Straks weet je bank meer over jou dan de politie — en deelt het met de halve wereld

In dit artikel:

De Algemene Rekenkamer stelt dat de massale controles door banken op witwassen praktisch geen aantoonbare resultaten opleveren, terwijl ze wel ingrijpende bijwerkingen hebben — vooral voor mensen met een buitenlands klinkende naam. Nederland valt op omdat banken hier miljoenen ‘ongebruikelijke transacties’ melden: in 2024 ging het om 3,5 miljoen meldingen, een Europees record. Banken gaven dat jaar ongeveer 1,6 miljard euro uit aan die meldingen; een deel van die kosten wordt doorberekend aan zakelijke klanten.

De huidige Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), die bijna achttien jaar geldt, verplicht banken klanttransacties te monitoren en ‘ongebruikelijkheden’ te melden. De Rekenkamer concludeert dat er geen zicht is op of dat überhaupt witwassen voorkomt; eerdere aanbevelingen om effectiviteit te meten bleven onopgevolgd. Tegelijk laat onderzoek zien dat klachten over discriminatie en ‘derisking’ (banken die klanten op basis van risicoprofielen weigeren of afsluiten) talrijk zijn: moskeeën en klanten met niet-Nederlandse namen krijgen vaker kritische vragen of worden afgesloten, terwijl vergelijkbare christelijke instellingen dat niet ondervinden. ING werd al meermalen veroordeeld voor discriminatie; Rabobank zette volgens onthullingen maandelijks tienduizenden klanten weg op vage gronden.

Nieuwe Europese regels, die volgend jaar van kracht worden en de Wwft vervangen, veranderen het systeem op een belangrijk punt: in plaats van alle ‘ongebruikelijke’ transacties moeten instellingen straks alleen nog transacties melden als er een ‘redelijk vermoeden’ van een strafbaar feit is. Dat lijkt aanscherping, maar de verordening breidt ook taken en bevoegdheden uit: banken moeten niet alleen alert zijn op witwassen, maar op vermoedens van allerlei strafbare feiten, mogen meer gevoelige persoonsgegevens (zoals geboorteplaats, nationaliteit en religie) gebruiken en opslaan, gegevens delen met andere banken en overheden, en ondoorzichtige AI-systemen inzetten voor screening.

Die uitbreidingen roepen veel zorgen op:
- Opsporingstaak voor private partijen: Juristen en experts vrezen dat banken functies krijgen die thuishoren bij politie en OM. Banken hanteren eigen, vaak subjectieve maatstaven en zijn niet opgeleid voor strafrechtelijk onderzoek. De enorme stroom meldingen raakt bovendien politie en FIU — die mankracht en capaciteit missen om alles te onderzoeken — waardoor echte criminelen buiten schot blijven.
- Risico op discriminatie en uitsluiting: De regels werken met een ‘risicogebaseerde aanpak’ en niet-limitatieve risicofactoren. Banken mogen aanvullende factoren bedenken en hoeven die niet openbaar te maken, waardoor mensen moeilijk kunnen betwisten waarom zij als ‘hoog risico’ worden aangemerkt. Toezichthouders, waaronder de Autoriteit Persoonsgegevens (AP) en het College voor de Rechten van de Mens, waarschuwen dat dit indirect onderscheid op basis van afkomst, religie of woonplaats kan veroorzaken. Omdat AI vaak een 'black box' is, is rechtvaardiging en controle van beslissingen problematisch.
- Massale data-uitwisseling: Gegevens van vermoedelijk ‘hoogrisico’-personen mogen gedeeld worden met partnerschappen van banken en overheden (Belastingdienst, DNB, Fiod, politie, OM) en kunnen ook internationaal circuleren. Privacytoezichthouders noemen dit gevoelig en betwijfelen of zulke grootschalige inbreuken noodzakelijk en proportioneel zijn; de Europese privacywaakhond (EDPB) waarschuwde eerder al tegen data-uitwisseling omdat het op massasurveillance door private actoren zou neerkomen.
- Ontbrekende rechtsbescherming: Klanten krijgen weinig tot geen inzicht in welke risicofactoren of algoritmes tegen hen spreken. Er is geen expliciet verbod op derisking in de verordening; wie onterecht een rekening of hypotheek kwijtraakt moet doorgaans via kostbare rechtzaken proberen zich te verdedigen, met het risico geruïneerd te worden in de bancaire markt (unbankables).

De ministers van Financiën en Justitie erkennen dat controles soms zijn ‘doorgeslagen’ en kondigden overleg met de financiële sector aan, maar wezen pleidooien voor wettelijke discriminatiegaranties af. Toezichthouders en mensenrechtenorganisaties pleiten juist voor strikte monitoring van effectiviteit, transparantie, een verbod op derisking en harde waarborgen tegen discriminatie — voorwaarden die volgens de Rekenkamer en privacywaakhonden ontbreken of onvoldoende zijn.

Kort samengevat: het Nederlandse stelsel heeft enorme schaal en kosten bereikt zonder bewijs van doeltreffendheid, terwijl de nieuwe Europese regels de controle- en datarechten van banken juist vergroten. Dat vergroot het risico op discriminatie, uitsluiting en schending van privacy en brengt fundamentele vragen met zich mee over de grenzen van privaat toezicht, de rechtsbescherming van burgers en het vertrouwen in overheidsbeleid rondom financiële controle.