Financiële privacy

Databescherming en privacy zijn van groot belang bij financiële gegevens. Het is in de privacywereld een onderbelicht thema.

Veel meer aandacht gaat uit naar de de praktijken van advertentiebedrijven zoals Google en Facebook en naar de activiteiten van geheime diensten en gelijksoortige instellingen zoals NCTV.

Op steeds grotere schaal worden financiële persoonsgegevens verzameld, uitgewisseld en geanalyseerd, zodat een aantal grote ondernemingen op basis van betaalgegevens burgers en organisaties in detail kan volgen. Het is een ontwikkeling die wordt aangemoedigd door de overheid en die zich door allerlei oorzaken verspreidt door de gehele samenleving, met grote databeschermingsrisico’s voor burgers.

Financiële privacy is het thema van deze pagina waarbij databescherming en cybersecurity een hoofdrol spelen. Het kan worden onderverdeeld in de volgende deelonderwerpen.

Databescherming in het betalingsverkeer

  • Er zijn steeds gedetailleerde financiële persoonsgegevens aanwezig bij banken en andere grote partijen

Het betalingsverkeer vindt grotendeels digitaal plaats, contante betaling verdwijnt. Daardoor beschikken degenen die bij dat betalingsverkeer betrokken zijn (banken, betaaldienstverleners, rekeninginformatiedienstverleners) over gedetailleerde informatie over al hun klanten, zowel consumenten als bedrijven en organisaties. Dit betekent dat banken c.a. zeer veel weten over hun klanten. De financiële gegevens worden door allerlei oorzaken steeds gedetailleerder en steeds meer bedrijven kunnen er over beschikken. Zo zal IDEAL 2.0 naar verwachting zorgen voor verdere verspreiding van financiële persoonsgegevens.
In het verleden hebben banken geprobeerd de financiële gegevens van klanten te gelde te maken, op de manier waarop de Amerikaanse advertentiebedrijven dat doen, denk aan de ING-affaire. Daar is destijds een stokje voor gestoken maar dit kan terug komen.

  • Nieuwe PSD2-diensten

Deze Europese regelgeving moest mogelijk maken dat er nieuwe diensten worden ontwikkeld rondom de financiële gegevens van klanten van betaalinstellingen, onder andere rekeninginformatiediensten. Aan databescherming is onvoldoende gedacht, zodat burgers risico lopen. Privacy First is al langer bezig met de campagne PSD2-me-niet.

Op dit blog: PSD2.

  • Contante betaling verdwijnt

Daardoor verdwijnt de laatste mogelijkheid om niet van uur tot uur gevolgd te worden door banken. Het digitale geld dat door Europa wordt voorbereid, zal waarschijnlijk niet volledig anoniem zijn om misdaadbestrijding mogelijk te maken.

Op dit blog: contante betaling.

Privatisering van de misdaadbestrijding en gegevenslevering aan de overheid

  • Misdaadbestrijdingstaken van banken, overige financiële instellingen en diverse andere ondernemingen (‘witwasbestrijding’), in Nederland gebaseerd op de Wet ter voorkoming van witwassen en financieren van terrorisme (‘Wwft’)

Deze taken leiden er toe dat extra persoonsgegevens van burgers worden verzameld, dat betreft niet alleen het identificeren van natuurlijke personen, maar ook het verzamelen van gegevens over en van natuurlijke personen betrokken bij organisaties. Dit kan gaan over bestuurders en vertegenwoordigers van rechtspersonen en de ‘uiteindelijk belanghebbenden’. Er moeten vertrouwelijke gegevens door klanten met de financiële instellingen worden uitgewisseld, dit gebeurt vaak op onveilige manier.

Let op: het gaat hier niet alleen om misdaad die de klant of de financiële instelling kan benadelen. De instelling moet actief nagaan (‘monitoren’) of de eigen klant misdaadgeld onder zich heeft en moet vermoedens van misdaad (vermoedelijk financieel voordeel uit misdaad, ‘ongebruikelijke transacties’) melden bij een onderdeel van de politie, FIU-Nederland.

Grote ondernemingen zullen bij het analyseren van de financiële gegevens van hun klanten steeds vaker kunstmatige intelligentie gebruiken, lees over de risico’s van artificial intelligence de artikelen van Bits of Freedom.

Europa is bezig met een pakket aan regelgeving, ook wel het ‘AML package’ genoemd, wat de misdaadbestrijdingstaken van bedrijven ingrijpend zal wijzigen. Als gevolg van nieuwe regelgeving zullen steeds meer financiële gegevens door ondernemingen met de overheid worden uitgewisseld.

