal verschillend karakter en kunnen gekwalificeerd worden als niet geïndividualiseerde massale opvragingen (“Rasterfandung” of “carpet sweeping” techniek) in een eerste fase. Het toepassingsgebied van de dwangbevelen is, zowel materieelals territoriaal als in de tijd zeer breed. Het wordt gedefinieerd in de dwangbevelen en in de onderhandelingsbriefwisseling tussen de VS en SWIFT. De dwangbevelen werden toegepast voor alle transacties die verband houden of kunnen houden met terrorisme, in verband met een x-aantal landen en jurisdicties, op die datum, of van … tot … variërend van één tot meerdere weken, binnen en/of buiten de VS. Het gaat dusom boodschappen over interbancaire transacties binnen de VS., van of naar de VS., en buiten de VS., zoals bijvoorbeeld binnen de EU.”
    Ook achterhaalde de Belgische Privacy Commissie dat de VS een zeer brede definitie van terrorisme gebruikten: “de aanpak van aanvallen van terroristen tegen de VS die na 11 september 2001 plaatsvonden en een globaal netwerk van terroristencellen die een bedreiging zouden bieden voor verder geweld tegen VS onderdanen, VS eigendom en belangen en belangen in het thuisland en buitenland.”

    In oktober 2006 hield het Europese Parlement een hoorzitting over SWIFT, waarbij de leden van EP spraken met de President van de Europese Centrale Bank, SWIFT, de Nationale Bank van België en deskundigen op het gebied van gegevensbescherming om het juridische kader te onderzoeken waarbinnen SWIFT de gegevens verzamelde en uitwisselde.
    Tijdens de hoorzitting vertelde Francis Vanbever van SWIFT dat het bedrijf zowel in de VS als in Europa automatisch alle gegevens bewaart om in geval van een calamiteit de activiteiten altijd voort te kunnen zetten. De gegevens vallen hiermee dus zowel onder de Europese (Belgische) als de Amerikaanse wet. Volgens Vanbever werden er overigens alleen gegevens doorgegeven die betrekking hadden op lopende
    terrorismeonderzoeken.
    Jean-Claude Trichet (directeur van de Europese Centrale Bank) meldde dat ‘de regels wat betreft vertrouwelijkheid er de oorzaak van waren dat geen van de betrokken centrale banken de EU-regeringen of de autoriteiten op het gebied van gegevensbescherming van de kwestie op de hoogte konden worden gesteld.’
    Tijdens de hoorzitting gaf ook de voorzitter van de Belgische Senaat, mevrouw A. M. Lizin een overzicht van de uitkomsten van de verschillende onderzoeken in België.
    Lizin meldde overigens dat de “Senior level oversight Group” (G-10), bestaande uit de Nationale Banken van een aantal deelnemende lidstaten (waaronder België en Nederland) al in februari 2002 op de hoogte waren gesteld van het bestaan van de dwangbevelen. SWIFT heeft getracht de goedkeuring van de centrale banken te verkrijgen tot uitvoering van de dwangbevelen, maar de overseers hebben altijd herhaald dat er geen sprake kon zijn van goedkeuring of certificatie van hun kant’.

    Vlak na de hoorzitting van het Europese Parlement kwam op 22 november 2006 vervolgens de Europese Privacy Commissie (Artikel 29 Werkgroep) met haar conclusies over de SWIFT-zaak. Om te beginnen stelt de Artikel 29 Werkgroep dat ook in de strijd tegen terrorisme en misdaad fundamentele rechten beschermd dienen te worden.
    Verder sluit het rapport aan bij de Belgische bevindingen, maar voegt toe dat SWIFT en de financiële autoriteiten in de EU beiden verantwoordelijkheid dragen: ‘niet alleen SWIFT maar ook de financiële instituties in de EU hebben nagelaten om personen te informeren dat er bij SWIFT persoonsgegevens verwerkt en bewaard werden’. Dit betekent dat ook de directeur van de Nederlandse Bank in gebreke is gebleven.
