Nieuwe regels voor betaaldienstverleners zijn riskant voor rekeninghouders

Geplaatst op 14 mei 2026 door Ellen Timmer

Op 5 mei jl. is de voorlopige versie van de nieuwe betaaldienstverleningsverordening van de EU, ook wel aangeduid als PSR [1], openbaar gemaakt.

Daarnaast loopt de behandeling van een betaaldienstenrichtlijn, ook als PSD3 aangeduid [2], ook daar is een voorlopige versie (‘provisional agreement’) vastgesteld. PSD3 bevat de regels inzake toelating van betaaldienstverleners tot de Europese markt.

Vooral PSR is interessant omdat daarin – in aanvulling op de antiwitwasverordening (AMLR) [3] – de basis wordt gelegd voor het gedetailleerd volgen van iedere rekeninghouder in de EU en het onderling uitwisselen van informatie tussen betaaldienstverleners zoals banken. Ook schrijft PSR voor dat de transactiemonitoringsgegevens zeer langdurig moeten worden bewaard, wat de gegevensbeschermingsrisico’s van burgers sterk verhoogt.

Transactiemonitoring
De kern van PSR wordt gevormd door de verplichting om transacties te monitoren, ter voorkoming van fraude en misbruik. Die monitoringsverplichting heeft verwantschap met de monitoringsverplichting van AMLR. Het verschil is dat de AMLR een veel bredere monitoring voorschrijft, er moet door bedrijven niet alleen gekeken worden naar transacties maar ook naar allerlei andere feiten en omstandigheden die er op kunnen wijzen dat hun klant een crimineel is. Lees mijn artikel over artikel 69 AMLR.

De transactiemonitoring van PSR is geregeld in artikel 83 van de voorlopige versie. Op grond van lid 1b. wordt de monitoring gebaseerd op een analyse van eerdere betalingstransacties en op online toegang tot  betaalrekeningen. Vervolgens staat in lid 2 met welke informatie over degene die de betalingsopdracht geeft (de ‘payer’) rekening moet worden gehouden. Dat is heel wat (machinevertaling):

(a) informatie over de betaler, met inbegrip van de omgevings- en gedragskenmerken die kenmerkend zijn voor de betaler bij normaal gebruik van de gepersonaliseerde beveiligingsgegevens;
(b) informatie over de betaalrekening, met inbegrip van de transactiegeschiedenis;
(c) transactiegegevens, met inbegrip van het transactiebedrag, het betaalinstrument, de valuta, de datum en het tijdstip van uitvoering, alsmede de unieke identificatiecode van de begunstigde;
(d) sessiegegevens, met inbegrip van het IP-adresbereik van het apparaat van waaruit toegang is verkregen tot de betaalrekening en van waaruit de transactie is geïnitieerd;
(e) apparaatgegevens, met inbegrip van de apparaatidentificatiegegevens van waaruit de transactie is geïnitieerd;
(ea) informatie over de begunstigde, met inbegrip van de unieke identificatiecode van de begunstigde;
(eb) informatie die via samenwerkingsverbanden voor informatie-uitwisseling is ontvangen.

Ik  ben heel benieuwd wat er onder “omgevings- en gedragskenmerken” van (a) wordt verstaan en of de bank die kan kennen. Het zal allemaal geautomatiseerd gebeuren, wat me nog meer benieuwd maakt naar de betekenis. Ook is interessant of de computer van de bank iets kan met de transactiegeschiedenis.

De betaaldienstverlener van de begunstigde van de betaling moet ook monitoren, dat betreft:

(a) gegevens over de begunstigde;
(aa) informatie die via samenwerkingsverbanden voor informatie-uitwisseling is verkregen;
(b) gegevens over de betaalrekening van de begunstigde, met inbegrip van de transactiegeschiedenis;
(c) transactiegegevens, waaronder het transactiebedrag, het betaalinstrument, de valuta, de datum en het tijdstip van uitvoering, alsmede de naam van de betaler.

De Europese wetgever heeft humor: in artikel 69 van de verordening staat dat als een betaalopdracht ‘ongebruikelijk’ is, dat nog niet betekent dat de opdracht meteen verdacht is:

For the purpose of this Regulation, the fact that a payment order is unusual shall not by itself constitute objectively justified reasons to suspect fraud.

