ECB signs agreements with European standard setters to facilitate digital euro payments

Geplaatst op 15 mei 2026 door Ellen Timmer

In the article ECB signs agreements with European standard setters to facilitate digital euro payments the European Central Bank announces cooperation with the European Card Payment Cooperation (ECPC), nexo standards and the Berlin Group.

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt | Tags: , | Plaats een reactie

Gegevensuitwisseling door de bank met internet service providers, telecombedrijven en Big Tech

Geplaatst op 15 mei 2026 door Ellen Timmer

In de de voorlopige versie van de nieuwe betaaldienstverleningsverordening van de EU, ook wel aangeduid als PSR [1], worden de wensen van de financiële sector vervuld om informatie uit te wisselen met onder meer internet service providers, telecombedrijven en met de grote platforms en advertentiebedrijven.

In de considerans van PSR wordt uitgelegd dat veel fraude zijn oorsprong vindt in websites die illegaal producten of diensten aanbieden. Ook communicatie aanbieders, grote internet platforms en de diensten van advertentiebedrijven (de asociale media zoals Meta, Google en consorten) spelen een rol in de verspreiding van illegale inhoud. Dat wordt in overwegingen (80b) en verder uitgelegd.

Vreemd genoeg betekent dat niet dat de asociale media (die meer onaangenaams doen dan alleen criminele advertenties faciliteren) aan banden wordt gelegd en dat de veiligheidsregels voor telecomproviders worden aangescherpt.

Verbod malafide advertenties
In plaats daarvan is er in PSR voor gekomen om regels op te nemen voor grote platforms en advertentiebedrijven [2], die inhouden dat zij geen malafide advertenties voor financiële diensten mogen verspreiden (artikel 59b).

Uitwisseling over mogelijke fraude met onder meer telecombedrijven en de grote advertentiebedrijven
In het nieuwe artikel 59a PSR staat dat er uitwisseling moet plaats vinden over (vermoedelijke) fraude tussen enerzijds betaaldienstverleners (onder meer banken) en anderzijds internet service providers [3], communicatie aanbieders [4], en de eerder genoemde platforms en advertentiebedrijven.

Wanneer betalingsfraude voortvloeit uit de publicatie van frauduleuze inhoud online, stellen betaaldienstverleners de internet service providers hiervan onverwijld in kennis (en moeten de laatstgenoemden maatregelen nemen).

Daar blijft het niet bij, want in leden 1. tot en met 3. staat (machinevertaling):

1. Voor zover dit nodig is voor het voorkomen en opsporen van mogelijk frauduleuze betalingstransacties, met inbegrip van transacties waarbij betalingsinitiatiediensten betrokken zijn, mogen gegevens worden uitgewisseld wanneer er objectief gerechtvaardigde redenen zijn om frauduleus gedrag van een gebruiker van hun dienst te vermoeden:

(a) tussen betaaldienstverleners en aanbieders van hostingdiensten, (…);
(b) tussen betaaldienstverleners en aanbieders van elektronische communicatiediensten, (…).

2. Voor de toepassing van de eerste alinea (…), zullen aanbieders van elektronische communicatiediensten (…) en aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines (…) specifieke communicatiekanalen met betaaldienstverleners opzetten, of deelnemen aan een systeem voor effectieve communicatie of aan een mechanisme voor het delen van informatie, om snellere en effectievere uitwisselingen mogelijk te maken in overeenstemming met Verordening (EU) 2016/679 en Richtlijn 2002/58/EG.

3. Aanbieders van elektronische communicatiediensten (…) en aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines (…) dragen zorg voor alle nodige voorlichtingsmaatregelen, waaronder het waarschuwen van de afnemers van hun diensten via alle passende middelen en media wanneer nieuwe vormen van online oplichting opduiken, waarbij rekening wordt gehouden met de behoeften van de meest kwetsbare groepen afnemers van hun diensten.