Op dit blog: , , , , , , ;
over de schaduwkanten: , ;
Europa: , , , .

  • Identificatie, inclusief biometrische gegevens

Banken en andere financiële instellingen moeten hun klanten identificeren, allereerst om (privaatrechtelijk) te weten met wie zij een overeenkomst aangaan, ten tweede omdat de witwasbestrijdingsregels dit voorschrijven. Rondom de identificatie is het nodige te doen, onder andere omdat banken bestaande cliënten willen ‘heridentificeren’ en soms ook biometrische gegevens verlangen. Lees de artikelen van Bits of Freedom en Privacy First over de risico’s van het gebruik van biometrie.

Op dit blog: , .

  • Ubo-register

Onderdeel van de misdaadbestrijdingstaken van banken en andere aangewezen ondernemingen, is dat zij de uiteindelijk belanghebbenden van hun klanten moeten vaststellen en de juistheid van de registratie van hun klanten bij het ubo-register moeten verifiëren. Privacy First heeft over het ubo-register geprocedeerd (lees 1, 2, 3, 4) en is nu in afwachting van de uitkomst van gelijksoortige zaken die in behandeling zijn bij het Europese Hof van Justitie.

Op dit blog: ubo-register, , .

  • Zwarte lijsten

In de financiële sector worden in het kader van de misdaadbestrijdingstaken en ter bescherming van de eigen financiële belangen zwarte lijsten aangelegd van ‘verdachte’ en veroordeelde klanten. Deze lijsten staan bekend onder de namen ‘IVR’ (intern verwijzingsregister) en ‘EVR’ (extern verwijzingsregister). De regels voor deze registers staat in ‘PIFI’, het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen.
Verzekeraars hebben een compleet overzicht van alle claims die verzekerden bij hen hebben ingediend. In toenemende mate willen ook andere ondernemingen met misdaadbestrijdingstaken zwarte lijsten aanleggen.

Op dit blog: , , , .

  • Gegevensleveringen aan de overheid (renseignering)

Financiële instellingen, werkgevers en in de toekomst ook platforms zijn verplicht om gegevens te leveren aan de overheid. Dit wordt ook wel ‘renseignering’ genoemd. In het kader van de renseigneringsplicht worden vele vertrouwelijke gegevens verzameld bij de klanten.

Op dit blog: renseignering.

Een bijzonder voorbeeld is de verplichting van financiële instellingen om gegevens van de klanten te verzamelen ten behoeve van de belastingheffing door andere landen. Zeer bekend is FATCA, de Amerikaanse wet op grond waarvan financiële instellingen in de hele wereld gratis diensten moeten verlenen aan de Amerikaanse belastingdienst, wat niet alleen fiscale inwoners van de VS en personen met bezittingen in of opbrengsten uit de VS omvat, maar ook iedereen die de Amerikaanse nationaliteit heeft (ook al ontbreken verdere banden met het land). Nederland heeft met de VS een FATCA-verdrag gesloten en neemt verder deel aan de ‘Common Reporting Standard’ (CRS), waarover verdragen met de EU-landen en andere landen zijn afgesloten.

Op dit blog: inleiding FATCA, berichten over FATCA en CRS.

Datahandelaren in de financiële sector

  • Handelaren in financiële (persoons)gegevens

Ten behoeve van financiële instellingen zijn een aantal zeer grote partijen actief, die bij het publiek minder bekend zijn. Zij verzamelen financiële en andere gegevens over zowel consumenten als over organisaties en de bij organisaties betrokken natuurlijke personen. Die gegevens worden verkocht aan onder andere financiële instellingen, als kredietinformatie en als witwasbestrijdingsinformatie. Hoewel deze handelaren zich aan de AVG moeten houden, doen zij dat meestal niet, zodat de mensen wiens gegevens verkocht worden niet op de hoogte zijn van de aanwezigheid van hun gegevens bij die handelaren en ook niet kunnen controleren of de gegevens rechtmatig zijn verkregen en juist zijn. Hun AVG-rechten kunnen zij niet uitoefenen.
Dergelijke handelaren zouden volgens mij vergunningplichtig moeten zijn, zoals financiële instellingen dat zijn, met een krachtige toezichthouder en strenge toetsing van de leidinggevenden.

Op dit blog: datahandelaren.

  • Bureau Kredietregistratie (BKR)

Dit is een door de overheid erkende en door de financiële sector opgerichte stichting die ten behoeve van die sector gegevens registreert.

Op dit blog: , .