Zou dat verhulde kritiek zijn op het huidige Nederlandse antiwitwassysteem om ‘ongebruikelijke’ transacties te melden?

Oneindige bewaarplicht
Kenmerkend voor de witwasbestrijding is de oneindige bewaarplicht, nl. tot vijf jaar na het eindigen van de zakelijke relatie. Bij incidentele transacties en relaties is dat geen probleem. Echter het is wel problematisch bij relaties met banken en andere betaaldienstverleners, aangezien die vaak zeer langdurig zijn.

Die oneindige bewaarplicht is ook in PSR terug te vinden. In lid 2b staat dat de gegevens niet langer mogen bewaren dan nodig voor de doeleinden van het artikel (fraudebestrijding), en in ieder geval niet langer dan vijf jaar na beëindiging van de zakelijke relatie.

De risico’s verbonden aan het langdurige bewaren van vertrouwelijke gegevens, onder meer persoonsgegevens, lijkt de Europese wetgever niet te interesseren, terwijl wat betaaldienstverleners onder zich hebben zeer interessant is voor criminelen en andere ongewenste types.

Tot slot
Het blijft vreemd dat men in Europa de rekeninghouders dit soort grote gegevensbeschermingsrisico’s wil laten lopen. De criminaliteitsbestrijders hebben een grote hekel aan dataminimalisatie, zo lijkt het.

Intussen hoeven betaaldienstverleners datalekken niet aan hun klanten te melden (artikel). Dus waarschijnlijk moet er eerst een grote ramp gebeuren voordat de Europese wetgever wakker wordt.

 

 

Noten:

[1] Provisional agreement resulting from interinstitutional negotiations, subject: Proposal for a regulation of the European Parliament and of the Council on payment services in the internal market and amending Regulation (EU) No 1093/2010, (COM(2023)0367 – C9-0217/2023 – 2023/0210(COD)). Het dossier van het Europees Parlement inzake PSR is hier te vinden.

[2] Proposal for a directive European Parliament and of the Council on Payment services and electronic money services in the Internal Market amending Directive 98/26/EC and repealing Directives 2015/2366/EU and 2009/110/EC (COM(2023)0366 – C9-0218/2023 – 2023/0209(COD)).

[3] Regulation (EU) 2024/1624.

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Judgment Court of Justice of the European Union on systematic collection of the biometric data

Geplaatst op 13 mei 2026 door Ellen Timmer

La Quadature du Net published the article The Court of Justice of the European Union condemns France’s police profiling practices on the EDRi website on the Comdribus judgment of 19 March 2026, ECLI:EU:C:2026:219.

The court does not approve of the systematic collection of biometric data by the government without safeguards:

On those grounds, the Court (Fifth Chamber) hereby rules:

1. Article 10 of Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, read in conjunction with Article 4(1)(a) to (c) and Article 8 of that directive,

must be interpreted as precluding national legislation which provides for the systematic collection of the biometric data of any person reasonably suspected on one or more grounds of having committed or attempted to commit a criminal offence, unless it is established, first, that the national law defines the specific and concrete purposes pursued by that collection in an appropriate and sufficiently precise manner, and second, that the competent authority is required, in each individual case, to assess whether that collection is strictly necessary for achieving those purposes, so that that collection is not systematic.

2. Article 10 of Directive 2016/680, read in conjunction with Article 4(4) and Article 54 of that directive and in the light of Article 47 of the Charter of Fundamental Rights of the European Union,

must be interpreted as precluding national legislation which does not lay down an obligation on the part of the competent authority to provide a sufficient statement of reasons, in each individual case, as to why it is ‘strictly necessary’, within the meaning of that provision, to collect the biometric data of a person reasonably suspected on one or more grounds of having committed or attempted to commit a criminal offence.

It may be a criminal offence for a person to refuse to cooperate with the collection of biometric data, provided that strict conditions are met:

3. Article 10 of Directive 2016/680, read in conjunction with Article 4(1)(a) to (c) and Article 8 of that directive and in the light of Article 49(3) of the Charter of Fundamental Rights, must be interpreted as not precluding national legislation which allows a person to be prosecuted for and convicted of a specific criminal offence penalising that person’s refusal to allow the collection of his or her biometric data, even though that person has not been prosecuted for or convicted of the criminal offence that formed the basis of the envisaged collection of those data, provided that that collection satisfies the ‘strictly necessary’ condition within the meaning of Article 10 of the directive and that the criminal penalty imposed in that respect observes the principle of proportionality.

