Doe mee met Radar onderzoek hoe banken om gaan met het witwasonderzoek bij stichtingen, verenigingen en VvE’s | Wwft

Geplaatst op 21 februari 2024 door Ellen Timmer

Radar roept not-for-profit organisaties, zoals verenigingen, stichtingen en verenigingen van eigenaars op hun ervaringen met het witwasonderzoek door banken te melden. Lees hun bericht Oproep: Heeft de bank jouw stichting of vereniging gecontroleerd op witwassen?:

Goede doelen, verenigingen van eigenaren en sportverenigingen krijgen regelmatig te maken met controles van banken. Die vragen bijvoorbeeld uitleg over bepaalde transacties of lichten bestuursleden door. Als ze niet gerustgesteld worden, kunnen ze een rekening blokkeren of zelfs opheffen. Heeft jouw stichting of vereniging dat meegemaakt? Dan hoort Radar graag je ervaring.

Het is belangrijk dat not-for-profit organisaties aan dit onderzoek mee doen. Het kan nog meer maatschappelijk onbetamelijke praktijken van banken aan het licht brengen, dan eerder al bekend werden.

 

 

Meer over de witwasbestrijding bij not-for-profit organisaties is hier te vinden, onder meer:
Het ministerie van Financiën praat criminalisering van not-for-profit organisaties in de Wwft goed
Bureaucratische behoeftenbevrediging en de ubo van een stichting | Wwft, witwasbestrijding
Verenigingen als hoog-risico-klant van de bank | WWft
Stop de witwasbestrijdingsbureaucratie in de not-for-profit | Wwft
Banken en de not-for-profit: “Door de jacht op terroristen en fout geld kunnen ook de brave vrijwilligers hun geld nergens kwijt”

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Not-for-profit | Tags: , , , , , , , | Plaats een reactie

Radar over de mislukking van de witwasbestrijding door banken | “Banken zijn wettelijk verplicht om te controleren op witwassen en fraude. Maar de manier waarop dit gaat, schiet veel mensen in het verkeerde keelgat”

Geplaatst op 21 februari 2024 door Ellen Timmer

Het consumentenprogramma Radar maakte eerder een uitzending over het Wwft-klantenonderzoek door banken bij consumenten [1].
In de uitzending van deze maand zijn ondernemers aan de beurt. Die zijn vernietigend, zo valt ook in het Radar artikel te lezen, onder meer:

  • Onduidelijke communicatie van de bank.
  • Betaling werd geblokkeerd voordat er vragen werden gesteld.
  • Mensen die doen wat ze altijd deden kregen daar ineens vragen over, voorbeeld: “Ik doe al jaren zaken met het buitenland, ook buiten de EU. N.a.v. een ontvangen betaling per bank van buiten de EU kreeg ik plotseling vragen.
  • Er is geen persoonlijk overleg mogelijk. Opbellen wordt lastig gemaakt.
  • Er worden buitensporig veel gegevens gevraagd, die soms niet eens relevant zijn.
  • Er worden persoonsgegevens van klanten gevraagd.
  • De bank schaadt de bedrijfsvoering, bijvoorbeeld omdat betalingen niet op tijd kunnen worden verricht.

Een van de ondernemers die de vragenlijst invulde schreef “Je krijgt het gevoel dat je een criminele organisatie hebt“. De ervaringen maken duidelijk dat de overheidstaak die banken moeten uitvoeren bij hen niet in goede handen zijn.
Banken sluiten ondernemers en organisaties regelmatig zonder goede reden uit van het betalingsverkeer door te weigeren een bankrekening te openen. Het is inmiddels zo erg geworden dat het ministerie van Financiën onderzoekt of er een recht op een zakelijke bankrekening nodig is [2].
Radar publiceerde een reactie van de verantwoordelijke ministeries [3], waarin zij het obligatie witwasverhalen houden [4]. Ook de banken hebben gereageerd [5].

Meld je ervaring als zakelijke rekeninghouder bij Radar

Radar roept zakelijke rekeninghouders op mee te doen aan hun panel en hun ervaringen te melden:

Wil je ook je ervaringen laten meetellen? Meld je aan voor het Radar Panel via deze korte intake-vragenlijst.

Het moet anders

Het is tijd dat aan de Nederlandse en international politiek wordt duidelijk gemaakt dat het concept van privatisering van de misdaadbestrijding naar bedrijven compleet mislukt is. De taken worden neergelegd bij ongeschikte partijen, de kosten rijzen de pan uit en de effectiviteit is gering. Het moet anders!

