Wat is er in de WHO aan de hand?

Tijdens de plenaire vergadering van de Tweede Kamer van gisteren zijn vragen gesteld over de deelname door Nederland aan de jaarvergadering van de WHO komend weekend. In het verslag van de vergadering is te lezen dat leden van de Tweede Kamer zich afvragen wat tijdens die vergadering gaat gebeuren, nu wordt voorgesteld dat de WHO vergaande bevoegdheden zal krijgen. Zie in het verslag onder meer:

De voorzitter:
U heeft een tweede verzoek.

De heer Van Haga (Groep Van Haga):
Ja, dat heb ik. Aanstaand weekend wordt namelijk in Genève de 75ste World Health Assembly gehouden, oftewel de jaarvergadering van de WHO. De Kamer is hierover niet geïnformeerd door het kabinet, terwijl er vergaande besluiten op de agenda staan, over de financiële bijdrage van de lidstaten aan de WHO en over aanpassingen van het verdrag uit 2005, dat juridisch bindend is voor Nederland. Als die voorstellen worden aangenomen, kan de WHO volgens mij eenzijdig de noodsituatie uitroepen voor Nederland. Dat gaat veel te ver. Daarom wil ik een debat, voorafgegaan door een brief.

Mevrouw Van der Plas (BBB):
Ik steun dit van harte, want het is eigenlijk best onduidelijk wat dit allemaal precies inhoudt. Heel veel mensen in het land maken zich hier zorgen over. Ik steun dus dit verzoek. (…)

De heer Omtzigt (Lid Omtzigt):
Voorzitter. Over het verdrag voor pandemische preventie heb ik samen met mevrouw Pouw-Verweij vragen gesteld in februari. In maart kwam de toezegging van de regering dat wanneer er teksten komen, die gedeeld worden, en ook de inzet. Ik zou de regering willen vragen om zo spoedig mogelijk mede te delen hoe het daarmee staat. In deze brief staat ook dat gedacht wordt dat het verdrag ergens in 2024 ondertekend wordt. Dan hangt het niet op een dag, zou ik zo zeggen. Maar aangezien er veel vragen over zijn, zou ik wel willen vragen hoe het ermee staat. Welke teksten komen er? Hoe zullen wij daar als Kamer over geïnformeerd worden, conform het eerdere verzoek?

Conclusie is dat er om een brief wordt gevraagd.

Vragen 16 mei 2022 over WHO bevoegdheden
Eergisteren zijn er door een lid van de Tweede Kamer vragen gesteld over de WHO vergadering, waarvan de tekst hier is te vinden. De vragen gaan onder meer over de juridische bindendheid van de International Health Regulations (IHR, 2005) en de bevoegdheden van de WHO.

Antwoorden 1 april 2022 op vragen over WHO bevoegdheden
In antwoord op eerdere vragen antwoordde de minister van gezondheid:

Ik ben bekend met het initiatief van de WHA om de pandemische paraatheid te versterken. Het is echter nog niet vastgesteld onder welk artikel van de WHO-Constitutie het nog uit te onderhandelen instrument zal komen te vallen.

Op vragen over de Nederlandse autonomie en soevereiniteit omtrent pandemische paraatheid werd als volgt geantwoord:

Antwoord 10 (…)
In december 2021 heeft de Europese Commissie – volgens de daarvoor geldende procedure op basis van artikel 219 van het Verdrag betreffende de Werking van de Europese Unie (WVEU) – een aanbeveling uitgebracht, waarin zij de Raad verzocht om een machtiging voor de onderhandelingen over, onder meer, het internationaal pandemie-instrument binnen het WHO-kader. De Raad heeft die machtiging bij Besluit 2022/451 aan de Commissie verleend. Het besluit machtigt de Commissie om, voor aangelegenheden die onder de EU-bevoegdheid vallen, te onderhandelen over het internationaal pandemie-instrument. De onderhandelingsrichtsnoeren – in de bijlage bij het besluit – schetsen de doelstellingen en beginselen van dat verdrag. Deze richtsnoeren kunnen indien nodig worden herzien en verder ontwikkeld, afhankelijk van het verloop van de onderhandelingen. Hoe de praktische uitwerking van de wisselwerking over nationale competenties er precies uit zullen zien, is nog niet vastgelegd. In ieder geval zal de volksvertegenwoordiging in staat zijn haar grondwettelijke controlerende taak uit te voeren, omdat zowel instemming met de ratificatie van het instrument door de Staten-Generaal als instemming met de eventuele aanpassingen in de nationale wet- en regelgeving noodzakelijk zijn. Daarnaast zal ook de Raad van Ministers op Europees niveau het verdrag moeten goedkeuren.
Nederland zal zich bij de onderhandelingen inzetten voor een verdrag dat zoveel mogelijk aansluit bij onze inzet voor pandemische paraatheid en een veiligere wereld.

