Datahandel in locatiegegevens besproken in de Tweede Kamer

Geplaatst op 30 januari 2024 door Ellen Timmer

Eerder deze maand werd door BNR dit bericht bekend gemaakt: Nederlandse telefoons online stiekem te volgen: ‘Extreem veiligheidsrisico’ (ook bij security.nl te vinden).

De affaire haalde de Tweede Kamer, lees het verslag van het vragenuur (16 januari) (ook hier):

Vragen van het lid Six Dijkstra aan de minister van Justitie en Veiligheid, bij afwezigheid van de minister voor Rechtsbescherming, over het bericht “Nederlandse telefoons online stiekem te volgen: ‘Extreem veiligheidsrisico'”.

De voorzitter:


Dan gaan we luisteren naar de heer Six Dijkstra van de fractie van Nieuw Sociaal Contract, met eveneens een vraag aan deze minister. Het woord is aan hem.

De heer Six Dijkstra (NSC):


Dank u wel, voorzitter. Online privacy is stuk, zo is opnieuw gebleken. Iedere handeling die je op het internet doet en elke app die je gebruikt, laten sporen achter. Hier wordt grof geld mee verdiend. Schimmige datahandelaars, die de persoonlijke gegevens van miljarden personen doorverkopen aan de hoogste bieder, hebben momenteel vrij spel. Ook afgelopen week bleek weer via berichtgeving van BNR dat grote datasets van locatiegegevens, verzameld door mobiele apps, door het platform datarade.ai worden verhandeld aan eenieder die bereid is om ervoor te betalen. Deze data blijken vrij gemakkelijk te relateren aan personen, waaronder veel Nederlanders. Ook de gegevens van hoge officiers van Defensie en mensen met een hoge vertrouwelijke functie in het veiligheidsdomein liggen op straat. Deze grove privacyschending heeft daarmee ook directe gevolgen voor de nationale veiligheid. Mijn vraag aan de minister is wat het kabinet wil gaan doen, op nationaal of internationaal niveau, om deze praktijken aan banden te leggen.

Minister Yeşilgöz-Zegerius:


Dank u wel, voorzitter. Deze vragen zijn eigenlijk gesteld aan mijn collega, de minister voor Rechtsbescherming. Hij is in het buitenland voor werk. Daarom sta ik hier. Ik zeg dat er even bij, omdat ik af en toe wellicht naar hem moet verwijzen of naar de collega-staatssecretaris van Binnenlandse Zaken. Ik weet dat daar ook al vragen bij zijn ingediend, omdat zij daar primair over gaan.

Ik heb het bericht ook gelezen. Ik vind het ook absoluut zorgwekkend als op deze manier met persoonsgegevens wordt omgegaan. Dank dus voor het agenderen van deze vragen. Bescherming van persoonsgegevens, waaronder de locatiegegevens waarover het hier specifiek ging, is namelijk niet voor niets een fundamenteel grondrecht in onze democratische rechtsstaat. De Algemene verordening persoonsgegevens is er onder meer om te waarborgen dat mensen controle hebben over hun eigen persoonsgegevens. Ook al denk je dat je dat helemaal hebt: als op deze manier blijkt dat je net iets had gemist, dat je het net niet goed hebt gezien of dat het al verwerkt is, schendt dat je gevoel van privacy zeer. Met gegevens mag dus niet zomaar aan de haal worden gegaan. Daar gelden regels voor. Op die regels moet ook goed toezicht worden gehouden.

De vraag was wat er nou concreet gebeurt. Wellicht is het goed als ik daar een paar zinnen over zeg, waarbij ik het beknopt houd. Juist met het oog op het toezicht houden heeft het nu demissionaire kabinet, toen het begon, ervoor gekozen en besloten om de Autoriteit Persoonsgegevens de komende jaren 0,5 miljoen euro extra budget toe te kennen, dat specifiek zal worden gebruikt en nu wordt gebruikt om toezicht te houden op zogenaamde cookies en online tracking. Namens de minister voor Rechtsbescherming zeg ik graag toe dat hij in een brief ingaat op hoe dat geld is ingevuld en wat ermee wordt gedaan. Dat zal hij natuurlijk bij de Autoriteit Persoonsgegevens moeten ophalen, maar ook vanuit zijn eigen handelen. Uiteindelijk is de belangrijkste grondslag in dit geval dat jij toestemming hebt gegeven. Je hebt bewust moeten kunnen zien dat men met jouw gegevens zou gaan handelen, waarna jij zegt: nou, dat vind ik prima. Daar gaat het om: dat mensen vooraf en expliciet toestemming hebben gegeven om hun persoonsgegevens te verwerken voor specifieke doeleinden. Iemand moet er dus duidelijk mee akkoord zijn gegaan dat het kan worden doorverkocht aan derden. Daarbij geldt als voorwaarde — die ik zelf heel belangrijk vind als iemand die ook dingen downloadt, zoals wij allemaal — dat iemand goed moet zijn geïnformeerd over het verstrekken van die gegevens, zodat je ook echt weet waar je eventueel mee instemt. Ik denk dat dit elementen zijn waarop we strak toezicht nodig hebben.

Daarnaast is het natuurlijk belangrijk dat we in Europees verband met elkaar optrekken. Ik zal zorgen dat er ook wordt ingegaan op de laatste stand van zaken daar, dus van het algemene onderwerp tracking en cookies.

De heer Six Dijkstra (NSC):


Dank aan de minister. Ik heb daarbij wel de volgende vraag. In deze casus gaat het echt om bulkdatasets van locatiegegevens van heel veel mensen. Het zijn ook zaken waarvan ik mij afvraag of ze überhaupt conform de wet zijn verzameld en doorgestuurd. In dit geval gaat het om een Duits bedrijf, Datarade. Ik ben benieuwd of deze minister of de minister voor Rechtsbescherming contact heeft gehad met Duitse collega’s, om bij hen te rade te gaan over wat hier speelt.

Minister Yeşilgöz-Zegerius:


Ik zit even te kijken, maar ik zie dat niemand appt. Ik krijg daar nu dus geen antwoord op. Ik weet niet of minister Weerwind dat heeft gedaan, maar ik zal zorgen dat dat terugkomt in zijn brief, en ook de uitkomst van dat contact als dat er is geweest. Uiteindelijk denk ik dat de heer Six hier een heel belangrijk punt aanstipt: of je nou toestemming geeft of niet, je moet ook weten dat het gaat over zogenaamde adressenhandel, wat daar nog meer achter zit en wat voor consequenties dit voor jou kan hebben. Beide zaken neem ik dus sowieso mee, zeg ik even. Ik zie nu dat er nog geen is contact geweest, maar er wordt wel op ingegaan in de brief.

De heer Six Dijkstra (NSC):


Dank u wel. Dan ben ik ook benieuwd naar het volgende. Als het blijkbaar binnen de wettelijke grondslag toegestaan is dat grote datasets verhandeld worden die direct te relateren zijn aan natuurlijke personen — dat was hierbij namelijk het geval — volstaat de wettelijke grondslag dan nog wel, zelfs als je toestemming geeft? Ik kan me namelijk voorstellen dat niet iedereen die cookies accepteert, daadwerkelijk doorheeft waar die ja tegen zegt.

Minister Yeşilgöz-Zegerius:


Het is in de kern en per casus aan de autoriteit om dat te beoordelen, maar je hebt dus een paar fases die daaraan voorafgaan. Je moet daar expliciet toestemming voor hebben gegeven, dus het moet expliciet onder jouw aandacht zijn gebracht. Het moet dus niet alleen maar een “oké” zijn; het moet er duidelijk hebben gestaan. Op het moment je dat niet expliciet hebt gedaan, kan verstrekking van gegevens aan de derde partij soms toch rechtmatig zijn, maar dan moet er echt sprake zijn van gerechtvaardigd belang. Dat is conform artikel 6 van de AVG. Bij dit soort bulkdata en adressenhandel is het moeilijk voor te stellen dat er ook nog eens een gerechtvaardigd belang is, maar het gaat over die lagen. Het is uiteindelijk aan de autoriteit om dat te beoordelen. Dan komen we een beetje bij het gesprek dat we net hadden: die autoriteit is onafhankelijk, dus we kunnen niet per casus aan haar vragen wat er is gebeurd. Maar we kunnen natuurlijk wel het gesprek aangaan en vragen: heb jij genoeg tools in handen en zitten hier lessen in die je in algemenere zin bij ons op tafel kunt leggen, zodat wij als kabinet en Kamer weten of er meer voor nodig is?

De heer Six Dijkstra (NSC):


Dan mijn volgende vraag. Ik snap dat de Autoriteit Persoonsgegevens nog enige tijd nodig heeft om het allemaal in kaart te brengen. Zou u alvast kunnen schetsen welke rechten mensen van wie deze rechten geschonden zijn — ik verwacht dat dat het geval zal zijn in deze casus — dan vervolgens hebben?

Minister Yeşilgöz-Zegerius:


Misschien kunnen we ‘m zo uitzetten in die brief, waarvan ik zal aangeven dat het fijn zou zijn als die snel komt. Dit zijn namelijk zaken die het team van minister Weerwind paraat heeft, denk ik. We kunnen dan niet specifiek ingaan op de casus, maar wel op wat je kan doen als je rechten geschonden zijn. Daarbij zal er natuurlijk recht zijn op verwijdering en inzage, maar waarschijnlijk zoekt meneer Six naar: wat zijn nou al die rechten en wat zijn alle stappen die een individu kan zetten? Ik zorg ervoor dat dat terugkomt in een stappenplan in die brief.

De heer Six Dijkstra (NSC):


Dank u wel. Dat wordt gewaardeerd. Dan trek ik het wat breder. Er zijn ook een aantal in Nederland gevestigde bedrijven, althans bedrijven met filialen in Nederland, die echt het opstellen van heel gedetailleerde profielen van personen als verdienmodel hebben, voor commerciële winst dan wel voor surveillancedoeleinden, om door te verkopen aan legitieme dan wel niet-legitieme organisaties. In een eerder artikel van Follow the Money werden er ook een aantal genoemd. Dat waren LiveRamp, Comscore en Whooz. Welke mogelijkheden ziet de minister om dit soort praktijken in Nederland concreet aan banden te leggen?

Minister Yeşilgöz-Zegerius:


Dit is al met al een interessante sessie, maar nu vind ik dat meneer Six ook voor mij persoonlijk interessante vragen over mijn portefeuille opwerpt. Aan de ene kant is het prima als het allemaal valt binnen de kaders en je toestemming geeft. Als je de gevolgen daarvan niet kunt overzien … Ik heb te maken met een helaas groeiende lijst van mensen die bewaakt en beveiligd moeten worden en die potentieel gevaar lopen. Ik wil eigenlijk dat we hen veel beter kunnen beschermen. Dat is de balans waarnaar we zoeken. Ik zal zorgen dat ik hierbij stilsta bij een volgende update van bewaken en beveiligen, waarbij we dat hele stelsel herzien. Is dat wenselijk vanuit dit idee? Zo ja, hoe richt je dat dan in? We hebben bijvoorbeeld afspraken kunnen maken met de Kamer van Koophandel, maar dat is een heel ander instituut dan waarop de vragen van de heer Six betrekking hebben. Ik ga dus zelf in op de vraag wat de veranderende tijd van ons vraagt om proactief te handelen op dit soort mechanismen.

