Uitspraak
Rechtbank Rotterdam
Bestuursrecht
zaaknummer: ROT 20/1512
uitspraak van de meervoudige kamer van 5 februari 2021 in de zaak tussen
bunq B.V., gevestigd te Amsterdam, eiseres (bunq),
gemachtigden: mr. G.P. Roth, mr. drs. C. Riekerk en mr. L.B.G. Hillen,
en
De Nederlandsche Bank N.V., verweerster (DNB),
gemachtigden: mr. A.J. Boorsma en mr. C. de Rond.
Procesverloop
Bij besluit van 18 juli 2019 (het primaire besluit) heeft DNB aan bunq een aanwijzing gegeven tot het volgen van een bepaalde gedragslijn, strekkende tot beëindiging van overtreding van het Besluit prudentiële regels Wft (Bpr) en de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
Bij besluit van 11 februari 2020 heeft DNB het door bunq daartegen gemaakte bezwaar ongegrond verklaard.
Tegen dit besluit heeft bunq beroep ingesteld bij de rechtbank.
DNB heeft een verweerschrift ingediend.
De zaak is op 19 november 2020 ter zitting van een meervoudige kamer behandeld. Namens bunq zijn haar gemachtigden verschenen, vergezeld door [naam 1] , [naam 2] en [naam 3] , respectievelijk CEO, CRO en Head of Compliance van bunq. DNB is ter zitting vertegenwoordigd door haar gemachtigden, vergezeld door [naam 4] , [naam 5] , [naam 6] en [naam 7] , allen werkzaam bij DNB.
Overwegingen
Inleiding
1.1.
Bunq is een bank en beschikt sinds 17 september 2014 over een vergunning van DNB als bedoeld in artikel 2:11, eerste lid, van de Wet op het financieel toezicht (Wft). Bunq heeft ongeveer 100.000 klanten, waarvan ongeveer 8000 zakelijke klanten, zowel in Nederland als in het buitenland. Bunq biedt haar diensten uitsluitend mobiel via haar app aan.
1.2.
De aflopen jaren heeft DNB onderzoek gedaan naar de kwaliteit van de systematische integriteitsrisico analyse (SIRA) van financiële instellingen. Als onderdeel van een cross-sectoraal (thema)onderzoek naar de inventarisatie en beheersing van integriteitsrisico’s (SIRA in de praktijk 2018) bij een selectie van trustkantoren, banken en pensioenfondsen heeft DNB bij bunq in november 2018 een onderzoek verricht naar de naleving van de Wft, de Wwft en de Sanctiewet 1977 (Sw). Daarbij heeft DNB onder meer een deelwaarneming van 61 digitale cliëntendossiers en zes transactie ‘hits’ onderzocht.
1.3.
Uit dit onderzoek is volgens de definitieve rapportage van 6 februari 2019 naar voren gekomen dat bunq de Wft, het Besluit prudentiële regels Wft (Bpr), de Wwft en de Sw op essentiële onderdelen overtreedt.
1.4.
Daarop heeft bunq DNB op 14 februari 2019 een actieplan (‘Action plan Wwft and Sw compliance’) en op 1 april 2019 een herziene SIRA doen toekomen.
1.5.
Bij brief van 15 april 2019 heeft DNB aan bunq meegedeeld dat zij voornemens is aan bunq een aanwijzing te geven tot het volgen van een bepaalde gedragslijn, zoals bedoeld in artikel 1:75, eerste lid, van de Wft, artikel 28 van de Wwft en artikel 10ba van de Sw, strekkende tot beëindiging van overtreding van artikel 3:10 en artikel 3:17 van de Wft, artikel 10, eerste tot en met vierde lid, van het Bpr, artikel 21 van het Bpr, artikel 2d, tweede lid van de Wwft, artikel 3, tweede lid, aanhef en onder a, b, c en d, van de Wwft, artikel 8, vijfde lid, van de Wwft en artikel l0b, eerste lid, van de Sw in samenhang met artikel 2 van de Regeling toezicht sanctiewet.
1.6.
Op 4 mei 2019 heeft bunq haar mondelinge en schriftelijke zienswijze op dit voornemen naar voren gebracht. Daarbij heeft bunq onder meer gewezen op de verbeteringen die zij heeft doorgevoerd en DNB verzocht deze bij haar besluitvorming mee te nemen.
Het bestreden besluit
2. Bij het - bij het bestreden besluit gehandhaafde - primaire besluit heeft DNB op grond van artikel van 1:75, eerste lid, van de Wft en artikel 28 van de Wwft aan bunq een aanwijzing gegeven tot het volgen van een bepaalde gedragslijn, strekkende tot beëindiging van de overtreding van artikel 10, tweede lid, van het Bpr, artikel 3, tweede lid, aanhef en onder b, c en d, van de Wwft en artikel 8, vijfde lid, van de Wwft.
Procedures en maatregelen
2.1.
Volgens DNB is bunq in overtreding van artikel 10, tweede lid, van het Bpr, omdat het beleid op onderdelen niet op correcte en adequate wijze haar neerslag vindt in relevante procedures en maatregelen. Zo is de standaardprocedure waarbij een standaard doel, een standaard beoogde aard van de zakelijke relatie en een standaard transactieprofiel
worden toegekend in strijd met de wettelijke vereisten die gelden voor het door bunq te verrichten cliëntenonderzoek.
Cliëntenonderzoek en transactiemonitoring
2.2.
Verder is bunq volgens DNB in overtreding van artikel 3, tweede lid, aanhef en onder b, c, en d, van de Wwft, omdat is gebleken dat bunq tekort schiet in haar wettelijke verplichting om cliëntenonderzoek te doen. Zo wordt in een aantal gevallen de uiteindelijk belanghebbende van een cliënt niet of onvoldoende geïdentificeerd en/of geverifieerd. Ook stelt bunq niet of onvoldoende het doel en de beoogde aard van de zakelijke relatie vast. Daarnaast is gebleken dat bunq geen adequate voortdurende controle op haar zakelijke relatie met haar cliënten uitoefent. Samenvattend heeft bunq in alle beoordeelde cliëntendossiers op het moment van het aangaan van de relatie onvoldoende informatie verzameld om de cliënt op juiste gronden te kunnen accepteren.
PEP-onderzoek
2.3
Tot slot voldoet bunq volgens DNB niet aan de op haar rustende wettelijke verplichting als bedoeld in artikel 8, vijfde lid, van de Wwft, omdat is gebleken dat bunq in de beoordeelde cliëntendossiers van PEP’s (PEP staat voor Politically Exposed Person/politiek prominent persoon) geen aanvullende beheersmaatregelen uitvoert.
De door bunq te volgen gedragslijn luidt als volgt:
Beleid, procedures, en maatregelen
l. Bunq dient uiterlijk
l december 2019haar reeds vastgestelde beleid, procedures en maatregelen, mede op basis waarvan aan cliënten een standaard risicoprofiel en standaard verwacht transactiepatroon wordt toegekend, zodanig te hebben herzien c.q. nieuw te hebben opgesteld, dat bunq - ook vóórdat de zakelijke relatie wordt aangegaan - in staat is om het doel en de beoogde aard van de relatie vast te stellen en in staat is om een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen, ten einde te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel, met zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden, als bedoeld in artikel 3, tweede lid, aanhef en onder b, c, en d, van de Wwft.
l december 2019haar reeds vastgestelde beleid, procedures en maatregelen, mede op basis waarvan aan cliënten een standaard risicoprofiel en standaard verwacht transactiepatroon wordt toegekend, zodanig te hebben herzien c.q. nieuw te hebben opgesteld, dat bunq - ook vóórdat de zakelijke relatie wordt aangegaan - in staat is om het doel en de beoogde aard van de relatie vast te stellen en in staat is om een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen, ten einde te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel, met zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden, als bedoeld in artikel 3, tweede lid, aanhef en onder b, c, en d, van de Wwft.