en:

Antwoord 13
Infectieziekten stoppen niet bij grenzen en daarom is internationale samenwerking en solidariteit cruciaal om een pandemie het hoofd te bieden. De inhoud van het eventuele pandemie-instrument staat nog niet vast en de onderhandelingen daarover zullen mogelijk tot in 2024 doorlopen. De inzet van Nederland zal nog nader vorm krijgen, maar is erop gericht om tot bindende afspraken te komen voor het verbeteren van de preventie, paraatheid en aanpak van pandemieën door lidstaten en die aansluiten bij de visie van Nederland op dit vlak en waarbij nauwe samenwerking is met multilaterale instellingen, met name de WHO. Pas aan het einde van de onderhandelingen kan worden bepaald of Nederland partij wenst te worden bij het instrument en of de regering dit ter goedkeuring zal voorleggen aan de Staten-Generaal.
Inzake Europese wetgeving aangaande de implementatie van aspecten van dit verdrag, die vallen onder de competentie van de Europese Unie, geldt dat het recht tot het doen van voorstellen voor nieuwe wetgeving ligt bij de Europese Commissie. Het is vervolgens aan de lidstaten en het Europees Parlement om hierover te oordelen.

Antwoorden 23 maart 2022
Lees ook deze antwoorden.

Meer bevoegdheden internationale organisaties
Het lijkt er op dat internationale organisaties steeds meer rechtstreeks werkende bevoegdheden krijgen.

Het is niet verrassend dat de WHO een van die organisaties is, nu enige tijd geleden een wijziging van de Wet publieke gezondheid (Wpg) werd geconsulteerd waarin werd voorgesteld resoluties van de WHO gelijk te stellen met onder democratische controle tot stand gekomen wetten, lees dit blog.

Geplaatst in Grondrechten, rechtsstaat e.d. | Tags: , , , , | Een reactie plaatsen

‘Door een optelsom van goede bedoelingen dreigt een digitale surveillancestaat’ | Kees Verhoeven

Voormalig lid van de Tweede Kamer Kees Verhoeven waarschuwt in een opinie in het Parool voor de data hongerige overheid, in ‘Door een optelsom van goede bedoelingen dreigt een digitale surveillancestaat’ (betaalmuur), door hem op LinkedIn aangekondigd met:

Waarom maken politici wetten die schuren met kernbeginselen, grondrechten en verdragen? Waarom overtreden zoveel overheidsinstanties de wet? Waarom brengt de overheid – vaak kwetsbare – mensen in problemen?

Op die vraag proberen Jarno Duursma en ik een antwoord te geven. In dit artikel dat zaterdag in Het Parool verscheen.

De kern: door de combinatie van goede bedoelingen en verkeerde daadkracht met digitale technologie verandert onze rechtsstaat in een surveillancestaat.

Eerder was hij te gast bij een audiopodcast van Zwagerman en Van Velthuysen op NPO Radio 2, Kees Verhoeven over datagebruik overheid: ‘Dan hebben we geen democratische rechtsstaat meer’, met als intro:

Is digitale technologie een verlengstuk geworden van de overheid in zijn wantrouwen richting de burger? Kees Verhoeven (ex-Kamerlid namens D66) denkt van wel: overheden willen van alles voorkomen, van fraude en terreur tot verspreiding van het coronavirus, maar de rechtsstaat gaat kapot: “Ik heb jarenlang techbedrijven als grootste vijand van privacy en burgerrechten gezien, totdat ik doorkreeg dat overheid steeds meer mensen digitaal ging controleren.”

Het is precies wat er in de witwasbestrijding gebeurt, waarbij de overheid de surveillance-taken bij private ondernemingen zoals banken neerlegt.

