Het is mei 2018 wanneer de Algemene Verordening Gegevensbescherming voorschrijft dat (grotere) organisaties verplicht een functionaris gegevensbescherming moeten hebben. Begin 2019 maakten de dekens beleid naar aanleiding van de aanscherping van de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft) in 2018. Dit beleid verplicht advocatenkantoren met meer dan vijftig advocaten om een compliance officer aan te stellen, die – net als de functionaris gegevensbescherming – onafhankelijk van het bestuur moet kunnen opereren. Kleinere kantoren moeten ook een compliance officer hebben als minstens vijftig procent van hun zaken Wwft-plichtige diensten zijn.
Wéér een figuur erbij, zal op menig advocaten- en notariskantoor zijn verzucht. Weer een die zich met allerlei zaken bemoeit, controleert of de regeltjes worden nageleefd en eigenlijk – als fee burner – niks in het laatje brengt. Wéér een extra kostenpost.
Bas Martens (Delissen Martens advocaten) herkent dat wel. “Advocaten met dertig jaar op de teller zitten hier niet op te wachten. Zij denken hun zaken op orde te hebben, anders waren ze wel een keer door de toezichthouder of door hun cliënten aangepakt. Want een van beiden kom je zeker tegen als je niet integer bent of niet volgens de regels werkt. Aan de andere kant denken zij ook na over de risico’s die zij lopen. Groeiende kantoren, grote kantoren, zakelijke kantoren hebben zeker aandacht voor compliance.”
Martens begon in 2016, samen met Suzanne Hendrickx, met Advius, een initiatief dat advocatenkantoren adviseert en begeleidt op het gebied van compliance. Beiden zijn advocaat, Martens was tot 2015 deken van de Haagse orde en daarmee toezichthouder – en controleerde toen ook kantoren op regelnaleving. Hendrickx zat tot 2019 als senior stafjurist op het bureau van de Haagse orde. Ze herinnert zich een onderzoek onder advocatenkantoren waarbij werd gevraagd of een compliance officer wel nodig is. “Een meerderheid vond toen van niet. Dat beeld is inmiddels verschoven.”
Volgens de regels
Kort door de bocht gezegd houdt een compliance officer in de gaten of de advocaten en het kantoor wel volgens de regels werken. Niet dat het anders een puinhoop zou zijn, zegt Martens: het gaat over het algemeen goed. Advocaten, en ook notarissen zijn gewend om met regels om te gaan, regelnaleving zit een beetje in de genen. Maar: “Er zijn wel regels bijgekomen, en regels zijn complexer geworden. Advocaten willen overzicht en willen weten waar de risico’s liggen.”
Neem de opdrachtbevestiging. “Vroeger werd een mailtje naar de cliënt gestuurd: ik ga voor u aan het werk, ik kost zoveel per uur. Tegenwoordig moet er informatie in over de Wwft en de AVG. Gedragsregels en tuchtrechtspraak schrijven voor dat je niet alleen je uurtarief moet doorgeven, maar ook hoeveel tijd je verwacht in de zaak te steken. Het gaat al snel om tien onderwerpen die alleen al in de opdrachtbevestiging moeten staan. En daar zijn geen precieze modellen voor.”
Het gaat ook vaak om eigen inschattingen waarbij advocaten de mist in kunnen gaan. Zoals: heeft de zaak die ikwil aannemen met de Wwft te maken? Hendrickx: “Dat is niet zwart-wit en dat maakt cliëntacceptatie en later een opdrachtbevestiging complex. En áls een zaak valt onder de anti-witwasregelgeving, wat moet je dan doen? Ook daarvoor gelden geen harde voorschriften, je moet dat zelf invullen aan de hand van een risicoanalyse. De regelgeving is uitgebreider, maar niet per se duidelijker voor advocaten die daar niet vaak mee te maken hebben.”
Wel beginnen advocaten zich meer te realiseren dat ze risico’s lopen als de regels niet goed worden nageleefd, hebben Martens en Hendrickx ervaren. Ook als een collega onbewust de fout in gaat kan het hele kantoor reputatieschade lijden. “Het management van grotere kantoren – tien of meer advocaten – weet niet altijd welke advocaat met welke zaak bezig is. Ze willen het wel goed regelen, liefst met de minste moeite. We hebben de indruk dat protocollen op gebied van anti-witwasregelgeving goed worden nageleefd.”