Transactiemonitoringssysteem
2. Bunq dient uiterlijk
l maart 2020te beschikken over een adequaat transactiemonitoringssysteem en -proces, waarmee effectief ongebruikelijke transacties worden gedetecteerd, onderzocht en afgehandeld, zodat bunq voldoet aan de eis van voortdurende controle als bedoeld in artikel 3, tweede lid, aanhef en onder d, van de Wwft en onverwijld ongebruikelijke transacties meldt zoals bedoeld in artikel 16, eerste lid, van de Wwft.
l maart 2020te beschikken over een adequaat transactiemonitoringssysteem en -proces, waarmee effectief ongebruikelijke transacties worden gedetecteerd, onderzocht en afgehandeld, zodat bunq voldoet aan de eis van voortdurende controle als bedoeld in artikel 3, tweede lid, aanhef en onder d, van de Wwft en onverwijld ongebruikelijke transacties meldt zoals bedoeld in artikel 16, eerste lid, van de Wwft.
3. Bunq dient uiterlijk
l mei 2020aan DNB een door een onafhankelijke en deskundige partij opgesteld rapport van een (model)validatie, inclusief een overzicht van openstaande bevindingen uit de validatie met concrete herstelacties en tijdslijnen voor realisatie van deze herstelacties, van het in onderdeel 2 bedoelde transactiemonitoringssysteem toe te zenden.
l mei 2020aan DNB een door een onafhankelijke en deskundige partij opgesteld rapport van een (model)validatie, inclusief een overzicht van openstaande bevindingen uit de validatie met concrete herstelacties en tijdslijnen voor realisatie van deze herstelacties, van het in onderdeel 2 bedoelde transactiemonitoringssysteem toe te zenden.
Cliëntenonderzoek
4. Bunq dient uiterlijk
l maart 2020te bewerkstelligen dat - ten aanzien van alle cliënten waarmee bunq de relatie aangaat of continueert - de cliëntendossiers aantoonbaar voldoen aan alle eisen die artikel 3, tweede lid, van de Wwft en 8, vijfde lid, van de Wwft aan het cliëntenonderzoek stelt. Het voorgaande brengt met zich mee dat de cliëntendossiers waar nodig zijn gecompleteerd en adequaat is vastgelegd welke afweging is gemaakt om een cliënt te accepteren of te behouden dan wel om de cliëntrelatie te beëindigen. Zo nodig dient bunq ook haar beleid, procedures en maatregelen in dit verband te herzien teneinde de vereisten uit de Wwft met betrekking tot het uitvoeren van (verscherpt) cliëntenonderzoek en transactiemonitoring op de juiste wijze te kunnen naleven (zie ook onderdeel l).
l maart 2020te bewerkstelligen dat - ten aanzien van alle cliënten waarmee bunq de relatie aangaat of continueert - de cliëntendossiers aantoonbaar voldoen aan alle eisen die artikel 3, tweede lid, van de Wwft en 8, vijfde lid, van de Wwft aan het cliëntenonderzoek stelt. Het voorgaande brengt met zich mee dat de cliëntendossiers waar nodig zijn gecompleteerd en adequaat is vastgelegd welke afweging is gemaakt om een cliënt te accepteren of te behouden dan wel om de cliëntrelatie te beëindigen. Zo nodig dient bunq ook haar beleid, procedures en maatregelen in dit verband te herzien teneinde de vereisten uit de Wwft met betrekking tot het uitvoeren van (verscherpt) cliëntenonderzoek en transactiemonitoring op de juiste wijze te kunnen naleven (zie ook onderdeel l).
5. Bunq laat de resultaten en kwaliteit van haar werkzaamheden ter uitvoering van de onderdelen l (
beleid, procedures, en maatregelen) en 4 (
cliëntenonderzoek) van deze gedragslijn, beoordelen door haar interne audit, of een onafhankelijke, externe en deskundige partij. DNB ontvangt uiterlijk
l mei 2020het voornoemde validatierapport, tezamen met een schriftelijke verklaring waarin het bestuur van bunq aan DNB bevestigt dat voldaan is aan alle onderdelen van de onderhavige gedragslijn.
beleid, procedures, en maatregelen) en 4 (
cliëntenonderzoek) van deze gedragslijn, beoordelen door haar interne audit, of een onafhankelijke, externe en deskundige partij. DNB ontvangt uiterlijk
l mei 2020het voornoemde validatierapport, tezamen met een schriftelijke verklaring waarin het bestuur van bunq aan DNB bevestigt dat voldaan is aan alle onderdelen van de onderhavige gedragslijn.
Voortgang
6. Ook acht DNB het noodzakelijk om gedurende het hersteltraject inzicht te houden in de voortgang, om zo nodig tussentijds te kunnen bijsturen. Daarom dient bunq na afloop van iedere twee maanden, te beginnen uiterlijk
l oktober 2019, DNB schriftelijk te hebben geïnformeerd over de voortgang van het opvolgen van (de onderdelen van) deze gedragslijn (incl. toezending van de eventuele onderliggende documenten die dienen te onderbouwing van mogelijke stellingen, zodat het herstel controleerbaar is voor DNB).
l oktober 2019, DNB schriftelijk te hebben geïnformeerd over de voortgang van het opvolgen van (de onderdelen van) deze gedragslijn (incl. toezending van de eventuele onderliggende documenten die dienen te onderbouwing van mogelijke stellingen, zodat het herstel controleerbaar is voor DNB).
Beoordeling
Heroverweging in bezwaar
3. In het bestreden besluit heeft DNB overwogen dat in het geval van herstelsancties, zoals de aan bunq gegeven aanwijzing, de beoordeling in bezwaar ex tunc plaatsvindt en dat de heroverweging in bezwaar dan ook uitsluitend ziet op de vraag of de gegeven aanwijzing ten tijde van het primaire besluit terecht is opgelegd.
3.1.
In de uitspraak van (de grote kamer van) de Afdeling bestuursrechtspraak van de Raad van State (de Afdeling) van 28 oktober 2020 (ECLI:NL:RVS:2020:2571) is overwogen dat voor een heroverweging van besluiten die hebben geleid tot het opleggen van een herstelsanctie in het bijzonder geldt dat het resultaat van de heroverweging moet leiden tot een doeltreffende, afschrikwekkende en evenredige handhaving van de desbetreffende norm. Dat betekent in de eerste plaats dat het bestuursorgaan moet bezien of het op basis van de feiten en omstandigheden ten tijde van de beslissing in primo destijds terecht zijn besluit heeft genomen. In de tweede plaats dient het bestuursorgaan feiten en omstandigheden die zich ná de eerdere oplegging van een herstelsanctie hebben voorgedaan bij zijn heroverweging te betrekken. Kortom, bij besluiten over een herstelsanctie bevat de heroverweging in beginsel een tweeslag, aldus de Afdeling.
3.2.
Op grond van artikel 5:2, tweede lid, van de Algemene wet bestuursrecht (Awb) is de enkele last tot het verrichten van bepaalde handelingen, zoals de aan bunq gegeven aanwijzing (zie ook de conclusie van staatsraad advocaat-generaal mr. R.J.G.M. Widdershoven van 24 januari 2018, ECLI:NL:RVS:2018:249, paragraaf 4.3. e.v.), geen bestuurlijke sanctie en op grond van artikel 5:2, eerste lid, aanhef en onder b, van de Awb dus ook geen herstelsanctie.
3.3.
Voor zover ervan moet worden uitgegaan dat de uitspraak van de Afdeling van
28 oktober 2020 niettemin ook van toepassing is op de heroverweging van besluiten over een aanwijzing, wat de rechtbank uitdrukkelijk in het midden laat, is de rechtbank van oordeel dat bunq door het ontbreken van voormelde tweeslag in het bestreden besluit niet in haar belangen is geschaad. Dat DNB de door bunq in de bezwaarfase verrichte inspanningen om de aanwijzing op te volgen niet bij haar heroverweging heeft betrokken, leidt de rechtbank niet tot een ander oordeel. Anders dan bunq meent, zijn deze inspanningen niet van belang voor de beantwoording van de vraag of de aanwijzing, gelet op het handhavingsbeleid van DNB, in bezwaar kan worden gehandhaafd. De aard van de op grond van dit beleid door DNB te nemen beslissing, te weten of zij informeel of formeel tegen de geconstateerde wetsovertredingen zal optreden én welke maatregelen daarbij door haar zullen worden getroffen, brengt mee dat de heroverweging van die beslissing, indien daartegen in bezwaar gronden worden aangevoerd, moet plaatsvinden op grond van de feiten en omstandigheden ten tijde van die beslissing. Dat DNB bij haar heroverweging niet heeft beoordeeld of bunq met haar inspanningen reeds aan (onderdelen van) de aanwijzing heeft voldaan, leidt de rechtbank evenmin tot een ander oordeel. Aan het niet (volledig) opvolgen van een aanwijzing zijn geen directe gevolgen, zoals het verbeuren van dwangsommen, verbonden, zodat een (gedeeltelijke) herroeping van de aanwijzing in bezwaar omdat daaraan inmiddels (deels) is voldaan ook geen directe gevolgen heeft.
