Op 23 juni 2006 verschenen er in een aantal Amerikaanse kranten artikels over terrorismebestrijding door de Amerikaanse regering en de rol die SWIFT daarin speelt. Diezelfde dag nog publiceerde SWIFT een formele verklaring op www.swift.com. Sindsdien heeft het bedrijf op actieve wijze onze bestuurders, leden, toezichthoudende instanties en personeel geïnformeerd over onze activiteiten. Swift heeft ook geantwoord op vragen van andere publieksgroepen, waaronder de media, politici, betrokken personen en belanghebbende NGO's.
SWIFT blijft nauw samenwerken met publieke autoriteiten die momenteel een onderzoek voeren naar de naleving door SWIFT van overheidsbevelen. Wij hebben uitvoerige antwoorden gegeven in het kader van deze onderzoeken en ontmoeten nu de nationale privacy commissies, waaronder de Belgische Commissie voor de Bescherming van de Persoonlijke Levenssfeer en de EU adviesgroep inzake data privacy, de “Article 29 Working Party”. De bevindingen van de eerste van deze publieke onderzoeken, gevoerd door de Belgische privacy-commissie, worden verwacht tegen oktober.
Zoals vermeld in de mededeling van 23 juni heeft SWIFT steeds als fundamenteel principe het bewaren van de vertrouwelijkheid van gebruikersgegevens gehanteerd, terwijl wij tegelijk altijd voldaan hebben aan de wettelijke verplichtingen in de landen waar wij opereren. Het streven naar evenwicht tussen die twee vereisten was voor SWIFT de leidraad van dit proces. SWIFT waardeert het vertrouwen dat zijn leden ons sinds meer dan 30 jaar schenken en zal alles in het werk blijven stellen om dat vertrouwen waard te blijven.
De vragen en antwoorden (Q&A) hieronder zijn bedoeld om een aantal cruciale vragen te beantwoorden die gesteld werden sinds de eerste verklaring eind juni.
Hebben de autoriteiten van de VS onbeperkte toegang tot de door SWIFT bijgehouden gegevens?
Neen. De overheidsbevelen die het Amerikaanse Ministerie van Financiën (Department of the Treasury, UST) richt aan SWIFT, hebben slechts betrekking op een beperkt aantal gegevens en dit uitsluitend in het kader van terrorismebestrijding.
Kunnen de gegevens voor eender welk doeleinde worden gebruikt?
Neen. Er gelden belangrijke beperkingen voor de manier waarop het UST toegang krijgt tot en gebruik kan maken van de gegevens. Het UST kan niet zonder meer door de gegevens 'bladeren’. Het kan enkel die gegevens zien die beantwoorden aan een doelgerichte zoekopdracht in het kader van een specifiek terrorisme-onderzoek. Zoekopdrachten kunnen enkel gebaseerd zijn op personen, organisaties of daarmee gepaard gaande informatie, die een aantoonbaar verband hebben met een lopend terrorisme-onderzoek of op andere inlichtingen die aantonen dat de gezochte informatie verband houdt met terrorisme.
Het UST kan geen gegevens doorzoeken voor enig ander doeleinde, zoals 'economische spionage' of als bewijs voor misdrijven die geen verband houden met terrorisme zoals belastingontduiking, witwaspraktijken of enige andere criminele activiteit. Bijgevolg heeft het UST slechts toegang tot een minieme fractie van de gegevens die SWIFT ter beschikking moet stellen. Van elke zoekopdracht wordt een historiek bijgehouden.
Hoe kan u er zeker van zijn dat de gegevens niet worden misbruikt?
SWIFT is terdege bewust en bezorgd dat elk systeem mogelijk onderhevig is aan misbruik. Vandaar dat SWIFT uitgebreide auditmechanismen heeft bekomen die een uiterst hoge verzekering bieden dat de toegang tot de gegevens uitsluitend beperkt is tot lopende terrorisme-onderzoeken. SWIFT heeft interne auditeurs ter plaatse die elke zoekopdracht verifiëren. Ook externe auditeurs worden betrokken die bijkomende waarborgen bieden dat aan alle beveiligingen en voorwaarden wordt voldaan. Via deze mechanismen behoudt SWIFT virtueel de controle over de opgevorderde gegevens.
Hoe worden de gegevens beschermd?
SWIFT besteedt de grootste zorg aan de privacy van zijn gegevens, inclusief de opgevorderde gegevens. SWIFT heeft garanties verkregen -die ook worden geaudit- dat de opgevorderde gegevens worden bewaard in een uiterst beveiligde omgeving en worden behandeld met de hoogste graad van veiligheid en vertrouwelijkheid.
Wat was de wettelijke basis voor de naleving van de overheidsbevelen?
SWIFT heeft gevolg gegeven aan wettelijke dwingende overheidsbevelen die uitgevaardigd werden door het UST. Deze zijn volledig conform aan de Amerikaanse wetten, die op z’n minst reeds dateren van de jaren ‘70, en aan de eigen beleidsregels en procedures van SWIFT. De activiteiten van SWIFT in de Verenigde Staten zijn omvangrijk en behelzen ook de opslag van gegevens. Daardoor kan SWIFT het voorwerp uitmaken van overheidsbevelen in de VS. De overheidsbevelen werden in de VS betekend aan SWIFT US en de opgevorderde gegevens werden door SWIFT US ter beschikking gesteld aan de autoriteiten van de VS.
Waarom bracht SWIFT niet iedereen op de hoogte van de overheidsbevelen?
SWIFT bracht zijn Raad van Bestuur en de toezichthoudende Centrale Banken op de hoogte van de overheidsbevelen in de VS.
Het beleid dat SWIFT voert in het kader van gegevensvrijgave is een onderdeel van onze contractuele documentatie en is gepubliceerd in het 'User Handbook'. Dit beleid bepaalt dat SWIFT uiteindelijk gebruikersgegevens zal moeten vrijgeven indien dit vereist is krachtens geldige wettelijke verzoeken, waaronder dagvaardingen. Ons beleid inzake “compliance” (“compliance”) is gepubliceerd op www.swift.com, ‘ Fighting Illegal Financial Activities’. Bovendien heeft de Voorzitter van SWIFT reeds meermaals over ”compliance” gesproken op de jaarlijkse algemene vergaderingen.
De leden op de hoogte brengen van de overheidsbevelen zou in strijd zijn geweest met het beleid, dat erin bestaat geen commentaar te geven bij gevoelige activiteiten zoals overheidsbevelen. De meer dan 7.800 leden en gebruikers op de hoogte brengen van de overheidsbevelen zou eveneens in strijd zijn geweest met het doel en de inhoud van dergelijke overheidsbevelen inzake terrorismebestrijding, die ook vanwege de aan de bevelen onderworpen partij een grote mate van discretie vergen.
Heeft SWIFT voldaan aan de wetten inzake de bescherming van persoonlijke gegevens?
Ja. SWIFT verbindt zich ertoe de vertrouwelijkheid en de privacy van de gegevens van zijn leden te bewaren en ervoor te zorgen dat de antwoorden op overheidsbevelen stroken met de wettelijke verplichtingen en het gepubliceerd beleid. Bovendien is SWIFT erin geslaagd om namens zijn leden unieke en buitengewone beschermingen en waarborgen te bekomen voor de opgevorderde gegevens.
Als wereldwijde verstrekker van financieel berichtenverkeer handelt SWIFT als doorgever/verwerker van gegevens in opdracht van zijn leden. Door berichten te verzenden over het SWIFT-netwerk geven financiële instellingen aan SWIFT de opdracht om namens hen financiële berichten te verwerken. In tegenstelling tot haar leden-banken onderhoudt SWIFT geen relatie met de bankcliënten. De financiële instellingen, die hun cliënten kennen, verzamelen hun persoonlijke gegevens en handelen volgens hun instructies.
Als internationale verwerker van financiële berichten voldoet SWIFT aan hoge veiligheidsnormen en vertrouwt het op de meest geavanceerde systeemarchitectuur. Voor de noodzakelijke beschikbaarheid en “resilience” steunt deze architectuur op redundante systemen verspreid over verschillende continenten. Deze architectuur is reeds aanwezig sinds meerdere decennia.