De heer Six Dijkstra (NSC):


Dank u wel. Dat wordt gewaardeerd. Ik wil ook vragen aan de minister om te kijken of ze daarin mee kan nemen wat de rol en de verantwoordelijkheid zijn van de grote internationals, zoals Oracle, die ook via zogeheten “real-time bidding” gegevensprofielen van mensen opstellen, en of zij daarin mee kan nemen wat daar op nationaal dan wel internationaal of Europees niveau aan gedaan kan worden qua wetgeving dan wel handhaving.

Minister Yeşilgöz-Zegerius:


Ik denk dat we samen zo een hele uitgebreide brief namens mijn collega’s hebben geschreven, maar dat is ook goed. Daarvoor moeten Binnenlandse Zaken en BZK ook aanhaken, denk ik. Ik zorg ervoor dat we dat erbij betrekken. Dat zal waarschijnlijk een brief zijn van collega Weerwind met BZK en wellicht EZK, maar daar nemen we deze ook in mee.

(…)

Mevrouw Mutluer (GroenLinks-PvdA):


Als ik had geweten dat mijn collega zo veel vragen zou stellen, dan had ik mijn vraag eerder gesteld, namelijk bij de voorgaande indiener van de vragen. Even concreet, want ik vind dat wij niet lichtzinnig hoeven om te gaan en mogen omgaan met het gegeven dat deze gegevens worden verhandeld door, in mijn beleving, criminelen; zo mag ik ze wel samenvatten. Ik snap dat de minister zegt: ik ga het een en ander bespreken met onze AP en ga na wat ze met de extra middelen die zij hebben gekregen, met dit gegeven gaan doen. Ik wil concreet aan de minister vragen wanneer deze gegevens van de markt af worden gehaald en wanneer onze AP in staat is om deze datahandel daadwerkelijk de nek om te draaien. Hoelang gaat het duren?

Minister Yeşilgöz-Zegerius:


Maar het is niet strafbaar. Daarom trok ik het uit elkaar richting de heer Six. Als jij expliciet en vooraf toestemming geeft, dan mag dat gewoon. Het is dus geen strafbaar feit. Waar de AP toezicht op moet houden, is of er inderdaad expliciet en vooraf toestemming wordt gevraagd aan de betrokkene en of de betrokkene daar kennis van heeft kunnen nemen. Men moet erop toezien dat dat goed gebeurt. Op het moment dat dat gebeurt, dan mag het. In die stappen moet het. Dat half miljoen is natuurlijk wel vrijgegeven om juist dat toezicht te kunnen houden. Ik zal zeker aan minister Weerwind vragen of hij nader kan ingaan op hoe de AP dat inricht en dat doet. De AP is daar natuurlijk volledig onafhankelijk in. Daar kunnen wij dus nooit op sturen, maar dat was volgens mij ook niet de vraag. Het is wel een knip. Het ene is toegestaan, is geen strafbaar feit; het mag gewoon. Het wordt problematisch als je het niet volgens de regels hebt gedaan. Daar hebben we een toezichthouder op.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | 1 reactie

Met computers maak je je fouten sneller

Geplaatst op 29 januari 2024 door Ellen Timmer

Gezien op de scheurkalender vorig jaar, een tip voor alle tech-gelovigen:

Lees over Osborne op wikipedia.

 

NB De scheurkalender vertelde niet wanneer en waar Osborne dit gezegd heeft.

Geplaatst in ICT, privacy, e-commerce | Tags: , | Plaats een reactie

Belgische privacyautoriteit maakt korte metten met ‘gerechtvaardigd belang’ verhaal van datahandelaar

Geplaatst op 28 januari 2024 door Ellen Timmer

De Belgische Gegevensbeschermingsautoriteit (GBA) heeft de Belgische datahandelaar Black Tiger Belgium (voorheen Bisnode Belgium) op basis van de AVG aangepakt.

Lees daarover het persbericht waarin wordt gezegd dat een sanctie wordt opgelegd, onder meer vanwege oneerlijke verwerking van persoonsgegevens zonder de betrokkenen daarover proactief, individueel en op transparante wijze te informeren. De datahandelaar beriep zich op ‘gerechtvaardigd belang’ in de AVG, volgens de GBA ten onrechte:

Om geldig te zijn in de zin van de AVG moet het gerechtvaardigd belang echter aan bepaalde voorwaarden voldoen.  
De Geschillenkamer van de GBA is evenwel van mening dat niet aan deze vereisten is voldaan.
Zij herinnert er onder andere aan dat een belang niet gerechtvaardigd kan zijn als het in strijd is met geldende wetgeving. De wet verbiedt bijvoorbeeld de herverspreiding van gegevens van de Kruispuntbank van Ondernemingen voor direct-marketingdoeleinden.

Zij wijst tevens op het feit dat het bedrijf persoonsgegevens op onrechtstreekse wijze verzamelt en op grote schaal verwerkt, gedurende een lange periode (de gegevens worden 15 jaar bewaard), zonder dat de betrokkenen individueel op een duidelijke en proactieve manier worden geïnformeerd over de uitgevoerde verwerkingen. Deze verwerkingen kunnen nochtans een aanzienlijke impact op hen hebben. Een van de klagers verklaarde bijvoorbeeld dat hij door een van de klanten van Black Tiger Belgium werd geprofileerd op basis van door het bedrijf verstrekte gegevens. Volgens de GBA heeft Black Tiger Belgium onvoldoende rekening gehouden met dit soort risico’s bij het afwegen van zijn gerechtvaardigd belang tegen dat van de betrokkenen. Bovendien kan het belang van Black Tiger Belgium niet prevaleren boven dat van de betrokkenen vanaf het moment dat zij, bij gebrek aan informatie over de uitgevoerde verwerkingen, niet in staat zijn om passende controle over hun persoonsgegevens uit te oefenen.