Speurwerk
Dat compliance in de advocatuur groeiende is, blijkt wel bij Houthoff. Daar is Sonja Milović sinds 2017
compliance officer en tegenwoordig hoofd van de compliance-afdeling. Het is een functie die bij Houthoff al langer bestaat, Milović is de derde op rij die dit doet. Ze stuurt acht compliancemedewerkers aan – in 2017 telde die afdeling nog maar twee mensen. Vijf collega’s doen know your client (KYC), ofwel customer due diligence: cliëntenidentificatie, cliënt-onderzoeken, screening, monitoring. “Veel speurwerk”, zegt Milović, die advocaat bij De Brauw is geweest en vijf jaar legal counsel in het bedrijfsleven. Twee collega’s ondersteunen haar bij Wwft-zaken en kijken mee met de KYC Desk als er extra beoordelingen nodig zijn. Zij zijn ook de sparringpartners van de
fee earners, over dossiers, cliënt-acceptatie en potentieel ongebruikelijke transacties. Twee andere collega’s houden zich vooral bezig met privacy. Haar team gaat uiteindelijk over de naleving van beroeps- en gedragsregels, over voorwetenschap, anticorruptie, de sanctiewetgeving en privacy, maar Wwft vormt de hoofdmoot.
“Dat heeft te maken met onze poortwachtersfunctie”, zegt Milović. “We bekijken het type cliënt, de sector, het land van herkomst en de soort dienst die van ons wordt gevraagd, of er geen tegenstrijdige belangen zijn, of er PEP’s – politically exposed persons – bij betrokken zijn. Op basis daarvan besluiten we of we deze cliënt accepteren en de zaak doen. Na acceptatie zijn we verplicht om te monitoren, en fee earners moeten in de gaten houden of er iets voorvalt waardoor we de zaak moeten herbeoordelen.”
Tegen het licht
Milović ervaart het dagelijks, Martens en Hendrickx wijzen er ook altijd op: compliant werken betekent niet een lijstje met regels en voorschriften afvinken. “Compliance betekent: de hele organisatie tegen het licht houden”, zegt Martens. “En daar komt veel bij kijken.” En ook al wordt volgens de regels gewerkt, dan moeten advocaten dat ook kunnen aantonen. Alle stappen die in het complianceproces worden gezet, moeten op een correcte manier worden vastgelegd. Hendrickx: “De toezichthouder wil zien dat je onderzoek hebt gedaan naar nieuwe cliënten en hóé je dat hebt gedaan. Dat moet op schrift staan. Zo geldt voor Wwft-zaken een monitoringsverplichting: om de zoveel tijd moet je nagaan of zaken inhoudelijk zijn veranderd. Dat zullen de meeste advocaten wel doen, maar hoe leg je dat vast zodat de toezichthouder dat ook kan controleren? Ook dat is een onderdeel van compliance.”
Het vastleggen of de regels zijn nageleefd is misschien lastiger dan het naleven van de regels an sich. Dat viel Martens al op in de jaren dat hij deken was. “Maar de tuchtrechter of de civiele rechter zal altijd van professionals verlangen dat zij afspraken hebben bevestigd en vastgelegd. Dat komt ook omdat consumenten meer rechten hebben gekregen. Zo zijn advocaten verplicht om de cliënt erop te wijzen dat ze moeten controleren of ze voor een toevoeging in aanmerking komen, maar dat moet verder in de procedure ook nog eens worden verteld. Advocaten zijn echter niet verplicht te vragen of een cliënt een rechtsbijstandsverzekering heeft, maar er worden wel klachten ingediend op het moment dat je het niet vraagt. Dus veel zaken zijn niet met zoveel woorden voorgeschreven, maar je moet er in je praktijkvoering wel aan denken.”
En die praktijkvoering betreft tal van aspecten: de financiële administratie, de derdengeldenrekening, verzekeringen, opleidingen, kwaliteitstoetsen zoals peer review, intervisie en intercollegiaal overleg. Ze gaan over advocaten met gevoelige posities, over risicobeleid. Over hoe interne afspraken zijn vastgelegd, hoe nieuwe cliënten worden gescreend. Toen compliance werd ‘ingevoerd’, voelde Martens wat weerstand bij kantoren: dat levert weer heel veel formulieren op. “En het klopt, maar het is ook efficiënt in te richten. Nieuwe cliënten moeten nu eenmaal even dooreen hoepeltje springen voordat de zaak kan worden aangenomen.”