Voor de toepassing van de eerste alinea verstrekken aanbieders van elektronische communicatiediensten (…) de afnemers van hun diensten duidelijke aanwijzingen over:

(i) hoe frauduleuze pogingen kunnen worden herkend;
(ii) de maatregelen en voorzorgsmaatregelen die moeten worden genomen om te voorkomen dat zij het slachtoffer worden van op hen gerichte frauduleuze handelingen; en
(iii) de procedure voor het melden van frauduleuze handelingen.

Voor de toepassing van de eerste alinea verstrekken aanbieders van zeer grote onlineplatforms en van zeer grote onlinezoekmachines (…) de afnemers van hun diensten duidelijke aanwijzingen over:

(i) hoe frauduleuze pogingen kunnen worden herkend;
(ii) de maatregelen en voorzorgsmaatregelen die moeten worden genomen om te voorkomen dat zij het slachtoffer worden van frauduleuze handelingen die op hen zijn gericht; en
(iii) de procedure voor het melden van frauduleuze handelingen, met het oog op de naleving van artikel 16 van Verordening (EU) 2022/2065.

Wat levert het op?
Na het Odido-lek vraagt iedereen zich af of telecombedrijven wel te vertrouwen zijn als het om gegevensbescherming gaat. Bij hosting providers zijn er eveneens zwakke broeders. De grote internetbedrijven lappen de AVG aan hun laars, dus welke rol gaan zij hier spelen? Zouden de advertentiebedrijven zo een nieuwe bron van informatie over de burgers van de EU aanboren, zodat zij de profielen die zij hebben van iedereen in de EU kunnen verrijken?

Of zou dit werkelijk nuttig zijn? Het zal me benieuwen.

 

 

Noten:

[1] Provisional agreement resulting from interinstitutional negotiations, subject: Proposal for a regulation of the European Parliament and of the Council on payment services in the internal market and amending Regulation (EU) No 1093/2010, (COM(2023)0367 – C9-0217/2023 – 2023/0210(COD)). Het dossier van het Europees Parlement inzake PSR is hier te vinden.

[2] Aangeduid als: “providers of very large online platforms and of very large online search engines within the meaning of Article 33 of Regulation (EU)2022/2065“.

[3] Aangeduid als: “providers of hosting services“.

[4] Dit zijn “providers of electronic communications services, as defined in Article 2(4), point (b), of Directive (EU)2018/1972“, onder meer telecombedrijven.

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Nieuwe regels voor betaaldienstverleners zijn riskant voor rekeninghouders

Geplaatst op 14 mei 2026 door Ellen Timmer

Op 5 mei jl. is de voorlopige versie van de nieuwe betaaldienstverleningsverordening van de EU, ook wel aangeduid als PSR [1], openbaar gemaakt.

Daarnaast loopt de behandeling van een betaaldienstenrichtlijn, ook als PSD3 aangeduid [2], ook daar is een voorlopige versie (‘provisional agreement’) vastgesteld. PSD3 bevat de regels inzake toelating van betaaldienstverleners tot de Europese markt.

Vooral PSR is interessant omdat daarin – in aanvulling op de antiwitwasverordening (AMLR) [3] – de basis wordt gelegd voor het gedetailleerd volgen van iedere rekeninghouder in de EU en het onderling uitwisselen van informatie tussen betaaldienstverleners zoals banken. Ook schrijft PSR voor dat de transactiemonitoringsgegevens zeer langdurig moeten worden bewaard, wat de gegevensbeschermingsrisico’s van burgers sterk verhoogt.

Transactiemonitoring
De kern van PSR wordt gevormd door de verplichting om transacties te monitoren, ter voorkoming van fraude en misbruik. Die monitoringsverplichting heeft verwantschap met de monitoringsverplichting van AMLR. Het verschil is dat de AMLR een veel bredere monitoring voorschrijft, er moet door bedrijven niet alleen gekeken worden naar transacties maar ook naar allerlei andere feiten en omstandigheden die er op kunnen wijzen dat hun klant een crimineel is. Lees mijn artikel over artikel 69 AMLR.