 

Noten:

[1] Gecontroleerd door de bank: ‘Je voelt je een crimineel als ze dit soort vragen stellen’, 27 november 2023. De berichten van Radar over witwassen en witwasbestrijding zijn via de tag witwassen te vinden.
[2] Zie het Radar bericht Ministerie onderzoekt recht op zakelijke bankrekening.
[3] Ondernemers ondervraagd – Reactie Ministerie van Financiën en Ministerie van Justitie en Veiligheid, 19 februari 2024.
[4] Met de bekende dooddoeners, zoals “Eén van de internationaal erkende uitgangspunten bij de aanpak van witwassen is dat poortwachters, zoals banken, maar ook accountants, notarissen en trustkantoren, individueel klantonderzoek doen en daarbij een inschatting maken van mogelijke witwasrisico’s bij de klant, op basis van een risico gebaseerde benadering“. Het gaat hier om internationale politiek die uitgaat van onjuiste uitgangspunten. Het antwoord op de privacyvraag bevat het bekende vage risicogebaseerdheidsverhaal.
[5] De reactie van de banken staat hier.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , | Plaats een reactie

Europa en de witwasbestrijdingstaken van niet-financiële ondernemingen | AML Package

Geplaatst op 20 februari 2024 door Ellen Timmer

Een van de onverstandige elementen in het AML Package is dat regels die zijn bedacht voor financiële ondernemingen, met name voor banken, 1-op-1 worden overgezet naar ondernemingen van een geheel ander karakter, soms ook uit het midden- en kleinbedrijf. Bekijk voor het complete overzicht van de huidige witwasbestrijdingsplichtigen dit overzicht van FIU Nederland.

Europese ontwikkelingen rond niet-financiële ondernemingen in de brief van 13 februari
In de brief die de minister van Financiën op 13 februari jl. aan de Tweede Kamer schreef, wordt daar over het volgende gemeld:

Bevoegdheden niet-financiële sector

Ten aanzien van de niet-financiële sector heeft Nederland gepleit voor een coördinerende en faciliterende rol voor AMLA bij de samenwerking tussen nationale toezichthouders. De reden hiervoor is dat vanwege de doorgaans sterke nationale inbedding en beperkte harmonisatie van regelgeving in deze sector, een stevige rol niet passend lijkt. Het EP voorzag in zijn mandaat juist veel extra bevoegdheden voor AMLA ten aanzien van deze sector. De uitkomst van de onderhandelingen is dat AMLA extra bevoegdheden heeft gekregen in deze sector, maar zeker niet zoveel als voorzien in het mandaat van het Europees Parlement. AMLA krijgt de bevoegdheid om peer reviews en periodieke beoordelingen van nationale toezichthouders uit te voeren om de consistentie en effectiviteit van de toezichtresultaten te versterken. Ook kan AMLA nationale toezichthouders ondersteunen als ze een zogenoemd supervisory college op willen zetten om het toezicht op een poortwachter met veel grensoverschrijdende activiteiten en een hoog risico op witwassen of financieren van terrorisme te coördineren tussen de betrokken nationale toezichthouders. Daarnaast krijgt AMLA de bevoegdheid om potentiële inbreuken of gebrekkige toepassing van het recht van de Europese Unie te onderzoeken, indien nodig aanbevelingen te doen en indien de aanbevelingen niet worden nageleefd waarschuwingen uit te brengen aan de nationale toezichthouders uit andere lidstaten om te gevolgen van de inbreuk te beperken. Tot slot kan AMLA, op verzoek van een nationale toezichthouder uit de niet-financiële sector, bemiddelen bij geschillen tussen nationale toezichthouders over de maatregelen die genomen moeten worden met betrekking tot een poortwachter.

Het is fijn dat het kabinet inziet dat de niet-financiële sector anders behandeld moet worden vanwege de doorgaans sterke nationale inbedding en beperkte harmonisatie van regelgeving in die sectoren. Maar dat gaat lang niet ver genoeg.

AMLA zal straks ongehinderd door kennis van zaken regels gaan maken voor witwasbestrijdingsplichtigen uit het mkb
Verwacht mag worden dat AMLA – ongehinderd door kennis van de branches waar het om gaat – regels zal gaan maken voor een grote diversiteit aan sectoren. Die regelmakers zullen ongetwijfeld uit de financiële sector afkomstig zijn. De vraag is of zij belangstelling zullen tonen voor de specifieke kenmerken van allerlei soorten ondernemingen. Het fenomeen van het onzorgvuldig overplaatsen van regels voor banken naar andere soorten ondernemingen is nu al in de nationale witwasbestrijding zichtbaar. Dit zal als de regels op een onverstandige manier Europees geharmoniseerd worden nog erger worden. De invloed vanuit de nationale toezichthouders en beroepsgroepen op de Europese regelgeving zal straks ongeveer nihil zijn. Lees over het nieuwe autoritaire Europese systeem mijn artikel EU’s Iron Fist – Europe authoritarianly steamrolls over national supervisors and obliged entities.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , | Plaats een reactie

AML Package | Transactiemonitoring Nederland via de achterdeur en inspraak Tweede Kamer

Geplaatst op 19 februari 2024 door Ellen Timmer

De minister van Financiën stuurde op 13 februari jl. een brief aan de Tweede Kamer waarin werd uitgelegd dat de Kamer inspraak heeft op het AML-pakket, de ‘AML Package’. Zie voor de brief de pagina op de site van de Tweede Kamer, waarin naar de brief en de bijlage met de titel ‘Non paper DUI, LUX, NL risicogebaseerde benadering‘ wordt verwezen.

