Internet rechercheren bij CDD-klantonderzoek

Het begint met privacy en veiligheid

Ook op internet heeft iedereen recht op bescherming van zijn of haar privacy. Daar staan we niet altijd bij stil. De wet- en regelgeving hierover is divers en niet altijd even helder. De belangrijkste wet is de Algemene Verordening Gegevensbescherming (AVG). Alle informatie die herleidbaar is naar een natuurlijk persoon valt onder deze wet. Dus ook wat je tegen komt op internet. De klant die je onderzoekt heeft dus ook recht op privacy. Maar als analist moet je je ook bewust zijn van je eigen privacy. Gebruik bij klantonderzoeken daarom nooit je eigen accounts, want ook jij laat sporen achter. Wat je als analist niet wilt, is dat door gebruik te maken van bijvoorbeeld je eigen LinkedIn-account bij een onderzoek naar witwassen de betreffende klant jou privé benadert.

Onderdeel van klantonderzoek

Toch maakt internetonderzoek onderdeel uit van een klantonderzoek. Maar hoe ver kun je gaan en wat mag in een CDD-rapport staan? Je mag bijvoorbeeld niet stelselmatig observeren, waarbij je regelmatig bij dezelfde persoon zijn of haar sociale omgeving analyseert omdat je iets niet vertrouwd. Wat wel en niet mag bij een fraudeonderzoek is vastgelegd in de Wet Particuliere Beveiligingsorganisaties en Recherchebureaus en de Privacy Gedragscode. In deze gedragscode staat hoe je in de praktijk onderzoek doet en hoe je moet omgaan met de persoonsgegevens (privacy) van de mensen naar wie je onderzoek doet. De scheidslijn tussen een openbaar bronnenonderzoek en de informatieplicht naar klanten is echter heel dun. Wees je daar als analist bewust van en overleg wanneer nodig met bijvoorbeeld een Compliance Officer.

Drie soorten internet

Er zijn drie soorten internet. Als eerste het zogenaamde ‘surface web’. Dit is het gewone, openbare internet. Als tweede het zogenaamde ‘deep web’. Dit zijn onze intranetpagina’s van je werkgever of pagina’s van bijvoorbeeld de Kamer van Koophandel. De inhoud van deze pagina’s worden niet gevonden door een zoekmachine. Als derde het ‘dark web’. Ook deze websites zijn niet vindbaar door middel van zoekmachines. Het dark web is zelfs niet rechtstreeks toegankelijk omdat er een speciale browser voor nodig is. En dat is maar goed ook. Overigens is niet alles op het dark web illegaal of crimineel. Denk bijvoorbeeld aan het lezen de New York Times in China.

Het CDD-onderzoek van analisten beperkt zich altijd tot het surface web. Het aanmaken van een ‘fake’ account mag, zolang deze te herleiden is naar een natuurlijk persoon. Zoals eerder al genoemd mag je niet stelselmatig observeren. Inloggen met een legaal verkregen wachtwoord mag ook niet. Voor alle persoonsgegevens die je verkrijgt, ook via internet, geldt de AVG.

Methodisch onderzoek

Zonder methodisch onderzoek krijg je een brei aan informatie waar kop nog staart aan zit. Breng je vooraf geen structuur aan in je onderzoek, dan wordt het een tijdrovende en ineffectieve klus. Internetonderzoek begint daarom bij het wat en het waarom. Wat is het concrete doel van je onderzoek? En waarom start je een internetonderzoek? Welke bronnen ga je gebruiken? Zo zijn er bijvoorbeeld meerdere zoekmachines en niet iedere zoekmachine geeft dezelfde uitkomsten. Zeker internationaal gezien niet. Naast zoekmachines kun je ook zoeken op social media platvormen. Dit is een onderdeel van OSINT genaamd SOCMINT, oftewel Social Media Intelligence.

Analyseren en verifiëren

Pas nadat je alle informatie hebt verzameld, ga je deze analyseren en verifiëren. Dat betekent dat je onderzoekt of de verkregen informatie via andere bronnen of data klopt. Bijvoorbeeld: een adres van een onderneming komt overeen met de openbare informatie in de Kamer van Koophandel. Op basis van één internetbron mag je niet concluderen dat de verkregen informatie juist en volledig is. De stelregel is namelijk: één bron is géén bron. Vragen die je je hierbij als analist moet stellen, zijn: Wie of wat is de bron – of nóg beter: wie of wat is de bron van de bron? – en hoe actueel is de informatie?

Veelal gebruiken analisten bij klantonderzoeken te weinig openbare bronnen. Het Kadaster, de Kamer van Koophandel en Google zijn hierbij bekende openbare bronnen. Onderzoeken naar medewerkers van bedrijven, controleren van de contactgegevens met andere officieel erkende openbare bronnen, doorzoeken van teksten op websites, verifiëren van afbeeldingen, lezen van uitspraken in rechtspraak verslagen en raadplegen van specifieke pers- en nieuwsbronnen zijn andere openbare bronnen die een analist kan gebruiken om aan informatie te komen of deze te controleren.

Klantrapport

Bij een goed CDD-klantonderzoek hoort ook internet rechercheren. CDD-onderzoek moet altijd reproduceerbaar moet zijn. Leg daarom vast door middel van welke zoekwoorden en met welke zoekmachine de informatie is verkregen. Leg daarbij ook de bron vast, bijvoorbeeld door middel van schermafbeeldingen waarop de URL’s staan met datum en tijdstip.

Uiteindelijk komen je bevindingen in je klantrapport, waarbij je waarnemingen en interpretaties ook als zodanig benoemt. Breng structuur aan in je onderzoek en vermeld feitelijkheden. Maak daarbij gebruik van citaten. Geef geen oordeel. Iemand die op internet in verband wordt gebracht met witwassen is niet per definitie schuldig.

Door als analist verder te kijken dan de Google-toets, heb je mogelijkheden om je CDD-klantonderzoeken te verbeteren. Maar pas op voor de valkuilen. Let goed op wat mag wat en hoe je je bevindingen in je CDD-klantonderzoek verwerkt.