    Een belangrijke conclusie was dat de EU Data Protection Directive 95/46/EC van toepassing is bij het uitwisselen van persoonsgegevens via het SWIFT netwerk Mede hierom benadrukte de Artikel 29 Werkgroep dat de Europese financiële autoriteiten een ernstige steek hebben laten vallen: ze hadden de plicht om te zorgen dat SWIFT volgens de Europese regels werkt. De nalatigheid van de Europese autoriteiten blijft verbazingwekkend.
    SWIFT is volgens de Artikel 29 Werkgroep in gebreke gebleven wat betreft de notificatieplicht betreffende het verwerken van persoongegevens en betreffende het opzetten van tweede centrum in de VS, waar ook alle Europese data worden bewaard.
    De financiële autoriteiten hebben bovendien hun plicht verzaakt SWIFT te wijzen op de wettelijke regels. Zij hebben de taak zich op de hoogte te stellen van de details (zowel technisch alsjuridisch) en hun verantwoordelijkheid ten opzichte van SWIFTwaar te maken. Ze dragen immers de verantwoordelijk ten opzichte van hun klanten dat er zorgvuldig, volgens de geldende regels met hen toevertrouwde persoonsgegevens wordt omgegaan. Dit belang is volgens de Artikel 29 Werkgroep alleen maar groter nu vast staat dat er een massale transfer is geweest naar een land (de VS) waar de bescherming van persoongegevens op een zeer laag peil staat.
    Uiteindelijke concludeerde de Artikel 29 Werkgroep dat ‘het gebrek aan openheid en adequate en effectieve controlemechanismen in het proces van transfer van persoonsgegevens naar de VS een ernstige inbreuk vormen op de EU Data Protection Directive.’

    Volgens de Artikel 29 Werkgroep diende er onmiddellijk actie te worden ondernomen.
    – De procedure moet in overeenstemming worden gebracht met de regels.
    – De internationale transfer moet ook onmiddellijk in overstemming worden gebracht met de regels.
    – SWIFT moet er voor zorgen dat onmiddellijk wordt voldaan aan de Belgische Privacywetgeving
    – De nationale banken moeten inzicht verschaffen in het toezicht op SWIFT. Ook dit toezicht dient te voldoen aan de Europese privacyregels.
    – De financiële instellingen dienen met onmiddellijke ingang hun cliënten op de hoogte te stellen van de verwerking van hun persoonsgegevens door SWIFT en het feit dat de VS toegang kunnen krijgen tot deze gegevens.
    – De financiële instellingen en de Centrale Banken dienen te onderzoeken of er alternatieve technische mogelijkheden bestaan die wel in overeenstemming zijn met de Europese Datarichtlijn.

    Naar aanleiding van het rapport van de Artikel 29 Werkgroep heeft de Europese Commissaris van Justitie, Franco Frattini, de lidstaten gevraagd te onderzoeken hoe zij de Europese privacyrichtlijn geïmplementeerd hebben. Ook in 2003 heeft de Europese Commissie hier een onderzoek naar verricht en toen bleek dat de richtlijn 95/46/EC heel divers was ingevoerd in de lidstaten. Ook maakte de Europese Commissie zich destijds al ernstige zorgen over het gebrekkige niveau van kennis over de regelgeving. Het gevolg daarvan was dat er in veel gevallen niet voldaan werd aan de richtlijn van de Europese Commissie. In veel landen ontbrak het aan voldoende middelen om de regels te handhaven. Naar aanleiding van de SWIFT-affaire heeft de Europese Commissie de lidstaten gevraagd opnieuw verslag te doen van de implementatie van de datarichtlijn 95/46/EC.