Nederland wil via de Europese achterdeur Transactiemonitoring Nederland (TMNL) er door drukken
In de non paper pleit Nederland voor gezamenlijke analyse door witwasbestrijdingsplichtige ondernemingen, zoals de banken via Transactiemonitoring Nederland (TMNL) willen doen, ook al is het wetsvoorstel waarin dit fenomeen voorkomt door de Kamer controversieel verklaard. Het maakt duidelijk dat het kabinet en het ministerie van Financiën weinig interesse hebben voor wat het parlement er van vindt. Lees in dit verband ook de brief, waarin niet alleen over gegevens delen door banken wordt gesproken, maar door alle ‘poortwachters’ (dus ook boekhoudkantoren, notarissen en de vele andere ondernemingen met overheidstaken op het gebied van de witwasbestrijding):

Nederland is voornemens om in te stemmen met het pakket, omdat het belangrijke verbeteringen bevat in de harmonisatie van regelgeving en de oprichting van een Europese anti-witwasautoriteit. Wel zal Nederland hierbij een stemverklaring afleggen, vanwege de bedenkingen die Nederland heeft bij het ontbreken van een bevoegdheid voor lidstaten om te bepalen of de introductie van een mogelijkheid voor poortwachters om gezamenlijke voorzieningen op te richten waarin transactiegegevens gedeeld kunnen worden wenselijk is in nationaal verband. Hierdoor heeft het nationale parlement niet meer de mogelijkheid om de principiële afweging te maken of poortwachters gezamenlijke voorzieningen moeten kunnen opzetten. (…)

Wel zal Nederland hierbij een stemverklaring afleggen waarin wordt aangegeven dat Nederland grote bedenkingen heeft bij een van de bepalingen uit de AML-verordening. Dit is gelegen in het volgende. In het BNC-fiche heeft het kabinet aangegeven gegevensdeling een cruciaal onderdeel te vinden van een effectieve aanpak van witwassen en terrorismefinanciering. Daarom gaf het kabinet aan te hechten aan duidelijkheid over wat er op dit gebied mogelijk is voor poortwachters en voldoende ruimte voor poortwachters om gegevens te kunnen delen. Daarnaast wilde het kabinet zich ervan verzekeren dat de regelgeving voldoende ruimte zou bieden voor bestaande initiatieven. De oorspronkelijke voorstellen van de Europese Commissie repten niet over gegevensdeling tussen poortwachters. In het minst erge geval zou dit hebben betekend dat de onduidelijkheid over de mogelijkheden voor poortwachters om gegevens uit te wisselen zou voortduren en in het ergste geval – aangezien dit een verordening betreft die harmonisatie van regelgeving beoogt – zou dit kunnen betekenen dat lidstaten niet de mogelijkheid zouden hebben om nationaal gegevensuitwisseling tussen poortwachters mogelijk te maken. Daarom heeft Nederland, samen met Denemarken en Duitsland, een non-paper met voorstellen opgesteld, 11 waarvan onderdelen in het uiteindelijke Raadsakkoord zijn overgenomen. In dit non-paper werd gepleit om lidstaten middels een lidstaatoptie gezamenlijke voorzieningen te kunnen laten oprichten, waar – binnen vooraf bepaalde waarborgen, onder andere met betrekking tot de bescherming van persoonsgegevens – gegevens tussen instellingen zouden kunnen worden gedeeld.

Het wordt humoristisch als de minister van Financiën met verwijzing naar het controversieel verklaarde wetsvoorstel beweert:

het gepast [te] vinden als de AML-verordening nationale parlementen de mogelijkheid had geboden om de principiële afweging te maken of poortwachters gezamenlijke voorzieningen moeten kunnen opzetten

Desinteresse voor de grondrechten
De brief geeft verder een recapitulatie van het wetgevende proces in de EU dat in juli 2021 is gestart en ademt volledige desinteresse in de grondrechten van burgers. Er is geen belangstelling voor de vraag of die ‘poortwachters’ wel de beoogde misdaadbestrijdingstaken kunnen uitvoeren. Het ‘doenvermogen’ is voor het kabinet alleen van belang als het om natuurlijke personen in hun privé hoedanigheid gaat.

