Tag Archive for: vergunning

Crypto Service Providers bound by the Dutch Wwft obligations

| 05-06-2020 | treasuryXL | Enigma Consulting

The Dutch Money Laundering and Terrorist Financing (Prevention) law, better known as the Wwft, is recently modified and executed. The most obvious change is undoubtedly that crypto service providers have come within the scope of anti-money laundering legislation.

Blog is in Dutch

Wat is er gewijzigd?

In 2018 voerde de Europese Unie een set van wijzigingen door in de bestaande Europese antiwitwaswetgeving. Nu, twee jaar later, is deze actualisatieslag ook doorgevoerd in de Wwft.

De volgende zaken zijn onder andere toegevoegd aan de Nederlandse antiwitwaswetgeving:

  1. De uitbreiding van het toepassingsbereik naar nieuwe takken van sport. Vanaf heden moeten bijvoorbeeld ook belastingadviseurs, kunstdealers en makelaars de Wwft-voorschriften naleven.
  2. Het maximale bedrag voor anonieme prepaidkaarten en van toegestane terugbetaling in contanten zonder klantidentificatie is teruggebracht tot respectievelijk €150,- en €50,-.
  3. Aanbieders van diensten voor het wisselen tussen virtuele valuta en fiduciaire valuta en aanbieders van bewaarportemonnees (hierna: cryptodienstverleners) dienen zich verplicht te registreren bij De Nederlandsche Bank (hierna: DNB).

Waarom zijn virtuele valuta in scope van de wetgeving gekomen

De EU achtte de aanpassingen noodzakelijk omdat het witwasrisico zich meer en meer op voorheen niet onderkende gebieden bleek te manifesteren. Vooral het toegenomen gebruik van virtuele valuta stemde de wetgever bezorgd. Vanwege het anonieme karakter van veel virtuele valuta lenen deze zich immers bij uitstek voor witwaspraktijken. Om witwassen en terrorismefinanciering het hoofd te bieden is daarom de registratieplicht voor cryptodienstverleners in het leven geroepen. Geen registratie betekent dat cryptodienstverlening in of vanuit Nederland niet is toegestaan.

Voor bestaande partijen is een overgangsperiode van zes maanden ingesteld, maar uiterlijk 21 november 2020 moeten ook zij het registratietraject succesvol hebben afgerond.

Hoe gaat registratie in zijn werk?

Voor een succesvolle registratie moeten cryptodienstverleners bij DNB aantonen dat zij er een beheerste en integere bedrijfsvoering op na houden. Het voldoen aan de gestelde voorwaarden vergt nogal wat van een onderneming. Zo moeten cryptoaanbieders een set aan procedures en beleidsstukken overleggen waaruit bijvoorbeeld blijkt hoe onderkende integriteitsrisico’s zijn ondervangen en op wat voor manier het cliëntenonderzoek is vormgegeven en ingericht. Ook dient de organisatiestructuur adequaat te zijn opgezet, waarbij onder een onafhankelijke compliancefunctie aanwezig dient te zijn. Naast de genoemde organisatorische vereisten is ook een toetsing van de bestuurders en aandeelhouders verplicht ten aanzien van geschiktheid en betrouwbaarheid.

Zowel op administratief gebied als voor de praktische organisatieinrichting heeft de registratieplicht dus een grote impact. Indien DNB overtuigd is dat de cryptoaanbieder volledig voldoet aan alle registratievereisten schrijft DNB de cryptodienstverlener bij in het openbare register van cryptodienstverleners.

Piece of cake?

Nou, niet bepaald. Hoewel het niet gaat om een vergunningsaanvraag maar ‘slechts’ om een registratieaanvraag zijn de voorwaarden waaraan een cryptodienstverlener moet voldoen geen sinecure. Witwasbestrijding is dan ook een serieuze zaak.

Flink obstakel

De bijkomende administratieve, organisatorische lasten en compliance-inspanningen vormen dan ook voor menige marktpartij een flink obstakel. Bovendien ervaren de cryptodienstverleners de verwachte doorlopende toezichtskosten als hoog. De registratieplicht heeft de afgelopen periode dan ook al de nodige reuring teweeggebracht in het cryptodomein. Een aantal partijen heeft de ontwikkelingen niet afgewacht en is gestopt of vertrokken naar landen waar het toezichtsregime een stuk gematigder is ingericht. Zo staakte BitKassa per 19 mei de dienstverlening en vertrok cryptobeurs Deribit onlangs naar Panama. De consequentie van een vertrek uit de EU is wel dat cryptodienstverlening hier niet is toegestaan.

Gedegen kwaliteit

Hoewel de vereisten voor registratie in Nederland niet licht zijn, impliceert een inschrijving als cryptodienstverlener wel dat de bedrijfsprocessen van de geregistreerde partij van een gedegen kwaliteit zijn. Dit schept vertrouwen bij klanten en leveranciers en voor veel organisaties is dat een belangrijke reden om toch in Nederland voor een registratie te opteren. 

Vooralsnog onzeker

Voorlopige schattingen van het ministerie en DNB gingen uit van ongeveer 75 registratieverzoeken. Hoeveel van deze aanvragen daadwerkelijk zullen worden gehonoreerd is vooralsnog onzeker. Ter voorbereiding heeft DNB guidance afgegeven die de kans op een succesvolle registratie aanzienlijk vergroten. De komende maanden zullen duidelijk maken welke cryptodienstverleners daadwerkelijk door DNB worden bijgeschreven in het register. Dan wordt ook beter inzichtelijk in hoeverre de registratieplicht het bestaande Nederlandse cryptolandschap wijzigt.

 

Geert Blom

Senior Consultant at Enigma Consulting

From Open Banking to Open Finance: Is GDPR certification the key to succes?

| 03-04-2020 | treasuryXL | Enigma Consulting

PSD2 has now been implemented in Dutch legislation for more than a year. Open Banking is therefore also gaining traction in the Netherlands. In this blog our Partner Enigma Consulting discusses the developments from Open Banking to Open Finance.

Blog is in Dutch

Open banking houdt kortgezegd in dat derde partijen in staat zijn te koppelen met banksystemen. Deze derde partijen krijgen zo toegang tot rekeninginformatie die worden gebruikt om hun eigen diensten te verbeteren. Toegang van derde partijen tot de betaalrekening is alleen toegestaan als aan strikte voorwaarden wordt voldaan. Zo moet de derde partij een vergunning hebben van de toezichthouder (in Nederland: De Nederlandsche Bank) en moeten klanten toestemming hebben gegeven voor het delen van gegevens. Ook moet de derde partij de IT-beveiliging aantoonbaar goed op orde hebben.

Zowel banken als fintechbedrijven hebben inmiddels een aantal vernieuwende oplossingen in de markt gezet waarmee zowel ondernemingen als consumenten meer inzicht en controle wordt geboden over hun betaalrekeningen. Deze oplossingen variëren van de standaard multibank-rekeningoverzichten bij een bank als ABN AMRO tot meer innovatieve toepassingen, zoals bijvoorbeeld de schuldhulpverleningsapp van fintech Buddy. Desalniettemin is de door sommigen verwachte stortvloed aan innovatieve toepassingen tot nu toe uitgebleven.

Van open banking naar open finance

Evengoed, of wellicht juist om die reden, kijken veel betrokkenen al naar de toekomstige ontwikkelingen die open banking mogelijk zullen opvolgen. Het ontstaan van een wereld waarin open finance gemeengoed wordt, is volgens hen aanstaande. Met open finance bedoelt men dan de ontwikkeling waarbij niet alleen toegang tot de betaalrekening mogelijk is, maar waarbij het mandaat zich uitbreidt tot bijvoorbeeld spaarrekeningen, beleggingsportefeuilles, hypotheken en pensioenen.

Zorgen over privacy

In hoeverre open finance daadwerkelijk gemeengoed zal worden in onze maatschappij, is echter nog onzeker. Om een brede adoptiegraad onder het grote publiek te bereiken bestaan namelijk nog enkele significante uitdagingen op gebied van bijvoorbeeld privacy, standaardisatie en tarifering. Vooral de onzekerheid bij consumenten over de effectiviteit van de aanwezige databeveiliging bij derde partijen, vormt een hoge drempel. Zolang consumenten niet zijn overtuigd dat een derde partij de privacy van hun data kan garanderen, zullen zij simpelweg geen informatie willen delen.

Op Europees niveau is bovenstaand vraagstuk ook onderkend. De Europese Commissie (EC) ziet open banking en open finance als een katalysator voor innovatie en wil deze ontwikkelingen daarom stimuleren. Daartoe zijn een aantal maatregelen genomen die moeten garanderen dat een partij die een open finance-dienst aanbiedt een adequaat niveau van gegevensbeveiliging hanteert. Zo is in 2018 de Algemene verordening gegevensbescherming (AVG) ingevoerd, waardoor gegevensverwerkende bedrijven aan diverse voorwaarden moeten voldoen ten aanzien van databeveiliging. Maar hoe weet een consument nou dat een ‘open finance-dienstverlenende partij’ voldoet aan alle AVG-vereisten?

Om de consument hier meer inzicht en vertrouwen in te geven zijn op Europees niveau richtsnoeren opgesteld door het Europees Comité voor Gegevensbescherming (EDPB, European Data Protection Board), het orgaan waar alle Europese privacytoezichthouders onder vallen. Deze richtsnoeren zijn recentelijk ook in Nederland doorgevoerd. De richtsnoeren maken het mogelijk voor bedrijven om een AVG-certificering te verkrijgen. Door het verkrijgen van een AVG-certificaat kan een organisatie aan haar klanten laten zien dat zij persoonsgegevens zorgvuldig verwerkt en beschermt. Het certificaat toont aan dat een product, app of dienst geheel voldoet aan alle voorwaarden op gebied van gegevensbescherming die de privacywetgeving stelt.

AVG-accreditatie en AVG-certificering in Nederland

In Nederland trekken de Autoriteit Persoonsgegevens (AP) en de Raad voor Accreditatie (RvA) samen op bij de verstrekking van AVG-certificaten. Dit doen zij door AVG-certificatie-instellingen gezamenlijk te accrediteren.

De RvA is in Nederland aangewezen als de nationale accreditatie-instantie. Deze organisatie verleent toestemming aan gespecialiseerde organisaties (zogenaamde ‘conformiteitverklarende organisaties’ of ‘certificatie-instellingen’) om andere organisaties te certificeren. Dit gebeurt in allerlei werkdomeinen, zoals de gezondheidszorg, de bouw, transport en ook in de financiële sector. Voordat de RvA een conformiteitverklarende organisatie accrediteert controleert zij of de organisatie voldoet aan alle van toepassing zijnde maatstaven en voorwaarden, zoals ISO-normen en/of wettelijke vereisten. Zo waarborgt de RvA dat de certificaten die deze organisaties afgeven betrouwbaar zijn en werkelijk waarde en vertrouwen toevoegen. Doorlopend toezicht op de naleving van de AVG blijft onveranderd een taak van de AP.

Momenteel leggen de RvA en de AP de laatste hand aan de voorwaarden en eisen ten aanzien van de accreditatievoorwaarden voor conformiteitverklarende organisaties op het gebied van de AVG. Wanneer deze actie is afgerond kunnen certificatie-instellingen die AVG-certificaten willen uitgeven daarvoor een aanvraag tot accreditatie indienen bij de RvA. De verwachting is dat accreditering later dit jaar mogelijk wordt.