Integriteit
Sonja Milović noemt de open normen ‘een van de uitdagingen van compliance’. “In grote lijnen weet je wat je moet doen, daarbinnen moet je eigen beleid opstellen. Wij hebben er bij Houthoff protocollen over opgesteld.” Voor cliënten uit andere landen, die zich minder bewust zijn van deze verplichtingen, is soms moeilijk uit te leggen waarom het kantoor bepaalde informatie van hen nodig heeft.
Die open normen spelen ook een rol bij integriteit binnen kantoren. Dat wordt door dekens en het college van toezicht steeds nadrukkelijker als aandachtsgebied naar voren gebracht. Overigens, in de Verordening op de advocatuur staat niet dat kantoren een integriteitsbeleid moeten hebben, maar integriteit behoort wel tot de kernwaarden. Martens en Hendrickx hebben integriteitsbeleid gemaakt dat kantoren kunnen inzetten. Dat gaat over hoe eigen mensen kunnen worden gescreend (bijvoorbeeld medewerkers die bij het geld kunnen), maar ook over de sociale cultuur binnen een kantoor: is er een vertrouwenspersoon, een klokkenluidersregeling, is maatschappelijk verantwoord ondernemen ingebed, hoe wordt omgegaan met eisen aan diversiteit en inclusiviteit. “Daar zijn in de advocatuur nog stappen te zetten. Advocaten zijn niet tegen dat soort onderwerpen, maar ze denken er onvoldoende over na.”
Misschien houden zij zich wat meer bezig met de ‘harde’ kant van compliance, vermoedt Hendrickx. “Denk aan investeringen die partners kunnen doen, of ze andere ondernemingen op hun naam hebben staan. Belangenverstrengeling, toezicht op nevenfuncties, het aannemen van giften. Daarover, maar ook over de zachtere kanten van compliance, moet je beleid maken dat niet in de la verdwijnt. Ons advies: vorm een clubje op kantoor dat daarmee aan de slag gaat en het binnen kantoor uitrolt.”
Bedgeheimen
Dat beleid, en de uitvoering ervan zal niet het eindstation zijn, denkt Milović. Het compliancewerk zal verder worden uitgebreid. Zo komen er steeds verplichtingen bij, zoals recentelijk de DAC6, de meldplicht voor agressieve grensoverschrijdende fiscale constructies. Daarnaast komt het steeds vaker voor dat cliënten ook alles van hunadvocatenkantoor willen weten: hoe ziet de informatiebeveiliging eruit, hoe gaan advocaten om met gegevens van het bedrijf, databescherming, privacy, anticorruptie. Milović: “Ook daar heeft mijn afdeling veel werk aan.”
Geweldig toch, reageert Roland Notermans, die ook bedrijven adviseert over compliance: cliënten die eisen stellen aan het complianceprogramma van hun juridische dienstverleners. “Die willen niet meer in zee met een gerenommeerd advocatenkantoor dat in zes maanden tijd drie keer negatief in het nieuws is gekomen. Zij bespreken hun grootste bedgeheimen met advocaten en mogen dan toch hopen dat het niet uitlekt.”
Regelnaleving is erg belangrijk, aldus Notermans, maar hij plaatst toch een kanttekening: het is ook verstandig vérder te kijken dan wat strikt juridisch is toegestaan. Notermans is oprichter van NUX Compliance Consultancy en van De Compliance Academie, daarvoor was hij hoofd Compliance en Juridische Zaken van de medische divisie van Philips.
Neem kinderarbeid, zegt hij, in sommige landen is dat toegestaan. “Maar wil je als advocaat diensten verlenen aan een bedrijf dat op zo’n manier ‘legaal’ bezig is? Of aan leveranciers die een dubieuze reputatie hebben omdat hun arbeidsomstandigheden slecht zijn of het milieu verpesten, ook al zijn ze daarvoor niet veroordeeld? Kijk niet alleen naar je eigen leverancier, maar dieper in de leveranciersketen. Een complianceprofessional moet het bestuur een spiegel voorhouden: ook al is iets juridisch toegestaan, moeten we dit wel willen?”
Want ooit komen dergelijke zaken of connecties in de publiciteit en moet verantwoording worden afgelegd. Kortom: de complianceprofessional heeft ook als taak om intern de discussie aan te zwengelen: “Gaan voor kortetermijnwinst of langetermijnwaarden, zoals reputatie, betrouwbaarheid en verantwoord zakendoen? Organisaties die zich uitsluitend laten leiden door wat wel of niet wettelijk is toegestaan, komen van een koude kermis thuis.” De maatschappij verwacht immers méér, zegt Notermans, en ook advocaten en notarissen hebben die maatschappelijke functie.
Heldere governance
In zijn cursussen en adviezen merkt hij dat het bij juridische dienstverleners begint door te dringen dat maatschappelijke belangen een rol moeten spelen bij interne afwegingen, bijvoorbeeld om een cliënt wel of niet aan te nemen. “Maar ik begrijp ook hun realiteit. Hun verdienmodel is: specialisme, terwijl compliance allesomvattend is. Het gaat niet alleen om dat ene kleine rechtsgebied dat je goed moet beheersen. Compliance wil dat je ook elders voldoet aan regels.” En dat begint bij een heldere governance, zegt Notermans, waarbij het bestuur voldoende voeling houdt met maatschappelijke ontwikkelingen, over wat gepast is.
Dát is volgens Notermans de belangrijkste rol van de complianceprofessional: helderheid verschaffen aan andere medewerkers wat het beleid is. Hen ‘challengen’, ervoor zorgen dat zij snappen wat het risicoprofiel van het kantoor is. “Dat tussen hun oren komt dat waardecreatie op de lange termijn voorop staat in plaats van ad hoc kijken wat ze kunnen binnenharken. De complianceprofessional is de hofnar die zijn mond durft open te doen. Hij is dus niet eindverantwoordelijk om alle collega’s de wet te laten volgen, wel dat het complianceprogramma in het dna van het kantoor komt.”
Bij Houthoff zijn ze al die kant opgegaan, zegt Milović. Om dit bewustzijn bij medewerkers te vergroten doet het kantoor veel. Zo doet Houthoff sinds 2016 jaarlijks mee met de Week van de Integriteit en zijn er e-learnings over onder andere de AVG en veilig thuiswerken. Verder wordt er een jaarlijks verplichte Wwft-cursus georganiseerd voor alle advocaten, notarissen en ondersteunend personeel. Tot slot is er een compliancetweedaagse voor nieuwe advocaat-stagiaires, kandidaat-notarissen en beginnende fiscalisten. Die wordt afgesloten met een ‘hackathon’, een spel met een competitief element waar al die regels en gedragingen samenkomen zodat ze zien hoe ze in de praktijk werken. “Vanaf de start van je carrière bij Houthoff moet iedereen weten hoe compliance werkt.
Risicoanalyse
En Notermans herhaalt nog eens: dat gaat veel verder dan ervoor zorgen dat iedereen zich aan de regeltjes houdt. “Er moet een cultuur van verantwoord zakendoen ontstaan. Dat gaat over nevenactiviteiten, belangenverstrengeling, omgaan met vertrouwelijke informatie, het fêteren van potentiële cliënten of hen beïnvloeden met ongepaste geschenken, vertier en vermaak. De compliance-professional moet in kaart brengen: wat verwachten de buitenwereld en de klantenkring van ons. Vertrouwen en betrouwbaarheid zijn de sleutelwoorden voor notariaat en advocatuur, en dat wordt vormgegeven door je complianceprogramma.”
Het is nadrukkelijk niet de taak van de complianceprofessional om te zeggen: met die dubieuze cliënt gaan we niet in zee – hoe onafhankelijkheid deze ook is. Notermans: “Ik hoop wel dat bij advocaten- en notariskantoren de procedures zo zijn ingericht dat als een due diligence is gedaan op een nieuwe cliënt en een partner wil dit twijfelgeval toch doorzetten – want zijn bonus hangt er vanaf – dat niet de partner alléén die beslissing mag nemen, maar dat je gaat escaleren naar het partneroverleg of dagelijks bestuur. Zo’n risicoanalyse moet door het hele bestuur worden gedaan. Compliance werkt alleen bij een goede governancestructuur.”