3.4.
Voor zover moet worden geoordeeld dat aan het bestreden besluit een gebrek kleeft omdat daarin voormelde tweeslag ontbreekt, ziet de rechtbank gelet op het voorgaande aanleiding dit gebrek met toepassing van artikel 6:22 van de Awb te passeren.
De gestelde overtredingen
4. Ten aanzien van de gestelde overtredingen overweegt de rechtbank als volgt.
Vaststellen aard en doel van de relatie (artikel 3, tweede lid, aanhef en c, van de Wwft)
4.1.
Op grond van artikel 3, eerste lid, van de Wwft verricht een instelling ter voorkoming van witwassen en financieren van terrorisme cliëntenonderzoek.
Op grond van artikel 3, tweede lid, aanhef en onder c, van de Wwft stelt het cliëntenonderzoek de instelling in staat om het doel en de beoogde aard van de zakelijke relatie vast te stellen.
Op grond van artikel 5, eerste lid, aanhef en onder a en b, van de Wwft, voor zover van belang, is het een instelling, onverminderd artikel 4, verboden een zakelijke relatie aan te gaan met of een transactie uit te voeren voor een cliënt, tenzij zij zelf ten aanzien van die cliënt onderzoek heeft verricht conform artikel 3 van de Wwft en dit onderzoek heeft geleid tot het in artikel 3, tweede lid, aanhef en onderdelen a, b, c, e en f, bedoelde resultaat.
4.2.
De kern van het verwijt van DNB aan bunq is dat zij niet
voorafgaandaan het aangaan van de zakelijke relatie de aard en het doel van deze relatie heeft onderzocht.
voorafgaandaan het aangaan van de zakelijke relatie de aard en het doel van deze relatie heeft onderzocht.
4.3.
Bunq betoogt dat haar werkwijze met betrekking tot het vaststellen van het doel en de beoogde aard van de zakelijke relatie voldoet aan de eisen die de Wwft daaraan stelt.
Bij het uitvoeren van cliëntenonderzoek maakt bunq onderscheid tussen particulieren en
zakelijke klanten.
Zakelijke klanten
Met betrekking tot nieuwe zakelijke klanten vraagt bunq sinds eind september 2018 standaard expliciet naar het beoogde doel van de bij bunq te openen bankrekening.
Voor destijds al bestaande zakelijke klanten heeft bunq vanaf maart 2019 een uitvraag
gedaan vergelijkbaar met de hiervoor beschreven uitvraag voor nieuwe zakelijke klanten.
Op twee dossiers na heeft bunq voor alle door DNB onderzochte zakelijke klantdossiers doel en aard van de zakelijke relatie vastgesteld. De twee dossiers die deze informatie niet
bevatten waren volgens bunq niet meer actief ten tijde van de door haar vanaf maart 2019 uitgevoerde verbeterprocedure.
Particuliere klanten
Ook met betrekking tot particuliere klanten stelt bunq het doel en aard van de zakelijke
relatie vast. Dat doet bunq sinds begin mei 2019 - kortgezegd - als volgt:
stap 1: Bunq maakt onderscheid tussen twee segmenten van particuliere klanten (peer
groups):
(i) een homogene groep klanten die binnen het ‘regular user’ profiel vallen en de betaalrekening binnen de grenzen van ‘regular use’ gebruiken, en
(ii) een groep klanten die niet binnen het ‘regular user’ profiel vallen en/of die niet de betaalrekening van bunq gebruiken binnen de ‘regular use’ grenzen.
Op basis van een analyse van data van haar klanten en het gebruik van de betaalrekening door klanten, heeft bunq een regular user profiel samengesteld. Dit profiel ziet er als volgt uit:
Age: 18-60 year
Country of residence: NL, BE, DE, AT, IT, ES, FR
Purpose: Standard Payment Account
Monthly outgoing transaction volume: EUR 10.000
Maximum balance: EUR 10.000
Number of payments per month: Up to 150
stap 2: Uit data-analyse van bunq blijkt dat statistisch gezien de overgrote meerderheid van de particuliere klanten van bunq binnen dit profiel valt en de betaalrekening van bunq op vergelijkbare wijze gebruikt. Om deze reden krijgen nieuwe klanten die een betaalrekening willen openen in eerste instantie dit profiel toegekend. Dit profiel is dus gebaseerd op het daadwerkelijke klantenbestand van bunq en houdt rekening met het daadwerkelijke doel waarmee deze klanten een betaalrekening bij bunq openen en de daadwerkelijke aard (het gebruik) van de betaalrekening.
stap 3: Op basis van de tijdens het aanmeldproces ingewonnen informatie, alsmede op basis van informatie die bunq daarna over de klant inwint (zoals transactiegedrag) controleert bunq na ‘sign-up’ (openen van de rekening) doorlopend of klanten nog binnen het regular user profiel vallen.
Op het moment dat dit niet (langer) het geval is, stelt bunq - afhankelijk van het risicoprofiel van de betreffende klant en de afwijkingen van de klant ten opzichte van het regular user profiel - automatisch een aantal vragen aan de klant. Als een klant deze vragen niet binnen de gestelde periode beantwoordt, wordt de klant toegang tot de rekening (tijdelijk) ontzegd.
stap 4: Indien in stap 3 het stellen van vragen wordt “getriggerd”, wordt ook een handmatige review op de klant uitgevoerd. Vervolgens wordt het profiel van de klant bijgewerkt en wordt de klant niet langer aangemerkt als regular user. Omdat uit data-analyse van bunq blijkt dat non-regular users statistisch gezien een hoger risico vormen, wordt het risicoprofiel (meer in het bijzonder: de ‘risico-scores’) van de klant naar boven bijgesteld.
Een hoger risicoprofiel leidt tot een intensievere transactiemonitoring.
Voor particuliere klanten die bunq voor mei 2019 heeft geaccepteerd, geldt dat bunq ook die
klanten het regulier user profile heeft toegekend, en ook ten aanzien van die groep vanaf mei 2019 stappen 3 en 4 toepast. Van alle particuliere klanten die voor mei 2019 een rekening bij bunq aanhielden, wijkt ongeveer 2% op dit moment met een of meer variabelen af van het regular user profiel. Dit toont volgens bunq aan hoe accuraat het door haar samengestelde regular user profiel is.
4.4.
Met betrekking tot de nieuwe werkwijze van bunq bij zakelijke klanten stelt de rechtbank vast dat DNB in het verweerschrift te kennen heeft gegeven dat deze werkwijze niet ter discussie staat. Zoals DNB daarbij terecht en onweersproken heeft opgemerkt, laat deze nieuwe werkwijze evenwel onverlet dat DNB tijdens haar onderzoek in november 2018 in dossiers van zakelijke klanten heeft vastgesteld dat bunq daarbij ten onrechte niet het doel en de aard van de relatie had vastgesteld.
4.5.
Met betrekking tot de nieuwe werkwijze van bunq bij particuliere klanten is de rechtbank met DNB van oordeel dat deze werkwijze niet voldoet aan artikel 3, tweede lid, aanhef en onder c, van de Wwft, omdat bunq daarmee niet voorafgaand aan het aangaan van de relatie bij de klant informatie inwint waarmee het doel en de aard van de zakelijke relatie kon worden vastgesteld. Daartoe overweegt de rechtbank als volgt.
4.5.1.
Uit artikel 5, eerste lid, aanhef en onder a en b, van de Wwft volgt onmiskenbaar dat het doel en de beoogde aard van de zakelijke relatie voorafgaand aan het aangaan van de relatie moeten zijn vastgesteld. Anders dan bunq meent, kan geen grond voor een andere lezing van artikel 5, eerste lid, aanhef en onder a en b, van de Wwft worden gevonden in het feit dat onderdeel c van het tweede lid van artikel 3 van de Wwft niet wordt genoemd in artikel 4, eerste lid, van de Wwft. De daarin neergelegde verplichting voor een instelling om aan artikel 3, tweede lid, aanhef en onder a en b, van de Wwft te voldoen voordat de zakelijke relatie wordt aangegaan, moet worden gelezen in samenhang met de overige leden van artikel 4 van de Wwft, waarin op die verplichting onder bepaalde omstandigheden een uitzondering wordt gemaakt. Het ligt in de rede dat onderdeel c van het tweede lid van artikel 3 van de Wwft niet wordt genoemd in artikel 4, eerste lid, van de Wwft, nu de wetgever er niet voor heeft gekozen om in artikel 4 van de Wwft uitzonderingen op te nemen op de verplichting om aan artikel 3, tweede lid, aanhef en onder c, van de Wwft te voldoen voordat de zakelijke relatie wordt aangegaan.
4.5.2.
Uit het voorgaande volgt dat bij de beantwoording van de vraag of de nieuwe werkwijze van bunq bij particuliere klanten toereikend is om te voldoen aan artikel 3, tweede lid, aanhef en onder c, van de Wwft alleen wordt betrokken wat bunq heeft beschreven onder stap 1 en 2. De stappen 3 en 4, wat daar verder ook van zij, vinden immers pas plaats op het moment dat de zakelijke relatie met de nieuwe particuliere klant reeds is aangegaan.
4.5.3.
Dit in aanmerking nemend is de rechtbank met DNB van oordeel dat de werkwijze van bunq bij particuliere klanten niet toereikend is om het doel en de aard van de zakelijke relatie vast te stellen. Met alleen het toekennen van het - op zichzelf vrij ruim afgestelde - ‘regular user profiel’ aan iedere nieuwe particuliere klant vóórdat met hem een zakelijke relatie wordt aangegaan, vindt geen onderzoek plaats ten aanzien van de desbetreffende nieuwe klant zelf en kan het doel en de beoogde aard van de zakelijke relatie niet op individueel niveau voorafgaand aan de relatie worden vastgesteld. Zoals DNB terecht opmerkt, leidt deze werkwijze slechts tot een aanname van bunq met betrekking tot het doel en de beoogde aard van de zakelijke relatie en niet tot een geïndividualiseerd referentiepunt voor de specifieke zakelijke relatie. Dat uit data-analyse van bunq blijkt dat statistisch gezien een overgrote meerderheid van haar particuliere klanten binnen het ‘regular user profiel’ valt en de betaalrekening van bunq als ‘Standard Payment Account’ gebruikt, maakt dit niet anders. Ook een beredeneerde aanname blijft een aanname. Bunq onderkent overigens ook dat het doel van de zakelijke relatie per klant kan verschillen, gezien haar beleidsdocument ‘Purpose and Nature’ van 8 mei 2019, waarin naast ‘Standard Payment Account’ ook ‘Secondary Payment Account’ en ‘Savings Account’ als ‘purpose’ worden genoemd.
4.5.4.
Met haar opmerking dat zij met haar werkwijze de (onbekende) kans elimineert dat zij een verkeerd profiel opstelt doordat een klant bij aanvang met opzet of per ongeluk verkeerde informatie verstrekt, gaat bunq er voorts aan voorbij dat zij het transactiegedrag van de klant na het aangaan van de zakelijke relatie moet kunnen beoordelen aan de hand van het door die klant opgegeven doel van de te openen rekening en niet pas dit doel moet vaststellen aan de hand van het transactiegedrag na het aangaan van de relatie. Gelet hierop kan het bunq ook niet baten dat zij doorlopend controleert of een klant wel binnen het ‘regular user profiel’ valt en dat zij aanvullende maatregelen neemt - waaronder het stellen van vragen - indien blijkt dat een klant niet binnen dat profiel valt. Daarbij merkt de rechtbank nog op dat dit valt onder stap 3 en 4. Zoals hiervoor reeds is overwogen, wordt bij de beantwoording van de vraag of de nieuwe werkwijze van bunq toereikend is om te voldoen aan artikel 3, tweede lid, aanhef en onder c, van de Wwft alleen betrokken wat bunq heeft beschreven onder stap 1 en 2.
4.5.5.
Het beroep van bunq op de parlementaire geschiedenis bij de Wwft (TK, 2007-2008, 31 238, nr. 3, blz. 18) en het citaat (blz. 7-8) uit de DNB ‘Guidance Post-event transactiemonitoringsproces bij banken’ leidt niet tot een ander oordeel.
Met haar beroep op de opmerking in de parlementaire geschiedenis dat ook uit de door de cliënt afgenomen diensten of producten zal blijken wat het doel van de relatie is, gaat bunq eraan voorbij dat zij het doel en de beoogde aard van de relatie niet alleen kan vaststellen op grond van het openen van een rekening. Zoals hiervoor reeds is overwogen en bunq ook zelf onderkent, kan het doel van de te openen rekening immers per klant verschillen.
Voorts gaat bunq met haar beroep op het citaat uit de DNB ‘Guidance Post-event transactiemonitoringsproces bij banken’ eraan voorbij dat dit citaat ziet op het vaststellen van een risicoprofiel, waaraan het inwinnen van informatie bij de klant om het doel en de beoogde aard van de zakelijke relatie te kunnen vaststellen voorafgaat.
4.5.6.
Het betoog van bunq dat DNB niet van haar kan verlangen dat zij vraagt waarom een nieuwe klant die niet in Nederland woonachtig is specifiek bij bunq een rekening wil openen, is niet van belang voor de vraag of bunq met haar werkwijze artikel 3, tweede lid, aanhef en onder c van de Wwft overtreedt. Die overtreding kan reeds worden vastgesteld op grond van het feit dat bunq voorafgaand aan het aangaan van de relatie bij de klant in het geheel geen informatie inwint waarmee het doel en de aard van de zakelijke relatie kan worden vastgesteld.
Voortdurende controle (artikel 3, tweede lid, aanhef en d, van de Wwft)
4.6.
Op grond van artikel 3, tweede lid, aanhef en onder d, van de Wwft stelt het cliëntenonderzoek de instelling in staat om een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen, teneinde te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel, met zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden.
4.7.
De memorie van toelichting (TK, 2007-2008, 31 238, nr. 3, blz. 18) bij artikel 3, tweede lid, aanhef en onder d, van de Wwft vermeldt het volgende:
“Het is van belang dat de instelling periodiek toetst of de cliënt nog voldoet aan het risicoprofiel, zoals dat is opgesteld bij aanvang van de dienstverlening. Instellingen kunnen immers alleen ongebruikelijke transacties opmerken als ze een goed beeld hebben van de betreffende cliënt. Indien uit bepaalde transacties blijkt dat de cliënt afwijkt van het profiel, dient de instelling na te gaan welke risico’s dit oplevert.”
4.8.
De kern van het verwijt van DNB is dat bunq de zakelijke relatie niet voortdurend controleert op basis van voorafgaand aan de relatie ingewonnen informatie. Controle op basis van vooraf opgestelde transactieprofielen aan de hand van muterende ‘business rules’ en een ‘machine learning model’ is daartoe volgens DNB niet voldoende.
4.9.1.
Bunq betoogt dat zij voor wat betreft de doorlopende controle van haar
klanten en de door klanten uitgevoerde transacties voldoet aan de eisen van artikel 3, tweede
lid, aanhef en onder d, van de Wwft. Bunq voert een voortdurende controle uit op al haar klanten, zakelijk en particulier.
4.9.2.