De GBA is van mening dat het bewaren van gegevens gedurende 15 jaar niet gerechtvaardigd is, in het bijzonder in de context van het leveren van “Data Quality”-diensten, die alleen vereisen dat de meest actuele gegevens bewaard worden.

Hielke Hijmans, voorzitter van de Geschillenkamer: “Transparantie is de hoeksteen waarop de AVG is gebaseerd. Omdat iemand op de hoogte is van het feit dat zijn gegevens worden verwerkt, kan hij de rechten uitoefenen die hem door de AVG worden toegekend, zoals bijvoorbeeld het recht om bezwaar te maken tegen een verwerking. Voor een data broker is het van essentieel belang om aan deze verplichting te voldoen, wat Black Tiger Belgium niet heeft gedaan.”

Daarnaast stelde de GBA vast dat Black Tiger Belgium geen volledig antwoord had gegeven op de verzoeken tot inzage van de klagers. Zij wees er in haar beslissing ook op dat er informatie ontbreekt in het register van de verwerkingsactiviteiten van het bedrijf.

 

De complete uitspraak is hier (pdf) te vinden.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

HvJ: een parlementaire enquêtecommissie moet in principe de AVG naleven

Geplaatst op 27 januari 2024 door Ellen Timmer

Het Europese Hof heeft in een Oostenrijkse zaak beslist (persbericht) dat een parlementaire enquêtecommissie in principe de AVG moet naleven.

Een door een parlementaire enquêtecommissie gehoorde getuige maakte er bezwaar tegen dat zijn volledige naam openbaar werd gemaakt door middel van het verslag van de commissie. Dat bezwaar was terecht, zo oordeelde het Hof, al zijn er uitzonderingen mogelijk. In de samenvatting staat:

De verplichtingen en rechten die voortvloeien uit de AVG kunnen echter worden beperkt op grond van de nationale veiligheid, maar daar zijn wetgevende maatregelen voor vereist. Uit het dossier blijkt echter niet dat de enquêtecommissie in kwestie het voor de bescherming van de nationale veiligheid noodzakelijk achtte om de naam van de getuige te vermelden en ook niet dat dit was gebaseerd op een wetgevende maatregel. De Oostenrijkse hoogste bestuursrechter moet nagaan of dit klopt.

De uitspraak is via deze pagina te vinden.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Benauwde ‘poortwachters’ willen o zo graag samenwerken | KPMG rapport “Krachten gebundeld. Naar een effectievere en efficiëntere invulling van de poortwachtersrol in Nederland” | Wwft, witwasbestrijding

Geplaatst op 26 januari 2024 door Ellen Timmer

In opdracht van FATF (een G7 organisatie) en Europa wordt criminaliteitsbestrijding (‘witwasbestrijding’) uitbesteed aan private ondernemingen die daar niet geschikt voor zijn (althans niet in de vorm waarin het nu verplicht is gesteld). Kennelijk gebeurt dat omdat het de overheid niet lukt, ondanks de geweldige informatiepositie waarin die overheid verkeert.

Roep om ‘samenwerking’
Die private ondernemingen roepen vervolgens dat zij het individueel niet kunnen en dat ze graag willen ‘samenwerken’, oftewel dat ze samen overheidje willen gaan spelen. Dat fenomeen is al langer zichtbaar. Er is niemand die op het idee komt om eens tegen FATF en Europa te zeggen dat het concept achter de privatisering van deze overheidstaken niet klopt.

Nieuwste politieke offensief
Recent is er een nieuw samenwerkingsoffensief gestart, zo las ik op linkedin en in een bericht van VNO-NCW (enige kritiek op het witwasbestrijdingsconcept is bij deze club niet te bespeuren).

Van dat offensief maakt een rapport uit dat het grote accountantskantoor KPMG heeft geproduceerd onder de naam “Krachten gebundeld. Naar een effectievere en efficiëntere invulling van de poortwachtersrol in Nederland” (pdf). Het offensief wordt aangekondigd door onder meer de brancheorganisaties van de notarissen, de trustkantoren, de verzekeraars en de makelaars. Branchemedia besteden er aandacht aan, zoals het tijdschrift van verzekeringstussenpersonen

Het is een vreemd document omdat er van uit wordt gegaan dat alle Wwft-plichtigen hetzelfde zijn en hetzelfde kunnen, terwijl het in werkelijkheid om zeer verschillende ondernemingen gaat, met verschillende kennisniveaus, vaardigheden en informatieposities. De voorstellen passen in het witwasbestrijdingsconcept zoals door FATF en Europa wordt gepromoot en gaan volledig voorbij aan de belangen van burgers en midden- en kleinbedrijf (het grootbedrijf zorgt goed voor zichzelf, die heeft geen hulp nodig). Die burgers en midden- en kleinbedrijf worden steeds vaker geconfronteerd met hoge kosten, amateurisme en onzorgvuldig optreden van Wwft-plichtigen en met discriminatie en uitsluiting.

Het kan en het moet volledig anders. Niet alleen moet het concept van uitbesteding aan private bedrijven op de schop.