    Tijdens de Europese Top van 15 en 16 december 2006 kaartte de Belgische premier Guy Verhofstadt SWIFT nogmaals aan. Hij probeerde te benadrukken dat de hele kwestie een Europese zaak was en dat niet alleen België verantwoordelijk kon worden gehouden voor de illegale datatransfer. De Europese Commissie lijkt er ook zo over te denken, maar wacht nog met een definitief oordeel tot de rapporten van de lidstaten binnen zijn. Het Belgische blad Knack meldde op 15 januari 2007 dat bijna al die rapporten binnen zijn. Nog twee lidstaten zijn bezig, maar ook deze zullen vermoedelijk voor 1 februari een verslag hebben ingeleverd. Op basis van deze rapporten en het rapport van de Artikel 29 Werkgroep zal de Europese Commissie vervolgens beslissen of er sprake is van een schending van het Europese recht en of er een zogenaamde ‘procedure van ingebrekestelling’ tegen België zal worden opgestart.

    Het Europese Parlement is naar aanleiding van de hoorzitting van oktober 2006 ook nog bezig met een onderzoek. De commissie Burgerlijke vrijheden, Justitie en Binnenlandse zaken heeft contact gezocht met democratische senatoren in Washington om in samenwerking met hen de toedracht van de feiten te onderzoeken. Ook wordt de voorzitter van de Europese Centrale Bank, Jean-Claude Trichet, nogmaals ondervraagd.
    In december vroegen het lid van Europees Parlement, Pervenche Beres aan de Europese Commissie wat de uitkomst was van het onderzoek van de Europese Commissie naar de werkwijze in de lidstaten. Ook wilde Beres weten of de data van SWIFT in de VS in het Automatic Targeting System worden gebruikt. Dit systeem houdt gegevens bij van alle passagiers en vrachtverkeer van en naar de VS en screent het op mogelijke terroristen.
    Op 31 januari jl debatteerde het Europees Parlement met Commissaris Frattini over de kwestie. Uit de bijdrage van Frattini bleek dat er net als over de PNT gegevens (passagiersgegevens van reizigers naar de VS) over de SWIFT data transfer onderhandelt wordt met de VS. Uitgangspunt voor Frattini vormt het rapport van de Artikel 29 werkgroep. De VS zou moeten garanderen dat de gegevens alleen bij de bestridjing van terrorisme worden gebruikt en dat de gegevens niet in bulk mogen worden verschaft. Er moet duidelijk sprake zijn van een verdenking richting een specifieke persoon, voordat bepaalde duidelijk omschreven data gegeven kan worden. Er moet een duidelijk evenwicht zijn tussen terrorismebestrijding, de bescherming van persoonsgegevens en rechtszekerheid, aldus Frattini. Geïrriteerd melde Frattini dat slechts zeven van de lidstaten verslag hebben gedaan van hun onderzoek naar SWIFT. Italie heeft meer tijd gevraagd, maar de rest heeft helemaal niks laten horen.
    De verslagen van de zeven lidstaten bevestigen volgens Frattini het beeld dat de Artikel 29 Werkgroep gaf: de financiële instellingen waren niet op de hoogte van het feit dat SWIFT de gegevens doorgaf. De Centrale Banken waren hiervan wel van op de hoogte. Met verdere stappen wil Frattini wachten tot alle verslagen binnen zijn.
    De SWIFT-zaak krijgt dus nog een flinke staart. In Nederland is het tot op heden relatief stil geweest in deze kwestie. Ook blijkt dat minister Zalm de Tweede Kamer in september vorig jaar maar gedeeltelijk heeft ingelicht over de kwestie.
    De tweedekamerleden Van Bommel en De Wit (SP) vroegen op 28 juni 2006 of de regering op de hoogte was van verstrekking van de gegevens van SWIFT aan de CIA (wat destijds de onthulling was), hoe de regering oordeelde over deze verstrekking en welke juridische grondslag er was voor deze verstrekking. Minister Zal melde natuurlijk dat het geen verstrekking aan de CIA betrof maar ‘ dat de President van De Nederlandsche Bank (DNB) mij in 2002 heeft meegedeeld dat de vestiging van Swift in de Verenigde Staten administrative subpoenas had ontvangen tot verstrekking van een aantal gegevens aan het Office of Foreign Assets Control van het Amerikaanse Ministerie van Financiën, waaraan SWIFT moest voldoen’.