Bunq heeft de noodzaak van het hebben van een vooraf vastgesteld (individueel) transactieprofiel op basis van bij de klant ingewonnen informatie betwist. In haar visie schrijft de Wwft dat niet voor. Volgens bunq betrekt zij bij de monitoring van transacties het risicoprofiel en de overige kennis die zij heeft van haar klanten (waaronder het historische transactiegedrag), en stelt zij het beeld dat zij van haar klanten heeft voortdurend en op individuele basis bij op grond van onder meer het verwezenlijkte transactiegedrag. Daarmee heeft bunq in haar visie een dynamische en intensieve vorm van monitoring tot stand gebracht waarmee zij goed in staat is potentieel ongebruikelijke transacties te detecteren.
Particuliere klanten
Elke particuliere klant van bunq heeft een risicoprofiel. Dat moet worden onderscheiden van
het transactieprofiel van particuliere klanten, dat in beginsel het ‘regular user profiel’ is (Monthly outgoing transaction volume: EUR 10.000, Maximum balance: EUR 10.000, Number of payments per month: Up to 150). Het risicoprofiel is low, medium of high en wordt bij het aangaan van de relatie (onder meer aan de hand van nationaliteit en land van verblijf) vastgesteld en wanneer daartoe (op grond van het transactiegedrag) aanleiding bestaat bijgesteld. De werkwijze van bunq is sinds eind 2017 zo ingericht dat transacties aan de hand van een zeer groot aantal filters worden beoordeeld. Dat gebeurt onder meer via een combinatie van filters op basis van door bunq handmatig ingestelde filters (de business rules) en filters op basis van het machine learning model van bunq.
De business rules bevatten elk een set monitoringregels op grond van uitgewerkte scenario’s (zo is er bijvoorbeeld de business rule waarbij het opnemen van € 2000,- of meer in één week een monitoring hit creëert). Een aantal van de business rules houdt rekening met het risicoprofiel van individuele klanten in die zin dat de business rule sneller een monitoring hit creëert naarmate het risicoprofiel hoger is. Indien een transactie overeenkomt met de business rule dan creëert het systeem van bunq automatisch een ‘monitoring hit’, die vervolgens wordt onderzocht door een analist van bunq. De lijst met business rules is dynamisch en aan mutatie onderhevig. Business rules worden handmatig opgesteld op basis van bijvoorbeeld bestudering van eerdere gevallen van ongebruikelijke transacties. Uit die gevallen worden dan een of meer (terugkerende) indicatoren gedestilleerd die vervolgens als basis worden gebruikt voor het omschrijven van een nieuwe business rule.
Om te zorgen voor een zo effectief mogelijke monitoring van transacties, heeft bunq ervoor
gekozen het transactiemonitoringssysteem op basis van business rules te complementeren
met een transactie-analyse op basis van een geavanceerd machine learning model. Machine
learning is het gebruik van wiskundige procedures (algoritmes) om aanzienlijke hoeveelheden data te analyseren en daarin patronen (relaties of correlaties) te herkennen,
om op basis daarvan voorspellingen te doen. Het machine learning model dat bunq heeft ontwikkeld werkt kort gezegd als volgt:
- Bunq heeft een dataset samengesteld van meer dan 40 miljoen reeds door bunq voor
klanten verrichte transacties. De dataset bestond uit enerzijds gebruikelijke transacties
en anderzijds door bunq aan de FIU gerapporteerde ongebruikelijke transacties. Deze
ongebruikelijke transacties - enkele tienduizenden in totaal - heeft bunq over een
voorafgaande periode van ongeveer twee jaar gedetecteerd op grond van:
• het gebruik van business rules;
• interne onderzoeken;
• klachten van klanten en andere financiële instellingen
• onderzoeken / verzoeken vanuit de autoriteiten
• overige indicatoren.
- de dataset bevatte voor elke transactie oorspronkelijk meer dan 100 (en later zelfs meer
dan 500) datapunten - ‘features’ genoemd - zoals leeftijd, geslacht, GPS-locatie, IP
adres, transactiebedrag, transactievolume en transactiefrequentie. De gebruikelijke
transacties werden door bunq vooraf met een 0-score gelabeld, de ongebruikelijke
transacties kregen vooraf de score 1 toegekend. Vervolgens is de dataset verdeeld in een
training dataset en een validatie dataset;
- onder toezicht van een expert op het gebied van machine learning is het model op basis van de training data ‘getraind’ op het leren berekenen welke transacties gebruikelijk zijn (lage score) en welke transacties als ongebruikelijk moeten worden aangemerkt (hoge score), daarbij kijkend naar de vele datapunten van elke transactie. Dit is de trainingsfase;
- daarna is het model gevalideerd door het los te laten op een grote hoeveelheid geheel
nieuwe transacties, namelijk die uit de validatie dataset. Daarbij wist bunq wel maar het
model niet van te voren welke transacties ongebruikelijk waren en welke transacties
gebruikelijk. Als een model goed is getraind, dan berekent het op basis van een analyse
van de datapunten en de tijdens de training opgedane ‘kennis’ een hoge score (richting
de 1) voor elke ongebruikelijke transactie en een lage score (richting de 0) voor elke
gebruikelijk transactie. Het model bleek daartoe goed in staat. Als onderdeel van de
validatiefase is ook vastgesteld welke door het model berekende score automatisch tot
een monitoring hit leidt, als gevolg waarvan de transactie wordt onderzocht door een
analist van bunq.
- Bunq houdt bij het beoordelen van transacties aan de hand van de combinatie van businessrules en machine learning van een specifieke particuliere klant rekening met:
• het risicoprofiel van die klant: het risicoprofiel is namelijk een factor in meerdere
business rules en een feature in het machine learning model. Als gevolg hiervan wordt
er een meer strikte monitoring toegepast op klanten met een hoge risico score;
• het daadwerkelijke (historische) transactiegedrag van het gehele klantenbestand van
bunq: de business rules zijn gebaseerd op het historische transactiegedrag van klanten
en het machine learning model is getraind op miljoenen historische transacties verricht
door klanten van bunq;
• het daadwerkelijke transactiegedrag van de betreffende klant: het machine learning
model bevat een groot aantal features die ‘terugkijken’ naar het transactiegedrag van
de klant zelf en dit meewegen in de beoordeling van transacties die door die klant
worden verricht;
• het verwachte transactiegedrag van klanten op peer group niveau: het learning model
creëert zelf een zeer groot aantal peer groups. Het model ‘leert’ bijvoorbeeld wat ongebruikelijk is voor iemand van 16 jaar oud of voor iemand die uit Utrecht afkomstig
is, op basis van de historische gegevens waarop het model getraind is. Daarbij bepaalt
het model zelf wat relevante groepen zijn.
Andersom houdt bunq als onderdeel van de doorlopende controle van de klant bij de
vaststelling van het risicoprofiel doorlopend rekening met het gemonitorde transactiegedrag
van die klant. Het transactiegedrag van een klant kan namelijk leiden tot een hogere (individuele) risicoscore.
Zakelijke klanten
De automatische monitoring van zakelijke klanten geschiedde ten tijde van het opleggen van
de aanwijzing aan de hand van de hiervoor beschreven business rules, waarvan een aantal
specifiek zijn toegespitst op zakelijke klanten. Een verschil ten opzichte van particuliere
klanten is dat bunq voor zakelijke klanten ook een specifieke business rule hanteerde (en
nog steeds hanteert) die monitort in hoeverre het transactievolume van de zakelijke klant
plotseling sterkt toeneemt in vergelijking met het gedrag van de klant in de voorgaande
maanden. Daarnaast monitort bunq of de klant afwijkt van het verwachte transactievolume.
Ook ten aanzien van zakelijke klanten houdt bunq als onderdeel van de doorlopende controle van de klant bij de vaststelling van het risicoprofiel doorlopend rekening met het gemonitorde transactiegedrag van die klant.
Later in 2019 (na het ontvangen van de aanwijzing) heeft bunq ook een machine learning
model voor het monitoren van transacties van zakelijke klanten geïntroduceerd. De reden
voor deze latere introductie is gelegen in het feit dat eerst een toereikend aantal transacties
moest worden verzameld om het model te trainen en valideren. Het machine learning model
is qua werking vergelijkbaar met het hiervoor omschreven model voor particuliere klanten.
4.10.