Voor Clingendael schreef hij het artikel ‘Tijd voor tegenmacht in het digitale tijdperk’, waarin Verhoeven beschrijft hoe democratisch gekozen bestuurders de grenzen van de rechtsstaat overschrijden. Hij schrijft daarin onder meer:

Helaas gaat het gebruik van digitale analysesystemen en dataverzamelingen niet alleen gepaard met ouderwets maakbaarheidsdenken en eigentijdse daadkracht, maar ook met een negatief mensbeeld en toenemend wantrouwen tegenover onschuldige burgers. Hierdoor komt de nieuwe datapraktijk op gespannen voet te staan met rechtsstatelijke principes die het fundament vormen van een liberale democratie. (…)

Het patroon is steeds hetzelfde. Een vanzelfsprekend maar ondoordacht doel heiligt vergaande middelen waarbij tegenspraak ongewenst is. (…)

Helaas blijft het niet bij slechte wetgeving. Een andere problematische trend is dat wetshandhavers en uitvoeringsinstanties steeds vaker zelf de wet overtreden. De afgelopen jaren was dit het geval bij de Belastingdienst, de nationale politie, het leger, de inlichtingendiensten, de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en verschillende gemeenten.

Steeds weer was het probleem dat op onwettige wijze of zonder wettelijk mandaat digitale gegevens werden verzameld. Je zou denken dat het kabinet deze instanties zou aanspreken of terugfluiten maar het tegendeel is waar. Schouderophalend zeiden de instanties dat aan de wet voldoen nog jaren zal duren (zoals de Belastingdienst aangaf) of dienden ze spoedwetten in om de wettelijke basis met terugwerkende kracht te regelen (…)

Daarmee slaat hij de spijker op zijn kop. Ik ben benieuwd naar het boek waar hij mee bezig is, ‘De democratie crasht; Politieke onmacht in het digitale tijdperk‘ dat binnenkort verschijnt.

Ik hoop dat het politieke en ambtelijke bestuurders naar Verhoeven luisteren.

 

Geplaatst in Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce | Tags: , , , , , , , | Een reactie plaatsen

Autoriteit Persoonsgegevens kritisch over ‘afpak’ voorstel | “AP kritisch over voorstel afpakken ‘criminele’ goederen van mensen die niet veroordeeld zijn”

Nadat eerder de Raad voor de Rechtspraak en de Nederlandse Orde van Advocaten kritisch waren over het ‘afpak’ voorstel van de minister van Veiligheid, uitte ook de Autoriteit Persoonsgegevens ernstige bezwaren tegen het voorstel. Lees het nieuwsbericht: AP kritisch over voorstel afpakken ‘criminele’ goederen van mensen die niet veroordeeld zijn, waarin de AP onder meer schrijft:

In het wetsvoorstel is niet goed onderbouwd wat het doel, de noodzaak en effectiviteit hiervan zijn. Ook is niet duidelijk voor welke vermeende misdrijven het kabinet deze procedure wil inzetten. Het gevaar is dat dit paardenmiddel wordt gebruikt voor gevallen waarin dat niet nodig en passend is. Met het risico op schrijnende situaties voor burgers die niets met criminaliteit te maken hebben.

Het besluit tot afpakken wordt openbaar gemaakt, als gevolg waarvan de eigenaar van het afgepakte goed eenvoudig te herleiden zal zijn, met alle risico’s van dien.

Het advies is hier te vinden.

 

Lees de berichten over afpakken op dit blog.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce, Strafrecht | Tags: , , , , | Een reactie plaatsen

“De kennis van de AVG moet door de hele Dienst verder versterkt worden” | Belastingdienst, FATCA, AVG

Op 16 mei jl. schreef de staatssecretaris van Financiën in antwoord op door leden van de Tweede Kamer gestelde vragen inzake het door de Belastingdienst verzwijgen van discriminerende criteria en het op onrechtmatige wijze blokkeren van inzage in zwarte lijsten onder meer:

De kennis van de AVG moet door de hele Dienst verder versterkt worden. In het kader van het programma Herstellen, Verbeteren, Borgen (HVB) zijn er meerdere acties uitgevoerd of in gang gezet.

Deze ruiterlijke erkenning is ook relevant op het terrein van het doorgeven van persoonsgegevens aan de Verenigde Staten, op grond van het FATCA-verdrag dat Nederland met de VS heeft gesloten.