    Zalm probeerde de kwestie blijkbaar te sussen door te stellen dat om het ‘een aantal administrative subpoenas’ gaat. Strikt formeel klopt dit natuurlijk, maar inhoudelijk wist de Nederlandse Bank (als deelnemer aan de G10 dat de VS een bulk aan gegevens opvroeg. De Belgische Privacycommissie meldde immers dat “de dwangbevelen gekwalificeerd kunnen worden als niet geïndividualiseerde massale opvragingen (“Rasterfandung” of “carpet sweeping” techniek) in een eerste fase’. Verder gaf Zalm aan de onderzoeken van de Belgische en Europese Privacy Commissie af te willen wachten.
    Deze onderzoeken zijn inmiddels natuurlijk al een tijd beschikbaar maar de minister heeft geen conclusies getrokken uit de harde conclusie die in die rapporten werden getrokken.
    De woordvoerder van de Nederlandse Bank, Tobias Oudejans, verwijst bij navraag naar de reactie van de Nederlandse Bank op beide rapporten naar de beantwoording van de Kamervragen door minister Zalm in september vorig jaar. Aan de situatie zelf lijkt ondertussen weinig te zijn vernadert. Navraag bij het College Bescherming Persoonsgegevens (CBP) leert dat Nederland het verslag over de situatie in Nederland nog niet naar de Europese Commissie heeft gezonden. Het CBP bevraagt momenteel de financiële instellingen en de Nederlandse Bank over hun werkwijze ten aanzien van de SWIFT zaak.
    De afhandeling van de kwestie in Nederland roept een hoop vragen op. Het lijkt erop dat minister Zalm de Tweede Kamer maar half heeft ingelicht, dat er weinig haast wordt gemaakt met het verplicht inlichten van klanten van financiële instellingen over de datatransfer en dat Nederland traag is met beantwoorden van de vraag van de Europese Commissie. . Er zou, een half jaar na de onthulling, toch ook in Nederland helderheid moeten komen in deze zaak.

    Op de dag van het verschijnen van dit artikel kwam de Europese Privacy Toezichthouder, Peter Hustinx, met een rapport over de SWIFT zaak.
    Today, the European Data Protection Supervisor (EDPS) issued his opinion on the role of the European Central Bank (ECB) in the SWIFT case. The ECB’s position in the context of the payment system is threefold, being an overseer, a user, and a policy maker. When deciding to use SWIFT’s services in its own payment operations, the ECB was placed in the position of a joint controller. As such, it is co-responsible for ensuring full compliance with data protection rules. This includes ensuring respect for the purpose limitation principle, information to data subjects, and adequate guarantees when personal data are transferred to third countries.
    Peter Hustinx, EDPS, says: “Just as other banks, the ECB can not escape some responsibilities in the SWIFT case which has breached the trust and private lives of many millions of people. Secret, routine and massive access of third country authorities to banking data is unacceptable. The financial community should therefore provide payment systems which do not violate European data protection laws”.
    As part of the group of central banks that oversee SWIFT’s activities, the ECB has moral suasion powers. Although not binding, these should also be used to prevent data protection breaches that might hamper financial stability and to ensure that competent authorities are timely informed.
    The ECB also bears some responsibility for the way in which its “clients'” data are processed by SWIFT. Acting effectively as a joint controller, means that the ECB needs to ensure full compliance with data protection rules for its clients.
    In cooperation with other central banks, the ECB has a central policy making role in shaping European payment systems. In that capacity, it needs to ensure that the architecture of those systems does not allow that information on all European payments is transferred to third country authorities in breach of data protection law.
    The SWIFT case started in June 2006 when press coverage revealed a secret US terrorist financing tracking system. This raised issues of compliance with European data protection legislation, and complaints were lodged with data protection authorities all over Europe.
    Privacy International over Swift
    Hoorzitting Europees Parlement
    Verslag Belgische Privacycommissie
    Opinion 10/2006 on the processing of personal data
    United States Department of the Treasury
    Debat Europees Parlement, 31 januari 2007
    Opinion on the role of the European Central Bank i