Financiële privacy

Databescherming en privacy zijn van groot belang bij financiële gegevens. Het is in de privacywereld een onderbelicht thema.

Veel meer aandacht gaat uit naar de de praktijken van advertentiebedrijven zoals Google en Facebook en naar de activiteiten van geheime diensten en gelijksoortige instellingen zoals NCTV.

Op steeds grotere schaal worden financiële persoonsgegevens verzameld, uitgewisseld en geanalyseerd, zodat een aantal grote ondernemingen op basis van betaalgegevens burgers en organisaties in detail kan volgen. Het is een ontwikkeling die wordt aangemoedigd door de overheid en die zich door allerlei oorzaken verspreidt door de gehele samenleving, met grote databeschermingsrisico’s voor burgers.

Financiële privacy is het thema van deze pagina waarbij databescherming en cybersecurity een hoofdrol spelen. Het kan worden onderverdeeld in de volgende deelonderwerpen.

Betalingsverkeer en gegevensbescherming | groeiende gegevensverzamelingen

  • Er zijn steeds gedetailleerdere financiële persoonsgegevens aanwezig bij banken en andere grote partijen

Het betalingsverkeer vindt grotendeels digitaal plaats, contante betaling verdwijnt. Daardoor beschikken degenen die bij dat betalingsverkeer betrokken zijn (banken, betaaldienstverleners, rekeninginformatiedienstverleners) over gedetailleerde informatie over al hun klanten, zowel consumenten als bedrijven en organisaties. Dit betekent dat banken c.a. zeer veel weten over hun klanten. De financiële gegevens worden door allerlei oorzaken steeds gedetailleerder en steeds meer bedrijven kunnen er over beschikken. Zo zal IDEAL 2.0 naar verwachting zorgen voor verdere verspreiding van financiële persoonsgegevens.
In het verleden hebben banken geprobeerd de financiële gegevens van klanten te gelde te maken, op de manier waarop de Amerikaanse advertentiebedrijven dat doen, denk aan de ING-affaire. Daar is destijds een stokje voor gestoken maar dit kan terug komen.

  • Open finance, open banking, FIDA (financial data access) en PSD2

De Europese regelgeving bekend onder de naam ‘PSD2’ moest mogelijk maken dat er nieuwe diensten worden ontwikkeld rondom de financiële gegevens van klanten van betaalinstellingen, onder andere rekeninginformatiediensten. Aan databescherming is onvoldoende gedacht, zodat burgers risico lopen. Privacy First is kritisch, bekijk de campagne PSD2-me-niet. Op dit blog heb ik er aandacht aan besteed: PSD2.

De nieuwste ontwikkeling is bekend onder de naam ‘open finance‘ of ‘open banking’. Recent zijn er in Europa voorstellen ingediend die het mogelijk maken dat rekeninghouders hun complete rekeninggegevens (met daarin persoonsgegevens) aan fintech bedrijven verschaffen, lees over ‘FIDA’ (‘financial data access’), zonder dat betrokkenen (wederpartijen bij de financiële transacties van de rekeninghouder) toestemming wordt gevraagd. Europa doet het voorkomen dat betrokkenen toestemming geven, maar dat is niet het geval.

  • Contante betaling verdwijnt

Door de ontmoediging van contante betaling door banken en de overheid verdwijnt de laatste mogelijkheid om niet van uur tot uur gevolgd te worden door banken. Het digitale geld dat door Europa wordt voorbereid, zal waarschijnlijk niet volledig anoniem zijn om misdaadbestrijding mogelijk te maken.

Op dit blog: contante betaling.

Privatisering van de misdaadbestrijding (Wwft) en gegevenslevering aan de overheid | financiële surveillance

  • Misdaadbestrijdingstaken van banken, overige financiële instellingen en diverse andere ondernemingen (‘witwasbestrijding’), in Nederland gebaseerd op de Wet ter voorkoming van witwassen en financieren van terrorisme (‘Wwft’). De kernactiviteit is dat alle financiële transacties van alle burgers en organisaties permanent gemonitord moeten worden door bedrijven om te zien of er crimineel geld mee gemoeid is (financiële surveillance). Europa heeft recent een wetgevingspakket bekend gemaakt dat naar verwachting vóór de Europese verkiezingen van 2024 definitief gemaakt zal worden.

Deze taken leiden er toe dat extra persoonsgegevens van burgers worden verzameld, dat betreft niet alleen het identificeren van natuurlijke personen (‘verificatie van de identiteit’), maar ook het verzamelen van gegevens over en van natuurlijke personen betrokken bij organisaties. Dit kan gaan over bestuurders en vertegenwoordigers van rechtspersonen en de ‘uiteindelijk belanghebbenden’. Er moeten vertrouwelijke gegevens door klanten met de financiële instellingen worden uitgewisseld, dit gebeurt vaak op onveilige manier.

Let op: het gaat hier niet alleen om misdaad die de klant of de financiële instelling kan benadelen. De instelling moet actief nagaan (‘monitoren’) of de eigen klant misdaadgeld onder zich heeft en moet vermoedens van misdaad (vermoedelijk financieel voordeel uit misdaad, ‘ongebruikelijke transacties’) melden bij een onderdeel van de politie, FIU-Nederland.

Grote ondernemingen zullen bij het analyseren van de financiële gegevens van hun klanten steeds vaker kunstmatige intelligentie gebruiken, lees over de risico’s van artificial intelligence de artikelen van Bits of Freedom.

Het hierboven genoemde Europese wetgevingspakket, ook wel het ‘AML package’ genoemd, zal de misdaadbestrijdingstaken van bedrijven ingrijpend wijzigen. Als gevolg van nieuwe regelgeving zullen steeds meer financiële gegevens door ondernemingen met de overheid worden uitgewisseld en zullen de hoge kosten van dit inefficiënte misdaadbestrijdingssysteem aan de klanten worden doorberekend.

Op dit blog zijn relevante tags onder meer: , , , , , , ;
blogartikelen over de schaduwkanten: , ;
blogartikelen over Europa en de privatisering van de misdaadbestrijding: , , , .

  • Identificatie, inclusief biometrische gegevens

Banken en andere financiële instellingen moeten hun klanten identificeren (‘de identiteit verifiëren’), allereerst om (privaatrechtelijk) te weten met wie zij een overeenkomst aangaan, ten tweede omdat de witwasbestrijdingsregels dit voorschrijven. Rondom de identificatie is het nodige te doen, onder andere omdat banken bestaande cliënten willen ‘heridentificeren’ en soms ook biometrische gegevens verlangen. Lees de artikelen van Bits of Freedom en Privacy First over de risico’s van het gebruik van biometrie.

Op dit blog: , .

  • Ubo-register

Onderdeel van de misdaadbestrijdingstaken van banken en andere aangewezen ondernemingen, is dat zij de uiteindelijk belanghebbenden (ubo’s) van hun klanten moeten vaststellen en de juistheid van de registratie van hun klanten bij het door de Kamer van Koophandel gehouden register van uiteindelijk belanghebbenden (ubo-register) moeten verifiëren. Privacy First heeft over het ubo-register geprocedeerd. Inmiddels is er een uitspraak van het Europese Hof die goed is uitgepakt voor ubo’s, lees ook dit. Naar verwachting zullen in januari 2024 bekend gemaakte Europese voorstellen de uitspraak van het Hof ondergraven (blog).

Op dit blog: ubo-register, , .

  • Zwarte lijsten

In de financiële sector worden in het kader van de misdaadbestrijdingstaken en ter bescherming van de eigen financiële belangen zwarte lijsten aangelegd van ‘verdachte’ en veroordeelde klanten. Deze lijsten staan bekend onder de namen ‘IVR’ (intern verwijzingsregister) en ‘EVR’ (extern verwijzingsregister). De regels voor deze registers staat in ‘PIFI’, het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen.
Verzekeraars hebben een compleet overzicht van alle claims die verzekerden bij hen hebben ingediend. In toenemende mate willen ook andere ondernemingen met misdaadbestrijdingstaken zwarte lijsten aanleggen.

Op dit blog: , , , .

  • Gegevensleveringen aan de overheid | renseignering; CRS / FATCA

Financiële instellingen, werkgevers en in de toekomst ook platforms zijn verplicht om gegevens te leveren aan de overheid. Dit wordt ook wel ‘renseignering’ genoemd. In het kader van de renseigneringsplicht worden vele vertrouwelijke gegevens verzameld bij de klanten.

Op dit blog: renseignering.

Een bijzonder voorbeeld is de verplichting van financiële instellingen om gegevens van de klanten te verzamelen ten behoeve van de belastingheffing door andere landen. Zeer bekend is FATCA, de Amerikaanse wet op grond waarvan financiële instellingen in de hele wereld gratis diensten moeten verlenen aan de Amerikaanse belastingdienst, wat niet alleen fiscale inwoners van de VS en personen met bezittingen in of opbrengsten uit de VS omvat, maar ook iedereen die de Amerikaanse nationaliteit heeft (ook al ontbreken verdere banden met het land). Nederland heeft met de VS een FATCA-verdrag gesloten en neemt verder deel aan de ‘Common Reporting Standard’ (CRS), waarover verdragen met de EU-landen en andere landen zijn afgesloten.

Op dit blog: inleiding FATCA, berichten over FATCA en CRS.

Datahandelaren in de financiële sector

  • Handelaren in financiële (persoons)gegevens

Ten behoeve van financiële instellingen zijn een aantal zeer grote partijen actief, die bij het publiek minder bekend zijn. Zij verzamelen financiële en andere gegevens over zowel consumenten als over organisaties en de bij organisaties betrokken natuurlijke personen. Die gegevens worden verkocht aan onder andere financiële instellingen, als kredietwaardigheidsinformatie en als witwasbestrijdingsinformatie. Hoewel deze datahandelaren zich aan de AVG moeten houden, doen zij dat meestal niet, zodat de mensen wiens gegevens verkocht worden niet op de hoogte zijn van de aanwezigheid van hun gegevens bij die handelaren en ook niet kunnen controleren of de gegevens rechtmatig zijn verkregen en juist zijn. Hun AVG-rechten kunnen zij niet uitoefenen.
Dergelijke handelaren zouden volgens mij vergunningplichtig moeten zijn, zoals financiële instellingen dat zijn, met een krachtige toezichthouder en strenge toetsing van de leidinggevenden.

Op dit blog: datahandelaren.

  • Bureau Kredietregistratie (BKR), handelaren in kredietwaardigheidsinformatie

BKR is een door de overheid erkende en door de financiële sector opgerichte stichting die ten behoeve van die sector en een aantal andere partijen (onder meer telecombedrijven en gemeenten) kredietwaardigheidsgegevens registreert.
Er gaat veel mis bij BKR, wat aanleiding was voor Privacy First om tijdens een consultatie herziening van de regelgeving te bepleiten en voor te stellen dat de hele kredietwaardigheidshandel vergunningplichtig moet worden.

Op dit blog: , , kredietwaardigheidsbeoordeling.

 

Privacy First en financiële privacy

Privacy First houdt zich onder meer bezig met financiële privacy en neemt regelmatig deel aan consultaties over dat onderwerp. Wat ik daar over heb geschreven is te vinden via deze tag.