Het is hoog tijd dat burgerrechtenorganisaties aandacht aan dit onderwerp gaan besteden en gaan vragen om betere rechtsbescherming de klanten van de Wwft-plichtigen, bijvoorbeeld door het instellen van een onafhankelijke nationale ombudsman voor de financiële sector en de witwasbestrijding en een onafhankelijke laagdrempelige rechtsgang.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , | Plaats een reactie

Onvoldoende controle op opvragen bankgegevens door politie en andere opsporingsautoriteiten | Verwijzingsportaal Bankgegevens

Geplaatst op 25 januari 2024 door Ellen Timmer

Deze maand maakte de minister van Veiligheid bekend dat enige onderzoeken zijn gedaan naar het raadplegen van het Verwijzingsportaal Bankgegevens door politie en andere opsporingsinstanties, lees de brief van de minister en de bijgevoegde rapporten over de bevragingen door FIOD en politie. Verder er er een rapport over het beheer en wordt er cijfermateriaal inzake de jaren 2019, 2020, 2021 en 2022 verschaft.

Uit de rapporten blijkt dat er nog het nodige niet in orde is. In de samenvatting van het beheerrapport schrijven de rapporteurs onder meer (pagina 5):

1) Justid Opsporing maakt bij het beheer van het VB gebruik van diensten van drie IT-dienstverleners. Op dit moment is er te weinig zicht op de beheertaken die door de IT-dienstverleners worden uitgevoerd. Er ontbreken afspraken over de beveiligingsmaatregelen die door de IT-dienstverleners moeten worden getroffen en het toezicht op beveiligingsmaatregelen is niet ingericht.

2) De voorziening om verdachte gebeurtenissen te signaleren is nog niet af. De onderbouwing voor gemaakte keuzes ontbreekt, geplande activiteiten voor de verdere inrichting staan nog open en de toegezegde externe toetsing is niet uitgevoerd.

3) Justid Opsporing voert beperkt testen uit van de voorzieningen voor calamiteiten. De uitgevoerde testen geven geen garantie dat het VB na een calamiteit tijdig in de volle breedte beschikbaar is.

4) Het traject om aantoonbaar te voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) staat nog aan het begin. Het is onduidelijk wanneer Justid Opsporing de invoering van de BIO voor het VB volledig heeft afgerond.

Op security.nl verscheen een samenvatting van de bevindingen onder de titel Controles op gebruik van Verwijzingsportaal Bankgegevens niet uitgevoerd.

Het Verwijzingsportaal is een gevolg van Europese wetgeving op het gebied van de criminaliteitsbestrijding. Aan het onderwerp heb ik op dit blog diverse malen aandacht besteed. Bekijk de pagina bij DNB over het portaal. Op dit moment kunnen beperkte gegevens worden opgevraagd, de bedoeling is dat er in de toekomst transactiegegevens kunnen worden opgevraagd (blog).

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Handelsrecht, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Kritiek Privacy First op voorstel om CAK het recht te geven persoonsgegevens van Wmo- en Wlz-schuldenaren bij een schuld van meer dan 100 euro aan gemeenten te melden | financiële privacy

Geplaatst op 24 januari 2024 door Ellen Timmer

Onlangs sloot een internetconsultatie over een regeling op het gebied van schuldhulpverlening door gemeenten.

Een onderdeel van de consultatie was het voorstel om het CAK – het incassobureau van de overheid dat de incasso van de eigen bijdragen op grond van de Wet maatschappelijke ondersteuning 2015 (Wmo) en de Wet langdurige zorg (Wlz) verzorgt – het recht te geven om gemeenten te informeren over betalingsachterstanden van inwoners van meer dan 100 euro.

Privacy First heeft aan deze consultatie deelgenomen. De organisatie vindt het een ondoordacht voorstel dat niet in overeenstemming is met de financiële privacyrechten van gebruikers van Wmo- en Wlz-voorzieningen. De tekst van de consultatiereactie volgt ook hierna.

 

Aan: Ministerie van Sociale Zaken en Werkgelegenheid
Via: internetconsultatie
Ons kenmerk: SPF20240119
Datum: 19 januari 2024
Onderwerp: Commentaar Privacy First bij Wijziging van de Tijdelijke regeling signaal betalingsachterstanden

Geachte heer/mevrouw,

Stichting Privacy First maakt hierbij graag gebruik van de mogelijkheid om haar visie te geven op het consultatievoorstel Wijziging van de Tijdelijke regeling signaal betalingsachterstanden, bekendgemaakt via https://www.internetconsultatie.nl/wijzigingvandetijdelijkeregelingsignaalbetalingsachterstanden/b1.

Kredietinformatie en betalingsachterstanden hebben onze interesse omdat het betrekking heeft op financiële privacy, oftewel financiële grondrechten, wat één van de speerpunten van Privacy First is. De vertrouwelijkheid van financiële gegevens wordt steeds meer bedreigd en het is één van de weinige terreinen waarop grote Amerikaanse techbedrijven nog niet oppermachtig zijn.

Gemeenten en BKR
Eerder nam Privacy First deel aan de internetconsultatie over de toekomst van de kredietregistratie. [1] Daarin maakten wij al opmerkingen over de ongewenste vermenging van gemeentelijke schuldhulpverlening met commerciële kredietregistratie.
Graag verzoeken wij u die consultatiereactie te betrekken in uw beoordeling.

Deze consultatie: eigen bijdrage Wmo en Wlz
Privacy First heeft kennisgenomen van het consultatievoorstel waarin het CAK [2], het incassobureau van de overheid dat de incasso van de eigen bijdragen op grond van de Wet maatschappelijke ondersteuning 2015 (Wmo) en de Wet langdurige zorg (Wlz) verzorgt, het recht krijgt om gemeenten te informeren over betalingsachterstanden van inwoners van meer dan 100 euro.

Privacy First is verrast door de voorgestelde regeling en de concepttoelichting, waarin wordt beweerd dat achterstanden bij betaling van de eigen bijdragen Wmo en Wlz onbekend zouden zijn bij de gemeenten.

Daar komt nog bij dat in de consultatietoelichting niet wordt ingegaan op de doelgroep, de mensen die een eigen bijdragen Wmo en Wlz moeten betalen. Privacy First beschikt niet over cijfers, maar vermoedt dat het hier voornamelijk gaat om hulpbehoevende bejaarden. Immers, alleen mensen met een speciale indicatie (CIZ-indicatie) komen in aanmerking voor verpleeghuiszorg op grond van de Wlz en van de Wmo-voorzieningen wordt gebruik gemaakt door zowel mensen die verpleeghuiszorg krijgen als zelfstandig wonende hulpbehoevende inwoners.

De Wmo wordt uitgevoerd door de gemeenten, die uit dien hoofde op de hoogte zijn van de persoonsgegevens van de gebruikers van de Wmo-voorzieningen. Nu het CAK de eigen bijdrage Wmo in opdracht van de gemeenten incasseert, zijn die gemeenten uit dien hoofde al op de hoogte van betalingsachterstanden.

De toelichting op het consultatievoorstel geeft er geen informatie over, maar Privacy First vermoedt dat de persoonsgegevens van Wlz-gebruikers eveneens bij de gemeenten bekend zijn, omdat die Wlz-gebruikers ook recht hebben op bepaalde Wmo-voorzieningen, zoals rolstoeltaxi’s.

Dat de gemeenten volledig op de hoogte worden gehouden door het CAK blijkt ook uit het jaarverslag dat het CAK over het jaar 2022 heeft uitgebracht. [3] Zo schrijft het CAK op pagina 18, paragraaf 2.3: “Wij delen gegevens van de regeling wanbetalers met gemeenten”. Op pagina 19 wordt beschreven dat het CAK een uitstekende informatiepositie heeft.

Privacy First vraagt zich af waarom het nodig is dat betalingsachterstanden van Wmo- en Wlz-gebruikers (hoofdzakelijk bejaarden en verpleeghuisbewoners) “een betere indicatie” zouden vormen voor meer schulden, zoals in artikel 10 van de Wet gemeentelijke schuldhulpverlening [4] vereist.

Nu de gemeenten al op de hoogte zijn, zal de enige reden voor het opnemen van deze betalingsachterstanden als ‘signaal’ zijn dat deze persoonsgegevens via het systeem van BKR kunnen worden gedeeld met andere schuldeisers.

Als dat de eigenlijke bedoeling is van de voorgestelde wijziging, dient uw ministerie daar transparant over te zijn in de toelichting op het voorstel en dient ook te worden onderbouwd waarom gegevens van deze kwetsbare groep, die al bekend is bij gemeenten, met andere schuldeisers moeten worden gedeeld.

Voorts tekenen wij aan dat een betalingsachterstand van tenminste € 100 een laag bedrag is en het essentieel is dat het CAK en de gemeenten een dergelijke vordering op correcte manier hebben vastgesteld. In het eerder genoemde jaarverslag 2022 is terug te vinden dat er de nodige fouten worden gemaakt rondom de incasso van de Wmo- en Wlz-vorderingen. Zo roepen de facturen van het CAK veel vragen op, die aanleiding waren voor verbeteringen [5], was het CAK onvoldoende bereikbaar voor vragen en moest dat verbeterd worden [6], tobben de gemeenten met de communicatie met het CAK [7] en kreeg het CAK veel klachten over aanmaningen terwijl al was betaald. [8]

Tot slot
Privacy First adviseert uw ministerie af te zien van het invoeren van het voorgestelde artikel 2.4 Tijdelijke regeling signaal betalingsachterstanden.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: info@privacyfirst.nl.

Hoogachtend,
namens Stichting Privacy First,
Vincent Böhre
interim-directeur

 

[1] Consultatie Wet stelsel kredietregistratie: https://www.internetconsultatie.nl/kredietregistratie/reactie/b34311f1f92d-4367-8110-3f69b33a5e9a

[2] https://www.hetcak.nl/

[3] https://www.hetcak.nl/publish/library/32/cak_jaarverslag_2022_2.pdf

[4] Complete tekst:
Artikel 10. Tijdelijke regeling
1. In afwijking van artikel 3, eerste lid, onderdeel b, kan bij ministeriële regeling voor de duur van maximaal vijf jaren een signaal van een schuldeiser over betalingsachterstanden, die een betere indicatie vormen voor meer schulden, worden aangewezen, waarna bij ontvangst daarvan door bij die regeling aangewezen gemeenten, het college uit eigen beweging een eerste gesprek aanbiedt als bedoeld in artikel 4, eerste lid.
2. Als toepassing is gegeven aan het eerste lid kunnen in afwijking van artikel 8, eerste lid, bij ministeriële regeling personen en instanties worden aangewezen die een signaal over betalingsachterstanden aan het college verstrekken en zijn artikel 8, tweede tot en met vierde lid van overeenkomstige toepassing met dien verstande dat waar « bij algemene maatregel van bestuur» staat gelezen wordt «bij ministeriële regeling».

[5] Zie pagina 17: “We hebben een verbetercyclus ingericht waarin alle signalen vanuit de burger of via de medewerker bij elkaar worden gebracht en geanalyseerd op verbeterpotentieel. Dit vormt de basis voor aanpassingen in klantcommunicatie (in onze uitingen en op de website), in de processen voor de uitvoering van de regelingen of in het beleid van de regelingen.
Een voorbeeld hiervan zijn verbeterde facturen naar aanleiding van signalen dat het niet duidelijk was waarom iemand de factuur ontving. En we hebben, mede naar aanleiding van klachten het woord ‘wanbetaler’ (wat refereert aan de naam van de regeling) volledig uit onze brieven verwijderd. Ook gebruiken we klantfeedback bij de invulling van onze verdere digitalisering. Zo zijn onder andere de teksten en de indeling van onze website begrijpelijker en eenvoudiger gemaakt.”

[6] Zie pagina 19.

[7] Zie pagina 25 onder het kopje “Datakwaliteit verhogen en ketenplan”:
“Sommige gemeenten hebben problemen met de systematiek van start- en stopberichten. 4 Dit leidt tot onnodige en foutieve berichten, wat (onnodige) extra beschikkingen en (stapel)facturen betekent voor burgers. En dat leidt weer tot een toename van contacten en bezwaren van burgers. Om dit aan te pakken is – op basis van ons Ketenplan en in overleg met het Ketenbureau, het ministerie van VWS en de VNG begin januari een projectteam samengesteld. 4 Gemeenten sturen een startbericht bij de aanvang van de hulp en/of ondersteuning. En een stopbericht als de hulp en/of ondersteuning stopt.”

[8] Zie pagina 28: “In heel 2022 is te zien dat de meeste klachten gaan over het onderwerp ‘controle al betaald’. Het gaat hierbij om klachten over facturen die volgens een klant al zijn betaald, maar waarvoor toch een betaalherinnering en/of aanmaning is gestuurd. We onderzoeken hoe we dit type klachten structureel kunnen voorkomen.”

 

 

Aanvulling 16 juli 2024
Op 15 juli maakte de rijksoverheid bekend: Gemeenten van start met actieplan toegankelijkere schuldhulp. Hoe zich dit verhoudt tot de activiteiten van het BKR en bovenstaande consultatie, wordt uit de aankondiging niet duidelijk. Het zal in ieder geval verband houden met de Wet gemeentelijke schuldhulpverlening.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Marc Chavannes kan niet meer tegenspreken

Geplaatst op 23 januari 2024 door Ellen Timmer

Onlangs werd bekend dat politiek commentator Marc Chavannes is overleden. Hij schreef verstandige artikelen over het Nederlandse staatsbestel en de de Nederlandse politiek.
Rob Wijnberg schreef 12 januari In memoriam: Marc Chavannes, de nestor die nooit uitgeleerd raakte, dat begint met:

Onze dierbare collega Marc Chavannes (1946-2024) was een journalistiek baken op de redactie en een politiek geweten voor Nederland. Toch was het altijd de vraag: wie kijkt er nu op naar wie? Onze nestor, ja, maar ook een man die precies stevig genoeg in z’n schoenen stond om er nooit naast te gaan lopen.

Op dit blog besteedde ik regelmatig aandacht aan Chavannes, onder meer in:

Geplaatst in Grondrechten | Tags: , , | Plaats een reactie

Rechterlijk oordeel over persoonsgegevens die geldtransactiekantoren aan een grootbank moeten verschaffen

Geplaatst op 22 januari 2024 door Ellen Timmer

In december deed de Amsterdamse rechtbank een interessante uitspraak in een geschil tussen ABN Amro en twee geldtransactiekantoren over persoonsgegevens die de bank van die geldtransactiekantoren wilde ontvangen.

Onderwerp van het geschil was dat ABN Amro bepaalde gegevens over betaler en ontvanger van de geldtransactiekantoren wilde ontvangen, volgens een werkwijze die veel kosten voor de geldtransactiekantoren zou opleveren. Deze verplichting was volgens ABN Amro gebaseerd op een Europese verordening, de ‘Wire Transfer Regulation 2‘, die als ‘Wtr2’ wordt aangeduid, maar stond al in de voorganger Wtr1 die in 2007 in werking was getreden. De verplichting was in 2022 door de bank ontdekt, zo blijkt uit de uitspraak.

De rechtbank overweegt over Wtr2:

4.1. Op 26 juni 2017 is de EU-Verordening (2015/847) betreffende bij geldovermaking te voegen informatie in werking getreden, die ook wel bekend staat als de Wire Transfer Regulation 2 (Wtr2). Dit is de opvolger van de Wtr1 uit 2006. De Wtr2 heeft als doel de traceerbaarheid van informatie bij geldovermakingen te verbeteren, ter ondersteuning van de voorkoming van, de opsporing van en het onderzoek naar witwassen van geld en terrorismefinanciering. De Wtr2 is van toepassing op ‘geldovermakingen’ verzonden of ontvangen door ‘betalingsdienstaanbieders’ of ‘intermediaire betalingsdienstaanbieders’ in de Europese Unie.

en bespreekt de in die verordening gehanteerde definities. Niet in geschil is dat zowel de geldtransactiekantoren als ABN Amro aan de verplichtingen van de Wtr2 moeten voldoen. De vraag is echter of de specifieke gang van zaken bij geldtransactiekantoren er toe leidt dat ABN Amro persoonsgegevens hoort te krijgen. Die specifieke route wordt in overweging 4.16 beschreven.

