Preview document (🔗 origineel)

---

Met deze brief informeer ik uw Kamer over de uitkomsten van de (derde) jaarlijkse audit van het Verwijzingsportaal Bankgegevens over 2024, het controleprogramma voor de banken en andere betaaldienstverleners en de opvolging van de bevindingen uit de audits over 2022 en 2023. De auditrapportrages zijn bijgesloten. De audit is een verplichting die volgt uit het Besluit verwijzingsportaal bankgegevens (hierna: het Besluit). In artikel 5, lid 3, van het Besluit is opgenomen dat er tweejaarlijks een audit¹ wordt gedaan naar de goede uitvoering van het besluit. In artikel 5, lid 4, van het Besluit is opgenomen dat de eerste vijf jaar na de inwerkingtreding van het besluit de audit jaarlijks zal worden gedaan.

Aanleiding

Het Verwijzingsportaal Bankgegevens is een digitale voorziening² waarmee het opvragen van identificerende gegevens van rekeninghouders van banken en andere betaaldienstverleners (verstrekkers) door de daartoe reeds bevoegde overheidsdiensten (afnemende organisaties) wordt ondersteund. Met het Verwijzingsportaal is deze wettelijk verplichte verstrekking beter beveiligd en vele malen sneller, hetgeen effectievere (financiële) opsporing ten goede komt. De bevoegde diensten zijn gedefinieerd in Artikel 6 van het Besluit verwijzingsportaal bankgegevens: de politie, het openbaar ministerie (OM), de Fiscale Inlichtingen- en Opsporingsdienst (FIOD), de Opsporingsdienst van de Nederlandse Arbeidsinspectie (OD-NLA), de Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit (NVWA-IOD), de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport (ILT-IOD), de Koninklijke Marechaussee (KMAR, de Rijksrecherche, de Financiële inlichtingen eenheid (FIU-Nederland) en de Belastingdienst. In artikel 3:267i, derde lid, van de Wet op het financieel toezicht is bepaald voor welke (reeds bestaande) wettelijke grondslagen banken en andere betaaldienstverleners identificerende gegevens ter voldoening aan een vordering of verzoek aan voornoemde bevoegde autoriteiten dienen te verstrekken.

Verstrekkers waren al wettelijk verplicht om aan dergelijke vorderingen of bevragingen door deze diensten te voldoen. Voor de komst van het VB verliepen deze bevragingen rechtstreeks, bijvoorbeeld via mailverkeer tussen de opsporingsdienst en de bank. Nu zijn verstrekkers verplicht deze gegevens via het portaal te verstrekken.

Aanpak voor de audit

Op grond van het Besluit wordt bij de audit ingegaan op de werking van het Verwijzingsportaal Bankgegevens en de kwaliteit van de vorderingen, verzoeken en verstrekkingen van gegevens. Voor de uitvoering van de audits van het Verwijzingsportaal Bankgegevens is een meerjaren-auditplan opgesteld. Het plan bevat afspraken over welke organisatie wanneer een onafhankelijke audit ondergaat. De aanpak is gebaseerd op de volgende principes en verantwoordelijkheden:

• De afnemende organisaties moeten in de eerste plaats zelf hun interne controles op orde hebben en uitvoeren. Dit is een belangrijke randvoorwaarde. De interne controles zijn opgenomen in het “gebruiksprotocol afnemende organisaties”, dat door de afnemende organisaties is geaccepteerd.

• De afnemende organisaties voeren minimaal twee maal per jaar een interne controle uit en rapporteren hierover aan mijn ministerie. Bij een beperkt gebruik van het VB, dat minder dan 100 vorderingen per jaar omvat, is de rapportage jaarlijks.

• Een onafhankelijke auditor voert vervolgens een audit uit op die op de interne controles betrekking heeft. Hiervoor is in samenspraak met de Audit Dienst Rijk (ADR) een toetsingskader ontwikkeld.

Een meerjarenplanning draagt bij aan sturing op de realisatie van de rand­voorwaarden voor het gebruik van het Verwijzingsportaal Bankgegevens. Dit geldt voor het op orde hebben van de interne controles, het bieden van duidelijke tijdlijnen voor het rapporteren aan de Tweede Kamer en inzicht in en spreiding van de benodigde auditcapaciteit en auditlast, zowel voor de ADR als voor Justid, de afnemende organisaties en de verstrekkers.