AVG-grondslag ontbreekt
Anders dan de Belastingdienst en het ministerie van Financiën veronderstellen, kan de Amerikaanse fiscale wetgeving geen grondslag in de zin van artikel 6 lid 1 sub c AVG (‘wettelijke grondslag’) vormen voor de verschaffing van persoonsgegevens aan de VS, want dit heeft volgens lid 3 van het artikel alleen betrekking op wetten van de EU of een EU-lidstaat. Nu deze grondslag niet kan worden gehanteerd, moeten zeer strenge eisen aan de gegevensverwerking worden gesteld, alvorens die verwerking te laten plaats vinden [*]. De VS heeft een afwijkend systeem van belastingheffing waarin iedereen die de Amerikaanse nationaliteit heeft (ook al is betrokkene geen fiscaal inwoner van de VS) verplicht is in de VS aangifte te doen over het wereldinkomen (Citizenship Based Taxation, FATCA, zie inleiding), waaraan Nederland en andere EU-staten geen medewerking behoren te verlenen aangezien dit een niet-proportionele last oplegt aan mensen met de Amerikaanse nationaliteit.

Artikel 1 Eerste Protocol EVRM
Voorts is de medewerking door Nederland aan het onbehoorlijke Amerikaanse belastingsysteem in strijd met de in Nederland en de EU geldende fundamentele rechtsbeginselen, onder meer in strijd met artikel 1 Eerste Protocol bij het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM).

Onrechtmatig
Om dezelfde reden handelen banken onrechtmatig als zij op grond van de Amerikaanse wet FATCA persoonsgegevens van fiscale inwoners van Nederland rechtstreeks aan de Amerikaanse belastingdienst (IRS) zouden doorgeven.

Het is hoog tijd dat er einde komt aan de illegale praktijken rondom het verschaffen van persoonsgegevens aan de VS.

 

[*] Overigens kunnen Europese wetten ook aan de AVG worden getoetst, al zal die toetsing niet vaak plaats vinden.

 

NB Dit is mijn mening, die helaas nog niet door de rechter of een gegevensbeschermingsautoriteit is bevestigd.

 

Meer informatie:

Lid 1 van artikel 6:

Lid 3 van artikel 6:

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce | Tags: , , , , | Een reactie plaatsen

EDPB and EDPS: The EU’s Data Act: data protection must prevail to empower data subjects

On 5 May the European Data Protection Supervisor (EDPS) and the European Data Protection Board (EDPB) published their Joint Opinion  on the proposed Data Act, read also the press release. The Data Act covers both private and public sector and aims to establish harmonised rules on the access to, and use of, data generated from a broad range of products and services, including connected objects (‘Internet of Things’), medical or health devices and virtual assistants. Regarding obtaining data by the public sector EDPS and EDPB are very concerned (press release):

The EDPS and EDPB express their deep concerns about the lawfulness, necessity and proportionality of the obligation to make data available to EU Member States’ public sector bodies and to EU institutions, bodies, offices and agencies (EUIs) in case of “exceptional need”. In their Joint Opinion, the EDPS and EDPB stress that any limitation on the right to the protection of personal data requires a legal basis that is adequately accessible and foreseeable. The legal basis must also define the scope and manner of the exercise of powers by the competent authorities, and be accompanied by safeguards to protect data subjects against arbitrary interference. The EDPS and EDPB urge the co-legislators to define much more stringently the hypotheses of emergency or “exceptional need”, and which public sector bodies and EUIs should be able to request data.

Read the executive summary in the opinion:

With this Joint Opinion, the EDPB and the EDPS aim to draw attention to a number of overarching concerns on the Proposal on Data Act and urge the co-legislature to take decisive action.

The EDPB and EDPS note that the Proposal would apply to a broad range of products and services, including the connected objects (‘Internet of Things’), medical or health devices and virtual assistants. Certain products and services may even process special categories of personal data, such as data concerning health or biometric data. As the Proposal does not explicitly exclude certain types of data of data from its scope, data revealing highly sensitive information about individuals could become the object of data sharing and use according to the rules established

in the Proposal.

While welcoming the efforts made to ensure that the Proposal does not affect the current data protection framework, the EDPB and the EDPS consider that additional safeguards are necessary to avoid lowering the protection of the fundamental rights to privacy and to the protection of personal data in practice. First, additional safeguards are especially necessary as the rights to access, use and share data under the Proposal would likely extend to entities other than the data subjects, including businesses, depending on the legal title under which the device is being used. Second, the EDPB and EDPS are deeply concerned by the provisions of the Proposal regarding the obligation to make data available to public sector bodies and Union institutions, agencies or bodies in case of “exceptional need”. Finally, the EDPB and the EDPS are concerned that the oversight mechanism established by the Proposal may lead to fragmented and incoherent supervision.

1. The rights to access, use and share data
To limit the risks of an interpretation or implementation of the Proposal that could affect or undermine the application of existing data protection law, the EDPB and the EDPS call on the co-legislator to explicitly specify that data protection law “prevails” in case of conflict with the provisions of the Proposal insofar as the processing of personal data is concerned.

In order to promote data minimisation, products should be designed in such a way that data subjects are offered the possibility to use devices anonymously or in the least privacy intrusive way as possible, irrespective of their legal title on the device. Data holders should also limit as much as possible the amount of data leaving the device (e.g. by anonymising data).

Furthermore, the enhancement of the right to data portability mentioned in Recital 31 as one of the goals of the Proposal would require, in so far as personal data are involved, an effective empowerment of data subjects so to give them more control over their personal data. As the definition of ‘user’ encompasses legal persons, in case of exercise of this right by a business, this takes the form of a commercial obligation for the manufacturer/data holder to provide access to data to businesses and allow its exploitation, rather than the individuals’ ‘right’ to access and port their personal data. In fact, according to the concept of ‘user’ adopted by the Proposal, individuals become entitled to enhanced portability right only incidentally, depending on the legal title under which they use the product or the related service (ownership, rental or lease) rather than on their relationship with the information concerning their private use of the product or service.

Therefore, to achieve an effective empowerment of individuals with regard to their personal data, the concept of user in Article 2(5) of the Proposal and throughout the text needs to be integrated and specified as follows: (a) adding in the definition of users ‘’and the data subjects’’ (b) clearly differentiating the situations where the user is the data subject from the situation where the user is not the data subject.

Moreover, the EDPB and the EDPS recommend specifying that where the user is not the data subject, any personal data generated by the use of a product or related service shall only be made available to the user in compliance with in particular Article 6 and 9 GDPR and on the condition that, were relevant, the requirements of Article 5(3) ePrivacy Directive are fulfilled. Similar considerations apply to the making available of data to third parties upon request of a business user.

The EDPB and the EDPS stress the need to ensure that access, use, and sharing of personal data by users other than data subjects, as well as by third parties and data holders, should occur in full compliance with all of the provisions of the GDPR, EUDPR and ePrivacy Directive, including informing data subjects about the access by controllers to their personal data and facilitating the exercise of data subject rights by controllers. The EDPB and the EDPS also recall that it is important to ensure that any further processing of personal data complies in particular with Article 6(4) GDPR and, having specific regard to the possibility of automated decision-making, including profiling, with the relevant obligations provided under Article 22 GDPR.

The EDPB and the EDPS also recommend to include in the proposal clear limitations or restrictions on the use of personal data generated by the use of a product or service by any entity other than data subjects, in particular where the data at issue are likely to allow precise conclusions to be drawn concerning their private lives or would otherwise entail high risks for the rights and freedoms of the individuals concerned. In particular, the EDPS and EDPB recommend to introduce clear limitations regarding use of personal data generated by the use of a product or related services for purposes of direct marketing or advertising, employee monitoring, credit scoring or to determine eligibility to health insurance, to calculate or modify insurance premiums. This recommendation is without prejudice to any further limitations that may be appropriate, for example to protect vulnerable persons, in particular minors, or due to the particularly sensitive nature of certain categories of data (e.g. data concerning the use of a medical device or biometric data) and the protections offered by Union legislation on data protection.

2. The obligation to make data available in case of “exceptional need”
As regards Chapter V of the Proposal, the EDPB and the EDPS have deep concerns on the lawfulness, necessity and proportionality of the obligation to make data available to public sector bodies and Union institutions, agencies or bodies in case of “exceptional need”.

The EDPB and the EDPS recall that any limitation on the right to personal data must be based on a legal basis that is adequately accessible and foreseeable and formulated with sufficient precision to enable individuals to understand its scope. In accordance with the principles of necessity and proportionality, the legal basis must also define the scope and manner of the exercise of their powers by the competent authorities and be accompanied by sufficient safeguards to protect individuals against arbitrary interference.

The EDPB and the EDPS observe that the circumstances justifying the access are not narrowly specified and consider it necessary for the legislator to define much more stringently the hypotheses of emergency or exceptional need. Moreover, the EDPB and the EDPS consider certain public sector bodies and Union institutions, agencies and bodies should be excluded from the scope of Chapter V as such and should only be able to oblige data holders to make data available in accordance with the powers provided by sectoral legislation.