Sleutel tot succes?

Een AVG-certificaat zal absoluut een boost geven aan de bereidheid onder het grote publiek om persoonsgegevens te delen met gecertificeerde partijen. Essentieel blijft wel dat de consument een aanzienlijke toegevoegde waarde ziet van de aangeboden ‘open finance’-dienst. Daarnaast kent open finance nog andere uitdagingen die een kwaliteitsstempel alleen niet weg kan nemen. Eerder in dit artikel werd bijvoorbeeld al gerefereerd aan standaardisatiebehoeften en tariferingskwesties.

Gelukkig staan de ontwikkelingen ook op deze vlakken niet stil. Zo beoogt het ‘NextGenPSD2’ initiatief van de BERLIN-groep (een internationaal samenwerkingsverband van Europese banken en andere betaaldienstaanbieders) om een eenduidige API-standaard voor gegevensuitwisseling vast te stellen. Ook zijn zowel gevestigde marktpartijen als nieuwe fintechbedrijven druk doende om verdienmodellen rondom ‘open finance’ uit te dokteren.

Of een gezaghebbend AVG-kwaliteitskeurmerk dé toonaangevende driver voor het succes van open finance zal zijn, dat blijft nog even afwachten. In een wereld waar maatschappelijke bezorgdheid over data privacy onverminderd hoog blijft, zal het certificaat voor menig consument het benodigde vertrouwen bieden om gegevens te delen. Ondernemingen worden zo in staat gesteld om het betaallandschap en de manier waarop wij onze financiën beheren de komende jaren ingrijpend te veranderen.

 

Geert Blom

Senior Consultant at Enigma Consulting

Enigma begeleidt MoneyMonk in verkrijgen PSD2 vergunning

| 20-8-2019 | treasuryXL | Enigma Consulting

Boekhoudsoftware MoneyMonk kreeg op 26 juli een PSD2 vergunning van toezichthouder De Nederlandsche Bank (DNB). Na Cobase (ING) en Peaks (Rabobank) is MoneyMonk de eerste Nederlandse organisatie die een vergunning als rekeninginformatiedienstverlener verkrijgt, die niet gelieerd is aan een grootbank. Enigma Consulting heeft MoneyMonk begeleid in het traject van de vergunningaanvraag.

De Utrechtse FinTech en Scale-up MoneyMonk, opgericht door de broers Jasper en Jorgen Horstink, ontwikkelt online bedrijfsadministratie software voor ondernemers. Met hun product ‘MoneyMonk – online boekhouden’ richt het bedrijf zich sinds oprichting in 2013 op de administratie van dienstverlenende ZZP’ers.

Jasper Horstink (CEO) van MoneyMonk: “Wij zijn enorm blij dat wij als eerste boekhoudprogramma in Nederland de vergunning toegekend hebben gekregen door DNB. De vergunning stelt ons in staat om onze klanten nog beter te kunnen helpen. Zo hebben ze een actueler beeld van hun financiële situatie en kunnen ze nog meer tijd besparen op hun administratie. Het aanvragen van een PSD2 vergunning bij de DNB is geen sinecure. De adviseurs van Enigma Consulting met lead consultant Geert Blom hebben ons tijdens het gehele traject begeleid, zowel op juridisch, organisatorisch als op procedureel gebied. Juist het samenwerken met een adviesbureau met uitgebreide ervaring in al deze aspecten van de aanvraag is ons erg goed bevallen.”

Paul Jans, managing director van Enigma Consulting: “De betaalrevolutie komt in de tweede helft van dit jaar volledig tot wasdom met PSD2 in september en de verdere ontwikkeling van Instant Payments de komende maanden. Op dit moment begeleiden we een vijftiental organisaties bij hun vergunningaanvraag. Ik feliciteer de heren van Moneymonk dat zij met hun enthousiasme en daadkracht als eerste boekhoudsoftware de vergunning hebben gekregen.”