Nieuwe regels hoog-risicolanden maken het de Wwft-plichtigen moeilijk | artikel 9 Wwft

Op 21 mei jl. zijn wijzigingen in de Wwft in werking getreden die onder meer gaan over het cliëntenonderzoek als de zgn. hoog-risico landen (door mij als ‘schurkenstaten‘ afgekort) in het spel zijn. Het gaat om artikel 9 Wwft, waarvan de nieuwe tekst hier is te vinden.

Als de Europese Commissie zijn zin krijgt, is dat de lijst met landen in dit bericht. De huidige lijst staat hier.

De regels zijn flink veranderd, kijk maar eens naar de automatische vergelijking tussen artikel 9 Wwft per 21 mei 2020 en 1 januari 2020:

Praktisch betekent de nieuwe tekst van artikel 9 dat alle Wwft-plichtigen veel extra werk moeten verrichten als sprake is van:

  • transacties
  • zakelijke relaties
  • correspondentbankrelaties

die zijn “gerelateerd aan schurkenstaten”.

In de oude tekst van artikel 9 golden de speciale schurkenstaten-verplichtingen alleen voor bij ministeriële regeling aangewezen Wwft-plichtigen en kon in de regeling gedifferentieerd worden naar type Wwft-plichtige. Nu is het voor alle Wwft-plichtigen hetzelfde (artikel 9 lid 1) en kunnen daarboven nog extra eisen worden gesteld (artikel 9 leden 2 en 3).

Als ik me goed herinner is er in de parlementaire geschiedenis niet toegelicht wat “gerelateerd aan” betekent, wat zorgt voor onzekerheid bij Wwft-plichtigen (en de toezichthouders vrij baan geeft om hun eigen interpretaties te bedenken).

Geboren in Iran
Ik ben benieuwd of de persoon waar ik in februari jl. over schreef, die langdurig in Nederland woont en in Iran (een schurkenstaat) is geboren, is “gerelateerd aan” een schurkenstaat in de zin van artikel Wwft, zodat de hypotheekbank hem als hoog risico moet behandelen. Als dat zo zou zijn, zet artikel 9 Wwft de deur open naar ernstige vormen van discriminatie.

Uitvoerbaarheid
Tevens speelt de vraag of artikel 9 Wwft wel uitvoerbaar is. Zoals zo vaak in de witwasbestrijding worden allerlei soorten ondernemingen, met totaal verschillende informatiepositie en kennisniveau, opgezadeld met one-size-fits-all regels bedacht voor banken. Banken hebben naar mijn verwachting al moeite met het artikel 9 Wwft. Ik betwijfel of andere Wwft-plichtigen in staat zijn om dat artikel na te leven.

Praktisch betekent dit dat middelgrote en kleinere Wwft-plichtigen er goed aan doen te proberen af te zien van transacties en zakelijke relaties met schurkenstaten, voor zover ze er achter kunnen komen wat ‘gerelateerd aan‘ betekent (correspondentbankrelaties spelen alleen bij banken).

Welke agenda zit hier achter?
Dit is een voorbeeld van maatschappelijk onbetamelijke regelgeving, waarmee aan de grote groep Wwft-plichtige ondernemingen onmogelijke eisen worden gesteld. Wat zou achter deze onmenselijke criminaliteitsbestrijdingsregelsmachine kunnen zitten:

  • Is dit de manier waarop straks de grote landen samen met de internetgiganten de hele wereld gaan beheersen?
  • Is het de bedoeling dat het midden- en kleinbedrijf het werken onmogelijk wordt gemaakt? Is straks iedere burger een slaafje geworden?
  • Is dit bevordering van de werkgelegenheid van compliance-adviseurs en datahandelaren die in persoonsgegevens handelen, waar de investeerders van profiteren?
  • Zouden overheden hiermee de basis willen leggen voor een samenleving waarin iedereen elkaar permanent in de gaten houdt op basis van discriminerende risicoprofielen?

Ik begrijp het niet. En ik vind het niet-integer.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., Internationale handel | Tags: , , , , , , , , | 1 reactie

Bescherm Nederlanders met een ongewenste tweede natonaliteit | denk ook aan de Accidental Americans

Het lid van de Tweede Kamer Jan Paternotte diende onlangs een initiatiefnota in bij de Tweede Kamer onder de titel “Bescherm Nederlanders met een ongewenste tweede nationaliteit“. De indiener bespreekt de problemen van mensen met een tweede nationaliteit waar ze niet of moeilijk af kunnen komen, onder meer Marokanen, Grieken, Iraniërs en vele anderen. Bovendien hebben de kinderen van mensen van sommige nationaliteiten – ook al worden ze buiten dat buitenland geboren – ook automatisch die nationaliteit.

Paternotte geeft een interessante beschrijving van de problemen waartegen deze mensen aanlopen. Zo beschrijft hij de moeilijkheden van mensen van Iraanse afkomst, waarbij hij overigens vergeet dat Iraniërs in Nederland vanwege de Amerikaanse sancties tegen Iran door financiële instellingen worden geschuwd, daar schreef ik eerder over.

De nota wordt afgesloten met het voorstel om een aantal verzoeken aan de regering te doen.

Accidental Americans ontbreken
In de nota ontbreken de problemen van de ‘Accidental Americans‘, mensen die de pech hebben in de VS te zijn geboren of in Europa zijn geboren met een Amerikaanse ouder en die geen band met de VS hebben. Sinds 2014 wordt het hen door de VS met hulp van de Europese banken moeilijk gemaakt (lees deze inleiding). De manier waarop de VS misbruik maakt van zijn machtspositie is illustratief voor de gevaren van internationale samenwerking rondom belastingheffing en andere praktische zaken.

Het zou goed zijn als in het kader van deze nota wordt nagedacht over de Amerikaanse nationaliteitswetgeving en over de problemen waarmee de Accidental Americans te kampen hebben.

 

Meer informatie:

Nota Bescherm Nederlanders met een ongewenste tweede nationaliteit:

Lees op dit blog: berichten over FATCA en de Accidental Americans.

Geplaatst in Belastingrecht, Grondrechten, rechtsstaat e.d. | Tags: , , , | Een reactie plaatsen

Lijst van soortgelijke juridische constructies als trusts | artikel 31 lid 10 AMLD4 | Wwft

In de wondere wereld van de misdaadbestrijding is besloten om Angelsaksische trust en alles wat er op lijkt met wortel en tak uit te roeien. Ik vermoed dat de Fransen daar achter zitten, omstreeks 2016 hadden ze al een openbaar trustregister gecreëerd, maar daar stak de rechter een stokje voor. Door middel van de vierde anti-witwasrichtlijn (AMLD4) hebben ze alsnog hun zin gekregen.

In het kader van “hoe ingewikkelder hoe leuker” heeft de Europese wetgever bedacht dat alle witwasbestrijdingsplichtigen in Europa acht moeten slaan op een door de Europese Commissie vastgestelde “geconsolideerde lijst van … trusts en soortgelijke juridische constructies“, die in het Publicatieblad van de Europese Unie wordt geplaatst. Aldus artikel 31, lid 10 AMLD4.

Fonds
Natuurlijk moet je veel moeite doen om deze juridische-constructies-lijst te vinden. De op 24 oktober 2019 bekend gemaakte lijst is niet de juiste lijst.
Op die lijst staat dat Nederland als trust- of soortgelijke juridische constructie het “fonds” heeft gemeld. Ik was verrast, want zouden pensioenfondsen, boekenfondsen en begrafenisfondsen nu ineens een ‘soortgelijke juridische constructie’ zijn geworden?
Nu zijn pensioengerechtigden nog maar net er aan ontkomen dat hun gegevens als uiteindelijk belanghebbenden (ubo’s) in het ubo-register worden opgenomen (in februari 2018 leek dat te gaan gebeuren, dat is later veranderd) dus alles lijkt mogelijk te zijn.

Fonds voor gemene rekening
Gelukkig bleek de opname van het fonds op de lijst van soortgelijke juridische constructies een vergissing te zijn, want er is een gecorrigeerde versie van 27 december 2019. Op die lijst is bij Nederland het ‘Fonds voor gemene rekening‘ opgenomen.

Overigens is het fonds voor gemene rekening geen rechtsvorm, maar een fiscale structuur, die bij de Nederlandse belastingdienst bekend wordt gemaakt. Welk belang er is bij openbaarmaking van de deelnemers, is voor mij een raadsel.

Lijst van trusts en soortgelijke juridische constructies
Voor de liefhebbers volgt hierna het overzicht van 27 december 2019 als plaatje:

Lijst van gelijksoortige juridische constructies

 

Drie landen hebben nog geen opgave gedaan (Duitsland, Oostenrijk, Portugal). Een deel van de landen zegt dat er geen soortgelijke juridische constructies zijn.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , | Een reactie plaatsen

Witwasbestrijdingsmarketing | Wwft, surveillance

De marketing van de witwasbestrijding is verbluffend goed. Een mooi voorbeeld is te vinden in het artikel The world’s dirty money by the numbers door Arnau Busquets Guàrdia dat in Politico verscheen, met het leuke onderkopje “Regulations are in place – but 99 percent of criminal proceeds still escape controle in the EU“. In het artikel wordt op basis van bij elkaar geraapte cijfers de suggestie gewekt dat misdaadbestrijding gemeten kan worden.

Met natuurlijk die ongecontroleerde cijfers over de omvang van het witwassen. Het aantal ‘suspicious transactions‘ (in ieder land anders gedefinieerd) neemt volgens de auteurs toe, maar een beperkt deel leidt tot strafrechtelijk onderzoek (omdat het systeem niet goed werkt?).

Lachwekkend is dat twee derde van alle ‘suspicious activity reports‘ gezonden aan de autoriteiten tussen 2006 en 2014 uit twee landen kwam, nl. Nederland en het Verenigd Koninkrijk…

Zou dat iets zeggen over de kwaliteit van de meldingen en van de witwasbestrijdingsregelgeving?

Nog mooier wordt het als de auteur signaleert dat Spanje het meest effectieve land zou zijn in de implementatie van de witwasbestrijdings- en terrorismefinancieringsregels (aldus FATF). Er wordt een fraai schema met landen getoond waarin de ‘effectiveness of measures‘ en de ‘implementation of technical requirements‘ is verwerkt. Er zijn nog meer pakkende plaatjes, zoals ‘What triggers the alarm…‘ en ‘Most common predicate offenses‘, waarin verrassend genoeg de drugshandel en corruptie laag scoren en belastingfraude hoog. Ik ben benieuwd naar het wetenschappelijk gehalte van dit soort bevindingen.

Gelukkig is witwassen voorspelbaar, zo lees ik in het artikel, onder het kopje ‘Cash is king‘, want criminelen stappen helemaal niet over naar nieuwe digitale methoden. Ze slepen nog steeds met contanten, waarin Zwitserland (dat was toch door de VS gedwongen tot naleving van de witwasbestrijdingsregels?) volgens Europol een grote rol zou spelen (“But Europol points out that Switzerland is the top country in terms of both inbound and outbound movements“). Logisch dat de overheden nu bezig zijn met een campagne om van contant geld af te komen; dat gewone burgers daarmee hun laatste privacy kwijt raken interesseert hen niet.

Volgens het artikel scoort het Verenigd Koninkrijk nog steeds hoog op het gebied van verhullende structuren en is de City van London een hoog-risico gebied. Dat is wel een heel ander beeld dan je elders ziet, waar mensen dwepen met hoe goed de VK het wel zou doen.

Zoals gebruikelijk eindigt het artikel met hoge verwachtingen op het gebied van financiële surveillance, die uit een onduidelijk toegelicht onderzoek zouden blijken. Het zijn de grote bedrijven die zich kunnen veroorloven om digitale middelen in te zetten bij criminaliteitsbestrijding. Volgens het artikel wordt “Cloud-based data and technology” ingezet, wat zou dat zijn?. Een digitaal dossier per klant? Verder wordt gesproken over “API technology“, “Natural language processing“, “Artificial intelligence and machine-learning tools” en “Blockchain“. Geen idee wat men daar mee doet. Zoals bijvoorbeeld dat “Natural language processing“, heeft dat betrekking op een integrale analyse van alle gesprekken die met klanten en hun vertegenwoordigers worden gevoerd? Stelt de computer dan vast wie er onbetrouwbaar spreekt en komen deze personen dan hoger in de risicoladder?

Tot slot
Het artikel geeft goed de algemene politieke stemming aan en deze auteur bewijst de antiwitwaspolitiek een goede dienst. In de digitaal gereguleerde wereld waarin alle door de Busquets Guàrdia voorgestane maatregelen compleet zijn geïmplementeerd leven jammer genoeg geen mensen meer.

 

PS Er wordt onder meer melding gemaakt van een rapport door een Italiaans onderzoeksinstituut, Transcrime-UCSC, maar een vindplaats wordt niet genoemd.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d. | Tags: , , , , , , , , , | Een reactie plaatsen

Cybersecurity is ondergeschoven kindje bij de rijksoverheid | Algemene Rekenkamer over BuZa

De Nederlandse overheid heeft grote verwachtingen van digitale hulpmiddelen, wat onder meer blijkt uit de plannen voor digitale samenwerking bij bestrijding van misdaad. Intussen is door de Algemene Rekenkamer meerdere malen aangedrongen op verbetering van digitalisering en inzet van IT, zie onder meer dit bericht.

Recent bracht de Algemene Rekenkamer de cybersecurity bij de rijksoverheid opnieuw onder de aandacht, in het bericht Beveiliging informatie geen prioriteit bij Ministerie van Buitenlandse Zaken (meer informatie hier). Er worden harde woorden gesproken:

Het Ministerie van Buitenlandse Zaken doet te weinig om de beveiliging op orde te brengen van de informatiesystemen die onder meer gebruikt worden voor diplomatenpost en documentenverkeer met de Europese Unie en de NAVO. Voor de Algemene Rekenkamer is de ernst en de hardnekkigheid van dit probleem reden om dit als een ernstige onvolkomenheid aan te merken.

In mei 2019 rapporteerde de Algemene Rekenkamer al dat de informatiebeveiliging van Buitenlandse Zaken onvoldoende was. Op 20 mei 2020 blijkt bij de publicatie van het verantwoordingsonderzoek dat dit ministerie de vorig jaar gedane aanbevelingen nog niet heeft afgerond. Bovendien voldoet het Ministerie van Buitenlandse Zaken voor het derde jaar op rij niet aan de regelgeving die voor alle ministeries voor informatiebeveiliging geldt. Verder stelt de Algemene Rekenkamer vast dat de minister de Tweede Kamer een erg positief beeld geeft van deze problematiek.

De risico’s zijn groot:

Digitale verstoring, diefstal en lekken van staatsgeheime, bedrijfsvertrouwelijke en privacygevoelige informatie kunnen de rijksoverheid ernstig treffen, en ook burgers en bedrijven raken. Dat is vorig jaar onder meer gebleken toen criminele hackers aanvallen uitvoerden op de door de overheid veelgebruikte Citrix-systemen en gijzelsoftware plaatsten bij de Universiteit Maastricht. Van de rijksbreed werkende overheidsorganisaties heeft de helft de informatiebeveiliging niet op orde, zo stelt de Algemene Rekenkamer vast. Het Ministerie van Buitenlandse Zaken heeft op het gebied van informatiebeveiliging risico’s in de governance, de inrichting van de organisatie en op het terrein van risicomanagement. Accreditaties vallen onder risicomanagement. Het beleid voor informatiebeveiliging is bij dit ministerie niet op tijd geëvalueerd. Het is niet duidelijk wie op het gebied van informatiebeveiliging waarvoor verantwoordelijk is. Verder ontbreekt het aan een jaarplan waarin budget, bemensing en benodigdheden zijn vastgelegd.

De Minister van Buitenlandse Zaken heeft beterschap beloofd.

 

Meer over digitale overheid op dit blog.

Geplaatst in Bestuursrecht, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce | Tags: , , | Een reactie plaatsen

Corona-hulp of crowd control? | Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19

Zo langzamerhand beginnen veel mensen genoeg te krijgen van de anderhalve meter. In verband daarmee is de vraag wat de bedoeling is van het wetsvoorstel Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19 dat vandaag door de Staatssecretaris van EZ en Klimaat bij de Tweede Kamer is ingediend [1], op grond waarvan telecomproviders mobiele telefoongegevens van alle in Nederland aanwezige mensen aan de overheid moeten afgeven.

Ik had er een kleine twitterdiscussie over, volgens Menno Weij gaat het gewoon over crowd control:

 

Onbegrijpelijk nieuwsbericht
Uit het nieuwsbericht [2] van de regering is niet op te maken welk nut de telecomgegevens voor de coronabestrijding hebben. Er worden vriendelijke dingen geroepen over goede bedoelingen, coronabestrijding en privacy. Daartussen staan onbegrijpelijke teksten als:

onherleidbare tellingen per gemeente waarmee de verspreiding van corona nauwkeuriger kan worden gevolgd en voorspeld

en

De zendmastdata die naar het RIVM gaan, bestaan uit nu al bekende gegevens bij telecomaanbieders. De gegevens worden door de aanbieders ontdaan van alle persoonlijke informatie (zoals bijvoorbeeld telefoonnummer) en daarna opgeteld. Op deze wijze ontstaat sneller een indicatie van hoe het virus zich tussen gemeenten verspreidt. De data zijn ongeschikt om individuele personen te identificeren.

Het gaat om een telling, per uur, per gemeente, van het totaalaantal mobiele telefoons dat daar aanwezig is vanuit welke gemeente.

Daar begrijp ik helemaal niets van.

Aan de telecomgegevens is toch helemaal niet te zien we er wel of niet ziek is? Over verspreiding van het virus tussen gemeenten is daar toch helemaal niets uit de telecomgegevens af te leiden? Verder op staat:

heeft het RIVM aangegeven aanvullende informatie nodig te hebben, die sneller de drukte en verplaatsingen in beeld brengt

Er wordt afgesloten met een schattig voorbeeld waarin ik helemaal niet geloof:

Stel dat uit de zendmastgegevens blijkt dat op een zaterdagmiddag bijzonder veel mensen uit bijvoorbeeld Rijswijk in Delft zijn geweest. Als er in één van de twee gemeenten (nieuwe) besmettingen worden gevonden, kan het RIVM de lokale GGD informeren dat dat ook zo zou kunnen zijn in de andere. Dit maakt het mogelijk om regionaal maatwerk te leveren. Ook als die zaterdagmiddag vooral mensen uit Rijswijk een bezoek aan Delft hebben gebracht, is dit een aandachtspunt voor alleen die gemeenten en de GGD in de Haagse regio. In bijvoorbeeld Friesland, Groningen of Limburg hoeft dan niet direct actie ondernomen te worden.

Autoriteit Persoonsgegevens moet nog adviseren
De Autoriteit Persoonsgegevens heeft advies uitgebracht over een voorontwerp van het vandaag ingediende voorstel en schrijft op de website [3] dat het huidige voorstel nog beoordeeld moet worden. Essentieel is, zo schrijft de Autoriteit, dat de effectiviteit van de inzet van telecomdata in redelijke verhouding moet staan tot de inbreuk op de privacy.

Wetsvoorstel: de gegevens die de telco’s moeten verstrekken
In het wetsvoorstel wordt een nieuw artikel 14.7 Telecommunicatiewet voorgesteld, met de verplichting voor telco’s [4] om de volgende informatie aan het CBS te verstrekken:

de totaalaantallen per Nederlandse gemeente en per uur van de mobiele eindapparaten die op enig moment in dat uur in die gemeente verbonden waren met het openbare mobiele telecommunicatienetwerk van de betreffende aanbieder, uitgesplitst naar afgeleide herkomst van de houder van het mobiele eindapparaat, waarbij:

a. de afgeleide herkomst gelijk staat aan:

1°. de gemeente waar het eindapparaat gemiddeld over de afgelopen 30 dagen het grootste deel van de tijd verbinding heeft gemaakt met het openbare mobiele telecommunicatienetwerk van de betreffende aanbieder, of
2°. in geval van een buitenlands nummer, het land dat is af te leiden uit de mobiele landencode als bedoeld in artikel 1, onderdeel c, van het Nummerplan voor identiteitsnummers ten behoeve van internationale mobiliteit (IMSI-nummers), ingedeeld in negen categorieën, te weten:
– Duitsland;
– België;
– het Verenigd Koninkrijk;
– overige landen binnen Europa;
– landen in Noord-Amerika;
– landen in Zuid-Amerika;
– landen in Azië;
– landen in Afrika;
– landen in Oceanië,

b. geen informatie wordt verstrekt over een totaalaantal met eenzelfde afgeleide herkomst dat kleiner is dan 15, en

c. de informatie die betrekking heeft op een datum na inwerkingtreding van dit artikel telkens eenmaal per 24 uur wordt verstrekt.

Uit de eerste alinea volgt dat de telco’s totaalaantallen per gemeente en per uur verschaffen van de verbonden mobiele telefoons, uitgesplitst naar “afgeleide herkomst“. Die afgeleide herkomst is de ‘thuisgemeente’ (a.1°.) of het land van de mobiele telefoon (a.2°.), waarbij groepen kleiner dan 15 niet worden gemeld (b.).

Wat heeft de overheid aan deze telecomgegevens?
In de memorie van toelichting zou moeten staan welk corona-nut de door de telco’s verschafte gegevens hebben. Ik kon het niet vinden. In de memorie van toelichting hult de regering zich in nevelen. Zo staat er bijvoorbeeld:

Bij het versoepelen van geldende maatregelen en het inzetten van andere maatregelen hoort ook dat er andere middelen moeten kunnen worden ingezet om het effect daarvan te meten.

Maar met de telecomgegevens meet je toch niet het effect van de corona-maatregelen?

Verder op wordt gesproken over bezoekers uit het buitenland en dat de aantallen buitenlandse bezoekers iets over het besmettingsrisico zouden zeggen. Het aantal buitenlandse bezoekers kan toch ook uit de kentekens worden afgeleid, waarom wordt niet van die informatie gebruik gemaakt? Apart is dat gesproken wordt over risico’s van landen buiten Europa (zoals Azië, Noord- en Zuid-Amerika). Europa sluit zich toch momenteel af voor personenverkeer uit die landen? Vooralsnog lijkt het er op dat alleen het reizen naar buurlanden versoepeld gaat worden. De verkregen informatie over buitenlanders lijkt me weinig interessant.

Dan wordt opgemerkt:

Het “mengen” van groepen personen tussen gemeenten kan worden vastgesteld.

en elders:

Verplaatsingsgegevens geven het meest direct inzicht in hoeveel bewegingen er plaatsvinden tussen gemeenten.

Dat klinkt vreemd, want bewegingen tussen gemeenten herkennen lijkt me alleen maar mogelijk als je precies weet welke personen zich wanneer en waar bevinden en is dan in strijd met de zgn. anonimisering waarvan sprake zou zijn.

Het navolgende is voor mij al helemaal abacadabra:

Uit de tellingen die eenmaal per 24 uur aan het CBS worden verstrekt, wordt door het CBS dagelijks een matrix gedestilleerd, die door het RIVM gebruikt kan worden om een schatting te maken in welke gemeenten besmettingen zouden plaatsvinden. Die schattingen kunnen door het RIVM worden gebruikt om lokale signalen af te geven aan de GGD’en om transmissie te stoppen.

Hopelijk komt er iemand die mij in gewone mensentaal kan uitleggen waarom het RIVM aan deze gegevens iets kan hebben. Anders gezegd: ik zie niet in wat doel, nut en noodzaak zijn van het verschaffen van de telecomgegevens via CBS aan het RIVM.

Crowd control kan ook anders
Of de telecomgegevens bij crowd control gaan helpen, moet eveneens worden betwijfeld. Ook zonder de telecomgegevens is wel aan informatie te komen over waar het druk is vanwege mensen die een luchtje willen gaan scheppen.

Het overtuigt niet
Het wetsvoorstel en de memorie van toelichting overtuigen mij niet van de noodzaak om telco’s de genoemde telecomgegevens via het CBS aan het RIVM te laten verstrekken. Een dergelijke ingrijpende maatregel hoort een goede onderbouwing te hebben [5].

Ik ben benieuwd wat maatschappelijke organisaties en privacy- en gezondheidsspecialisten er van gaan vinden.

 

 

Lotte Houwing van Bits of Freedom publiceerde het bericht Haastige spoed is zelden goed [6] en schrijft:

Maar opnieuw blijven fundamentele vragen onbeantwoord: Welk probleem moet precies met deze gegevens worden opgelost? Zijn deze gegevens daar wel geschikt voor? Is het verzamelen ervan proportioneel? En zijn er geen minder ingrijpende alternatieven? Naast het beantwoorden van deze vragen moet er bij het gebruik van locatiegegevens rekening gehouden worden met een aantal aandachtspunten.

Lees hun brief aan de leden van de Tweede Kamer.

Privacy First liet weten niet enthousiast te zijn, zie hierna:

 

 

Noten
[1] Wetsvoorstel op de site van de Tweede Kamer, op rijksoverheid.nl (pdf).
[2] Noodwet: RIVM kan voor coronabestrijding tijdelijk anonieme zendmastdata inzetten, rijksoverheid.nl, 29 mei 2020.
[3] AP beoordeelt tijdelijke wet telecomdata op waarborgen privacy, 29 mei 2020. Het advies over het voorontwerp is hier te vinden.
[4] Aanbieders van openbare mobiele telecommunicatienetwerken die openbare mobiele telefoniediensten aanbieden.
[5] Ook andere corona-maatregelen liggen onder vuur, zoals de beperking van de bewegingsvrijheid. Daarover is hoogleraar Jan Brouwer aan het woord in Hoogleraar rechten: ‘Betaal coronaboete niet’, NPO 24 mei 2020. Groeiend verzet tegen coronaboetes: al ruim 10 duizend bekeuringen uitgedeeld, Volkskrant 14 mei 2020. De Raad van State heeft op 25 mei jl. voorlichting over de grond­rech­te­lij­ke as­pec­ten van (voor)ge­no­men cri­sis­maat­re­ge­len gepubliceerd, zie de samenvatting. Mark Lievisse Adriaanse schreef er over in Raad van State dringt bij kabinet aan op haast om corona-noodwet, NRC 25 mei 2020.
[6] Lotte Houwing, Haastige spoed is zelden goed, Bits of Freedom, 29 mei 2020.

Geplaatst in Grondrechten, rechtsstaat e.d. | Tags: , , , , , | Een reactie plaatsen

De transparantie van Open State

De stichting Open State Foundation beoogt bij te dragen aan een digitaal transparante overheid, wat een goed idee is. Via de pagina projecten, tools en data zijn interessante informatiebronnen te vinden.

Open Wob
Zo kan Open Wob nuttig zijn, al vraag ik me af of die database wel goed werkt, want de in april 2020 gepubliceerde wob-documenten over FIU-Nederland, waar ik onlangs over schreef, kon ik er niet vinden. Ook is jammer dat bij de hits die je na een zoekopdracht vindt, geen extra gegevens staan, zoals de datum van bekendmaking van de documenten en andere metadata.

Subsidietrekker
Een andere database is de Subsidietrekker, waar ik Open State even opzoek en ja, ze staan er in:

 

Open State en de ANBI-eisen
De subsidies brachten me op het idee om eens naar de financiën van Open State te kijken.

Het was even zoeken, maar via menu > over ons > ANBI kom ik bij de financiële verslagen uit. Ze zeggen dat ze een ‘algemeen nut beogende instelling‘ (ANBI) zijn en dan moet de financiële verantwoording tijdig openbaar worden gemaakt. De financiële verantwoording inzake het boekjaar 2018 is opgenomen. Uit de staat van baten en lasten is niet te halen dat de stichting donaties ontvangt.

Daar is Adessium weer
Er wordt omzet vermeld bij een stichting die ik onlangs heb leren kennen, Stichting Adessium. Is Open State een ANBI die geen donaties ontvangt? Of is het bedrag dat Adessium heeft betaald een donatie? Als het onder omzet vermelde bedrag de enige bijdrage van deze stichting is, vertegenwoordigt de bijdrage van Adessium 12,9% van de omzet.

Foute lobby van Open State: persoonsgegevens als open data (handelsregister, ubo-register)
Overigens heeft Open State op het gebied van privacy en databescherming een fout standpunt: ze maken deel uit van de lobbygroep die van de inhoud van het handelsregister en ubo-register open data willen maken. Door de veel te brede definitie van uiteindelijk belanghebbende (ubo) staan er veel te veel mensen in het ubo-register die daar niet in thuis horen. Verder horen ook de persoonsgegevens van statutair bestuurders en gevolmachtigden uit het handelsregister niet in de handen van datagraaiers terecht te kunnen komen, ook al zijn dat zogenaamde ‘ethische’ datagraaiers.

Dat standpunt is vreemd, nu ze zich wel bezorgd maken over de privacy-inbreuken van de corona-app (lees ook dit).

Tot slot
Aan het vinden van overheidsinformatie kan veel worden verbeterd, kan ik als professioneel gebruiker bevestigen. Daar waar Open State verbetering van toegankelijkheid van overheidsgegevens (die geen persoonsgegevens zijn) voorstaat, is dat een prima zaak.

Van persoonsgegevens moeten ze afblijven.

 


Aanvulling 2 juni 2020
Bovenstaande tekst is aangepast, omdat Open State inmiddels de concept-financiële verantwoording 2018, waar ik eerder over schreef, vervangen heeft door de definitieve verantwoording over 2018.

Geplaatst in Grondrechten, rechtsstaat e.d., Ubo-register | Tags: , , , , , | Een reactie plaatsen

Aftappraktijken Duitse geheime dienst zijn in strijd met de grondwet | Bundesverfassungsgericht over Bundesnachrichtendienst

De Nederlandse overheid durft het niet aan: toetsen van wetgeving aan de Grondwet. Dat betekent dat er via allerlei dure en lastige omwegen zaken aan de rechter moeten worden voorgelegd. In Duitsland is dat anders, daar hebben ze een gespecialiseerde grondwetrechter, genaamd ‘Bundesverfassungsgericht‘. Dat gerecht laat regelmatig van zich horen. Recent kwam het gerecht in het internationale nieuws toen het gerecht vraagtekens plaatste bij activiteiten van de Europese Centrale Bank (ECB) [1].

Een nieuwe bom viel toen het gerecht uitspraak deed over de activiteiten van de Duitse geheime dienst, de Bundesnachrichtendienst (BND). Onderwerp van de uitspraak is of de Duitse geheime dienst bij het afluisteren de grondrechten van mensen buiten Duitsland moet respecteren. Anders gezegd: gelden grondrechten alleen voor de eigen burgers (zoals veel landen, bijvoorbeeld de VS, van mening zijn) of gelden grondrechten ook voor anderen? Het Bundesverfassungsgericht oordeelde dat de grondrechten in het Duitse recht niet zijn beperkt tot het Duitse grondgebied, aldus de Engelstalige samenvatting:

With its decision, the Federal Constitutional Court has clarified for the first time that the protection afforded by fundamental rights vis-à-vis German state authority is not restricted to the German territory.

Het is in strijd met de grondrechten als de Duitse overheid veronderstelt dat de grondwettelijke regels inzake aftappen van telecommunicatieverbindingen niet zou gelden voor aftappen buiten Duitsland, aldus het gerecht. In de samenvatting staat:

The present case concerns the protection afforded by Art. 10(1) and Art. 5(1) second sentence GG as rights against foreign telecommunications surveillance conducted by the Federal Intelligence Service. Pursuant to Art. 1(3) GG, these fundamental rights are applicable in the case at hand; surveillance measures thus constitute an interference with these rights. Exempting surveillance measures by intelligence services from the applicability of fundamental rights simply because they are directed at foreigners in other countries is alien to the Basic Law, just as exempting them from fundamental rights protection because of their political nature. Rather, the comprehensive binding effect of fundamental rights pursuant to Art. 1(3) GG creates the framework in which due consideration can be given to the risks to fundamental rights that arise from new technological developments and the resulting shifts of power. In particular, this applies to the increasing significance of intelligence services that comes along with the advancement of information technology, allowing intelligence powers to reach out more and more into third countries.

Op grond hiervan zijn de huidige afluisterbevoegdheden van de Duitse geheime dienst in strijd met de Duitse grondwet, wat overigens niet betekent dat afluisteren volledig verboden zou zijn. Het gerecht beschrijft de wijzigingen in de regels die nodig zijn om ook buiten Duitsland in overeenstemming met de grondwet af te luisteren.

Het gerecht levert verder kritiek op de regels inzake uitwisseling van afgeluisterde gegevens,

IV. The challenged provisions on the transfer of intelligence obtained through foreign surveillance to other entities are not sufficiently restrictive either.

en

V. The provisions on cooperation with other intelligence services do not satisfy the constitutional requirements either.

Tot slot oordeelt het gerecht dat er onvoldoende sprake is van toezicht op de surveillance bezigheden van de geheime dienst.

Lees voor meer informatie het uitvoerige persbericht, dat zowel in het Duits als in het Engels beschikbaar is [2]. Er is het nodige over geschreven in de media [3].

 

FAZ op youtube over de uitspraak (Duitstalig):

 

Noten
[1] Zie het persbericht van het gerecht over de ECB-uitspraak, in het Engels en in het Duits en de uitspraak (Duits). Er is veel ophef over, er verschenen vele artikelen onder meer in (Nederlandstalig) het NRC 1 en 2; Trouw, (Engelstalig) Euractiv, Bloomberg, DW en (Duitstalig) Verfassungsblog.
[2] Persbericht gerecht over de geheime dienst-uitspraak (Duitstalig, Engelstalig), uitspraak BVerfG, Urteil des Ersten Senats vom 19. Mai 2020 – 1 BvR 2835/17 -, Rn. (1-332) (Duitstalig html, pdf).
[3] In Nederland maakten NRC, RTL en Telegraaf melding van de uitspraak. Uiteraard is er in het Duits veel over te lezen, onder meer FAZ, Heise, Handelsblatt, Stern, CCC en DW. Zie de FAZ themapagina over de BND.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Grondrechten, rechtsstaat e.d. | Tags: , , , | Een reactie plaatsen

Het vervullen van privacy-wensen | consultatie wijziging UAVG

Op 20 mei startte een internetconsultatie over wijziging van de Nederlandse aanvullende wet inzake privacy, de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

Accountantscontrole
In het consultatievoorstel worden een aantal wensen vervuld, zoals de wens van accountants om persoonsgegevens te verwerken de wettelijke controle. Er wordt een nieuw artikel voorgesteld:

Artikel 23a Uitzondering voor verplichte accountantscontroles
1. Gelet op artikel 9, tweede lid, onderdeel g, van de verordening, is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing indien de verwerking noodzakelijk is voor een door een accountant te verrichten bij wettelijk voorschrift voorgeschreven controle.
2. Op persoonsgegevens waarop de geheimhoudingsplicht, bedoeld in artikel 457, eerste lid, van boek 7 van het Burgerlijk Wetboek rust dan wel heeft gerust, heeft voor aanvang van de verwerking van persoonsgegevens voor de controle, bedoeld in het eerste lid, pseudonimisering als bedoeld in artikel 4, onderdeel 5, van de verordening, plaatsgevonden.

Toelichting: “de verordening” is de AVG, de Europese privacywet.

Verder wordt in verband met het bovenstaande een wijziging van de Wet toezicht accountantsorganisaties voorgesteld, door middel van een nieuw artikel 63aa en een wijziging van de Wet op het accountantsberoep, met een nieuw artikel 57.

Faillissementscurator
Ook de faillissementscurator komt in het voorstel voor. In een nieuw artikel 68a wordt de verwerking van persoonsgegevens mogelijk gemaakt in het kader van de uitvoering van de wettelijke taken die een curator heeft, zoals het opstellen en openbaar maken van het faillissementsverslag.

Financiële sector: geautomatiseerde blokkering van transacties
Voorgesteld wordt om in de Wet op het financieel toezicht bepalingen (in artikel 3:17, de huidige tekst staat hier) op te nemen die het mogelijk maakt om geautomatiseerd betalingstransacties gekoppeld aan een financieel product te blokkeren of op te schorten:

9. Ter uitvoering van het bepaalde in het eerste lid beschikt een financiële onderneming als bedoeld in dat lid over procedures en maatregelen met betrekking tot het monitoren en analyseren van betalingstransacties van cliënten. Een financiële onderneming kan in dat kader geautomatiseerd besluiten om betalingstransacties die zijn gekoppeld aan een financieel product te blokkeren of op te schorten, indien:
a. het blokkeren of opschorten plaatsvindt op basis van afwijkende individuele transactiepatronen ten opzichte van het gebruik van het individuele financieel product van cliënten;
b. de financiële onderneming de betalingstransacties na het blokkeren of opschorten onverwijld door menselijke tussenkomst onderzoekt; en
c. cliënten hun standpunt omtrent het blokkeren of opschorten van de betalingstransactie kenbaar kunnen maken.
10. Bij algemene maatregel van bestuur worden aanvullende regels gesteld over passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van cliënten in geval van het blokkeren of opschorten van betalingstransacties, bedoeld in het negende lid.

Financiële instellingen zijn op grond van artikel 3:17 Wft en artikel 3 lid 2 sub d Wwft verplicht tot transactiemonitoring. Dit is zowel ter voorkoming van fraude ten nadele van de financiële instelling of ten nadele van de klant van de financiële instelling, als om te voorkomen dat criminelen gebruik maken van bankrekeningen en andere financiële producten. In de consultatietoelichting wordt onder meer het volgende opgemerkt:

Aangezien het geautomatiseerd, dat wil zeggen zonder menselijke tussenkomst, stoppen van een transactie de betrokken cliënt in aanmerkelijke mate kan treffen, is het geautomatiseerd blokkeren of opschorten van een transactie door een financiële onderneming aan te merken als geautomatiseerde individuele besluitvorming in de zin van artikel 22 van de AVG. Op grond van artikel 22, tweede lid, van de AVG is dit slechts in een aantal gevallen toegestaan, onder meer als de betreffende geautomatiseerde individuele besluitvorming is toegestaan bij een lidstatelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene.

Met de voorgestelde bepalingen wordt verduidelijkt dat financiële ondernemingen in het kader van het uitvoeren van transactiemonitoring zo nodig ook geautomatiseerd transacties kunnen blokkeren of opschorten als hiervoor aanleiding is. Zo kan een transactie worden geblokkeerd of opgeschort als wordt gedetecteerd dat er sprake is van een afwijkend transactiepatroon ten opzichte van het gebruik van het individueel financieel product van cliënten, bijvoorbeeld door de aanwezigheid van (fraude)indicatoren. Het gaat om een afwijking van het transactiepatroon van de betreffende individuele cliënt. Het betreft hier dan ook geen profilering in de zin van de AVG, waarbij sprake is van vergelijking van bepaalde persoonlijke kenmerken met kenmerken van een groep. In dit geval is er sprake van vergelijking met kenmerken van betalingsgedrag van de betrokken persoon zelf. Verder moet een financiële onderneming zo snel als redelijkerwijs mogelijk is na het blokkeren of opschorten van de transactie contact opnemen met de cliënt, dat wil zeggen door menselijke tussenkomst, om te onderzoeken of al dan niet sprake is van fraude. In dat kader moet de betrokken cliënt de mogelijkheid hebben om zijn standpunt over het blokkeren of opschorten van de transactie kenbaar te maken. Als naar het oordeel van de financiële onderneming sprake is van fraude dan zal de transactie definitief worden geblokkeerd. Als dat niet het geval is, zal de transactie vervolgens alsnog worden uitgevoerd. Het geautomatiseerde besluit van een financiële onderneming om een transactie te blokkeren of op te schorten kan worden aangevochten via de interne klachtenprocedure van de betreffende onderneming en zo nodig via de klachtenprocedure bij de stichting Klachteninstituut financiële dienstverlening (Kifid) en via de rechter. Op grond van de voorgestelde bepalingen worden bij algemene maatregel van bestuur aanvullende regels gesteld over passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van cliënten. De middelen op basis waarvan deze signalen worden gedetecteerd worden periodiek geëvalueerd en financiële ondernemingen nemen verder alle passende maatregelen om ervoor te zorgen dat aan de overige eisen van de AVG wordt voldaan. In de respectieve privacyverklaringen, de overeenkomst of voorwaarden van de financiële ondernemingen zal de betrokkene bijvoorbeeld geïnformeerd moeten worden dat het blokkeren of opschorten van transacties voor de in dit wetsvoorstel bedoelde doeleinden geautomatiseerd kan plaatsvinden.

Nu de mogelijkheid om bij de uitvoering van transactiemonitoring in voorkomende gevallen transacties geautomatiseerd te blokkeren of op te schorten is geregeld in de Wft, ligt het – met het oog op de samenhang en begrijpelijkheid van de regeling – voor de hand om ook de verplichting tot het uitvoeren van transactiemonitoring zelf in de Wft op te nemen. De voorgestelde bepalingen voorzien hierin.

Opvallend is dat de transactiemonitoring op grond van de Wwft in deze passage niet aan bod komt (op pagina 8-9, paragraaf 1.2.2, wordt de Wwft wel genoemd). Elders in de toelichting staat dat nog wordt bezien of een adequate grondslag nodig is voor profilering door banken ter voorkoming van witwassen en fraude (pagina 9, paragraaf 1.2.2).

Financiële sector: gebruik BSN, cross-sectorale gegevensdeling en vermoedens van ziekte en dementie
Voorts wordt nagegaan of ondernemers, meer in het bijzonder banken, het BSN mogen gebruiken voor het uitoefenen van hun poortwachtersfunctie bij het voorkomen van witwassen (pagina 3, paragraaf 2.2, zie voorts paragraaf 1.2.7 op pagina 12). Na ontvangst van het advies van de Autoriteit Persoonsgegevens zal worden bekeken of de BSN-regels worden aangepast.
Cross-sectorale gegevensdeling komt in paragraaf 1.24 (pagina 10) aan de orde.
De financiële sector blijkt behoefte te hebben aan een mogelijkheid om vermoedens van (geestelijke) ziektes of dementie te registreren, zo lees ik in paragraaf 1.3.1 (pagina 12-13). Het Ministerie van Veiligheid stelt in overleg met een aantal betrokkenen uit de sector onderzoek in hoe vormgegeven kan worden aan de zorgplicht met betrekking tot kwetsbare cliënten.

 

Meer informatie:

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce, Insolventierecht | Tags: , , , , , , , , , , , | Een reactie plaatsen

Het kopietje paspoort van RTL | AVG

RTL maakt met regelmaat cybersecurity-schandalen bekend, waaraan techjournalist Daniël Verlaan (site, twitter) een verdienstelijke bijdrage levert. RTL heeft de eigen cybersecurity niet op orde, zo blijkt uit hun privacystatement.

In het fraaie privacystatement legt de uitgever uit dat alles over de site-bezoekers en nieuwsbrieflezers wordt verzameld en met een groot aantal derden, onder meer Adfactor, DPG Media (voorheen De Persgroep), Branddeli en Dumpert, wordt ‘gedeeld’. Van derden worden ook gegevens verkregen. Daarmee wordt van de gebruiker een profiel gemaakt, dat wordt verkocht aan adtech bedrijven. RTL gaat daarbij van de veronderstelling uit dat zij een gerechtvaardigd belang bij direct marketing hebben  (marketing en gerechtvaardigd  belang is een thema waar ik nog eens in wil duiken).

Inzage | kopie ID per e-mail
Degene die bij RTL een inzageverzoek wil doen, wordt in het privacystatement gevraagd om een kopie van een paspoort (waarom geen identiteitsbewijs), dat per e-mail aan privacy@rtl.nl moet worden gestuurd… Terwijl e-mail onveilig is en onderweg gelezen kan worden (lees dit) en terwijl iemand anders een kopie ID kan hebben en dit kan gebruiken om aan RTL te sturen.

Het vragen van inzage op grond van de AVG is een gekend cybersecurityrisico voor de gebruikers.

Het enige dat RTL doet is verwijzen naar een pagina bij de rijksoverheid over voorkoming van fraude met een identiteitsbewijs, waarin alleen wordt uitgelegd dat bepaalde gegevens moeten worden afgedekt. Daarmee voldoet RTL niet aan de AVG, ten eerste mag geen kopie-ID worden gevraagd, ten tweede moet op grond van de AVG  bepaalde informatie aan de inzage-verzoeker worden verstrekt [1] en ten derde is RTL verantwoordelijk voor een veilige communicatie. Op de site van de Autoriteit Persoonsgegevens is informatie over het vragen van inzage te vinden [2].

Slechte beurt van RTL!

 

NB Neemt niet weg dat ik Verlaan blijf lezen.

 

 

 

Noten:

[1] Autoriteit Persoonsgegevens (AP): Hoe kan ik de identiteit vaststellen wanneer iemand zijn/haar privacyrechten uitoefent?. De AP schrijft: “Geen kopie ID. Toch mag u voor dit doel bijna nooit een kopie van het identiteitsbewijs vragen. In de meeste gevallen zijn er namelijk minder ingrijpende manieren om iemands identiteit vast te stellen“. Vervolgens geeft de AP een aantal voorbeelden van alternatieve identificatie: via een bestaand inlogsysteem, een vorm van tweefactorauthenticatie, langs komen en laten tonen ID-bewijs zonder een kopie te maken. Als er wel een reden is voor een kopie van het ID-bewijs, moet de ontvanger bepaalde informatie verschaffen.
[2] Bekijk ook de inleidende informatie van de AP over de rechten van betrokkene (degene over wie de persoonsgegevens gaan) en de nadere informatie over inzage.

 

Andere berichten over kopietje paspoort op dit blog zijn via deze tag te vinden.

Geplaatst in Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Een reactie plaatsen