Peter Westdijk
Op Nu.nl verscheen 25 juli 2024 een bericht dat ING klanten discrimineerde wegens afkomst via antiterrorismewet. Een pakkende kop door een vleugje sensatie in de toonzetting, naar mijn persoonlijke mening.
Is sanctiescreening discriminerend?
Volgens de nieuwszender maakte de bank zich schuldig aan discriminatie, door betalingen aan mensen met een niet-Nederlandse naam als begunstigde of als een niet-Nederlandse naam in de omschrijving was opgenomen extra te controleren. Afdronk van het artikel is dat het nodig is dat de bank haar beleid kritisch herziet.
Via de link in het artikel kwam ik terecht bij de meer juridische beschrijving van de casus, de overwegingen en het oordeel van het College voor de rechten van de mens. En dan wordt het op het eerste oog vervelende verhaal wel wat genuanceerder. Als ik de casusbeschrijving als niet-jurist nalees is mijn afdronk dat het niet gaat om de procedure van de bank om betalingen te controleren om de sanctiewetgeving na te leven, maar het feit dat na het verstrekken van de gevraagde toelichtende informatie alle volgende betalingen om dezelfde reden werden tegengehouden en dezelfde informatie telkens moest worden verstrekt. Dát werd als discriminerend ervaren. Net als het feit dat de ingediende klacht niet in behandeling werd genomen, maar klager alleen een ontvangstbevestiging kreeg.
En dat is dan toch een ander bericht dan de eerste indruk, dat sanctiecontroles discriminerend zijn. Gelukkig maar, want anders zou een zeer lastig dilemma voorliggen voor financiële instellingen en voor DNB…
Hoe is sanctiescreening niet discriminerend?
Wat ik heb opgepikt uit het verslag van het College van de rechten van de mens: transparantie, transparantie en transparantie!
Wees transparant naar de klant over wat je controleert, hoe je dat doet en waarom je dat doet. Het beleid van ING en de manier van controleren waren eigenlijk geen discussiepunt tussen de bank en de klager. Wel het gebrek aan uitleg en het gebrek aan toelichting als reactie op de klacht.
Wees intern transparant over wat je van een klant weet. De bank had verzuimd om de al verstrekte gegevens mee te nemen bij de tweede controle en vroeg die gegevens toen opnieuw; en nog een keer. En ik hoor de privacy-specialisten al hun waarschuwende vingertje opsteken. Maar ook hier moet een afweging worden gemaakt tussen de wettelijke plicht op sanctiecontrole, het belang van de klant (dat veel bedrijven centraal stellen) en dataminimalisatie. Als je deze gegevens (in dit voorbeeld dat iemand al is gecontroleerd en niet afgekeurd) vastlegt is dat in het belang van de klant en kun je dat opnemen in je privacy statement. De klager uit deze case zal naar mijn gevoel daartegen niet in het geweer komen; adequate vastlegging en heldere communicatie had hier waarschijnlijk een hoop ellende bespaard…
En wees transparant over je eigen uitglijders. Als je een klacht krijgt omdat je iets niet goed hebt gedaan, reageer daar snel en eerlijk op. Want klagers willen nog met je door, of geven je in ieder geval een kans op hogere klanttevredenheid en reclame. Zeker een klacht over zo’n gevoelig onderwerp verdient onmiddellijke aandacht van de organisatie; het afbreukrisico is hier tenslotte hoog.
Maar ik begrijp terughoudendheid in dezen ook wel een beetje, want banken moeten zich al in allerlei bochten wringen om aan alle regels te kunnen (blijven) voldoen. En de boetes van de financiële toezichthouders als DNB zijn niet misselijk. Dat zijn dan ook nog eens harde euro-bedragen en daardoor makkelijker te prioriteren voor managers en beslissers. Een goede indruk maken lijkt dan de “beste” koers om boetes te vermijden. Lijkt, want er kan altijd iets gebeuren waardoor de verborgen waarheid aan het licht komt. Het Nu.nl bericht is daarvan een treffend voorbeeld.
Een samenhangend verhaal?
Ik zie in deze casus en andere signalen en nieuwsberichten een patroon: verschillende wetten en regels die elkaar tegenspreken zonder dat een zorgvuldige afweging vooraf is gemaakt of als wettelijke eis is ingebouwd. In de Universele verklaring van de rechten van de mens zijn het recht op de bescherming van de persoonlijke levenssfeer en het recht op vrijheid van meningsuiting beide opgenomen, ook al kunnen die elkaar onder specifieke omstandigheden tegenspreken: het is maar net van wiens kant een casus wordt benaderd. Maar in de Verklaring is tenminste wel een artikel opgenomen dat een zorgvuldige afweging tussen de twee genoemde grondrechten moet worden gemaakt.
In deze casus staan anti-discriminatie en anti-terrorismefinanciering tegenover elkaar. En dan is het privacy-aspect nog niet eens meegenomen in de afweging. Maar waar ligt wettelijk vast dat een zorgvuldige afweging moet worden gemaakt en wat betekent dat dan in de praktijk? Blijkbaar moeten we daarvoor dan naar de rechter, of naar het College voor de rechten van de mens, in dit geval.
In mijn lekenogen en omdat het gewoon logisch lijkt, zou onze wetgever hier vooraf rekening mee hebben moeten houden; maar ik ben geen jurist. Als compliance officer vind ik wel dat organisaties met de samenhang van wetten en regels rekening moeten houden. Het is verstandig om daar iets over vast te leggen mocht dat ooit in twijfel getrokken worden. Realiseer je als financiële instelling dat (heel) veel van je klanten met een niet-Nederlandse naam niét op sanctielijsten staan, maar wel in de sanctiecontrole zullen vallen. En vraag je dan af hoe je het klantbelang centraal kunt stellen, binnen de kaders van al de geldende regels.
In je privacy reglement ga je niet iemands ras of etniciteit opnemen, dat mag niet. Maar een hit moet je wel registreren om aan te tonen dat je beheersmaatregelen werken en om te voorkomen dat je onwettige betalingen uitvoert of faciliteert. Is ‘geen hit’ dan niet automatisch ook een persoonsgegeven? En waarom leg je dat dan niet specifiek vast, zodat je niet twee keer dezelfde vraag gaat stellen? Een beetje test vooraf van de klantreis of customer experience zou het ongemak dat klager heeft ondervonden, duidelijker hebben geïdentificeerd. En dus ook de anti-discriminerende effecten in het proces. Zo bepaal je wat je doet, wat je daarvan vastlegt en houd je het klantbelang centraal en blijf je compliant met de regelgeving.
PARP 2.0?
De meeste PARP-processen gaan over het product zelf en niet over de bedrijfsprocessen. Ik ben zelf geen voorstander van het regels op regels stapelen om steeds meer zaken af te dwingen. Vooral omdat regels elkaar kunnen versterken maar ook verzwakken of zelfs tegenspreken. Je kunt je afvragen of de scope van de huidige PARP in dat opzicht voldoende is. Of dat een soort PARP 2.0 nodig is, waarbij de klantreis onderdeel uitmaakt van de toets criteria om zo het proces te verbeteren. Mijn motto is ‘minder regels waar het kan, betere regels waar het moet’.
Toenemende regeldruk (en ook de dreigingen van social media, overigens) maakt organisaties kwetsbaarder en verhoogt de inzet om het allemaal goed te doen. De balans vinden tussen klantbelang, voldoen aan de regelgeving en het verdienen van geld zal voorlopig onze agenda’s blijven bepalen. Als Nederlands Compliance Instituut helpen we je graag daarbij!