De transactiemonitoring van PSR is geregeld in artikel 83 van de voorlopige versie. Op grond van lid 1b. wordt de monitoring gebaseerd op een analyse van eerdere betalingstransacties en op online toegang tot  betaalrekeningen. Vervolgens staat in lid 2 met welke informatie over degene die de betalingsopdracht geeft (de ‘payer’) rekening moet worden gehouden. Dat is heel wat (machinevertaling):

(a) informatie over de betaler, met inbegrip van de omgevings- en gedragskenmerken die kenmerkend zijn voor de betaler bij normaal gebruik van de gepersonaliseerde beveiligingsgegevens;
(b) informatie over de betaalrekening, met inbegrip van de transactiegeschiedenis;
(c) transactiegegevens, met inbegrip van het transactiebedrag, het betaalinstrument, de valuta, de datum en het tijdstip van uitvoering, alsmede de unieke identificatiecode van de begunstigde;
(d) sessiegegevens, met inbegrip van het IP-adresbereik van het apparaat van waaruit toegang is verkregen tot de betaalrekening en van waaruit de transactie is geïnitieerd;
(e) apparaatgegevens, met inbegrip van de apparaatidentificatiegegevens van waaruit de transactie is geïnitieerd;
(ea) informatie over de begunstigde, met inbegrip van de unieke identificatiecode van de begunstigde;
(eb) informatie die via samenwerkingsverbanden voor informatie-uitwisseling is ontvangen.

Ik  ben heel benieuwd wat er onder “omgevings- en gedragskenmerken” van (a) wordt verstaan en of de bank die kan kennen. Het zal allemaal geautomatiseerd gebeuren, wat me nog meer benieuwd maakt naar de betekenis. Ook is interessant of de computer van de bank iets kan met de transactiegeschiedenis.

De betaaldienstverlener van de begunstigde van de betaling moet ook monitoren, dat betreft:

(a) gegevens over de begunstigde;
(aa) informatie die via samenwerkingsverbanden voor informatie-uitwisseling is verkregen;
(b) gegevens over de betaalrekening van de begunstigde, met inbegrip van de transactiegeschiedenis;
(c) transactiegegevens, waaronder het transactiebedrag, het betaalinstrument, de valuta, de datum en het tijdstip van uitvoering, alsmede de naam van de betaler.

De Europese wetgever heeft humor: in artikel 69 van de verordening staat dat als een betaalopdracht ‘ongebruikelijk’ is, dat nog niet betekent dat de opdracht meteen verdacht is:

For the purpose of this Regulation, the fact that a payment order is unusual shall not by itself constitute objectively justified reasons to suspect fraud.

Zou dat verhulde kritiek zijn op het huidige Nederlandse antiwitwassysteem om ‘ongebruikelijke’ transacties te melden?

Oneindige bewaarplicht
Kenmerkend voor de witwasbestrijding is de oneindige bewaarplicht, nl. tot vijf jaar na het eindigen van de zakelijke relatie. Bij incidentele transacties en relaties is dat geen probleem. Echter het is wel problematisch bij relaties met banken en andere betaaldienstverleners, aangezien die vaak zeer langdurig zijn.

Die oneindige bewaarplicht is ook in PSR terug te vinden. In lid 2b staat dat de gegevens niet langer mogen bewaren dan nodig voor de doeleinden van het artikel (fraudebestrijding), en in ieder geval niet langer dan vijf jaar na beëindiging van de zakelijke relatie.

De risico’s verbonden aan het langdurige bewaren van vertrouwelijke gegevens, onder meer persoonsgegevens, lijkt de Europese wetgever niet te interesseren, terwijl wat betaaldienstverleners onder zich hebben zeer interessant is voor criminelen en andere ongewenste types.