Geplaatst in English - posts in English on this blog, Europa, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , | Plaats een reactie

Nieuwe PIFI bekend gemaakt

Geplaatst op 12 mei 2026 door Ellen Timmer

De Nederlandse Vereniging van Banken (NVB) maakte bekend met de Autoriteit Persoonsgegevens overeenstemming te hebben bereikt over de nieuwe versie van het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Deze is op 1 april jl. in werking getreden.

In het nieuwe PIFI is het begrip ‘incident’ verbreed tot:

een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, vormen van cybercriminaliteit, verduistering in dienstbetrekking, phishing, onoorbaar gedrag (waaronder verbale en non verbale agressie), misbruik van producten en opzettelijke misleiding.

Het is nieuw dat ook ‘onoorbaar gedrag’ een incident is. Wat dit is wordt niet nader toegelicht.

In de vorige PIFI werd het begrip omschreven als:

een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding;

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie

Vragen Tweede Kamer over antiwitwasrapport Algemene Rekenkamer

Geplaatst op 11 mei 2026 door Ellen Timmer

Leden van de Tweede Kamer stelden vragen over het rapport van de Algemene Rekenkamer over de witwasbestrijding. Bij de VVD blijken ze niet te weten dat er een basisbankrekening voor particulieren is. Belangrijke vragen worden niet gesteld en het Europese kader ontbreekt. Teleurstellend.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , | Plaats een reactie

Rapport over witwasrisico’s bij kansspelen

Geplaatst op 10 mei 2026 door Ellen Timmer

Op de agenda van de commissie J&V van de Tweede Kamer van 20 mei a.s. staat een rapport over de risico’s op witwassen bij kansspelen. In de begeleidende brief schrijft de staatssecretaris over de antiwitwasvrijstellingen in de kansspelsector.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Nederlandse Vereniging van Banken vraagt grote techbedrijven om niet langer online fraude te faciliteren

Geplaatst op 9 mei 2026 door Ellen Timmer

De Nederlandse Vereniging van Banken (NVB) publiceerde het bericht Banken roepen social media-platforms op meer te doen aan online fraudebestrijding. Daarin melden zij dat de asociale media zoals Meta en Google een belangrijke facilitator zijn van online fraude. De NVB schrijft onder meer:

Uit onderzoek blijkt dat tegenwoordig 70% van alle online fraude begint op social media. (…)
Banken doen de oproep naar aanleiding van de jaarlijkse publicatie van de fraudecijfers, waaruit blijkt dat de schade als gevolg van bankhelpdeskfraude steeg met ruim 3 miljoen euro en in 2025 uitkwam op 25,8 miljoen euro. Ook de schade als gevolg van phishing steeg met 1,8 miljoen euro, naar bijna 2,6 miljoen euro.

Het is afwachten of de grote Amerikaanse bedrijven hun faciliterende activiteiten zullen inperken, nu zij zich verschuilen achter alibi’s als ‘vrijheid van meningsuiting’ en ‘we zijn maar een tussenpersoon’.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Is Booking.com guilty of money laundering by earning money with war crimes?

Geplaatst op 8 mei 2026 door Ellen Timmer

Two years ago a group of NGOs filed a criminal complaint against Booking.com regarding a supposed money-laundering offence by Booking.com, because they obtain revenues from renting out properties in illegal Israeli settlements, established through the commission of war crimes. Recently SOMO published the article Court must decide on prosecution of Booking.com over money-laundering on the current stage of the procedure. Read also SOMO’s earlier article.

The criminal offence of money laundering is defined very broadly, so it is quite possible that proceeds from illegal Israeli settlements fall within its scope. It will therefore be interesting to see the outcome of the proceedings.

The outcome could have wider implications, given that many other companies are profiting from illegal activities. Examples include Meta and Google, which illegally harvest personal data from all Europeans and make a great deal of money from it. Those proceeds could also be regarded as criminal proceeds, meaning the companies are guilty of money laundering.

To be continued!

Geplaatst in English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie

Grootschalig datalek gemeente Epe

Geplaatst op 8 mei 2026 door Ellen Timmer

Een van de schokkendste datalekken van de afgelopen tijd is het ontvreemden van persoonsgegevens van inwoners van de gemeente Epe (bericht 1, 2, 3), het gaat om persoonsgegevens van bijna alle inwoners.

Bij gemeenten vinden regelmatig datalekken plaats (security.nl), dit lijkt wel een van de grootste te zijn.

Geplaatst in Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Nog steeds DigiD-rumoer | Solvinity

Geplaatst op 7 mei 2026 door Ellen Timmer

Rondom de Amerikaanse toegang tot financiële persoonsgegevens van Nederlanders is nog steeds rumoer.
The Firewall [1] en Privacy First [2] meldden dat hun coalitie de messen slijpt. Eric Smit van The Firewall gaf uitleg bij Pauw & De Wit.

Intussen werd bekend dat het contract met Solvinity werd verlengd en dat er kamervragen zijn gesteld, het is te volgen via security.nl.

Human Rights in Finance.EU publiceerde twee artikelen:
* Human Rights in Finance (EU) wijst overname Solvinity af en roept BIT op om nu écht ‘aan de slag’ te gaan met de afwijzing overname en
* HRIF.EU: verlenging overheidscontract Solvinity alleen met harde voorwaarden.

Daar zal het wel niet bij blijven want Nederland is met handen en voeten gebonden aan buitenlandse grote techleveranciers.

 

Noten:

[1] Zie het artikel Deining over DigiD van 18 april jl.

[2] Zie de update van 18 april jl. aan het slot van het eerdere artikel:

De bestuursrechtelijke procedure is inmiddels in een volgende fase beland. Eind januari legden we bij de minister van Economische Zaken een verzoek neer om de overname te stoppen en om als belanghebbende partijen te worden erkend. Een reactie van de minister bleef echter uit. Begin maart stelden onze advocaten daarom de minister in gebreke. Ook een reactie daarop bleef uit en daartegen tekenden wij eind maart ‘beroep niet tijdig beslissen’ aan bij de rechtbank Den Haag. De minister heeft daarna, op grond van de wettelijke termijn, acht weken om te reageren.
Onze advocaten kregen afgelopen week van de rechtbank Den Haag te horen dat het beroep is doorverwezen naar de rechtbank Rotterdam. Dat zien we als een gunstige ontwikkeling: de rechters in Rotterdam staan bekend om hun kritische kijk op het openbaar bestuur.
Mocht de minister de termijn laten verlopen, dan zal de rechter schriftelijk uitspraak doen. Hij kan de minister opdragen om binnen twee weken een besluit te nemen over ons verzoek. Pas wanneer dat besluit van de minister er ligt, kunnen we weer in beroep gaan en ligt de weg naar een eerste rechtszitting open.
Mocht de minister de overname van Solvinity al volgende week goedkeuren, dan tekenen we meteen bezwaar aan. Als de minister de overname niet goedkeurt en Solvinity en Kyndryl juridisch tegen dat besluit in het geweer komen, dan zullen we mee gaan procederen. In beide gevallen zal de minister moeten beoordelen of de groep wetenschappers, journalisten en opiniemakers, stichting Firewall en Privacy First belanghebbenden zijn.
We zijn dus voorbereid op de dingen die komen gaan. Als het aan ons ligt, zal DigiD nooit binnen het bereik van de Amerikaanse overheid komen.

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Addressing AI’s Impact on Our Information Ecosystem | policy brief

Geplaatst op 6 mei 2026 door Ellen Timmer

On the interface site the policy brief by Lena-Maria Böswald, Roa Powell and Tyreese Calnan, ‘From Crisis to Renewal. Addressing AI’s Impact on Our Information Ecosystem‘, was published.

From the abstract:

AI-driven search-summary features, with Google’s AI Overviews (AIOs) being the most promiment example, are rapidly transforming how people access news, with profound implications for our information ecosystem. While AI holds potential to improve access to information, its current deployment risks undermining the sustainability, diversity, and reliability of news.

As AI summaries summarise information directly within search results, they can significantly reduce traffic to news publishers. Evidence suggests users are less likely to click through to original sources when AIOs are present on Google, threatening the financial viability of journalism. These impacts from AI summaries and AIOs in particular are unlikely to be evenly distributed and will play out in different ways across the news sector across Europe, with smaller and ad-funded outlets particularly vulnerable, raising concerns about declining media plurality.

Geplaatst in English - posts in English on this blog, Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie