De adviezen van het Meijers Committee

Geplaatst op 6 januari 2024 door Ellen Timmer

Binnenkort schrijf ik over het Rule of Law project van het Meijers Committee. Ook de andere adviezen van het comité, hier te vinden (in het Nederlands, Engels en Duits), zijn interessant.

De leden van het Meijers Committee worden op deze pagina voorgesteld, onder meer voormalig advocaat Rob van der Hoeven en ICT-hoogleraar Frederik Zuiderveen Borgesius maken er deel van uit.

De adviezen bestrijken deels terreinen waarin ik niet thuis ben, zoals asielrecht, migratierecht en strafrecht. Maar daar blijft het niet bij. Enige voorbeelden volgen hierna.

Adviezen inzake de Europese Unie zijn onder meer:

Adviezen over digitalisering en gegevensbescherming zijn onder andere:

Geplaatst in Europa, Grondrechten | Tags: , , , , , , , | Plaats een reactie

Handel in persoonsgegevens opnieuw toezichtprioriteit van de Autoriteit Persoonsgegevens

Geplaatst op 5 januari 2024 door Ellen Timmer

In 2018 meldde ik Handel in persoonsgegevens is toezichtprioriteit van de Autoriteit Persoonsgegevens (AP). In het jaarplan voor 2024 dat de AP in december 2023 heeft bekend gemaakt, komt datahandel ook weer voor.

De AP schrijft:

Datahandel
De steeds meer gedigitaliseerde (‘slimme’) producten en diensten die we gebruiken, creëren veel waardevolle data. Met als gevolg dat er ook steeds meer ongeoorloofde (door)verkoop plaatsvindt van persoonsgegevens. Niet alleen in Nederland, maar ook internationaal. Dat moeten we een halt toeroepen.

Wat doen we in ieder geval in 2024?
• We starten een meerjarenproject dat het ongeoorloofd online volgen van mensen, bijvoorbeeld met cookies, op verschillende fronten aanpakt.
• We geven prioriteit aan onderzoek naar klachten en datalekmeldingen die een duidelijke link hebben met datahandel.
• We zetten extra in op voorlichting en communicatie over naleving op het gebied van datahandel. Zo zorgen we ervoor dat bedrijven zich aan de wet houden en burgers geen schade oplopen.

Dat lijkt voornamelijk over de advertentiebedrijvenhandel te gaan, terwijl datahandel veel meer is.

Misschien dat de misstanden waarover RTL en Follow the Money (zie BB) schreven aanleiding voor de AP zijn om de overheid te adviseren nieuwe regelgeving tot stand te  brengen.

 

Aanvulling 14 april 2024
Het is jammer dat de AP het onderwerp datahandel nog steeds beperkt tot advertentiehandel (adtech), zie de voorpagina van hun site zoals ik vandaag zag:

 

Aanvulling 29 april 2024
Netzpolitik publiceerde een artikel over gestolen kopieën van paspoorten, European data broker:  Sensitive passport data of Germans published online. Vermoed wordt dat de persoonsgegevens van een goedkope vliegmaatschappij afkomstig zijn en dat er niet alleen gegevens over Duitsers zijn gestolen. De auteurs melden:

Even if the origin of the ID data remains unclear, one thing is certain: the data is apparently genuine. And it was openly offered for sale by a data broker in the EU – including a free sample available online. (…)
The incident is yet another example of the shady business of data traders. An opaque network of thousands of companies buys and sells personal data like normal goods. It is mainly used for advertising and consumer scoring, but secret services and criminals also make use of this data source. Where exactly people’s data ends up and what it is used for is not clear to anyone in this system, not even the retailers themselves.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Spectaculair nieuws over de malafide praktijken van datahandelaren | ‘Hoe datahandelaren adressen van jou én van bedreigde personen te koop aanbieden’

Geplaatst op 5 januari 2024 door Ellen Timmer

Het meest spectaculaire nieuws van de afgelopen tijd is toch wel het artikel van journalisten Ruben Koops, Koen de Regt en Koen Voskuil op de RTL site over de malafide praktijken van datahandelaren: Hoe datahandelaren adressen van jou én van bedreigde personen te koop aanbieden.

Stiekeme handel in informatie over kredietwaardigheid, criminaliteit en adverteermogelijkheden
In het artikel doen Koops, De Regt en Voskuil verslag van hun onderzoek naar praktijken van datahandelaren zoals Experian, waarmee door grote bedrijven zoals KPN wordt samengewerkt en die met informatie afkomstig van dergelijke grote bedrijven worden gevoed (lees mijn blog over KPN). Andere handelaren zijn DataChecker , EDR en Focum, die net als Experian handelen in kredietwaardigheidsinformatie. Verder zijn er nog vele datahandelen die zich bezighouden met criminaliteitsinformatie (World-Check, Relian) en uiteraard de advertentiehandel (Google, Facebook c.s.).

Deze bedrijven handelen in informatie over kredietwaardigheid, criminaliteit (‘witwasbestrijding’), zonder dat zij gereguleerd zijn en zonder toezicht. Mensen worden in de databanken van dit soort bedrijven opgenomen en worden niet op de hoogte gesteld. Noch door de grote bedrijven die zonder toestemming (of met een wurgbepaling in het algemene voorwaarden) persoonsgegevens aan die datahandelaren verschaffen, noch door de datahandelaren zelf, worden betrokkenen geïnformeerd.

Intro van het artikel:

Databedrijven handelen stilzwijgend in persoonsgegevens van miljoenen Nederlanders. Dat is volgens deskundigen in strijd met de wet en bovendien riskant. RTL Nieuws vond in de databases thuisadressen van bedreigde bewindslieden, journalisten en advocaten. “Mensen worden willens en wetens in gevaar gebracht.”

Uit het artikel blijkt dat de Consumentenbond zware kritiek heeft op de praktijken van de datahandelaren, die niet alleen schadelijk zijn voor bekende Nederlanders, maar ook voor gewone burgers.

Later publiceerde RTL: KPN laat doorverkoop adresgegevens van klanten stopzetten.

Maar dat is niet genoeg.

 

Maak een einde aan het Wilde Digitale Westen

Het is hoog tijd dat de digitale diefstalpraktijken van datahandelaren (ook van advertentiebedrijven als Google en Facebook) krachtig worden aangepakt. Misschien moet er in Nederland en de EU ook een datahandelarenregister komen, zoals dat in Californië bestaat. Mij lijkt dat een vergunningenplicht met integriteitstoetsing en streng toezicht, zoals dat ook geldt voor de financiële sector, aangewezen om aan dit soort praktijken een einde te maken.

 

Meer informatie:

Ik volg de ontwikkelingen rondom datahandel, lees onder meer:

 

Aanvulling 17:25 uur
Passage toegevoegd met artikel Binnenlands Bestuur, artikel Follow the Money en het ICCL rapport.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , , , , , | Plaats een reactie

Zorgen Privacy First over omgang met persoonsgegevens en financiële grondrechten van burgers in de financiële sector | consultatie DNB over nieuwe regels voor financiële instellingen

Geplaatst op 5 januari 2024 door Ellen Timmer

Privacy First maakt zich grote zorgen over de wijze waarop in de financiële sector wordt omgegaan met persoonsgegevens en met de financiële grondrechten van burgers. Dus nam de burgerrechtenorganisatie onlangs kritisch deel aan een door De Nederlandsche Bank (DNB) gehouden consultatie, lees hun artikel dat ik hieronder heb weergegeven.

 

Deelname Privacy First aan consultatie DNB

Financieel – 5 januari, 2024

De Nederlandsche Bank (DNB) hield onlangs een internetconsultatie over hun nieuwe aanpak van witwassen voor de financiële sector. Aangezien Privacy First zich zorgen maakt over de wijze waarop in de financiële sector wordt omgegaan met persoonsgegevens en met de financiële grondrechten van burgers, heeft zij aan deze consultatie deelgenomen.

In de consultatiebijdrage heeft Privacy First aandacht gevraagd voor de risico’s die voor burgers verbonden zijn aan de ongeremde verzameling van vertrouwelijke gegevens door financiële instellingen in het kader van witwasbestrijding. Op dit moment ontbreekt toezicht op de naleving van de AVG door financiële instellingen en hoeven die instellingen datalekken niet aan betrokken burgers te melden. Ook zijn grote risico’s verbonden aan het gebruik door financiële instellingen van datahandelaren, partijen die zelf niet onder integriteitstoezicht staan en die de AVG onvoldoende naleven.

Hierbij speelt een rol dat bij financiële instellingen onzekerheid bestaat over de omvang van hun gegevensverzamelingsverplichtingen, wat ertoe leidt dat zij uit angst voor boetes en strafvervolging maar zoveel mogelijk gegevens verzamelen. Gevolg is dat in strijd met de dataminimalisatieplicht van de AVG wordt gehandeld. Privacy First dringt er bij DNB op aan om meer duidelijkheid te creëren zodat financiële instellingen invulling kunnen geven aan hun plicht om niet onnodig veel persoonsgegevens te verwerken.

Kopietje paspoort
De wijze waarop financiële instellingen de identiteit van hun cliënten, vertegenwoordigers en uiteindelijk belanghebbenden verifiëren veroorzaakt veel problemen. Privacy First wijst er in de reactie op dat de wet niet verplicht tot het maken, opslaan en langdurig bewaren van kopieën van identiteitsbewijzen en adviseert DNB hier een verbeterde aanpak aan de financiële instellingen voor te stellen.

Veilige communicatie over KYC en meer
Andere onderwerpen uit de consultatiebijdrage van Privacy First betreffen onder meer:

  • naleving van de AVG-informatieverplichting door financiële instellingen;
  • veilige communicatie met cliënten over het Wwft-cliëntenonderzoek;
  • bad press monitoring;
  • nationaliteitsdiscriminatie;
  • hoog risico-situaties;
  • contant geld;
  • verwerking van persoonsgegevens van belanghebbenden beneden de Wwft-UBO-drempel;
  • subjectieve en objectieve ‘indicatoren’;
  • bewaartermijnen en terugkijkperiode.

De gehele consultatiebijdrage van Privacy First kunt u HIER lezen (pdf). Een reactie vanuit DNB verwachten wij begin 2024.

Geplaatst in Diversen | Tags: , , , , , , , , , , , , , , , , | Plaats een reactie

Moderne astrologie? De Belastingdienst en de “onderliggenderedeneerlijnen van de compliance map”

Geplaatst op 4 januari 2024 door Ellen Timmer

De overheid zorgt voor taalvernieuwing.

Zo stond in dit verslag van de commissie Financiën van de Tweede Kamer bij punt 37 de raadselachtige tekst “Aanvullend besluit Woo-verzoek over de onderliggenderedeneerlijnen van de compliance map Belastingdienst
”.

‘onderliggenderedeneerlijnen’
‘compliance map’

Redeneerlijnen ter onderbouwing van de kwalitatieve risicoscores
Er wordt verwezen naar een brief van de staatssecretaris, waarin over “onderliggende redeneerlijnen” wordt gesproken:

De redeneerlijnen zijn de onderbouwing van de kwalitatieve risicoscores in de compliance map. Ze zijn gebaseerd op expertkennis van deskundigen binnen de Belastingdienst op het gebied van specifieke belastingmiddelen of handhaving. Ze bestaan uit onderbouwingen op een veelheid van onderwerpen.

De redeneerlijnen zijn geen officiële standpunten van de Belastingdienst, maar ze worden gezien als de «ruwe grondstof» (één van de bouwblokken) van de compliance map.

Het blijken redeneerlijnen te zijn die tot ‘risicoscores’ leiden.

Compliance map
De ‘compliance map’ wordt in een andere brief uitgelegd, het lijkt meer een landkaart te zijn:

Wat is de compliance map?
Elk jaar haalt de Belastingdienst miljarden euro’s op aan belastingopbrengsten. Om meer inzicht te verwerven in de belastingopbrengsten is de compliance map ontwikkeld. De compliance map volgt de belastingopbrengsten van de totale populatie belastingplichtigen en geeft daarmee op concernniveau een overall inzicht in de samenhang tussen uitvoering, handhaving en wetgeving en de daarmee samenhangende risico’s voor de belastingopbrengsten. De compliance map kijkt altijd naar de belastingopbrengsten van het voorafgaande kalenderjaar (de gelden die daadwerkelijk de schatkist zijn binnengekomen).

Geen astrologie
Hoewel de terminologie astrologisch aandoet, lijkt het dat toch niet te zijn.

Geplaatst in Belastingrecht, Grondrechten | Tags: | Plaats een reactie

De cryptoconsultatie met één reactie en een verslag | Wtr3, gegevensbescherming

Geplaatst op 3 januari 2024 door Ellen Timmer

Vorig jaar is een wetgevingsconsultatie gericht op de cryptovaluta sector gehouden. Het betreft de verplichting van cryptovaluta bedrijven om persoonsgegevens bij cryptotransacties te voegen, gebaseerd op een Europese verordeningen, die ook wel als de ‘Travel Rule Regulation’ of ‘Wtr’ worden aangeduid en waarvan inmiddels de derde versie is vastgesteld. Het onderwerp wordt de aankondiging als volgt beschreven:

De consultatie geeft uitvoering aan de verordening betreffende bij geldovermakingen en overdrachten van bepaalde cryptoactiva te voegen informatie. Deze verordening wijzigt tevens de vierde anti-witwasrichtlijn. Het wetsvoorstel bevat hoofdzakelijk wijzigingen van de Wwft, als gevolg van de wijziging van de vierde anti-witwasrichtlijn. De belangrijkste wijziging van de Wwft ziet op de uitbreiding van de reikwijdte van de Wwft, die van toepassing wordt op aanbieders van cryptoactivadiensten die onder MiCA vallen. In het wetsvoorstel wordt de AFM aangewezen als Wwft-toezichthouder op aanbieders van cryptoactivadiensten. Het registratieregime in de Wwft zoals die nu geldt voor cryptopartijen, komt te vervallen.

Één reactie
Er is maar één reactie binnen gekomen, namelijk van Human Rights in Finance.EU, vertegenwoordigd door Simon Lelieveldt. De reactie is hier te vinden. Lelieveldt is als voormalig medewerker van DNB zeer deskundig op het gebied van het financiële recht. Hij heeft niet alleen kritiek voor zover het cryptovaluta betreft.
De hele verordening over het meesturen van persoonsgegevens bij financiële transacties gaat volgens hem veel te ver, hij schrijft onder andere:

Het moge duidelijk zijn dat de logica en proportionaliteit hier onder druk staat. Is het echt nodig om al die data van onschuldigen de wereld rond te slingeren? Iedere marktpartij kan ook zonder die distributie netjes zijn controles doen, de politie kan gegevens opvragen. Zo’n oude uit 2007 daterende massa-distributieverplichting is overbodig. De inbreuk op privacy van alle onschuldige mensen is niet gerechtvaardigd en allerlei uitspraken van het hof van Justitie wijzen ook in die richting.

Verslag
Op deze reactie is door het ministerie van Financiën gereageerd in het consultatieverslag, dat begin december is bekend gemaakt. Over de proportionaliteit van het internationaal verspreiden van persoonsgegevens bij financiële transactiegegevens, schrijft het ministerie dat het nu eenmaal moet op grond van de verordening:

De verschillende verwerkingen van persoonsgegevens op grond van het onderhavige wetsvoorstel volgen rechtstreeks uit de verordening, die directe werking heeft. Dit betekent dat er geen ruimte is voor nationale beleidskeuzes.

Daarna volgt dat iedereen die onder de Wtr valt zich aan de AVG moet houden. Toch jammer dat dit niet wordt gecontroleerd, want daar hebben de Europese privacytoezichthouders geen capaciteit voor. En wat er buiten de EU gebeurt is al helemaal een black box.

 

Aanvulling 16 januari 2024
Zie over crypto ook de publicaties van Human Rights in Finance, onder meer DNB negeert uitspraak rechter en breekt in op grondrechten onder toezicht staande bedrijven, dat begint met:

Op 8 november 2023 maakte de Nederlandse Vereniging voor Bitcoinbedrijven bekend dat één maand na de uitspraak van de Rechtbank Rotterdam door De Nederlandsche Bank nog steeds geen gehoor was gegeven aan de juridische consequentie van de vernietiging van de toezichtfacturen over 2021: terugbetalen van volledige in rekening gebrachte bedrag.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , , | 2 reacties

Ondermijning van de not-for-profit door middel van de Wet transparantie maatschappelijke organisaties

Geplaatst op 2 januari 2024 door Ellen Timmer

Uit de besluitenlijst [1] van de commissie Justitie en Veiligheid van de Tweede Kamer blijkt dat het voorstel voor de Wet transparantie maatschappelijke organisaties [2] zal worden geagendeerd voor behandeling.

Aan dit voorstel besteedde ik hier al eerder aandacht [3]. Het voorstel is in november 2020 ingediend. De laatste parlementaire activiteit dateert van mei 2023, toen werden onder meer het advies van de Afdeling advisering van de Raad van State, de nota naar aanleiding van het verslag en de nota van wijziging bekend gemaakt [4]. De in mei 2023 aangebrachte wijzigingen veranderen weinig aan het discutabele karakter van het wetsvoorstel.

Het is onbegrijpelijk dat de overheid meent dat alleen not-for-profit organisaties ondermijnend kunnen zijn. Het zou logisch zijn als het wetsvoorstel op alle soorten rechtspersonen betrekking zou hebben.

Ondermijning van de not-for-profit sector
Hoewel het kabinet er mee bekend is dat er veel not-for-profit organisaties zijn die maar met moeite het hoofd boven water houden, wordt er een kostbare administratieplicht aan alle organisaties opgelegd.
Die administratieplicht zal het geven van donaties aan de organisaties onaantrekkelijk maken, omdat een belangrijk deel van het geld aan bureaucratie moet worden besteed en omdat donateurs te veel persoonsgegevens aan de organisatie moeten verstrekken.
Verder leiden de regels rondom donaties in natura tot enorme problemen, zeker bij not-for-profit organisaties die te maken hebben met accountantscontrole.

Belangrijke elementen van het voorstel

Administratieplicht en donateurstransparantie
Voor alle not-for-profit organisaties (stichtingen, verenigingen en alles wat er op lijkt) gaat een nieuwe administratieplicht gelden, waarbij de te administreren persoonsgegevens niet in de wet staan, maar in een algemene maatregel van bestuur [5].

Publicatieplicht stichtingen
Al langer hangt de publicatieplicht van stichtingen in de lucht. Die plicht wordt in het voorstel geïntroduceerd. Een stichting die niet bij of krachtens de wet verplicht is een financiële verantwoording op te stellen die gelijk of gelijkwaardig is aan een jaarrekening als bedoeld in titel 9 en die openbaar wordt gemaakt, deponeert een balans en een staat van baten en lasten bij het handelsregister [6].

Tussenpersoon
De wet legt de verplichting aan een ‘tussenpersoon’ (niet gedefinieerd) op om de gegevens van de opdrachtgever (van wie de donatie afkomt) aan de not-for-profit organisatie te verschaffen [7].

Overheidsoptreden
De wet bevat bepalingen die het mogelijk maken dat overheidsinstanties optreden tegen een not-for-profit organisatie. Hier zullen een beperkt aantal organisaties mee te maken krijgen. Het betreft de volgende bevoegdheden:

# De burgemeester en diverse andere instanties kunnen gegevens over de donaties vragen [8] en kunnen de rechtbank verzoeken om een bestuursverbod [9].
# Het Openbaar Ministerie krijgt diverse bijzondere bevoegdheden [10], onder meer de bevoegdheid om de rechtbank te verzoeken om een bevel aan de organisatie op te leggen voor de duur van maximaal twee jaar tot het onthouden, staken en gestaakt houden van bepaalde activiteiten, alsmede onder meer het blokkeren van rekeningen, het verbieden van ontvangen van bepaalde donaties, het periodiek melden van ontvangen gelden.

Wat ik ‘diverse andere instanties’ heb genoemd omvat: de minister van Veiligheid, Openbaar Ministerie, politie, Bureau Bibob, belastingdienst, bijzondere opsporingsdiensten, AIVD en MIVD, DNB, AFM, BFT, FIU Nederland en kansspelautoriteit.
Daarbij valt op dat er een aantal Wwft-toezichthouders tussen zitten, die niet zelf met opsporing of vergelijkbare wettelijke taken bezig zijn DNB, AFM, BFT, kansspelautoriteit); ook het Bureau Bibob staat er bij, terwijl dit bureau evenmin een opsporingstaak heeft. Het is onbegrijpelijk dat zij bij alle not-for-profit organisaties donateursgegevens kunnen opvragen en alle bevoegdheden hebben die ook de burgemeester heeft. Hun eigen bevoegdheden op grond van de Wwft en de Bibob-regelgeving volstaan.

Tot slot

Reguliere not-for-profit organisaties (dat zijn de meesten) zullen flink last gaan krijgen van de nieuwe administratieplicht en de regels over donateurstransparantie. Het is twijfelachtig of dit proportioneel is.

Naar mijn mening moet dit wetsvoorstel worden ingetrokken en vervangen door een ander voorstel, gericht op alle rechtspersonen, waarin bevoegdheden zijn opgenomen waarmee gericht tegen ondermijnende organisaties kan worden opgetreden en waarin de grondrechten van burgers en organisaties worden gerespecteerd.

 

Noten:

[1] Vindplaats.
[2] Officieel: ‘Regels voor het inzichtelijk maken van buitenlandse donaties ontvangen door maatschappelijke organisaties en tot wijziging van het Burgerlijk Wetboek, de Handelsregisterwet 2007 en de Wet op de economische delicten in verband met het deponeren van de balans en de staat van baten en lasten door stichtingen (Wet transparantie maatschappelijke organisaties)‘, dossier 35646.
[3] Zie de berichten met de tags Wet transparantie maatschappelijke organisaties en donateurstransparantie.
[4] Het advies van de Afdeling advisering Raad van State en nader rapport, het advies Afdeling advisering Raad van State, de nota naar aanleiding van het verslag en de nota van wijziging zijn allen op 4 mei 2023 openbaar gemaakt, samen met een groot aantal andere documenten.
[5] Zie artikel 3 van het voorstel: “Maatschappelijke organisaties zijn, op de voorwaarden bij of krachtens deze wet, gehouden inzicht te verschaffen in herkomst, doel en omvang van een of meer donaties. Als waarde van een bijdrage in natura geldt het verschil tussen de gebruikelijke waarde van het geleverde in het economisch verkeer en de waarde van de tegenprestatie. Het bestuur van een maatschappelijke organisatie bewaart de donatiegegevens gedurende zeven boekjaren.“. In artikel 6 staat dat bij algemene maatregel van bestuur nadere regels kunnen worden gesteld over de aard en wijze van de te verstrekken informatie en over anonieme donaties.
[6] Zie artikel 7 dat een nieuw artikel 2:299b BW voorstelt.
[7] Artikel 5.
[8] De burgemeester mag op grond van artikel 4 vragen stellen over de donaties: “De burgemeester van de gemeente waar de maatschappelijke organisatie is gevestigd dan wel activiteiten uitoefent, is bevoegd om in het kader van de handhaving van de openbare orde, bedoeld in artikel 172 van de Gemeentewet, informatie te verzoeken bij de maatschappelijke organisatie over geografische herkomst, doel en omvang van een of meer donaties. Als hem blijkt van substantiële donaties, kan de burgemeester tevens persoonsgegevens opvragen, indien de verwerking daarvan noodzakelijk is voor de handhaving van de openbare orde.“. Die gegevens moeten door de organisatie binnen tien werkdagen worden verschaft. Diverse andere overheidsinstanties mogen dit ook, zie artikel 3 lid 7 en artikel 8 (met een nieuw artikel Artikel 28a Handelsregisterwet 2007), alsmede het Openbaar Ministerie, zie artikel 4. Overigens is  het hoogst twijfelachtig of burgemeesters (en gemeenten) wel toegerust zijn voor dit soort misdaadbestrijdingstaken.
[9] Artikel 3 lid 6.
[10] Artikel 4a.

 

Aanvulling 5 januari 2024
Iemand met relaties met het BFT schreef mij zich af te vragen of een dergelijke bevoegdheid een meerwaarde heeft voor BFT. BFT is geen toezichthouder van non-profit organisaties. Dat een accountant of een administratiekantoor van een dergelijke organisatie Wwft verplichtingen heeft is evident. Of ze die zijn nagekomen kan BFT ook controleren zonder informatie over donaties op te vragen. BFT is geen opsporingsdienst. Het is moeilijk voor te stellen dat BFT op een dergelijke bevoegdheid zit te wachten en dat we BFT er iets mee kan/moet. ‘Systeembevrediging’ is volgens mijn contact de officiële term voor dergelijke initiatieven.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Not-for-profit, Stichting en vereniging | Tags: , , , , , , , , , , , , , , , , , , , | Plaats een reactie

Surveillance van de macht

Geplaatst op 1 januari 2024 door Ellen Timmer

Digitale middelen zoals ‘kunstmatige intelligentie’ (artificial intelligence), maken het mogelijk, respectievelijk zullen het mogelijk maken, dat burgers en organisaties van seconde tot seconde gevolgd kunnen worden door grote bedrijven en overheden, terwijl de grondrechten van burgers en organisaties niet zijn gewaarborgd. De mensheid wordt klaar gestoomd voor acceptatie van die permanente surveillance (‘het is voor je veiligheid!).

Mijn wens voor 2024 is dat de digitale middelen surveillance van de macht mogelijk zullen maken en dat bijvoorbeeld kan worden onderzocht:

#1 Wat beweegt de techmiljardairs en hoe kunnen zij worden bewogen tot maatschappelijk betamelijk gedrag?
#2 Wat beweegt de grote bedrijven en machtige overheden (zoals de VS)?
#3 Wie zitten aan de knoppen van de surveillancesystemen en wat hebben deze machthebbers met de samenleving voor?
#4 Welke schade voor burgers wordt onder de digitale pet gehouden?
#5 Welke digitale systemen worden buiten zicht van de samenleving voorbereid door grote bedrijven en overheden en welke gevolgen hebben die systemen?

Ad #5
Voorbeeld: de enorme digitale projecten waarmee de EU bezig is en waaraan de media geen enkele aandacht besteden.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | 1 reactie

Vredige jaarwisseling toegewenst!

Geplaatst op 31 december 2023 door Ellen Timmer

De lezers wens ik een vredige jaarwisseling toe en een gelukkig en voorspoedig 2024.
En vergeet niet de digitale goede doelen te begunstigen, zoals:

Nederland:

doneer!

 

doneer!

Europa:

doneer!

 

doneer!

 

Want hoewel ik op een vliegveld aan de marketinguitingen zag dat de mens zijn vrijheid volledig kwijt is en verlangt naar eigen regie,

heb ik de hoop nog niet opgegeven.

Ik wens de hulpdiensten veel sterkte toe tijdens de zwartste dag van het jaar (net als in 2017). Hulpverleners zijn er voor jou: bericht, video.

 

Aanvulling 8 januari 2024
Helaas was Oud & Nieuw een gitzwarte dag met hinder voor hulpverleners, herrie en stank. Diep droevig. Nederland is altijd zo goed in het internationaal overleggen en het doen van Europese voorstellen. Wanneer komt Nederland met een voorstel om vuurwerk Europees af te schaffen?

Geplaatst in Diversen | 2 reacties

Dutch non-paper on transaction monitoring, data sharing and other topics in the new Payment Services Regulation

Geplaatst op 30 december 2023 door Ellen Timmer

The Netherlands advocates in a non-paper that changes to the European proposal for the new Payment Services Regulation (PSR) be made in the areas of:

1. Transaction monitoring
2. Data sharing
3. Position of the alleged fraudster and proportionality of measures
4. Liability regime and gross negligence

The text suggests that transaction monitoring is only about protecting customers from fraud, while transaction monitoring is also required to detect criminal money (‘money laundering’).

The following is said on the first two areas:

1. Transaction monitoring

Transaction monitoring is central to PSPs ability to detect and stop fraud. It protects consumers against fraudulent transactions and helps to maintain confidence in our financial system. [2] In recital 102 it is explained that transaction monitoring is aimed at detection and prevention and data retention periods are linked to these goals. Moreover, the Regulation stresses that in order for transaction monitoring to be effective, it should be constantly improved and should benefit from as much relevant information as possible to be able to assess risks. Therefore, the Netherlands proposes the following:

1. To clarify the purpose of transaction monitoring and storing of the information that stems from it. When fraud is detected by PSPs, they can take real-time preventive action. For example by freezing suspected fraudulent transactions or contacting and informing the customer. However, the information that stems from monitoring can also be very valuable for other preventive or reconstruction purposes. For example, for accountability of the PSP towards supervisors, reconstruction in criminal investigation by the police and in the assessment of liability towards the customer to refund financial losses. These purposes should be added under article 83 (1C). This also means that in case of a proven fraudulent transaction, PSPs should be able to extend the retention period until after the customer relationship has ended. Otherwise this can be an incentive for fraudsters to swiftly change from PSP.

2. To add other information sources to transaction monitoring. Monitoring criteria should not only be based on information of the PSP (for example previous payment transactions) but could also be based on information – for example on modus operandi – from the customer, police and electronic communication service providers. [3] This information should therefore be added under article 83 (2).

Furthermore, the Netherlands requests:

3. The Presidency to discuss options to clarify of the use of AI in the Regulation. The Netherlands endorses the importance of the use of technology for transaction monitoring as described in recital 103. Where the use of AI in transaction monitoring results in automated processing of data and automated decision-making, guarantees for data subjects are required under the GDPR. [4] An important guarantee, for example, is the right not to be subject to decisions solely based on automated processing.

2. Data-sharing

The Netherlands endorses an important objective of the Commission’s proposal, namely detecting fraud and the necessary comparison of data from multiple registrations, as laid down in recital 103. In the current text, sharing of unique identifiers of a payee, manipulation techniques and other circumstances associated with fraudulent credit transfers identified individually by each PSP happens amongst PSPs on a voluntary basis when there is sufficient evidence that stems from transaction monitoring that there was a fraudulent payment transaction. The Netherlands has a number of proposals, as well as questions for clarification. The Netherlands proposes:

1. To include an option to share a limited set of data broader than the unique identifier, in conformity with GDPR, and for the purposes as laid down in 83 1 (c). Recital 103 mentions the importance of sharing of ¨all relevant information amongst PSPs¨ and mentions a few examples of data that can be shared, while article 83 (3) only describes sharing of the unique identifier. From practice in the Netherlands we know that a unique identifier is not enough data to properly detect fraud networks as they operate with multiple unique identifiers. As was highlighted in the Swedish non-paper, more data is needed for this purpose. According to the Netherlands this could include IP addresses of devices, stolen authentication elements and user agents. Sharing this data should be subject to GDPR safeguards and the use of privacy enhanced technology. The Netherlands proposes to request the EBA to establish which technical data/traces of fraud are needed for this purpose and to add this data in article 83 (3).

2. To clarify the link with the GDPR in transaction monitoring and data sharing. Because processing and sharing of data in the context of fraud detection and prevention can concern personal data of a criminal nature the Netherlands proposes to include a reference in Article 80 to Article 10 GDPR/2016, and/or article 11 2018/1275.

The Netherlands requests:

3. The Commission to elaborate on whether sharing of data on a voluntary basis by PSPs provides consumers with a sufficient level of protection against fraud in our payment system. Should this be more obligatory under certain circumstances?

4. The Commission to elaborate on why sharing of information with law enforcement or filing a police report in case of fraudulent transactions is not mentioned in the PSR. The Netherlands finds it important that criminal investigations take place into fraud and that PSPs report to the police when they detect fraud. This point was also brought forward in the Swedish non-paper.

5. The Commission to elaborate if the cooperation that is required from electronic service providers in case of bank impersonation fraud in article 59 also encompasses the sharing of relevant (personal) data, subject to GDPR requirements.

 

[2] Delegated regulation (EU) 2018/389
[3] For example, a police report that has been filed, new modus operandi, session data from electronic communication service providers.
[4] Article 22 GDPR

 

The following amendments are proposed regarding transaction monitoring and datasharing:

 

More information:

The Netherlands

Europe

General information on the financial data access and payments package (European Commission):

European proposals for PSR and PSD3:

 

Earlier I wrote on data sharing in PSR: Sharing of transaction monitoring information by PSPs in the PSR proposal | financial data access and payments package EU.

Geplaatst in Bankrekening krijgen en behouden, English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , , , , , , | Plaats een reactie