De rechtbank overweegt als volgt. Vast staat dat bunq dezelfde standaardwaarden ten aanzien van doel en de beoogde aard van de zakelijke relatie, het risicoprofiel en transactiepatroon toekent aan iedere cliënt, zonder daadwerkelijk op voorhand te controleren of deze standaardwaarden feitelijk van toepassing zijn op de betreffende cliënt. Daarmee bedient bunq zich van aannames. Zij onderzoekt pas na acceptatie van de klant, bij specifieke afwijkingen, of een cliënt past binnen het toegekende standaard profiel. Wanneer dat onderzoek niet plaatsvindt, zal de voortdurende controle dus blijvend worden verricht op basis van aannames (bijvoorbeeld met betrekking tot het doel van de zakelijke relatie) en een transactieprofiel dat ruime bandbreedtes omvat. Daarmee loopt bunq het risico dat zij vanaf aanvang uitgaat van een transactieprofiel dat voor de betreffende cliënt niet passend is en transacties die zouden afwijken van een op de individuele cliënt toegespitst transactieprofiel, mogelijk ten onrechte niet worden gedetecteerd. Daarnaast heeft DNB vastgesteld dat het opbouwen van een individueel risico- en transactieprofiel gebaseerd is op reeds uitgevoerde transacties. Daarmee bestaat het gevaar dat als cliënten de rekening bij aanvang gebruiken voor onoorbare transacties, dit soort transacties dan als ‘gebruikelijk’ voor de cliënt kunnen worden gezien.
4.11.
Met DNB heeft de rechtbank oog voor het feit dat bunq probeert technologische kennis aan te wenden om haar processen te verbeteren en te innoveren. Feit blijft echter dat - los van het systeem van business rules en machine learning - bunq aan iedere cliënt het ‘regular user profiel’ toekent (aanname), en daardoor ook niet weet welk transactiepatroon zij bij de betreffende cliënt kan verwachten. Om een betekenisvolle voortdurende controle op de zakelijke relatie te kunnen verrichten, zal de bank bij aanvang van de dienstverlening - al dan niet in het licht van het vast te stellen risicoprofiel - een verwacht transactieprofiel moeten vaststellen. De noodzaak van het hebben van een referentiepunt wordt door bunq ook niet weersproken. Uit het door bunq gehanteerde standaardprofiel, waarvan een standaard transactieprofiel deel uitmaakt, volgt ook dat bunq van oordeel is dat het van belang is om een transactieprofiel met bepaalde parameters vast te stellen. Dat profiel moet echter wel zijn gebaseerd op informatie over de cliënt zelf.
4.12.
De rechtbank kan DNB volgen in haar conclusie dat, zonder een individueel referentiepunt ten aanzien het transactiegedrag, het feit de business rules en het machine learning model in een bepaald geval een ‘hit’ opleveren nog onvoldoende veelzeggend is. De analist zal de betreffende transactie dan dienen te onderzoeken, zonder kennis over het doel van de klant waarmee de rekening is geopend, en zonder kennis over de vraag of de transactie past in het transactiepatroon van deze klant. Gelet hierop heeft DNB geen nader onderzoek hoeven doen naar de business rules en het machine learning model. Hetgeen bunq nog meer over de effectiviteit van haar transactiemonitoring heeft gesteld, kan niet tot een ander oordeel leiden.
Bron van de middelen (artikel 3, tweede lid, aanhef en d, van de Wwft)
4.13.
In het bestreden besluit heeft DNB vastgesteld dat uit geen enkel beoordeeld cliëntendossier is gebleken dat onderzoek naar de bron van de middelen heeft plaatsgevonden, terwijl daar in tenminste vier onderzochte dossiers wel aanleiding voor was. De bevinding dat er in tenminste vier onderzochte dossiers aanleiding was voor onderzoek naar de bron van de middelen, is door bunq niet concreet weersproken. Haar stelling dat zij inmiddels bij 925 (andere) klanten een navraag heeft gedaan en dat een groot aantal keer een handmatige uitvraag dan wel automatische navraag heeft plaatsgevonden, toont niet aan dat DNB deze overtreding ten onrechte heeft vastgesteld.
4.14.
Bunq betoogt dat DNB niet heeft gemotiveerd waarom zij voor bijna alle van de 61 onderzochte dossiers meent dat bunq ten onrechte geen onderzoek naar de bron van de middelen heeft gedaan als bedoeld in artikel 3, tweede lid, aanhef en onder d. Bovendien is de conclusie van DNB dat zij dit ten onrechte heeft nagelaten onterecht, aldus bunq. Bunq stelt zich daarbij op het standpunt dat het feit, dat zij het onderzoek naar de bron van de middelen in de door DNB onderzochte dossiers niet heeft gedaan, niet betekent dat het cliëntenonderzoek onvolledig is geweest en dat zij artikel 3, tweede lid, onderdeel d Wwft heeft overtreden. Het betekent volgens bunq wel dat zij het in lijn met de in haar procedures vervatte risicobeoordeling in die gevallen niet nodig heeft geacht een dergelijk onderzoek te verrichten. De Wwft laat haar die ruimte, volgens bunq.
4.15.
De rechtbank overweegt dat het feit dat instellingen een risicogebaseerde benadering mogen toepassen bij de beoordeling of een onderzoek naar de bron van de middelen moet worden uitgevoerd, niet meebrengt dat aan bunq nimmer kan worden tegengeworpen dat zij ten onrechte geen onderzoek naar de bron van de middelen heeft gedaan. Zij heeft ten aanzien van de vier onderzochte dossiers onvoldoende gemotiveerd betwist dat dit onderzoek in dit geval niet nodig was. Eén ander leidt er naar het oordeel van de rechtbank toe dat DNB deze overtreding in de vier onderzochte dossiers terecht heeft vastgesteld.
PEP-onderzoek (artikel 8, vijfde lid, van de Wwft)
4.16.
Bunq betoogt dat DNB in het bestreden besluit in het geheel niet heeft gereageerd op wat zij in bezwaar heeft aangevoerd tegen het standpunt van DNB dat gebleken is dat bunq in de beoordeelde cliëntendossiers van PEP’S geen aanvullende beheersmaatregelen uitvoert, als bedoeld in artikel 8, vijfde lid van de Wwft.
4.17.
De rechtbank overweegt dat DNB in negen dossiers wat betreft de ‘PEP-vereisten’ heeft geconcludeerd dat sprake is van fundamentele tekortkomingen die kwalificeren als wettelijke overtredingen. In bezwaar heeft bunq onder meer aangevoerd dat DNB met haar standpunt voorbij gaat aan het feit, dat bunq ten tijde van het SIRA-onderzoek door DNB reeds over aanvullende beheersmaatregelen met betrekking tot PEP’s beschikte en dat zij DNB in haar zienswijze bovendien van extra aanvullende (verbeter)maatregelen op de hoogte heeft gesteld. Bunq heeft daarbij ook verwezen naar haar Politically Exposed Persons Policy van 13 mei 2019. Bunq heeft daarbij de bevindingen van DNB echter niet concreet weersproken. DNB heeft terecht opgemerkt dat zelfs als bunq dus ten tijde van het onderzoek al (extra) maatregelen ten aanzien van de acceptatie en de monitoring van PEP’s had genomen, niet is gebleken dat deze zijn toegepast, althans het wettelijk vereiste resultaat is niet bereikt. DNB heeft deze overtreding dan ook terecht vastgesteld.
Beleid, procedures en maatregelen (artikel 10, tweede lid, van het Bpr)
4.18.
In het primaire besluit heeft DNB geconcludeerd dat bunq mede gezien haar nieuwe dan wel herziene beleid, procedures en maatregelen niet langer in overtreding is ten aanzien van de opzet van de integere bedrijfsvoering. Daarbij wijst DNB er uitdrukkelijk op dat zij dit beleid en deze procedures en maatregelen enkel in opzet heeft kunnen beoordelen.
Daarbij wijst DNB er verder op dat bunq haar beleid, procedures, en maatregelen op onderdelen nog dient te verbeteren vanwege daarin geconstateerde onduidelijkheden en tekortkomingen. De nog voortdurende tekortkomingen zien met name op de wijze waarop bunq invulling geeft aan het door haar te verrichten cliëntenonderzoek en transactiemonitoring, als bedoeld in artikel 3, tweede lid, van de Wwft. Om die reden is bunq volgens DNB nog steeds in overtreding van artikel 10, tweede lid, van het Bpr.
4.19.
Bunq betoogt dat zij aan de in artikel 10, tweede lid, van het Bpr neergelegde verplichting heeft voldaan. Daarbij heeft zij erop gewezen dat DNB in het primaire besluit heeft onderkend dat de herziene SIRA voldoet aan de eisen van artikel 10, eerste lid, van het Bpr en dat de procedures van bunq er (mede) voor zorgen dat de opzet van de integere bedrijfsvoering van bunq in lijn is met de eisen die de wet daaraan stelt. Bunq kan dit niet anders opvatten dan dat DNB van mening is dat bunq haar integriteitsbeleid op afdoende wijze heeft vertaald in (organisatorische en administratieve) procedures en maatregelen, en dat de opzet van de integere bedrijfsvoering van bunq daarom aan de eisen uit de Wft en artikel 10, tweede lid, van het Bpr voldoet.
4.20.
Artikel 10, tweede lid, van het Bpr luidde ten tijde van de inwerkingtreding op
1 januari 2007 hetzelfde als nu. In de nota van toelichting (Staatsblad 2006, 519, blz. 104) wordt over deze bepaling het volgende opgemerkt:
“In het tweede lid wordt bepaald dat de financiële onderneming het beleid met betrekking tot de onderwerpen die in de wet genoemd worden, vertaalt in organisatorische en administratieve procedures en maatregelen. Verder is het van belang dat het beleid en de procedures en maatregelen ten aanzien van integriteit geïntegreerd worden in de bedrijfsprocessen en op die manier bijdragen aan een integriteitsbewuste bedrijfscultuur. Deze procedures en maatregelen dragen bij aan de vorming van de bedrijfscultuur van de onderneming. De bedrijfscultuur is een belangrijke interne omgevingsfactor ter inbedding van integer handelen.”
4.21.
De rechtbank overweegt dat het betoog van bunq dat DNB zich niet zozeer op het standpunt stelt dat procedures ontbreken, maar eerder dat de invulling die bunq aan beide hiervoor genoemde normen (artikel 3, tweede lid, aanhef en onder c en d Wwft) in haar procedures heeft gegeven, afwijkt van de wijze waarop DNB deze normen interpreteert, haar niet baat. Naar het oordeel van de rechtbank dient de vertaling van het beleid in organisatorische en administratieve procedures en maatregelen zo te worden opgevat dat die procedures en maatregelen ook daadwerkelijk tot het beoogde resultaat moeten kunnen leiden (te weten een toereikend cliëntenonderzoek en een toereikende transactiemonitoring (voortdurende controle). Verwijzend naar hetgeen hiervoor ten aanzien van deze punten is overwogen, heeft DNB dan ook terecht vastgesteld dat de procedures van bunq nog niet voldoen aan de eisen van artikel 10, tweede lid, van het Bpr.
Opportuniteit, ernst en verwijtbaarheid, belangenafweging
5. Dat DNB niet in redelijkheid kon besluiten tot het geven van een aanwijzing zoals bunq stelt, volgt de rechtbank niet. Het geven van een aanwijzing is een discretionaire bevoegdheid. Bij het aanwenden daarvan dient DNB een belangenafweging te maken. Daarbij heeft zij grote betekenis kunnen toekennen aan de op bunq rustende kernverplichting als poortwachter van een integere en schone financiële sector en aan de door haar geconstateerde overtredingen. Het had voor bunq duidelijk kunnen zijn dat haar procedures in de visie van DNB niet aan de eisen van de Wwft voldeden. Zij heeft ook de tijd gehad om aan deze eisen te voldoen of in ieder geval in die richting te bewegen. Gelet op het principiële verschil van inzicht tussen bunq en DNB over de inrichting van het cliëntenonderzoek en de transactiemonitoring mocht DNB ervan uitgaan dat er geen concreet zicht bestond op spoedige beëindiging van de overtredingen. DNB kon daaruit ook afleiden dat de ernst van de overtredingen als hoog moest worden aangemerkt. Hetgeen door bunq is aangevoerd ter betwisting van de hoge verwijtbaarheid, baat haar niet. Aan bunq is geen boete opgelegd, maar een aanwijzing, ertoe strekkende dat de overtredingen worden beëindigd. Dit alles brengt mee dat de belangenafweging van DNB voldoende gemotiveerd is.
Validatie van de uitvoering van de aanwijzing
6. Bunq betoogt dat DNB in het bestreden besluit heeft miskend dat het uitsluitend aan DNB is om te beoordelen of de door haar aan bunq voorgeschreven gedragslijn toereikend wordt nageleefd, en dat zij niet tot validatie door een derde - en dus ook niet door EY in de hoedanigheid van interne auditdienst van bunq - kan verplichten, zoals is gedaan in onderdelen 3 en 5 van de aanwijzing. Bovendien heeft DNB geen of slechts onduidelijke criteria gegeven aan de hand waarvan de validatierapporten dienen te worden opgesteld, zodat de aanwijzing te onbepaald is, aldus bunq.
6.1.
Volgens bunq staat de door DNB verplichte validatie voorts op gespannen voet met het systeem dat de bekostiging van het toezicht op financiële instellingen in Nederland regelt. Het is aan DNB als overheidstoezichthouder om te beoordelen of de door haar aan een onder toezicht staande instelling voorgeschreven gedragslijn toereikend wordt nageleefd. Wordt die taak de facto uitbesteed aan een ander, dan doorkruist dat ook bedoeld bekostigingssysteem, zoals verankerd in de Wet bekostiging financieel toezicht 2019. Deze wet biedt geen grondslag voor het doorbelasten van de hier aan de orde zijnde kosten van externe validatie. Er is met betrekking tot de externe validatie volgens bunq immers geen sprake van enige van de in artikel 13 tot en met 16 van die wet genoemde kostensoorten waarvoor DNB een vergoeding mag rekenen.
6.2.
De stellingen van bunq kunnen volgens DNB in het bestreden besluit bij gebrek aan relevantie niet slagen. In het verweerschrift heeft DNB uiteen gezet dat het voorschrijven van een validatie bepaald niet uitzonderlijk is en bijdraagt aan versterking van de effectiviteit van de maatregel. DNB meent dat een wettelijke grondslag is gelegen in de artikel 1:75 van de Wft en 28 van de Wwft.
6.3.
De rechtbank stelt voorop dat een aanwijzing erop is gericht dat een overtreding wordt beëindigd. Binnen dat kader dient de te volgen gedragslijn te worden vormgegeven. Een verplichte validatie kan in de visie van DNB nuttig zijn, maar is naar het oordeel van de rechtbank niet noodzakelijk om de overtreding te beëindigen en valt daarom niet binnen het kader. Bovendien wordt naast de beoordeling van het validatieonderzoek dat bunq door een interne of externe auditor moet laten verrichten, door DNB een eigen validatieonderzoek uitgevoerd bij bunq. Dat onderzoek is recent gestart en zal DNB in staat stellen zich een eigen oordeel te vormen omtrent de naleving van de aanwijzing door bunq. Dat brengt mee dat het door bunq uit te voeren validatieonderzoek niet noodzakelijk is om de overtreding te beëindigen. Dit gedeelte van de aanwijzing is dan ook ten onrechte gegeven.
Conclusies
7. Gelet op wat is overwogen onder 6.3 is het beroep gegrond. De rechtbank zal het bestreden besluit vernietigen voor zover dat betrekking heeft op de validatie van de uitvoering van de aanwijzing en zelf in de zaak voorzien door het primaire besluit in zoverre te herroepen. Dit betekent dat onderdelen 3 en 5 van de aanwijzing komen te vervallen.
8. Omdat de rechtbank het beroep gegrond verklaart, zal zij bepalen dat DNB aan bunq het door haar betaalde griffierecht vergoedt.
9. De rechtbank veroordeelt DNB in de door bunq gemaakte proceskosten. Deze kosten stelt de rechtbank op grond van het Besluit proceskosten bestuursrecht voor de door een derde beroepsmatig verleende rechtsbijstand vast op € 3.204,- (1 punt voor het indienen van het bezwaarschrift, 1 punt voor het verschijnen op de hoorzitting, 1 punt voor het indienen van het beroepschrift en 1 punt voor het verschijnen ter zitting met een waarde per punt van € 534,- en wegingsfactor 1,5).
Beslissing
De rechtbank:
- verklaart het beroep gegrond;
- vernietigt het bestreden besluit, voor zover dat betrekking heeft op de validatie van de uitvoering van de aanwijzing;
- herroept het primaire besluit in zoverre;
- bepaalt dat deze uitspraak in de plaats treedt van het vernietigde gedeelte van het bestreden besluit;
- bepaalt dat DNB aan bunq het betaalde griffierecht van € 354,- vergoedt;
- veroordeelt DNB in de proceskosten van bunq tot een bedrag van € 3.204,-.
Deze uitspraak is gedaan door mr. A.J. van Spengen, voorzitter, en mr. P. Vrolijk en mr. A. Douwes, leden, in aanwezigheid van mr. M.J.F.J. van Beek, griffier. De uitspraak is in het openbaar gedaan op 5 februari 2021.
De griffier is buiten staat de voorzitter is verhinderd te tekenen
griffier voorzitter
Een afschrift van deze uitspraak is verzonden aan partijen op:
Rechtsmiddel
Tegen deze uitspraak kan binnen zes weken na de dag van verzending daarvan hoger beroep worden ingesteld bij het College van Beroep voor het bedrijfsleven.
Bijlage: wet- en regelgeving
Artikel 1:75 Wft
1. De toezichthouder of de Europese Centrale Bank, indien deze bevoegd is toezicht uit te oefenen op grond van de artikelen 4 en 6 van de verordening bankentoezicht, kan een persoon die niet voldoet aan hetgeen bij of krachtens deze wet is bepaald, door middel van het geven van een aanwijzing verplichten om binnen een door de toezichthouder, onderscheidenlijk de Europese Centrale Bank, gestelde redelijke termijn ten aanzien van in de aanwijzingsbeschikking aan te geven punten een bepaalde gedragslijn te volgen.
Artikel 28 Wwft
De toezichthoudende autoriteit kan een ieder die niet voldoet aan een ingevolge deze wet op hem rustende verplichting een aanwijzing geven om binnen een door de toezichthoudende autoriteit gestelde redelijke termijn ten aanzien van in de aanwijzingsbeschikking aan te geven punten een bepaalde gedragslijn te volgen.
Artikel 10 Bpr
1. Een betaalinstelling, clearinginstelling, elektronischgeldinstelling, entiteit voor risico-acceptatie, bank, kredietunie, premiepensioeninstelling, verzekeraar, wisselinstelling of bijkantoor als bedoeld in artikel 3:10, eerste lid, 3:11, 3:12, 3:12a, 3:13 of 3:14 van de wet draagt zorg voor een systematische analyse van integriteitsrisico´s.
2 De financiële onderneming, onderscheidenlijk het bijkantoor, draagt er zorg voor dat het beleid, bedoeld in artikel 3:10, eerste lid, van de wet zijn neerslag vindt in procedures en maatregelen.
3 De financiële onderneming, onderscheidenlijk het bijkantoor, stelt alle relevante bedrijfsonderdelen in kennis van het beleid en de procedures en maatregelen.
4 De financiële onderneming, onderscheidenlijk het bijkantoor, draagt zorg voor de uitvoering en de systematische toetsing van het beleid en de procedures en maatregelen.
5 De financiële onderneming, onderscheidenlijk het bijkantoor, draagt zorg voor onafhankelijk toezicht op de uitvoering van het beleid en de procedures en maatregelen met betrekking tot de integere uitoefening van het bedrijf en beschikt over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken worden gerapporteerd aan de personen belast met de taak, bedoeld in artikel 21.
6 De financiële onderneming, onderscheidenlijk het bijkantoor, beschikt over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken met betrekking tot de integere uitoefening van het bedrijf onder toezicht van de personen belast met de taak, bedoeld in artikel 21, tot een gepaste bijstelling leiden.
Artikel 3:10 Wft
1. Een afwikkelonderneming, betaalinstelling, clearinginstelling, elektronischgeldinstelling, entiteit voor risico-acceptatie, bank, kredietunie, premiepensioeninstelling, verzekeraar of wisselinstelling met zetel in Nederland voert een adequaat beleid dat een integere uitoefening van haar onderscheidenlijk zijn bedrijf waarborgt. Hieronder wordt verstaan dat:
a. belangenverstrengeling wordt tegengegaan;
b. wordt tegengegaan dat de financiële onderneming of haar werknemers strafbare feiten of andere wetsovertredingen begaan die het vertrouwen in de financiële onderneming of in de financiële markten kunnen schaden;
c. wordt tegengegaan dat wegens haar cliënten het vertrouwen in de financiële onderneming of in de financiële markten kan worden geschaad; en
d. wordt tegengegaan dat andere handelingen door de financiële onderneming of haar werknemers worden verricht die op een dusdanige wijze ingaan tegen hetgeen volgens het ongeschreven recht in het maatschappelijk verkeer betaamt, dat hierdoor het vertrouwen in de financiële onderneming of in de financiële markten ernstig kan worden geschaad.
2 Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld met betrekking tot de minimumvoorwaarden waaraan het beleid, bedoeld in het eerste lid, moet voldoen.
Artikel 3 Wwft
1. Een instelling verricht ter voorkoming van witwassen en financieren van terrorisme cliëntenonderzoek.
2 Het cliëntenonderzoek stelt de instelling in staat om:
a. de cliënt te identificeren en diens identiteit te verifiëren;
b. de uiteindelijk belanghebbende van de cliënt te identificeren en redelijke maatregelen te nemen om zijn identiteit te verifiëren, indien de cliënt een rechtspersoon is, redelijke maatregelen te nemen om inzicht te verwerven in de eigendoms- en zeggenschapsstructuur van de cliënt, en indien de uiteindelijk belanghebbende lid is van het hoger leidinggevend personeel, noodzakelijke redelijke maatregelen te nemen om de identiteit te verifiëren van de natuurlijke persoon die lid is van het hoger leidinggevend personeel, waarbij de genomen maatregelen en de ondervonden moeilijkheden tijdens het verificatieproces worden vastgelegd;
c. het doel en de beoogde aard van de zakelijke relatie vast te stellen;
d. een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen, teneinde te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel, met zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden;
e. vast te stellen of de natuurlijke persoon die de cliënt vertegenwoordigt daartoe bevoegd is en in voorkomend geval de natuurlijke persoon te identificeren en diens identiteit te verifiëren;
f. redelijke maatregelen te nemen om te verifiëren of de cliënt ten behoeve van zichzelf optreedt dan wel ten behoeve van een derde.
geval, om die persoon te identificeren en diens identiteit te verifiëren.
5. Een instelling verricht het cliëntenonderzoek in de volgende gevallen:
a. indien zij in of vanuit Nederland een zakelijke relatie aangaat;
Artikel 8 Wwft
5 In aanvulling op de cliëntenonderzoeksmaatregelen, bedoeld in artikel 3:
a. beschikt een instelling over passende risicobeheersystemen, waaronder op risico gebaseerde procedures, om te bepalen of de cliënt of de uiteindelijk belanghebbende een politiek prominente persoon is;
b. past een instelling de volgende maatregelen toe bij het aangaan of voortzetten van een zakelijke relatie met of het verrichten van een transactie voor een politiek prominente persoon:
1°. voor het aangaan of voortzetten van deze zakelijke relatie of het verrichten van deze transactie, is de toestemming vereist van een persoon die deel uitmaakt van het hoger leidinggevend personeel;
2°. passende maatregelen worden getroffen om de bron van het vermogen en van de middelen die bij deze zakelijke relatie of deze transactie gebruikt worden, vast te stellen;
3°. de zakelijke relatie wordt doorlopend aan verscherpte controle onderworpen.