In de vorige kamerbrief³ is aangegeven dat in samenwerking met de vier grootbanken ABNAMRO, ING, Rabobank en Volksbank/ASN en de Nederlandse Vereniging van Banken ook wordt gewerkt aan een programma voor controle op de kwaliteit van de verstrekkingen als onderdeel van de audit. De reikwijdte van de controle betreft alle aangesloten banken en andere betaaldienstverleners. Dit stelt het ministerie van Justitie en Veiligheid in staat om over het hele proces van vorderen/verzoeken, beheer en verstrekken te kunnen rapporteren. De vier grootbanken hebben al sinds 2024 jaarlijks interne controles uitgevoerd. Het controleplan voor gegevensleveringen bevat de volgende elementen:

• Levering gegevens (Juistheid, Volledigheid en Tijdigheid)

• Beschikbaarheid

• Veiligheid verbinding en overdracht gegevens

• Outsourcing, indien sprake is van uitbesteding van aspecten van de gegevenslevering die op het gegevensleveringsproces betrekking heeft.

Uitkomsten van de audits in 2025

In 2025 zijn vijf audits uitgevoerd: naar het beheer van het VB door Justid/Opsporing, en naar de bevragingen die in 2024 via het portaal zijn gedaan door de Rijksrecherche, het Openbaar Ministerie (OM), de politie en de Financial Intelligence Unit (FIU-Nederland). De auditrapporten zijn bijgevoegd.

Hieronder ga ik onder 1 tot en met 5 per audit in op de belangrijkste bevindingen en de opvolging daarvan. Vervolgens ga ik onder 6 in op de opvolging van de bevindingen uit de eerdere audits over 2022 en 2023.

1. Justid/Opsporing

Deze audit was er gericht op de naleving van de maatregelen in de Baseline Informatiebeveiliging Overheid (BIO) door Justid/Opsporing met betrekking tot de governance van privacy en informatiebeveiliging, het beheer van wijzigingen, logische toegangsbeveiliging en back-up, restore en uitwijk.

Uit de rapportage is gebleken dat de ADR geen opmerkingen had over de wijze waarop de BIO is geïmplementeerd. Bevindingen van de ADR hadden betrekking op het opstellen van een procesbeschrijving voor de uitvoering van BIO-controles, het verbeteren van de kwalitatieve vastlegging van de uitkomsten van de controles in de daarvoor bestemde formulieren, het verbeteren van de vastlegging van de status van de uitgevoerde BIO-controles en de rapportage daarover aan het management van Justid en de onafhankelijkheid van de uitvoering van de controles. De aanbevelingen zijn door Justid/Opsporing overgenomen, zodat het interne controleproces rondom de werking van de BIO verder zal worden versterkt.

2. Openbaar Ministerie

De auditdienst van het OM heeft zich gericht op het interne controleproces bij het OM. De auditdienst van het OM heeft geen afwijkingen vastgesteld met betrekking tot de uitvoering van de interne controle naar het gebruik van het VB. Uit de interne controle bleek dat gebruikers geautoriseerd en de onderzochte vorderingen allen rechtmatig waren. De auditdienst van het OM heeft vastgesteld dat de interne controle door de bevoegde functionaris zorgvuldig, volledig en conform het toetsingskader is uitgevoerd. De uitvoering van de controle voldoet aan de toetsingspunten zoals vastgelegd in de documenten ‘Criteria voor de audit van het Verwijzingsportaal Bankgegevens (VB) bij het Openbaar Ministerie’ en het ‘VB-gebruiksprotocol’. De toegang tot het VB is aantoonbaar beperkt tot vermogenstraceerders en administratieve medewerkers van het Landelijk Internationaal Rechtshulp Centrum (LIRC). Alle medewerkers met toegang tot het Verwijzingsportaal Bankgegevens waren op grond van hun functie hiertoe (wettelijk) gemachtigd. De registratie en monitoring van deze toegangsrechten is adequaat geborgd.

3. Rijksrecherche

Bij het onderzoek van het gebruik van het VB door de Rijksrecherche zijn door de ADR geen afwijkingen vastgesteld met betrekking tot mogelijke onregelmatigheden bij het gebruik van het VB. Gebruikers waren geautoriseerd, onderzochte vorderingen waren allen rechtmatig en het interne controleproces heeft gefunctioneerd. Een verbeterpunt dat door de ADR is geïdentificeerd betreft het uitbreiden en formaliseren van de interne controles en het verbeteren van de beschrijving van het proces van controle van autorisaties. Deze aanbeveling is door de Rijksrecherche overgenomen.

4. Politie

Evenals in 2023 en 2024 heeft de auditdienst van de politie het proces van bevragen met behulp van het VB onderzocht. Zoals in de kamerbrief aangegeven van 28 november 2024, met als referentie 5884539,is aangegeven heeft de auditdienst van de politie de opvolging van de punten meegenomen die gedurende de audit in 2024 zijn geïdentificeerd.

Het grootste deel van de VB-bevragingen door de politie (ruim 62%) betreft het oppakken van online aangiftes van oplichting via handelsplaatsen, webwinkels en sociale media door het Landelijke Meldpunt Internet Oplichting (LMIO). De koppeling met het VB bij het LMIO is volledig geautomatiseerd, alleen een bevoegde hulpofficier van justitie kan bevragingen goedkeuren. Het proces van bevragen en dossiervorming is zodanig ingericht dat alle stappen worden gelogd en daarmee controleerbaar zijn. De auditdienst heeft geen afwijkingen vastgesteld bij de LMIO-bevragingen.

Met betrekking tot de overige, handmatige bevragingen binnen de politie is de kwaliteit van de dossiervorming nog een aandachtspunt. Gedurende 2024 zijn verbeteringen in het gebruik doorgevoerd. Uit de halfjaarlijkse interne controles blijkt echter dat de verbeterde werkwijze nog niet bij alle bevragingen geïmplementeerd is. In de interne controlerapportage wordt dan ook terecht opgemerkt dat de kwaliteit van de dossiervorming wisselt. De in de audit geïdentificeerde verbeterpunten betreffen de volgende aspecten:

• Bij een beperkt aantal gevallen is geconstateerd dat de datum van ondertekening later was dan de datum van de VB-bevraging. Daarnaast kon voor een aantal bevragingen niet vastgesteld worden of de datum van ondertekening vóór de datum van de bevraging ligt, vanwege ontbrekende vorderingen in de dossiers.

• Bij een beperkt aantal geselecteerde posten komt de in de VB-bevraging opgenomen wettelijke grondslag niet overeen met de in de vordering vermelde grondslag. Daarnaast kon deze aansluiting niet bij alle geselecteerde items uitgevoerd worden vanwege ontbrekende documenten.

• Niet bij alle bevragingen was de motivering aanwezig waarom alle financiële instellingen bevraagd waren.

• Bij een aantal bevragingen komen de zoekcriteria in het resultaat niet overeen met de zoekcriteria in de vordering, bijvoorbeeld op het gebied van de bevraagde periode of de motivering “alle banken” (de vordering was gericht aan alle financiële instellingen, terwijl het resultaat was gericht aan 1 bank).

• Niet bij alle geselecteerde items is een vordering of een resultaat aanwezig. Daarnaast zijn in sommige gevallen de resultaatberichten zonder inhoudelijk resultaat niet bewaard.

De auditdienst onderschrijft de bevindingen die zijn gerapporteerd in de jaarlijkse interne controle rapportage met betrekking tot de toegangsverleningsprocecure. In 2025 is de toegang tot VB uit een aantal gebruikersprofielen verwijderd, nadat uit analyse over 2024 was gebleken dat functionarissen met deze gebruikersprofielen geen gebruik maakten van VB.

In het auditrapport heeft de auditdienst ook over de opvolging van de aanbevelingen uit voorgaande audits gerapporteerd. Bij de vorige audit was aangegeven dat de controle op autorisaties in het Verwijzingsportaal Bankgegevens was ingericht, maar nog niet aantoonbaar uitgevoerd. Inmiddels is deze ook uitgevoerd overeenkomstig het gebruiksprotocol. Daarnaast had de auditdienst vastgesteld dat veel medewerkers toegang hebben tot het Verwijzingsportaal Bankgegevens, maar de groep die daadwerkelijk het portaal gebruikt relatief beperkt is. Over 2024 stelt de auditdienst vast dat de controle op autorisaties is uitgevoerd en dat toegang tot het Verwijzingsportaal Bankgegevens verder is beperkt. Tenslotte merkte de auditdienst op dat in 2024 de interne controle op gebruik van het Verwijzingsportaal Bankgegevens nog in ontwikkeling was. Inmiddels wordt deze interne controle uitgevoerd overeenkomstig het gebruiksprotocol afnemende organisaties.

5. FIU-Nederland

De FIU-Nederland kan het VB bevragen op basis van haar bevoegdheden uit artikel 17 van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). FIU-Nederland verzoekt via het VB om identificerende gegevens.

Naar aanleiding van het onderzoek heeft de ADR verschillende aanbevelingen gedaan. Deze betreffen het aanvullen en formaliseren van de werkinstructie voor de uitvoering van de interne controle en het verbeteren van de vastlegging naar aanleiding van een VB-bevraging. Niet voor alle VB-vraagberichten waren antwoordberichten in het zaaksysteem vastgelegd. Als gevolg hiervan heeft de ADR voor de betreffende VB-bevragingen niet kunnen vaststellen of de informatie uit het verzoek overeenkomt met het antwoordbericht uit het VB. Tenslotte dient de procedure met betrekking tot de interne controle van de autorisaties te worden verbeterd.

De FIU-Nederland onderschrijft de bevindingen en werkt aan concrete verbeteringen. De belangrijkste verbetering wordt verwacht door de koppeling tussen het zaaksysteem en het VB te automatiseren, zodat alle VB-bevragingen en resultaatberichten worden gelogd en daarmee controleerbaar zijn en dat de zoekcriteria in het VB direct afkomstig zijn uit het zaaksysteem zodat geen onbedoelde verschillen of fouten kunnen ontstaan.

6. Opvolging eerdere bevindingen

De afhandeling van bevindingen naar aanleiding van voorgaande audits wordt actief bijgehouden en aan de stakeholders gerapporteerd in de daarvoor opgezette overleggremia. Dit stelt de stakeholders in staat om kennis te nemen van de voortgang en desgewenst bij te sturen indien de situatie daarom vraagt. De ingerichte interne controles bij de gebruikers van het VB helpen ook om inzicht te verschaffen in het gebruik en mogelijke openstaande audit-bevindingen.

Bevindingen naar aanleiding van eerdere audits bij de OD-NLA, de politie, Justid/Opsporing, de FIOD en de KMAR zijn door alle betrokkenen voortvarend opgepakt. Alle betrokken organisaties hebben hun bevindingen afgehandeld en de interne controleprocessen op orde. Bij KMAR is ondanks de inspanningen die zijn verricht nog sprake van het achterblijven van de gewenste kwaliteitsverbetering. Met de KMAR zijn aanvullende afspraken gemaakt over de interne controles met betrekking tot het Verwijzingsportaal Bankgegevens. In het meerjaren auditplan staat in 2026 de audit bij de KMAR ingepland. Het is mijn verwachting dat de inspanningen van de KMAR op korte termijn tot verbetering zal leiden.

Concluderend

Er zijn het afgelopen jaar wederom goede stappen gezet naar een volwassen systeem van interne controles, voortgangsmonitoring en onafhankelijke audits. Alle opsporingsdiensten voeren de afgesproken interne controles uit, met betrekking tot gebruik van het Verwijzingsportaal Bankgegevens en rapporteren hierover binnen de afgesproken termijnen aan mijn ministerie. De interne controlerapportages geven aan dat, waar van toepassing, verbetermogelijkheden zijn geïdentificeerd en dat gericht aan de verbeteringen wordt gewerkt. Dit blijkt ook uit de uitgevoerde audits, die betere uitkomsten kennen dan de audits over voorgaande jaren waarbij in voorkomende gevallen nog geen sprake was van een proces van interne controles.

Uit de uitgevoerde onafhankelijke audits blijkt bovendien dat de interne controlerapportages juist en volledig zijn uitgevoerd. De opsporingsdiensten rapporteren ook aan hun eigen directies over de uitkomsten van de interne controles. Dit toont een hoge mate van betrokkenheid bij de naleving van de wettelijke kaders rondom het gebruik van het Verwijzingsportaal Bankgegevens. Het naleven van de wettelijke kaders is essentieel om een rechtmatig gebruik van het verwijzingsportaal Bankgegevens te kunnen waarborgen.

Ook het komende jaar gaan we op de dezelfde voet verder en zal ik uw Kamer op geëigende momenten hierover informeren.

De Minister van Justitie en Veiligheid,

Foort van Oosten

---

1. Tweede Kamer, vergaderjaar 2023-2024, 35 238, nr. 8. De audit over 2024 is nog niet geagendeerd geweest.↩︎

2. Met het Verwijzingsportaal Bankgegevens is invulling gegeven aan de verplichting uit de richtlijn (EU) 2018/843 inzake de voorkoming van het gebruik van het financ iële stelsel voor het witwassen van geld of terrorismefinanciering om te voorzien in een gecentraliseerd automatisch mechanisme, zoals een centraal register of een centraal elektronisch systeem voor gegevensontsluiting, die de tijdige identificatie mogelijk maakt van alle natuurlijke of rechtspersonen die houder zijn van of zeggenschap hebben over betaalrekeningen en bankrekeningen met een IBAN-identificatienummer en kluizen en richtlijn (EU) 2019/1153 tot vaststelling van regels ter vergemakkelijking van het gebruik van financiële en andere informatie voor het voorkomen, opsporen, onderzoeken of vervolgen van bepaalde strafbare feiten.↩︎

3. Tweede Kamer, vergaderjaar 2024–2025, 35 238, nr. 9↩︎