Het blijft boeiend dat de opstellers van de brief menen te kunnen spreken over ‘de poortwachters’, terwijl het geen uniforme groep is. Nog erger is dat dit one-size-fits-all denken nu ook Europees gaat worden: de boekhouder in Roemenië en de boekhouder in Appelscha moeten hetzelfde kunnen als de bank:

De kernverplichtingen voor poortwachters zijn opgenomen in een verordening, die – anders dan een richtlijn – directe werking heeft en dus niet omgezet hoeft te worden in nationale regelgeving. Dit verkleint de kans op verschillen in de uitvoering van de verplichtingen door poortwachters uit verschillende lidstaten. De introductie van AMLA zorgt bovendien voor meer consistentie in de interpretatie en toepassing van de regelgeving door (nationale) toezichthouders en creëert – waar nodig – de mogelijkheid van grensoverschrijdend toezicht die nationale toezichthouders ontberen.

Gedurende de trilogen gaf het Europees Parlement aan, ingegeven door de wens voor harmonisatie van de regelgeving, een dergelijke bepaling als lidstaatoptie niet te accepteren. Ondanks dat Nederland op verschillende niveaus hier bezwaar tegen heeft gemaakt, is de lidstaatoptie die gegevensdeling mogelijk maakt komen te vervallen in het akkoord tussen de Raad en het Europees Parlement. In plaats daarvan is deze bepaling nu geharmoniseerd. Nederland stond in de Raad alleen in zijn uitdrukkelijke wens om de lidstaatoptie te behouden. Dit betekent dat, op grond van de bepaling zoals deze nu is opgenomen in de AMLverordening, poortwachters gezamenlijke voorzieningen kunnen inrichten om gegevens te delen in het kader van hun verplichtingen om witwassen en terrorismefinanciering tegen te gaan. De bepaling biedt verschillende waarborgen: zo is de reikwijdte van de transactiegegevens die mogen worden gedeeld beperkt tot specifieke groepen cliënten, dienen de relevante toezichthouders voorafgaand aan het starten van de activiteiten te verifiëren of de gezamenlijke voorziening voldoet aan de voorwaarden uit de AML-verordening en de AVG en dienen poortwachters passende technische maatregelen te implementeren in de gezamenlijke voorziening, zoals pseudonimisering. Daarnaast is in de overwegingen bij de verordening verduidelijkt dat lidstaten nationaal aanvullende waarborgen mogen stellen voor de verwerking van gegevens binnen de gezamenlijke voorziening. Deze waarborgen kunnen echter niet zo ver gaan dat daarmee de mogelijkheid voor poortwachters om gezamenlijke voorzieningen op te zetten geheel wordt uitgesloten.

Zelfs al zou harmonisatie nuttig kunnen zijn, dan gebeurt het nu op een volledig verkeerde manier. Zowel Nederland als Europa tonen over onvoldoende leervermogen te beschikken. De mensen aan de tekentafel van het ministerie van Financiën laten in de brief zien dat zij niet weten waar zij het over hebben en zijn niet bereid zich te verdiepen in de praktijk.

De minister trekt een onjuiste conclusie als wordt geschreven “dat het de effectiviteit van het anti-witwasraamwerk van de Europese Unie ten goede zal komen“. Wat er zal gebeuren is dat er een uitermate kostbaar en ineffectief systeem wordt opgetuigd, op kosten van burgers en organisaties, waarbij geen verantwoording wordt afgelegd aan diezelfde burgers en organisaties over het handelen van de private ondernemingen met misdaadbestrijdingstaken (‘poortwachters’).

Het zal me benieuwen of de Tweede Kamer bereid is om de inspraak rol  bij het AML Package serieus te nemen.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , | Plaats een reactie

AML Package: compromise texts of AMLR and AMLD published

Geplaatst op 18 februari 2024 door Ellen Timmer

This month the compromise texts of the AMLR and AMLD have been released, view the texts: AMLR (pdf), AMLD (pdf) and the accompanying note (pdf).
The European Commission, Council and Parliament are in a hurry, the legislative process must be completed before a new European Parliament and European Commission takes office.

The previous texts contained the necessary elements that violate the fundamental rights of European citizens. Closer examination of the new texts should reveal what the European trio did with them. We will see whether the European bodies will provide another step towards the financial surveillance society.

 

More information on this blog on AML Package, Anti-Money Laundering Directive, Anti-Money Laundering Regulation, Authority for Countering Money Laundering and Financing of Terrorism (AMLA), financial human rights, financial surveillance, anti-money laundering.

Geplaatst in Bankrekening krijgen en behouden, English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Ubo-register, Verwijzingsportaal Bankgegevens | Tags: , , , , , , , | Plaats een reactie

Die database van de NZa met medische persoonsgegevens | uitspraak RvS | AVG

Geplaatst op 18 februari 2024 door Ellen Timmer

Onlangs deed de Afdeling Bestuursrechtspraak van de Raad van State uitspraak in een zaak over de database van zorgtoezichthouder van de Nederlandse Zorgautoriteit (NZa).

DIS-database
In de inhoudsindicatie schrijft de Afdeling:

In deze zaak gaat het om gegevens uit het zogenoemde Diagnose Informatiesysteem. Het DIS is een databank waarin de gegevens staan die zorgaanbieders verzamelen in hun zogenoemde minimale dataset. De zorgaanbieders sturen de MDS gepseudonimiseerd naar de stichting ZorgTTP. Deze stichting pseudonimiseert de gegevens nog een keer. Daarmee ontstaat een uniek nummer waarmee gegevens over zorggebruik kunnen worden gekoppeld aan één patiënt. Die gegevens levert de stichting ZorgTTP daarna aan de NZa.

Volgens de Afdeling is dit veilig en heeft de NZa de gegevens nodig voor haar wettelijke taken, zie onder meer:

Met de koppeling van de individuele patiënt en de zorg die aan die persoon is verleend, wordt een compleet behandeltraject van diegene in beeld gebracht. Alleen met de dubbel gepseudonimiseerde gegevens uit het DIS kan dat worden bereikt. Met geheel geanonimiseerde gegevens kan dat niet. Daarbij ontbreekt namelijk de koppeling tussen de patiënt en de genoten zorg. Voor markttoezicht, marktontwikkeling en tarief- en prestatieregulering is die koppeling dus een vereiste. (…) Het gebruik van de gegevens uit het DIS door de NZa is dus nodig om haar taken te kunnen vervullen.

Het lijkt er op dat Zorginstituut Nederland (ZIN) wel alle persoonsgegevens krijgt, zie:

Het ZIN heeft een volledig profiel van individuele wettelijk verplicht verzekerden nodig om hun zorggebruik in de tijd te kunnen volgen. De onderzoeken van het ZIN hebben betrekking op het zorggebruik over een langere periode en strekken zich uit over de verschillende medische disciplines. Het ZIN kan niet volstaan met geanonimiseerde gegevens, omdat zij dan niet de mogelijkheid zou hebben om vanuit patiëntperspectief de declaraties te koppelen aan een individu.

Dat gaat heel ver. Hier rijst de vraag of het doel niet via andere weg kan worden bereikt. Het geeft overigens aan dat fraudebestrijding (door zorgverleners neem ik aan) altijd een argument is voor analyse van zeer veel persoonsgegevens. Dus misschien is een AVG-zaak tegen ZIN wel veel relevanter dan een tegen de NZa. Want hoe zit het met de Privacy Impact Assessments van het ZIN.

De ACM krijgt blijkens de uitspraak dubbel gepseudonimiseerde gegevens:

De ACM heeft de dubbel gepseudonimiseerde gegevens nodig om vast te stellen voor welke zorg patiënten naar bepaalde instellingen gaan en of zij worden doorverwezen voor bepaalde zorg. Deze informatie is nodig om te kunnen onderzoeken of de instellingen met elkaar concurreren. Daarnaast kan aan de hand van deze gegevens de concurrentiedruk van instellingen worden ingeschat. Die inschatting vormt de basis voor de goedkeuring van fusies of samenwerkingen. Het CBS publiceert in de elektronische databank StatLine openbare statistieken. Het CBS brengt daarin door personen gevolgde zorgtrajecten in beeld. Daarvoor heeft het CBS de gegevens uit het DIS nodig.

Zie verder de uitspraak.

Jongejan
Wim J. Jongejan, die de site Zorg-ICT zorgen bijhoudt is ongelukkig met de uitspraak, zie dit artikel, waaruit ik helaas niet kan opmaken waartegen hij precies bezwaar heeft.

Vrijbit
De organisatie die de zaak aanspande, Vrijbit, schreef Uitspraak Raad van State in DIS zaak gebaseerd op onjuiste aannames. Volgens dat artikel zijn niet systematisch standaard Privacy Impact Assessments (PIA’s) uitgevoerd en zou er geen beleidskader of controleerbare procedures zijn binnen de NZa voor het gebruik en doorlevering van DIS data op noodzakelijkheid, proportionaliteit en subsidiariteit. Volgens Vrijbit zou er niet goed aan het EVRM getoetst zijn. Zij menen dat de dubbele pseudonimisering onvoldoende is [1].
Overigens melden zij dat er volgens geheime stukken wel PIA’s gedaan zouden zijn.

Tot slot
De algemene trend is dat overheden en bedrijven allen databases met persoonsgegevens willen aanleggen en daar altijd goede redenen voor hebben. Aan de ene kant denk ik dat er best wel redenen voor kunnen zijn, aan de andere kant is de onweerstaanbare neiging om veel te veel te verzamelen, het niet goed te organiseren (voorbeeld: GGD-datalek) en het technisch zo te organiseren dat depseudonimiseren niet moeilijk is.

Dat betekent dat de NZa-database hoog risico is. Het is te hopen dat de Autoriteit Persoonsgegevens en de Afdeling het bij het rechte eind hebben als zij concluderen dat er voldoende maatregelen zijn genomen.

 

Noten

[1] “Men redeneert daarbij dat aangezien de DIS-data dubbel gepseudonimiseerd worden (door de zorgaanbieders en ZorgTTP) deze niet herleidbaar zouden zijn ’omdat de NZa de sleutel van die encryptie’ niet heeft. Maar juist omdát er met deze dubbele pseudonimisering een uniek nummer ontstaat waarmee deze gegevens over zorggebruik kunnen worden gekoppeld aan één patiënt kon de NZa, middels de verzamelde zorgverzekeringsdata ondergebracht in Vektiz *waar NZa ook over beschikte, de encryptie ontsluiten.
[2] Of dat het geval is kan ik niet beoordelen zonder een compleet dossier en aanvullende informatie.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

De interessante gebruiksmogelijkheden van de Legal Entity Identifier (LEI), het BSN van rechtspersonen en beleggers | MiFID 2

Geplaatst op 17 februari 2024 door Ellen Timmer

De Legal Entity Identifier (LEI) is een persoonsgebonden nummer (vergelijkbaar met  het BSN) dat op dit moment alleen bekend is bij beleggers, aangezien het verplicht is voor onder meer rechtspersonen die beleggingen aanhouden.

Doel van de LEI en de rol van AFM/DNB
De Kamer van Koophandel geeft de LEI’s in Nederland uit (zie de overzichtspagina) en legt op de site uit waar het voor is:

Een LEI is een uniek nummer waarmee financiële toezichthouders (zoals de Autoriteit Financiële Markten) transacties wereldwijd volgen en, wanneer nodig, ingrijpen. Het doel is om de financiële markten transparanter te maken, beleggingsrisico’s beter te beheersen en beleggers te beschermen.

Lees bij de Kamer ook deze achtergrondinformatie met onder meer:

De G20, die bestaat uit de twintig belangrijkste geïndustrialiseerde landen en opkomende economieën, wilde het marktmisbruik en financiële fraude terugdringen. Om dit voor elkaar te krijgen besloot de G20 dat alle marktpartijen een unieke referentiecode – volgens ISO-norm 17442 – zouden moeten hebben: de Legal Entity Identifier (LEI). (…)

In Nederland ziet de Autoriteit Financiële Markten (AFM) toe op naleving van wet- en regelgeving op de financiële markten en zodoende ook op de naleving van de European Market Infrastructure Regulation (EMIR). De AFM is ook verantwoordelijk voor het toezicht op de introductie van LEI’s en het gebruik daarvan in Nederland.

De Nederlandsche Bank (DNB) is verantwoordelijk voor het toezicht op de ‘Over The Counter’ (OTC)-derivatenmarkt op grond van de EMIR bij met name banken, pensioenfondsen en verzekeraars. De DNB ziet erop toe dat door deze instellingen een LEI gebruikt wordt.

Op het gebruik van de LEI zijn algemene voorwaarden van toepassing, waarin onder meer staat op het gebruik van de LEI de richtlijnen van de Financial Stability Board en/of eventuele andere wet- en regelgeving (aldus artikel 2 lid 1) van toepassing zijn en dat de Kamer aanvullende aanwijzingen aan de houder van een LEI kan geven (artikel 2 lid 2). De LEI is gebaseerd op de internationale ISO-norm 17442 en de huidige richtlijnen van de Financial Stability Board [1] en de Master Agreement van de internationale koepelorganisatie GLEIF (artikel 4 lid 2).

Toegang voor “de doeleinden waarvoor het LEI register is vervaardigd en toegankelijk is gemaakt”
Volgens de algemene voorwaarden mag het LEI register mag uitsluitend worden geraadpleegd voor de doeleinden waarvoor het LEI register is vervaardigd en toegankelijk is gemaakt (artikel 5 lid 1). Daar komt natuurlijk niets van terecht, nu het register openbaar is (artikel 5 lid 2) zodat ook marketeers en allerlei ander volk van de inhoud van de register kan kennisnemen.

Geregistreerde rechtsvormen
Het is interessant om te zien wie er in Nederland LEI’s hebben. Het grootste deel van de LEI’s is gekoppeld aan Nederlandse kapitaalvennootschappen (bv’s en nv’s), nl. ongeveer 83%. Ook personenvennootschappen hebben LEI’s (ongeveer 4,7%) en stichtingen (ongeveer 6,5%, daar zullen de nodige pensioenfondsen bij zitten). Allerlei andere rechtspersonen, zelfs vier ‘overige privaatrechtelijke rechtspersonen’ hebben LEI’s. Verder zijn er eenmanszaken met een LEI.

Onderstaand het overzicht dat ik heb gemaakt op 12 februari en waarin onvolkomenheden kunnen voorkomen:

MiFID 2 en de transactiedocumentatie
Op grond van financiële regelgeving worden bij iedere beleggingstransacties het persoonlijke ID en het LEI door financiële instellingen verwerkt en aan hun toezichthouders verschaft, zie daarover de algemene informatie die de Nederlandse Vereniging van Banken geeft in deze pdf. Bij Nederlandse natuurlijke personen wordt het paspoortnummer of – als de klant geen paspoort heeft het nummer van een identiteitskaart – vermeld bij iedere transactie. Voor juridische entiteiten moet de LEI gebruikt worden.

Verwerking van persoonsgegevens en andere detailgegevens
Via de LEI worden door financiële instellingen en hun toezichthouders persoonsgegevens verwerkt, bij een eenmanszaak is dat helder want de eigenaar is een natuurlijke persoon. Bij personenvennootschappen kunnen de vennoten/maten natuurlijke persoon zijn. In het geval van kapitaalvennootschappen kan sprake zijn van persoonlijke holdings waarin het vermogen van één of meer natuurlijke personen is ondergebracht, zodat ook bij deze vennootschappen sprake is van verwerking van persoonsgegevens.

Verder worden op grond van de financiële wetgeving persoonsgegevens van personen betrokken bij een LEI-houder geregistreerd zoals de “decision maker” en de “person who executed the trade”. Er is sprake van een verplichting voor financiële instellingen tot opnamen van telefoongesprekken en om te zorgen voor gedetailleerde verslaglegging van fysiek vergaderingen.

De transactiegegevens met de LEI’s en de daaraan gekoppelde persoonsgegevens worden door de financiële instellingen verschaft aan de AFM en DNB, die deze gegevens kunnen combineren met diverse andere gegevensbronnen. Aangenomen mag worden dat er bij beide toezichthouders uitgebreide gegevensverzamelingen aanwezig zijn en dat daarmee digitale verwerkingen worden uitgevoerd. Met deze gegevens kunnen zij analyses op detailniveau uitvoeren. Dat maakt het mogelijk om de vermogenspositie van alle Nederlandse beleggers in kaart te brengen, wat veel verder gaat dan alleen marktbewaking [2]. Of en in welke mate zij dat doen kon ik niet vinden. Als de financiële toezichthouders individuele analyses uitvoeren, zullen die interessante informatie bevatten voor andere overheidsinstellingen, zoals de Belastingdienst en de opsporing [3].

Op de sites van deze toezichthouders trof ik geen informatie aan over de manier waarop met de transactiegegevens die zij van financiële instellingen ontvangen wordt omgegaan [4]. Voor zowel persoonsgegevens als andere detailgegevens van LEI-houders is van belang of de door de toezichthouders verwerkte gegevens juist zijn, wie er bij kan, of de toegang wordt gelogd en aan wie de gegevens worden verstrekt (zoals aan de Europese toezichthouder ESMA). Mogelijk kunnen de gegevens ook voor de witwasbestrijdingstoezichttaken van de beide toezichthouders worden gebruikt, dat maakt het prangend dat er geen fouten in zitten.

Tot slot
Op dit moment is het gebruik van de LEI beperkt tot de financiële sector. Het valt te verwachten dat deze identificator in de toekomst breder zal worden ingezet.

 

Noten

[1] Meer informatie over de Financial Stability Board op hun site. De Nederlander Klaas Knot is voorzitter van de FSB. De leden zijn op deze pagina te vinden,  het betreft een groot aantal westerse landen en hun partners plus IMF, de Wereldbank, BIS, OECD, ECB, SSM, Europese Commissie, het Basel Comité, IAIS, IOSCO, IASB, CGFS, CPMI. Een machtig gezelschap. Informatie over de governance staat hier. Op deze pagina is uitleg te vinden over de rol van FSB.
[2] De relevante passages in de Nederlandse en Europese regelgeving lijken niet te gaan over het monitoren en analyseren van individuele beleggers (behalve misschien de hele grote die met  hun beleggingsbeleid de markten kunnen beïnvloeden).
[3] Hoe het precies zit met de gegevensdelingsrechten van DNB en AFM vergt nadere studie, nu het een lappendeken van regelgeving is.
[4] Op de privacy pagina rept de AFM er niet over. In de daar genoemde pdf wordt niet gesproken over gegevens van beleggingstransacties als directe of indirecte bron van persoonsgegevens. De informatie is heel generiek, zoals op pagina 5, waar in algemene termen wordt gemeld: “Om het toezicht op de naleving van de wet- en regelgeving te kunnen uitvoeren, kunnen persoonsgegevens worden verwerkt. Uitgangspunt hierbij is dat alleen persoonsgegevens worden verwerkt als dat noodzakelijk is voor de toezichttaak van de AFM. Wanneer geanonimiseerde gegevens volstaan, vraagt de AFM bijvoorbeeld geen persoonsgegevens op. De AFM pseudonimiseert persoonsgegevens zo veel mogelijk indien verwerking op naambasis niet noodzakelijk is maar het wel persoonsgegevens betreffen“. Hier had moeten worden gemeld dat de AFM sowieso alle persoonsgegevens van beleggers ontvangt als onderdeel van de transactiegegevens die zij van financiële instellingen krijgt.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Rechtspersonenrecht | Tags: , , , , , , , , , , | 1 reactie

Consultatie Besluit vergelijking buitenlandse rechtsvormen

Geplaatst op 16 februari 2024 door Ellen Timmer

Internationaal zijn er vele verschillen vormen op het gebied van rechtspersonen en personenvennootschappen. Dat heeft de interesse van de overheid in verband met de belastingheffing. Als onderdeel van het pakket Belastingplan 2024 is de Wet fiscaal kwalificatiebeleid rechtsvormen aangenomen, die een wettelijke methode voor de fiscale kwalificatie van buitenlandse rechtsvormen voor Nederlandse fiscale doeleinden introduceert.

Consultatie
Op 5 februari is een internetconsultatie gestart over een conceptbesluit waarin buitenlandse rechtsvormen worden vergeleken met Nederlandse rechtsvormen. In het conceptbesluit staat de volgende definitie:

buitenlandse rechtsvormen: door het recht van een andere staat beheerste rechtspersonen, samenwerkingsverbanden en afgescheiden vermogens, met dien verstande dat financieringsovereenkomsten niet tot de buitenlandse rechtsvormen behoren;

Na een overzicht van Nederlandse rechtsvormen volgt een hoofdstuk over rechtsvormvergelijking met in artikel 2 de categorieën gekwalificeerde buitenlandse rechtsvorm en de niet-gekwalificeerde buitenlandse rechtsvorm in twee varianten. Daarna komen artikelen waarin de ‘wezenlijke kenmerken’ van Nederlandse rechtsvormen en personenvennootschappen worden beschreven. In de bijlage bij het concept zit een overzicht van een aantal rechtsvormen van andere landen, waarbij de vergelijkbaarheid met een Nederlandse rechtsvorm wordt aangegeven.

Opvallend is dat in het VK twee van de vier vormen geen pendant in het Nederlandse recht kennen (de derde en vierde rechtsvorm):

In Duitsland is er één rechtsvorm niet vergelijkbaar:

 

 

Aanvulling 10 april 2024
Volgens dit artikel wordt het vaststellen van fiscale transparantie complex.

Geplaatst in Belastingrecht, Rechtspersonenrecht | Plaats een reactie

Inlognaam en wachtwoord zijn onveilig | cybersecurity

Geplaatst op 15 februari 2024 door Ellen Timmer

De Nederlandse overheid is een campagne gestart waarin wordt uitgelegd dat inloggen met inlognaam en wachtwoord onveilig is (de overheid is daar zelf nog maar net mee gestopt): Start campagne ‘Dubbel beveiligd is dubbel zo veilig’ moet Nederlanders stimuleren om tweestapsverificatie in te stellen voor e-mail en andere accounts.

Naar aanleiding van de aankondiging op security.nl schrijft een van de lezers (06-02-2024, 11:52 uur, markering door mij):

De term ‘dubbel zo veilig’ echter is echter wel wat misleidend in deze campagne. MFA is dubbel (2x) zo veilig als wachtwoorden. MFA is een fundamenteel onderdeel van digitale beveiliging. Als je geen MFA gebruikt, dan ben je niet ‘minder veilig’,  je bent dan gewoon onveilig.

Overigens zijn er vele accounts waar geen meerfactorauthenticatie wordt geboden. Het zou wettelijk verplicht moeten worden.

Geplaatst in ICT, privacy, e-commerce | Tags: , | Plaats een reactie

“de cybercriminele kracht van AI” | Cloudflare incident

Geplaatst op 14 februari 2024 door Ellen Timmer

De aanval op securitydienstverlener Cloudflare (lees over het incident security.nl, Cloudflare schrijft er hier over) ontlokt bij een van de lezers van security.nl een zwarte voorspelling:

Welke poorten van de hel zullen zich gaan openen,
als de volle cybercriminele kracht van AI zal worden ontketend
(ook door statelijke actoren van de unipolaire en multipolaire wereld)? (…)

We leven in zeer interessante maar soms ook zeer beangstigende en benauwende tijden.

(anonieme reactie 02-02-2024, 12:35 uur)

Dat beveiligingsbedrijven slachtoffer worden van aanvallen geeft te denken. Eerder schreef ik over het incident bij Okta. Als de securityspecialisten al niet veilig zijn, dan valt van gewone bedrijven en organisaties nog minder te verwachten.

Geplaatst in ICT, privacy, e-commerce | Tags: | Plaats een reactie