Emanuel van Praag beschreef in het FD zijn ideeën over hoe nu verder met het UBO-register. Hij schrijft dat het Ministerie het deurbeleid opnieuw moet vormgeven, nu gebleken is dat ‘iedereen’ te breed is. Overheden die een rol spelen in het bestrijden van witwassen en terrorismefinanciering zullen toegang moeten krijgen. Banken en levensverzekeraars die onder de Wwft vallen ook. Maar schadeverzekeraars? Zij moeten vanuit de Sanctiewet weliswaar ook UBO-onderzoek doen, maar sanctiescreening is een ander doel dan het voorkomen van witwassen en terrorismefinanciering, dus dit zal nog best een discussie worden. Maar is het echt wel nodig dat ook schadeverzekeraars deze toegang krijgen? Als we het UBO-register een beetje slim vormgeven, is het misschien niet eens nodig…

Waar bedrijven nieuwe bankrekeningen en levensverzekeringen meestal ééns in de paar jaar afsluiten, is het afsluiten van (zakelijke) schadeverzekeringen aan de orde van de dag (een nieuwe bestelwagen, een nieuwe verzekering). Daardoor ligt de onderzoekfrequentie van schadeverzekeraars vele malen hoger, terwijl de premies en marges op schadeverzekeringen doorgaans  lager zijn. Geen prettige positie dus, gezien de kosten van al dit onderzoek. Daarom hebben schadeverzekeraars baat bij toegang tot een goed werkend UBO-register. Professor Van Praag stelt twee technologische verbeteringen voor, nu de minister van Financiën de toegang tot het UBO-register opnieuw moet bepalen. In variant A geeft de betrokkene toestemming aan instellingen om de UBO-gegevens te raadplegen. Dat klinkt plezierig (want de klant is in control), maar wat als de klant weigert? Dan geen financiële dienst. Geeft de klant wel toestemming? Dan is het dus de vraag in hoeverre die toestemming ‘vrijelijk’ gegeven is en dus wel geldig is als verwerkingsgrond.

Variant B klinkt veel interessanter. Hierbij vraagt de financiële instelling aan de klant wie de UBO is. Daarna bevestigt het register aan de financiële instelling of die informatie wel of niet klopt. Dit levert geen extra werk op voor de financiële instelling, stelt Van Praag, maar is het ook privacy vriendelijker? Toegegeven, dit is qua privacy een stapje vooruit, maar nog steeds moeten ondernemers jaarlijks ontzettend veel UBO-formulieren invullen en naar allerlei financiële instellingen sturen. Een  enorme stroom data, gevoelig voor hacks of lekken, terwijl al die gegevens al in het register staan. Vervolgens gebruikt de instelling die gegevens om na te gaan of iemand op een sanctielijst staat. Nog  een bewerking met kans op fouten: hoezo privacy vriendelijk? Ook omdat al dit onderzoek door schadeverzekeraars zelden resulteert in een hit op de sanctielijst.

Andere oplossing

Wij stellen een andere oplossing voor. Wat als we het register zo inrichten dat een instelling, waar een bedrijf een verzekering wil afsluiten, direct naar het register kan met de vraag of er UBO’s van dat bedrijf op een sanctielijst staan? De instelling krijgt dan alleen een ja of een nee te horen en kan verder. Zo richten we het systeem veel efficiënter in, terwijl de privacy van betrokkenen veel beter beschermd wordt. Kan of wil de KVK deze sanctiescreening niet doen? Dan kan je overwegen een private entiteit in te richten die dit werk doet (die dan wel toegang tot het UBO-register nodig heeft). Gezien de kosten die financiële instellingen nu kwijt zijn aan het totale circus, zou de Auditdienst Rijk samen met de ‘big four’ jaarlijks kunnen toetsen of alles veilig en netjes gebeurt. Dan nog is de sector goedkoper af, met heel veel meer privacy voor de betrokkenen.