Oordeel
De rechter oordeelt onder meer (Nedsom c.s. zijn de geldtransactiekantoren), markering door mij:

4.18. Voorshands wordt geoordeeld dat de strikte uitleg die ABN AMRO aan de Wtr2 geeft niet zonder meer juist is. ‘Bij de geldovermaking’ zoals artikel 4 Wtr2 voorschrijft, hoeft niet te betekenen ‘in iedere betaalopdracht’, zoals ABN AMRO kennelijk meent. Een dergelijke strikte interpretatie strookt ook niet met andere bepalingen in de Wtr2. Artikel 11 lid 2 spreekt immers over de mogelijkheid van monitoring achteraf, en artikel 12 lid 1 (laatste zin) biedt de mogelijkheid voor de intermediaire betalingsdienstaanbieder (hier ABN AMRO) om na de doorzending van de geldovermaking de vereiste informatie op te vragen. Verder blijkt uit de considerans van de Wtr2 (overweging 6) dat het niet de bedoeling van de verordening is om onnodige lasten of kosten op te leggen aan betalingsdienstaanbieders of personen die gebruikmaken van hun diensten, en dat de preventieve aanpak gericht en proportioneel moet zijn. Het is aannemelijk dat de uitleg van ABN AMRO voor Nedsom c.s. exponentieel hogere kosten zou meebrengen.

4.19. Nu minst genomen onduidelijk is of ABN AMRO terecht van Nedsom c.s. eist dat zij de door haar gewenste informatie, op de door haar gewenste wijze op het door haar gewenste moment aanleveren, moet in ieder geval een belangenafweging ertoe leiden dat ABN AMRO de dienstverlening aan Nedsom c.s. op de gebruikelijke wijze moet voortzetten, totdat de toezichthouder (DNB) mogelijk in de vorm van een aanwijzing/’guidance’ nadere eisen stelt aan de informatievergaring door (intermediaire) betalingsdienstverleners of de bodemrechter heeft geoordeeld dat ABN AMRO haar eisen terecht stelt. Daarbij komt dat de Wtr2 de opvolger is van de Wtr, die in 2007 in werking is getreden. Ook in de eerdere verordening was reeds de verplichting opgenomen om informatie over in ieder geval de betaler te verstrekken (in de Wtr2 is de verplichting ook informatie te vertrekken over de begunstigde erbij gekomen). De verplichtingen die ABN AMRO nu aan Nedsom c.s. wil opleggen, zien (ook) op informatie over de betaler. ABN AMRO heeft niet eerder dan 2022 bezwaar gemaakt tegen de wijze van geld overmaken van Nedsom c.s. Naar eigen zeggen omdat eerst toen uit een interne audit kwam dat al jaren (sinds 2007?) niet aan de Wtr werd voldaan. Al die tijd heeft er echter geen haan naar gekraaid (in het bijzonder DNB niet). Dat maakt dat aan het belang van ABN AMRO om nu binnen enkele weken van Nedsom c.s. te verwachten dat zij voldoen aan de door ABN AMRO gestelde eisen minder waarde moet worden gehecht. Nedsom c.s. heeft anderzijds een groot belang bij voortzetting van de dienstverlening op de wijze zoals dat voorheen gebeurde. Als alle betalingen moeten worden gesplitst brengt dat een exponentiele groei van de kosten mee, en is de wijze van bedrijfsvoering van Nedsom c.s. niet meer rendabel en zullen zij hun onderneming moeten beëindigen. Dat lijkt niet in het belang van de klanten van Nedsom c.s. (en het maatschappelijk belang). Nedsom c.s. hebben laten zien dat ook de Minister van Financiën grote waarde hecht aan de dienstverlening die MSB’s als Nedsom c.s. bieden.2

KYCC
Ook interessant is de vraag of de bank onderzoek moet doen naar ‘de klant van de klant’ (dus naar de klanten van de geldtransactiekantoren, ‘know your customers customer‘, KYCC), zie overweging 4.20:

Nedsom c.s. leggen verantwoording af aan DNB en zijn op grond van de Wwft verplicht klantenonderzoek te doen. Op ABN AMRO rust die verplichting ook, maar die verplichting gaat in beginsel niet zover dat ABN AMRO onderzoek dient te doen naar de klanten van Nedsom c.s. of naar de ‘agents’ die in het land van ontvangst de gelden uitbetalen aan de uiteindelijke begunstigden. Deze vorm van controle (know your customers customer, KYCC) valt voorshands niet af te leiden uit de Wtr2.

KYCC is al eerder aan de orde geweest in de Nederlandse rechtspraak, onder meer in de uitspraak van Hof Amsterdam die ik in dit blog bespreek.

Uiteindelijk oordeelde de rechter dat de bank de relatie met de geldtransactiekantoren vooralsnog niet mocht beëindigen.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , , , , | Plaats een reactie

Datagraaiend Microsoft | “Beware of the new Outlook”

Geplaatst op 21 januari 2024 door Ellen Timmer

Niet alleen de klassieke advertentiebedrijven (Google, Facebook/Meta c.s.) oogsten alle persoonsgegevens en andere vertrouwelijke gegevens die ze maar te pakken kunnen krijgen en verkopen het aan jan en alleman.

Ook het bedrijf Microsoft, bekend van het besturingssysteem en het office pakket, gaat dezelfde kant op. Eerder schreef ik op dit blog al over de workplace surveillance producten die dit bedrijf verkoopt.
Recent was er veel aandacht voor de datagraaipraktijken van het bedrijf door middel van hun e-mail programma Outlook, lees bijvoorbeeld het Engelstalige artikel van Heise, Microsoft lays hands on login data: Beware of the new Outlook, ook in het Duits beschikbaar. De Zwitserse privacybewuste e-mail aanbieder Proton schreef Outlook is Microsoft’s new data collection service en legt in het artikel in detail uit wat er gebeurt.

Security.nl vatte het artikel van Proton samen in dit bericht.

Regulering datahandel nodig
Het bevestigt wederom dat de digitale verdienmodellen op diefstal zijn gebaseerd en dat het hoog tijd is dat datahandel wordt verboden, behoudens door gereguleerde partijen op wie streng toezicht wordt uitgeoefend.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , , , , | 1 reactie