3. Implementation and enforcement
The EDPB and the EDPS highlight the risk of operational difficulties that might result from the designation of more than one competent authority responsible for the application and enforcement of the Proposal. The EDPB and the EDPS have serious concerns that this governance architecture will lead to complexity and confusion for both organisations and data subjects, to divergence in regulatory approaches across the Union and thus affect consistency of monitoring and enforcement.

The EDPB and the EDPS welcome the designation of the data protection supervisory authorities as competent authorities responsible for monitoring the application of the Proposal insofar as the protection of personal data is concerned, which is important to avoid inconsistencies and possible conflicts between the provisions of the Proposal and data protection laws, and to preserve the fundamental right to the protection of personal data as established under Article 16 of the Treaty on the Functioning of the European Union (TFEU) and Article 8 of the Charter of fundamental rights of the European Union.

The EDPB and the EDPS ask the co-legislators to also designate national data protection supervisory authorities as coordinating competent authorities under this Proposal. Data protection supervisory authorities have a unique expertise, both legal and technical, in the monitoring of the compliance of data processing. Moreover, the EDPB and the EDPS are of the opinion that, considering that the GDPR applies when personal and non-personal data in a data set are inextricably linked, the role of data protection authorities should prevail in the governance architecture of the Proposal.

Having regard the oversight role of the EDPS as the data protection authority for the European Union institutions, bodies and agencies and the fact that some of the European Union institutions, bodies and agencies may also act as user or a data holder within the meaning of this Proposal, the EDPB and the EDPS recommend including a reference to the EDPS as competent authority for the supervision of the whole Proposal insofar as it concerns the Union institutions, bodies, offices and agencies.

The Dutch Autoriteit Persoonsgegevens published Toezichthouders willen verbeteringen Data Act, 6 May 2022.

Geplaatst in English - posts in English on this blog, Europa, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce | Tags: , , , , , | Een reactie plaatsen

Heel de wereld hoog risico | overzicht compliance dienstverlener

Eerder schreef ik over de hoog risico sectoren van DNB die worden bekend gemaakt via het uitvraagformulier voor de banken.
Nog bonter maakt compliance dienstverlener FBN het in hun overzicht ‘branches verhoogd risico Wwft’ waarop nog veel meer sectoren staan vermeld, zoals:

 

Het geeft aan dat we naar een wereld toe gaan waar op iedere straathoek een private agent (‘poortwachter’) staat die aan alle voorbijgangers vraagt: ‘wast u wit?

 

 

PS Het illustreert dat het hoog tijd is voor een onafhankelijke wetenschappelijke aanpak van de internationale en nationale witwasconcepten.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d. | Tags: , , | Een reactie plaatsen

Inloggen met inlognaam en wachtwoord is onveilig | NCSC, cybersecurity

Het Nationaal Cyber Security Centrum (NCSC) heeft onlangs laten weten dat inloggen met alleen inlognaam en wachtwoord zeer onveilig is.

Deze methode werd tot voor kort door de rijksoverheid nog gehanteerd met het ‘DigiD’, waarvan het veiligheidsniveau met ingang van 1 oktober a.s. verhoogd wordt door sms of authenticatie via een app verplicht te stellen (overigens zitten aan sms-authenticatie grote risico’s vanwege onveilige praktijken van telco’s).

 

Meer informatie NCSC:

 

Meer informatie andere bronnen:

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , | Een reactie plaatsen

De wonderbaarlijke competenties van trustkantoren

Iedere jurist weet dat mensen en organisaties nauwelijks in staat zijn te weten wat de regels zijn. Tenslotte is dat voor juristen al moeilijk. Nog lastiger is om de regels toereikend na te leven.

Gelukkig kent Nederland ondernemingen met wonderbaarlijke competenties. Deze ondernemingen zijn in staat het “risico van ontoereikende naleving van hetgeen bij of krachtens enig wettelijk voorschrift is bepaald” te onderkennen en te beheersen, zowel bij zichzelf als bij hun zakelijke relaties. Deze ondernemingen gaan door het leven onder de naam ‘trustkantoren’.

Integriteitrisico
De liefhebbers van de trustkantorenmandarijnenwetenschap kunnen in lid 1 van artikel 1 Wet toezicht trustkantoren 2018 (Wtt 2018) de definitie van integriteitrisico vinden:

integriteitrisico:
a. risico van ontoereikende naleving van hetgeen bij of krachtens enig wettelijk voorschrift is bepaald;
b. risico van betrokkenheid van het trustkantoor of zijn medewerkers bij handelingen die op een dusdanige wijze ingaan tegen hetgeen volgens het ongeschreven recht in het maatschappelijk verkeer betaamt, dat hierdoor het vertrouwen in het trustkantoor of in de financiële markten ernstig kan worden geschaad;

In deze ruime definitie is onder a. iedere ontoereikende naleving van een voorschrift al een integriteitrisico en de definitie gaat uit van de veronderstelling van een perfecte wereld. In de menselijke wereld zijn die risico’s overal aanwezig en kunnen zij niet afdoende onderkend worden (maar daarin is het ministerie van Financiën, die verantwoordelijk is voor deze regels, niet geïnteresseerd).

Opmerkelijk is dat onder b. het zich onthouden van onrechtmatige daad als norm in de Wtt 2018 is terecht gekomen, wat wetgevingstechnisch zeer opmerkelijk kan worden genoemd. Verder heeft dit onderdeel alleen betrekking op iets waarbij het trustkantoor of zijn medewerkers ‘betrokken’ kunnen zijn, terwijl onderdeel a. zowel op het trustkantoor betrekking kan hebben als op degenen met wie het trustkantoor zaken doet.

Profileren en beheersen
Uit artikelen 22 en verder Wtt 2018 blijkt dat de wetgever veronderstelt dat die integriteitsrisico’s ‘beheerst’ kunnen worden (artikel 22 en artikel 26) en dat het mogelijk is om een ‘integriteitrisicoprofiel’ op te stellen van de cliënt en van de door het trustkantoor bestuurde rechtspersoon (de ‘doelvennootschap’) (artikel 23, artikel 27), alsmede dat tijdens de controle van de zakelijke relatie door het trustkantoor kan worden nagegaan of deze zakelijke relatie overeenkomt met dat integriteitrisicoprofiel. Aangezien dit praktisch onmogelijk is, dienen trustkantoren over wonderbaarlijke competenties beschikken.

Schaduw
De regelgeving voor trustkantoren werpt een donkere schaduw vooruit op wat straks van iedere burger en organisatie wordt verwacht. Het zijn regels voor een perfecte wereld waarin robots het hebben overgenomen.

 

Dit artikel verscheen eerder op de site van Compliance Platform Trustkantoren.

Geplaatst in Bestuur en toezicht bij rechtspersonen, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., Trustkantoren | Tags: | Een reactie plaatsen

Addition of non-bank lenders to the European AML/CFT regime | EBA advice on non-bank lending

On 4 May the European Banking Authority (EBA) published its advice regarding non-bank lending. In the advice the EBA identifies risks related to provisions of credit by non-bank lenders and puts forward some proposals to address them. In the press release EBA highlights the importance of:

  • Ensuring that the consumer protection framework remains fit-for purpose in view of new players entering the market. For that, the EBA is proposing i) to enhance the disclosure requirements and ensure that they are fair, effective and well-suited for new forms of lending; ii) to strengthen the requirements for creditworthiness assessment, to ensure it is conducted in the interest of consumers.
  • Strengthening the provisions in terms of authorisation and admission to activities and clarifying the identification of the prudential perimeter and the supervisory responsibilities in cross-border provision of services, to allow for a more effective oversight.
  • Covering all non-bank lenders in a more comprehensive way in the EU-wide AML/CTF framework, to achieve greater harmonisation and capture such entities as ‘obliged entities’.
  • Enhancing the monitoring and reporting frameworks to avoid that any sudden increase of macroprudential risks remain unaddressed and considering the introduction of activity-based macro-prudential measures to cover all credit providers.

An important change will be that non-bank lenders – even if they are not subject to licensing under financial regulation – will be required to take AML/CFT measures. In the advice, EBA formulates it in paragraph 8.3 as follows:

As explored in Section 7.3, due to the inherent ML/TF vulnerabilities usually associated with lending activities, and the higher ML/TF risk where lending is provided by non-financial institutions not subject to AML/CFT obligations, it is proposed to the Commission to consider subjecting all categories of non-bank lending to the EU-wide AML/CFT rules (similar to the proposal under Section 8.1, from a prudential perspective) to guard against uneven approaches, regulatory arbitrage and associated gaps in the EU’s AML/CFT defences. The EBA notes that this approach is in line with Financial Action Task Force (FATF) Recommendation 26 143 that states that other financial institutions – where non-banking lending would fit – ‘should be licensed or registered and adequately regulated, and subject to supervision or monitoring for AML/CFT purposes, having regard to the risk of money laundering or terrorist financing in that sector’. This Recommendation in addition stresses that ‘at a minimum, where financial institutions provide a service of money or value transfer, or of money or currency changing, they should be licensed or registered, and subject to effective systems for monitoring and ensuring compliance with national AML/CFT requirements’.

EBA mentions that the draft AMLR already is broadening the scope of AML/CFT duties:

Article 3 of the 2021 Commission legislative proposal for the AMLR goes some way towards addressing this recommendation (by extending the list of AML/CFT ‘obliged entities’ to creditors for mortgage and consumer credits, as well as mortgage and consumer credit intermediaries that are not credit institutions or financial institutions, and crowdfunding service providers which fall outside the scope of Regulation (EU) 2020/1503, as result of their exposure to ML/TF risks). However, with respect to other non-banking lending activities – as explained in Section 6.8 – those might fall within Annex I to the CRD, but this Annex does not include the full list of obliged entities carrying out non-bank lending activities. In order to ensure consistency of approaches across Member States – and to address the concerns identified in this Report – consideration should be given to capturing all these entities directly in Article 2 of the proposed AMLR, instead of referencing Annex I to the CRD, which currently is considered unclear and still outdated

It shows that more and more companies and activities will be subject to obligations under the European AML/CFT regime.

 

More information:

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , | Een reactie plaatsen

Financiële sector wil beter ubo-register en meer handhaving | Wwft

Financiële instellingen dringen bij de overheid aan op een beter ubo-register, zo blijkt uit een bericht op de site van bankenorganisatie NVB, waarin onder meer staat:

Het Verbond van Verzekeraars (Verbond), de Nederlandse Vereniging van Banken (NVB) en de Verenigde Betaalinstellingen Nederland (VBIN) hebben daarom in een paper de problemen met het register beschreven en vragen de overheid om te zorgen voor een effectief, betrouwbaar, werkbaar en betaalbaar UBO-register. Het is daarbij belangrijk dat de Kamer van Koophandel (KvK) en het Bureau Economische Handhaving (BEH) de controle intensiveren op de juistheid en volledigheid van de in het UBO-register opgenomen gegevens. Een gebrekkig UBO-register betekent niet alleen veel werk voor financiële instellingen, maar is ook in het nadeel van klanten omdat het acceptatie en soepele dienstverlening bemoeilijkt.

De paper is hier te vinden.
Uit die paper blijkt dat er nog steeds grote verschillen zijn in de interpretatie van het ubo-begrip, want de financiële instellingen vragen om “een uniforme uitleg en toepassing van het UBO-begrip“.

De verplichting om de juistheid van het ubo-register te controleren (‘terugmeldingsplicht’) is een kostbare aangelegenheid, constateren de financiële instellingen. Om die reden willen zij graag een attenderingsservice van de Kamer van Koophandel. Verder dringen de financiële instellingen er op aan dat het raadplegen van het ubo-register gratis wordt (als dat voor iedereen is, is dat fijn voor criminelen en trollen).

De financiële instellingen maken zich zorgen over hun verplichtingen bij bestaande klanten en vrezen dat zij de relatie moeten beëindigen als de klanten hun ubo’s niet hebben ingeschreven, aldus:

Tot slot moet duidelijk worden op welke manier financiële instellingen Wwft-cliëntenonderzoeken dienen uit te voeren bij entiteiten die na 27 maart 2022 nog niet zijn ingeschreven in het UBO- register. Immers, zonder bewijs van inschrijving geldt een verbod op het aangaan van de zakelijke relatie conform artikel 5 Wwft. Wij roepen de overheid daarom op de einddatum van 27 maart 2022 te heroverwegen.

 

NB Uiteraard spelen de databeschermingsrisico’s voor de mensen die in het ubo-register zijn ingeschreven geen enkele rol in de paper. Daar hebben noch de overheden, noch de Wwft-plichtigen interesse. Dus de onveilige uitwisseling van persoonsgegevens mag gewoon doorgaan.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Ubo-register | Tags: , , , , , | Een reactie plaatsen