Tot slot
Het blijft vreemd dat men in Europa de rekeninghouders dit soort grote gegevensbeschermingsrisico’s wil laten lopen. De criminaliteitsbestrijders hebben een grote hekel aan dataminimalisatie, zo lijkt het.

Intussen hoeven betaaldienstverleners datalekken niet aan hun klanten te melden (artikel). Dus waarschijnlijk moet er eerst een grote ramp gebeuren voordat de Europese wetgever wakker wordt.

 

 

Noten:

[1] Provisional agreement resulting from interinstitutional negotiations, subject: Proposal for a regulation of the European Parliament and of the Council on payment services in the internal market and amending Regulation (EU) No 1093/2010, (COM(2023)0367 – C9-0217/2023 – 2023/0210(COD)). Het dossier van het Europees Parlement inzake PSR is hier te vinden.

[2] Proposal for a directive European Parliament and of the Council on Payment services and electronic money services in the Internal Market amending Directive 98/26/EC and repealing Directives 2015/2366/EU and 2009/110/EC (COM(2023)0366 – C9-0218/2023 – 2023/0209(COD)).

[3] Regulation (EU) 2024/1624.

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Judgment Court of Justice of the European Union on systematic collection of the biometric data

Geplaatst op 13 mei 2026 door Ellen Timmer

La Quadature du Net published the article The Court of Justice of the European Union condemns France’s police profiling practices on the EDRi website on the Comdribus judgment of 19 March 2026, ECLI:EU:C:2026:219.

The court does not approve of the systematic collection of biometric data by the government without safeguards:

On those grounds, the Court (Fifth Chamber) hereby rules:

1. Article 10 of Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, read in conjunction with Article 4(1)(a) to (c) and Article 8 of that directive,

must be interpreted as precluding national legislation which provides for the systematic collection of the biometric data of any person reasonably suspected on one or more grounds of having committed or attempted to commit a criminal offence, unless it is established, first, that the national law defines the specific and concrete purposes pursued by that collection in an appropriate and sufficiently precise manner, and second, that the competent authority is required, in each individual case, to assess whether that collection is strictly necessary for achieving those purposes, so that that collection is not systematic.

2. Article 10 of Directive 2016/680, read in conjunction with Article 4(4) and Article 54 of that directive and in the light of Article 47 of the Charter of Fundamental Rights of the European Union,

must be interpreted as precluding national legislation which does not lay down an obligation on the part of the competent authority to provide a sufficient statement of reasons, in each individual case, as to why it is ‘strictly necessary’, within the meaning of that provision, to collect the biometric data of a person reasonably suspected on one or more grounds of having committed or attempted to commit a criminal offence.

It may be a criminal offence for a person to refuse to cooperate with the collection of biometric data, provided that strict conditions are met:

3. Article 10 of Directive 2016/680, read in conjunction with Article 4(1)(a) to (c) and Article 8 of that directive and in the light of Article 49(3) of the Charter of Fundamental Rights, must be interpreted as not precluding national legislation which allows a person to be prosecuted for and convicted of a specific criminal offence penalising that person’s refusal to allow the collection of his or her biometric data, even though that person has not been prosecuted for or convicted of the criminal offence that formed the basis of the envisaged collection of those data, provided that that collection satisfies the ‘strictly necessary’ condition within the meaning of Article 10 of the directive and that the criminal penalty imposed in that respect observes the principle of proportionality.

Geplaatst in English - posts in English on this blog, Europa, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , | Plaats een reactie

Nieuwe PIFI bekend gemaakt

Geplaatst op 12 mei 2026 door Ellen Timmer

De Nederlandse Vereniging van Banken (NVB) maakte bekend met de Autoriteit Persoonsgegevens overeenstemming te hebben bereikt over de nieuwe versie van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Deze is op 1 april jl. in werking getreden.

In het nieuwe PIFI is het begrip ‘incident’ verbreed tot:

een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, vormen van cybercriminaliteit, verduistering in dienstbetrekking, phishing, onoorbaar gedrag (waaronder verbale en non verbale agressie), misbruik van producten en opzettelijke misleiding.

Het is nieuw dat ook ‘onoorbaar gedrag’ een incident is. Wat dit is wordt niet nader toegelicht.

In de vorige PIFI werd het begrip omschreven als:

een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding;

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie

Vragen Tweede Kamer over antiwitwasrapport Algemene Rekenkamer

Geplaatst op 11 mei 2026 door Ellen Timmer

Leden van de Tweede Kamer stelden vragen over het rapport van de Algemene Rekenkamer over de witwasbestrijding. Bij de VVD blijken ze niet te weten dat er een basisbankrekening voor particulieren is. Belangrijke vragen worden niet gesteld en het Europese kader ontbreekt. Teleurstellend.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , | Plaats een reactie

Rapport over witwasrisico’s bij kansspelen

Geplaatst op 10 mei 2026 door Ellen Timmer

Op de agenda van de commissie J&V van de Tweede Kamer van 20 mei a.s. staat een rapport over de risico’s op witwassen bij kansspelen. In de begeleidende brief schrijft de staatssecretaris over de antiwitwasvrijstellingen in de kansspelsector.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Nederlandse Vereniging van Banken vraagt grote techbedrijven om niet langer online fraude te faciliteren

Geplaatst op 9 mei 2026 door Ellen Timmer

De Nederlandse Vereniging van Banken (NVB) publiceerde het bericht Banken roepen social media-platforms op meer te doen aan online fraudebestrijding. Daarin melden zij dat de asociale media zoals Meta en Google een belangrijke facilitator zijn van online fraude. De NVB schrijft onder meer:

Uit onderzoek blijkt dat tegenwoordig 70% van alle online fraude begint op social media. (…)
Banken doen de oproep naar aanleiding van de jaarlijkse publicatie van de fraudecijfers, waaruit blijkt dat de schade als gevolg van bankhelpdeskfraude steeg met ruim 3 miljoen euro en in 2025 uitkwam op 25,8 miljoen euro. Ook de schade als gevolg van phishing steeg met 1,8 miljoen euro, naar bijna 2,6 miljoen euro.

Het is afwachten of de grote Amerikaanse bedrijven hun faciliterende activiteiten zullen inperken, nu zij zich verschuilen achter alibi’s als ‘vrijheid van meningsuiting’ en ‘we zijn maar een tussenpersoon’.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Is Booking.com guilty of money laundering by earning money with war crimes?

Geplaatst op 8 mei 2026 door Ellen Timmer

Two years ago a group of NGOs filed a criminal complaint against Booking.com regarding a supposed money-laundering offence by Booking.com, because they obtain revenues from renting out properties in illegal Israeli settlements, established through the commission of war crimes. Recently SOMO published the article Court must decide on prosecution of Booking.com over money-laundering on the current stage of the procedure. Read also SOMO’s earlier article.

The criminal offence of money laundering is defined very broadly, so it is quite possible that proceeds from illegal Israeli settlements fall within its scope. It will therefore be interesting to see the outcome of the proceedings.

The outcome could have wider implications, given that many other companies are profiting from illegal activities. Examples include Meta and Google, which illegally harvest personal data from all Europeans and make a great deal of money from it. Those proceeds could also be regarded as criminal proceeds, meaning the companies are guilty of money laundering.

To be continued!

Geplaatst in English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie

Grootschalig datalek gemeente Epe

Geplaatst op 8 mei 2026 door Ellen Timmer

Een van de schokkendste datalekken van de afgelopen tijd is het ontvreemden van persoonsgegevens van inwoners van de gemeente Epe (bericht 1, 2, 3), het gaat om persoonsgegevens van bijna alle inwoners.

Bij gemeenten vinden regelmatig datalekken plaats (security.nl), dit lijkt wel een van de grootste te zijn.

Geplaatst in Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie