Toezichtverslag 2025 van DNB

Geplaatst op 1 maart 2026 door Ellen Timmer

De Nederlandsche Bank (DNB) maakt haar toezichtverslag bekend, met een overzicht van toezichtactiviteiten in 2025 en een toelichting op de prioriteiten voor 2026. Lees de aankondiging en het verslag. In het verslag worden de verschillende groepen waarop DNB toezicht houdt besproken. Over de geprivatiseerde criminaliteitsbestrijding door de toezichtpopulatie wordt opgemerkt:

Ten aanzien van het integriteitstoezicht worden in 2026 de eerste stappen gezet en zal meer duidelijk worden over de verdeling tussen de nationale toezichthouders en de Europese toezichthouder (AMLA).

De betaalsector zal er niet overzichtelijker op worden, zo blijkt uit deze opmerking (pagina 26/27):

Ook in 2026 verwachten wij dat de betaalsector wordt gekenmerkt door aanhoudende marktdynamiek en toetreding van nieuwe partijen, mede gedreven wetgeving zoals MiCAR en PSD3. De complexiteit van aanvragen neemt toe door factoren als nieuwe verdienmodellen (bijvoorbeeld embedded finance), innovatieve producten (zoals stablecoins), internationale aandeelhoudersstructuren en wijzigingen in de samenstelling van instellingen en aandeelhouders. (…)

In 2026 wordt vanuit integriteitstoezicht onder andere gekeken naar partijen die hun vergunning en infrastructuur aanbieden aan andere partijen die onder eigen merk opereren.

Of de klanten van deze diensten wel begrijpen met wie ze te maken hebben en welke risico’s ze lopen, is de vraag. Zoals bekend heeft bijna de helft van de Nederlandse bevolking hulp nodig bij het internetbankieren. De risico’s voor consumenten en mkb zouden wel eens kunnen toenemen.

Discriminatie door banken
In het verslag wordt onder meer melding gemaakt van het rapport inzake het vervolgonderzoek aanpak discriminatie banken (aankondiging). Volgens de aankondiging hebben banken hun aanpak verbeterd:

DNB constateert nu dat banken belangrijke stappen hebben gezet om tot een betere aanpak van discriminatie te komen. Tegelijkertijd is er ook ruimte voor verbetering, bijvoorbeeld op het gebied van het tegengaan van indirecte discriminatie. Daarom doet DNB in het rapport een aantal richtinggevende aanbevelingen aan banken.

De rol van de antiwitwasregels (bijvoorbeeld de lijst van hoogrisicolanden) en de houding van DNB zelf komt bij dit onderwerp niet aan bod.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Sanctieregels, Trustkantoren | Tags: , , , , , , , , , , , , , , | Plaats een reactie

Wetsvoorstel modernisering sanctieregels ingediend | de regering heeft niet geleerd van de fouten van de witwasbestrijding

Geplaatst op 1 maart 2026 door Ellen Timmer

Op 19 februari jl. is het wetsvoorstel inzake modernisering van de sanctieregels ingediend, de vindplaatsen staan aan het slot van dit artikel. Een eerste doorlezing leert dat het kabinet niet heeft geleerd van de fouten van de witwasbestrijding.

Facilitator = crimineel
Opvallend is dat ook hier het overtreden van de sancties door elkaar wordt gehaald met de verplichting van (andere) ondernemingen om de sanctieovertredingen te signaleren en te melden. Net als in de witwasbestrijding worden de crimineel en de onderneming met signalerings- en preventieverplichtingen op één hoop gegooid. Deze aanpak merk ik aan als maatschappelijk onbetamelijk optreden van de overheid.

Doenvermogen is ontdekt
Humoristisch is dat in de memorie van toelichting enerzijds wordt erkend dat de Europese sanctieregels ingewikkeld en snel veranderend zijn, zodat je hoog opgeleid moet zijn om er überhaupt iets van te snappen. Anderzijds zegt men dat door de nieuwe registraties in handelsregister en kadaster van gesanctioneerde personen voldoende is gedaan voor het ‘doenvermogen’ van iedereen die de regels moet naleven (dat is iedereen in Nederland). En iedereen ‘wordt geacht de wet te kennen’. Lekker.

Bedrijfsvoeringsregels, waarom?
Zonder onderbouwing van de noodzaak wordt vastgehouden aan het opleggen van extra bureaucratische maatregelen aan de juridische beroepsgroepen (waartoe de opsteller van de memorie van toelichting ook accountants en boekhouders rekent), terwijl vervolgens wordt gezegd dat de gevolgen voor deze groepen zullen mee vallen omdat er maar zelden interventie van de toezichthouder nodig zal zijn.

Aan de schending van mensenrechten wordt niets gedaan
Het is treurig dat de grondrechtenschendingen die zich al in het kader van de witwasbestrijding en sanctieregelgeving hebben voorgedaan (waarvoor onder meer door Privacy First aandacht is gevraagd), worden afgedaan met de opmerking dat dit in strijd met de wet is en dat DNB en de NVB er over ‘nadenken’ (paragraaf 9.2):

Tegelijkertijd heeft een aantal partijen uitdrukkelijk aandacht gevraagd voor de negatieve bijeffecten die geldende internationale sanctiemaatregelen met zich kunnen brengen. Zo is vanuit het maatschappelijk middenveld gevraagd om een onafhankelijke periodieke meting van de gevolgen voor burgers (inclusief mkb) van het poortwachterstoezicht. Ook is door meerdere partijen aandacht gevraagd voor de discriminatie die burgers ervaren in hun contacten met banken en betaalinstellingen bij het vervullen van hun poortwachtersrol. Als er discriminatie plaatsvindt is dit eenvoudigweg onacceptabel. Artikel 1 van de Grondwet is hier duidelijk over: discriminatie is verboden. Dit is een breder vraagstuk waarop vanuit het Ministerie van Financiën en in samenwerking met de DNB en de Nederlandse Vereniging van Banken een aantal concrete actielijnen op lopen. Een daarvan is het verbeteren van de toepassing van de Wwft en de sanctiewetgeving. Tevens zal het kabinet aandacht houden voor het voorkomen van discriminatie bij de herziening van de sanctiewetgeving (tweede tranche).

Dat is onjuist: er zijn gerichte wetgevende maatregelen nodig om mensen te beschermen tegen uitwassen, overcompliance en tegen de neiging van ondernemingen om klanten te weigeren als de naleving van de sanctieregels te duur is.

Tot slot
Wanneer breekt het inzicht door dat de overheid met deze aanpak op de verkeerde weg is?

 

Nadere informatie:

Voor de adviezen kan het beste het dossier op overheid.nl worden geraadpleegd.

Lees de artikelen op deze site over modernisering van de sanctieregelgeving.

Geplaatst in Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Sanctieregels | Tags: , , , , | Plaats een reactie

EDRi and 35 organisations | Open Letter: We say no to Big Tech mass snooping on our messages!

Geplaatst op 28 februari 2026 door Ellen Timmer

EDRi writes: “EDRi and 35 organisations are urging Members of the European Parliament to reject any extension of the the temporary ePrivacy derogration, also known as “Chat Control 1.0”, and to protect the rights that keep us safe from arbitrary snooping in our lives.

The letter was also signed by the Dutch organisations Bits of Freedom, Stichting Data Bescherming Nederland and Privacy First.

Geplaatst in English - posts in English on this blog, Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

AFM assisteert AMLA bij risicoprofileringsproject

Geplaatst op 27 februari 2026 door Ellen Timmer

De Autoriteit Financiële Markten (AFM) publiceerde het artikel AFM verstuurt testuitvraag Europese anti-witwasautoriteit voor data-uitvraag risicomodel. Daaruit blijkt dat een aantal geselecteerde financiële ondernemingen heeft vorige week een e-mail ontvangen van de AFM, namens de nieuwe Europese antiwitwasautoriteit, de Authority for Countering Money Laundering and Financing of Terrorism (AMLA), over een data-uitvraag door AMLA, waaraan verplicht moet worden deelgenomen, aldus de AFM. Er zullen datapunten moeten worden aangeleverd.

AMLA heeft informatie nodig ten behoeve van het ontwikkelen van een methodologie om de risicoscores van instellingen vast te stellen.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

AMLA publications on data collection for feeding risk assessment models, consultations on additional AML/CFT rules and their program

Geplaatst op 27 februari 2026 door Ellen Timmer

The new anti-money laundering authority of the EU, the Authority for Countering Money Laundering and Financing of Terrorism (AMLA), has published an article on a data collection exercise to test risk assessment models for the financial sector.
They announced their ‘Single Programming Document’ and three internetconsultations [*]:

 

[*] There is nothing ‘technical’ in ‘Regulatory Technical Standards’ (RTS). RTS contain additional regulations, which are decided unilaterally by AMLA and/or the Commission.

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Telecombedrijven zijn een cybersecurity risico voor hun klanten | Odido datalek

Geplaatst op 26 februari 2026 door Ellen Timmer

Telecombedrijven zijn al sinds tientallen jaren een risico voor hun klanten [*].
Het recente Odido datalek komt dan ook niet als een verrassing. Overigens had het ook onder de naam T-Mobile veel problemen, onder meer met simswapping.

Lang geleden vroeg ik me af wanneer telecommunicatie nu eindelijk eens veilig wordt. Met die vraag zit ik nog steeds.

[*] Niet alleen in Nederland, maar ook internationaal, bijvoorbeeld in Singapore, VS en providers Orange, Colt, Bouygues. Zie mijn serie cybersecurity risico’s telefonie.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Stand van zaken wetsvoorstel Wtmo

Geplaatst op 26 februari 2026 door Ellen Timmer

Het wetsvoorstel dat de gehele nonprofitsector in het verdachtenbankje plaatst, het voorstel voor de Wet transparantie en tegengaan ondermijning door maatschappelijke organisaties (‘Wtmo’), is door de Tweede Kamer aangenomen en wordt nu in de Eerste Kamer behandeld.

De behandeling wordt voorbereid door de Eerste Kamercommissie voor Justitie en Veiligheid (J&V). In de korte aantekeningen van de vergadering van de commissie van 13 januari 2026 staat:

De commissie heeft eerder besloten in te gaan op de uitnodiging van de bewindspersonen van het ministerie van J&V voor een informele kennismaking en stelt voor deze te organiseren op 3 februari 2026.
De commissie besluit, naar aanleiding van de vraag van het lid Veldhoen (GroenLinks-PvdA) over het tijdstip van het plenaire debat over het wetsvoorstel transparantie en tegengaan ondermijning door maatschappelijke organisaties (35.646), een appel te doen op de voorzitter van de Kamer en de minister van J&V om te bezien of het debat naar voren kan worden gehaald.
Het lid Veldhoen (GroenLinks-PvdA) vraagt opnieuw naar de stand van zaken van de uitvoering van de motie-Veldhoen (GroenLinks) c.s. inzake een onderzoek naar sanctieverzwarende effecten door stapeling van wetten (35.871, D). De griffie heeft hierover op 19 december 2025 navraag gedaan bij het ministerie van J&V en is nog in afwachting van een reactie.

Op de overzichtspagina van het wetsvoorstel staat dat de commissie het wetsvoorstel op 16 december 2025 heeft aangemeld voor plenaire behandeling, die zal plaats vinden op op 17 maart 2026.

 

Lees de artikelen op deze site over de Wtmo.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Not-for-profit | Tags: , | Plaats een reactie

The digital files shaping finance in 2026 | Finance Watch

Geplaatst op 25 februari 2026 door Ellen Timmer

Finance Watch on 18 February a newsletter with ‘The digital files shaping finance in 2026‘ as the title. It is unfortunate that the European anti-money laundering package is missing from the topics discussed. That does not take away from the fact that what they do write about is interesting:

  • Europe’s regulatory rollbacks risk opening personal data for AI training without safeguards.
  • Data, accountability, and the Digital Omnibus.
  • Dark patterns are nudging your choices online, risking your money and your data. Regulators must ensure AI doesn’t become the ultimate persuasion engine.

More information on their website, e.g. this article and this one.

Geplaatst in Bankrekening krijgen en behouden, English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Sanctieregels | Tags: , , , , , , , , , , , , , | Plaats een reactie

The dangers of age verification | Open Rights Group’s letter to the UK government

Geplaatst op 25 februari 2026 door Ellen Timmer

Open Rights Group published the article Online harms: Millions could be forced to use unregulated age verification on the age and identity verification obligations in the UK under the Online Safety Act (OSA), that pretends to protect children.

The article contains important lessons for the EU (EUDI-wallet) and for the EU countries:

Failure to regulate age assurance industry

Open Rights Group has written to the Secretary of State for Science, Innovation and Technology, Liz Kendall MP calling for regulation of age assurance providers operating under the Online Safety Act. The letter was also signed by Age Verification Providers Association (AVPA) and over 600 members of the public.

A ban on social media for under 16s would require everyone to prove their age in order to use social media platforms. The rapid expansion of age assurance risks creating a new layer of digital infrastructure that concentrates power over identity, biometrics and access to public life in the hands of private companies, with limited democratic oversight or public accountability.

Going through an age verification process often involves sending irreversible biometric identifiers into global commercial data ecosystems. There are already examples of platforms using the additional data gained from these processes to target people with harmful online advertising.

The measures announced, including age gating VPNs, AI Chat bots, or features such as infinitive scrolling, would compel millions more people to hand their sensitive bio-metric data over to big tech.

It is platforms, not users, that decide which age verification providers are use. Many users may be unaware of the investors and financial networks behind the identity infrastructure now being embedded into everyday internet use, and the links some of those networks have to wider surveillance, defence, and intelligence ecosystems.

For example, Roblox, Reddit and Discord users have to submit facial scans to the age verification provider Persona, a company that Peter Thiel, co-founder of surveillance and data analytics company Palantir, has heavily invested in.

ORG is asking the Government, ICO, and Ofcom to establish compulsory privacy and security standards for age verification providers to ensure that users’ sensitive data is protected.

 

NB Microsoft (LinkedIn) is also pressuring users to identify themselves through the Thiel company Persona.

Geplaatst in English - posts in English on this blog, Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Permanente monitoring van bestuurders van voertuigen | driver drowsiness and attention warning system (DDAW-system), advanced driver distraction warning system (ADDW-system)

Geplaatst op 24 februari 2026 door Ellen Timmer

Voertuigen moeten op last van de EU steeds meer digitale systemen bevatten die de bestuurder in de gaten houden.
Het betreft onder meer systemen die in het Engels worden aangeduid als het ‘driver drowsiness and attention warning system‘ (‘systeem voor vermoeidheids- en aandachtswaarschuwing’), ook als ‘DDAW-systeem’ aangeduid, en het ‘advanced driver distraction warning system‘ (‘systeem voor geavanceerde afleidingswaarschuwing’), ook als ‘ADDW-systeem’ aangeduid.

Hoe slim is de slimme auto? En wie krijgt de persoonsgegevens?

Het is interessant om te zien of deze systemen niet juist voor meer afleiding en gevaar zorgen, vanwege alle signalen die aan de bestuurder worden gegeven, en welke persoonsgegevens over de bestuurder bij de automobielfabrikant, de dealer en hun IT-leveranciers terecht komen.
Verder bevatten de systemen interessante informatie voor overheidsinstanties, bijvoorbeeld bij de opsporing van misdrijven. Het is denkbaar dat verzekeringsmaatschappijen ook graag bestuurdersinformatie willen ontvangen om hun risico’s beter te bepalen en de premie aan te passen aan de rijvaardigheid van de bestuurder.
Uiteraard is cybersecurity essentieel. Of dat gewaarborgd is, is een belangrijke vraag. Overheden spreken daar altijd mooie woorden over en brengen er vervolgens in de praktijk weinig van terecht.

Uitvoeringsregels

Eisen aan ADDW-systemen
In verordening (EU) 2023/2590, die met ingang van 7 juli 2024 van toepassing is, staat onder meer:

2.1. Een ADDW-systeem bepaalt wanneer de visuele aandacht van de bestuurder niet op de rijtaken gericht is en waarschuwt de bestuurder via de mens-machine-interface van het voertuig (…)

2.3.1. Het ADDW-systeem functioneert zonder een beroep te hoeven doen op biometrische persoonsgegevens van de inzittenden van het voertuig. In deze context wordt onder biometrische persoonsgegevens verstaan, persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of dactyloscopische gegevens. Dit voorschrift verbiedt het ADDW-systeem niet om gegevens van de in het voertuig gemonteerde camera(’s) te gebruiken, maar verbiedt de identificatie van de persoon door het ADDW-systeem. (…)

3.3 Monitoring van de afleiding van de bestuurder
3.3.1 In de in de punten 3.3.1.1 tot en met 3.3.1.3 genoemde aandachtsgebieden moet het ADDW-systeem de blik van de bestuurder monitoren.
De blik van de bestuurder wordt geacht te beginnen vanaf het als volgt gedefinieerde oogreferentiepunt:
voor voertuigen van de categorieën M en N is het oogreferentiepunt het middelpunt van de oogpunten van de bestuurder, zoals gedefinieerd in VN-Reglement nr. 46 ( 2 ) (betreffende voorzieningen voor indirect zicht). De coördinaat van het oogpunt bevindt zich dus 635 mm verticaal boven het R-punt van de bestuurdersstoel (het R-punt is reeds vastgesteld ten opzichte van de door de voertuigfabrikant gedefinieerde vaste merktekens);
voor voertuigen van de categorieën M2 , M3 , N 2 en N 3 die niet op een M1 -platform zijn gebaseerd, mag het oogreferentiepunt het oogpunt E2 zijn zoals gedefinieerd in VN-Reglement nr. 167 betreffende direct zicht ( 3 ). Oogpunt E2 is een punt dat het middelpunt tussen het midden van het linker- en het rechteroog van de bestuurder vertegenwoordigt, en wordt gedefinieerd door een afwijking van het hielpunt van het gaspedaal van 1 163,25 mm op de Z-as en 678 mm achterwaarts op de X-as. De positie van E2 op de Y-as bevindt zich op een verticaal vlak dat evenwijdig is aan het middenlangsvlak en door het middelpunt van de bestuurdersstoel loopt.

( 2 ) VN-Reglement nr. 46 betreffende voorzieningen voor indirect zicht: https://op.europa.eu/en/publication-detail/-/publication/780cbf09-1ec1-11e4-8c3c-01aa75ed71a1
( 3 ) VN-Reglement nr. 167 betreffende direct zicht, 2022-2023 (bekendmaking in het Publicatieblad van de Europese Unie volgt): https://unece.org/sites/default/files/2022-10/ECE_TRANS_WP.29_2022_140r1e.pdf

(…)

3.4. Voorschriften inzake de mens-machine-interface

3.4.1. Aard van de waarschuwing

3.4.1.1. Het ADDW-systeem moet een visuele waarschuwing geven om de bestuurder te informeren; het ADDW-systeem moet een akoestische en/of haptische waarschuwing geven om de bestuurder zo snel mogelijk na het optreden van het triggergedrag te waarschuwen en kan trapsgewijs worden versterkt totdat niet meer aan de in de punten
3.3.2.1, 3.3.2.2 of 3.3.2.6 beschreven triggervoorwaarde wordt voldaan.
De waarschuwing wordt geacht te zijn begonnen wanneer de audio- of haptische waarschuwing aan de bestuurder wordt gegeven. (…)

3.4.2 Visuele waarschuwing (…)

3.4.3 Akoestische waarschuwing (…)

3.4.4. Haptische waarschuwing (…)

Nadere regels over informatievoorziening DDAW- en ADDW-systemen en over andere voorschriften
In de uitvoeringsverordening (EU) 2024/1721 staan nadere regels over het systeem voor intelligente snelheidsondersteuning (ISA), het DDAW-systeem, de zwarte doos (‘de gegevensrecorder voor incidenten’), het alcoholslot en het ADDW-systeem.

 

NB Ik had nog geen tijd om te kijken of de regels voor alle soorten voertuigen worden gesteld en welke eisen aan DDAW-systemen worden gesteld. Ook is mateloos interessant welke gegevens de zwarte doos registreert en hoe het systeem ‘voor intelligente snelheidsondersteuning’ werkt.

 

Meer informatie:

  • Uitvoeringsverordening (EU) 2024/1721 van de Commissie van van 19 juni 2024 tot vaststelling van uitvoeringsbepalingen voor Verordening (EU) 2019/2144 van het Europees Parlement en de Raad wat betreft modeldocumenten voor de goedkeuring van het systeem voor intelligente snelheidsondersteuning, het systeem voor vermoeidheids- en aandachtswaarschuwing, de gegevensrecorder voor incidenten, de ondersteuning van de installatie van een alcoholslot en het systeem voor geavanceerde afleidingswaarschuwing, overzichtspagina, Nederlandstalige versie in html.
  • Gedelegeerde Verordening (EU) 2023/2590 van de Commissie van 13 juli 2023 tot aanvulling van Verordening (EU) 2019/2144 van het Europees Parlement en de Raad door de nadere voorschriften vast te stellen voor specifieke testprocedures en technische voorschriften voor de typegoedkeuring van bepaalde motorvoertuigen met betrekking tot systemen voor geavanceerde afleidingswaarschuwing, en tot wijziging van die verordening, overzichtspagina, Nederlandstalige versie in html.

Op security.nl is een forumdiscussie over ADDW-systemen.

 

 

Meer artikelen op deze site over de slimme auto en travel surveillance.

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie