Nieuwe mogelijkheden voor de opsporing dankzij de ‘slimme auto’ | eCall

Geplaatst op 29 december 2023 door Ellen Timmer

Bij burgerrechtenorganisatie Privacy First verscheen een interessant artikel over de controlemogelijkheden die de ‘slimme auto’ biedt, lees In de auto van A naar B, surveilleert de overheid met u mee.

eCall
Zo heeft de op 1 april 2018 ingevoerde verplichte eCall tot gevolg dat het voertuig permanent gevolgd kan worden, omdat de ingebouwde simkaart voortdurend verbinding maakt met zendmasten, waardoor de locatie van voertuigen altijd kan worden gepeild. Dit systeem wordt in alle auto’s ingebouwd, niet alleen de wagens met extra snufjes. In het artikel van Privacy First zijn vele details over het eCall systeem te vinden.

Register
De opsporing heeft belangstelling voor een centraal register met interessante gegevens die gekoppeld zijn aan de slimme auto, zoals de simkaart en de IMEI. Bij een brancheorganisatie is een werkgroep bezig met het ontwikkelen van ‘interfaces’ voor het rechtmatig onderscheppen en uitlezen van voertuigdata door rechtshandhavingsinstanties (‘Lawful Interception”).

Uitlezen van de zwarte doos en de cameramogelijkheden
Auto’s met allerlei technische snufjes bieden nog veel meer mogelijkheden voor de overheid. Er bestaat veel interesse voor het uitlezen van gegevensstromen en de zwarte doos van de auto. Wat de camera’s opnemen is ook mateloos interessant.

Lezenswaardig.

 

Aanvulling 29 april 2024
De Nederlandse overheid heeft een heilig geloof in de slimme auto: Veiliger onderweg door een slimmere auto, 23 april 2024. Intussen is er de nodige bijvangst en ligt function creep op de loer. En hoe veilig is het allemaal?
De Autoriteit Persoonsgegevens publiceerde Zorgen AP om volgverkeerslichten, waarover het NRC schreef.

Aanvulling 10 januari 2025
Lees ook Sabine Gless, Autos als Belastungszeugen – hilft die KI-VO?, met de intro: “Moderne Autos, Fitnessarmbänder oder Herzschrittmacher beobachten ihre Nutzer ständig und werden dadurch zu potenziellen Beweismitteln. Können ihre Beobachtungen Teil der strafprozessualen Beweisführung werden? Sollten sie in Augenschein genommen oder doch eher wie Belastungszeugen konfrontiert werden? Hilft die KI-VO, wenn die Strafverteidigung die Vertrauenswürdigkeit einer Beobachtung testen will? Die der KI-VO eigene Mischung aus Produktesicherheit und Grundrechtsschutz birgt nicht nur ein generelles Potenzial für mehr Vertrauenswürdigkeit, sie könnte auch helfen genuin strafprozessuale Anliegen in das digitale Zeitalter zu überführen. Dieses Versprechen wird aber nur eingelöst, wenn Rechtswissenschaft und Rechtspraxis die europäischen Vorgaben in den Strafverfahrensalltag übersetzen.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Europees voorstel over delen van financiële klantgegevens: overleg in de Tweede Kamer zonder dat de positie van de betrokkene aan bod komt

Geplaatst op 29 december 2023 door Ellen Timmer

Europa is bezig met een voorstel dat er voor zal zorgen dat bedrijven en organisaties de persoonsgegevens van hun afnemers/cliënten gaan delen met derden (het zullen vaak fintech bedrijven zijn), waarbij Europa vergeet dat die afnemers/cliënten natuurlijke personen kunnen zijn met recht op gegevensbescherming.

FIDA fiche
Het Europese voorstel wordt in Nederland aangeduid als het voorstel voor de Verordening raamwerk delen financiële klantdata, in het Engels de Regulation on a framework for financial data access (FIDA Regulation).

Het kabinet heeft uitleg over het voorstel gegeven in de fiche over de Verordening raamwerk delen financiële klantdata.

In de fiche wordt netjes uitgelegd dat ‘de klant’ niet alleen een consument of zzp’er (natuurlijke persoon) is, maar dat daar iedere rekeninghouder onder wordt verstaan:

Klanten zijn in het voorstel gedefinieerd als natuurlijke personen en rechtspersonen die gebruik maken van financiële producten en/of diensten. Dit voorstel heeft zodoende betrekking op data van zowel consumenten als bedrijven bij datahouders.

Een centrale rol spelen banken en andere financiële instellingen, die de financiële klantgegevens onder zich hebben (‘datahouders’). De slimme IT-bedrijven die de klantgegevens gaan ‘verrijken’ heten ‘datagebruikers’:

Een datahouder is een financiële onderneming die de onder dit voorstel vallende data verzamelt, opslaat of anderszins verwerkt. De datagebruiker is een entiteit die met toestemming van de klant toegang krijgt tot de financiële klantdata.

Gegevens van natuurlijke personen worden zonder toestemming gedeeld
De natuurlijke personen wiens gegevens in de financiële klantdata van bedrijven en organisaties zijn opgenomen (‘betrokkenen’ in de zin van de AVG), spelen geen enkele rol. Zij hoeven ook geen toestemming te geven, want alleen de rekeninghouder (‘klant’) beslist of de financiële klantdata aan de datagebruikers mogen worden verstrekt. De risico’s voor de betrokkenen worden in de fiche niet besproken. Evenmin komt aan de orde hoe de betrokkenen worden geïnformeerd als een rekeninghouder zijn of haar gegevens aan datagebruikers ter beschikking stelt.

Het is tekenend dat in de fiche alleen over ‘de klant’ wordt gesproken en het profijt dat die klant zal hebben. In algemene termen wordt over consumenten en andere natuurlijke personen gesproken, onder meer in lege verklaringen als:

Het kabinet is van mening dat digitale innovatie gestimuleerd moet worden, maar wel met voldoende waarborgen voor consumentenbescherming en de bescherming van persoonsgegevens (zoals onder meer volgt uit de Verordening Gegevensbescherming

Vreemd is ook dat de rekeninghouder ‘eigenaar’ zou zijn van de financiële klantgegevens van de wederpartijen, die natuurlijke personen zijn. Nog vreemder wordt het, als wordt beweerd dat het voorstel verder zou gaan dan de AVG:

Echter, deze verplichting in het voorstel gaat verder dan de privacywetgeving. In de AVG hoeft de data namelijk alleen op verzoek van de klant met derden gedeeld te worden als dit technisch uitvoerbaar is; in het voorstel worden de datahouders verplicht dit technisch uitvoerbaar te maken.

Deze passage gaat alleen over de klant die zelf natuurlijke persoon is. Klanten die geen natuurlijke persoon zijn, hoeven zich niet aan de AVG te houden, want ze kunnen op grond van dit voorstel zonder toestemming (van hun eigen afnemers/cliënten die natuurlijke persoon zijn), de financiële klantgegevens die op hen betrekking hebben delen met de datagebruiker. Ook een verplichting om de betrokkenen te informeren ontbreekt.

Hoewel de tekst in de fiche over ‘de klant’ lijkt te gaan over natuurlijke personen, is dat in werkelijkheid niet zo, zoals al uit de definitie blijkt.

Verheugend is dat het kabinet zich wil gaan inzetten voor het belang van de consument, zo valt op pagina 8 van de fiche te lezen [1], al lijkt het er op dat het kabinet niet begrijpt welke grote risico’s voor natuurlijke personen gaan optreden als gevolg van het delen van hun persoonsgegevens door rekeninghouders die geen natuurlijke persoon zijn.

Het kwartje is bij de Tweede Kamer niet gevallen
Uit het verslag van het schriftelijk overleg over het voorstel kan worden afgeleid dat de leden van de Tweede Kamer niet door hebben welke risico’s aan het voorstel kleven voor de burgers.

Ook in het verslag wordt de suggestie gewekt dat ‘de klant’ de burger (natuurlijke persoon is) en wordt geen aandacht besteed aan de gevolgen van het door derden delen van financiële persoonsgegevens met datagebruikers. De suggestie wordt gewekt dat natuurlijke personen toestemming kunnen geven, in passages als:

Er is sprake van effectieve controle door de klant doordat de klant expliciet toestemming dient te geven voordat datahouders hun financiële klantdata met datagebruikers kunnen delen.

Op security.nl is aandacht besteed aan het voorstel [2].
Één van de lezers geeft terecht deze reactie:

Ik vraag me af… Staan er in de data die zo’n bank (met toestemming van de rekeninghouder) beschikbaar maakt, ook gegevens van alle tegenrekeninghouders?
Als dat zo is, dan is die bank gegevens van die tegenrekeninghouders aan het delen zonder toestemming van die tegenrekeninghouders. Voor zover dat natuurlijke personen zijn, dan is die bank toch persoonsgegevens aan het verstrekken zonder toestemming van de betrokkenen?
Ik heb die ‘Verordening raamwerk delen financiële klantdata’ even diagonaal gelezen, maar dit soort details heb ik niet gevonden.

Dat is een terechte opmerking. Dit aspect, de persoonsgegevens van de wederpartij, wordt door het kabinet zorgvuldig weggepoetst, net zoals bij PSD2 gebeurde.

De zorgen van Privacy First over het Europese voorstel zijn daarom terecht. Het is jammer dat de leden van de Tweede Kamer niets hebben gedaan met het commentaar van de burgerrechtenorganisatie.

 

Lees op dit blog de artikelen over de FIDA Regulation, over open finance (waar dit voorstel deel van uitmaakt) en de FIDA-voorganger PSD2, waarin een voorloper van open finance (rekeninginformatiediensten) is opgenomen.

 

Noten

[1] Citaat uit de fiche:

Ook bevat het voorstel bepalingen over de zogenaamde data use perimeters. Op dit moment zullen de Europese Bankautoriteit en de Europese Autoriteit voor verzekeringen en bedrijfspensioenen enkel richtsnoeren opstellen voor de noodzakelijke data voor de kredietwaardigheid van de consument en producten en diensten gerelateerd aan levens-, zorg- en ziekteverzekeringen. Naast dat het kabinet over deze richtsnoeren aan de Commissie verduidelijking zal vragen, zal zij verkennen of het wenselijk is dat de Europese toezichthouders ook voor andere producten en diensten dergelijke richtsnoeren kunnen opstellen. Zodat ook op andere onderdelen eventuele data die kunnen leiden tot uitsluiting van consumenten buiten de scope van de verordening kunnen vallen. Het kabinet vindt het immers belangrijk dat de risico’s voor klanten en met name consumenten bij het delen van hun financiële data zoveel mogelijk worden beperkt. Het kabinet zal zich op deze punten inzetten voor een versterking van de bescherming van de klant en meer specifiek de consument (natuurlijke personen) in het voorstel. Het klantdata-controledashboard is in dat kader volgens het kabinet een positieve toevoeging. Het kabinet zal er aandacht voor vragen dat dit overzichtelijk en begrijpelijk is voor klanten, vooral als zij verschillende klantdata-controledashboards hebben bij diverse datahouders. Een ander belangrijk aspect van de bescherming betreft de mogelijke (financiële) uitsluiting van consumenten op basis van gedeelde data, waarbij zij bijvoorbeeld korting kunnen mislopen of anderszins benadeeld kunnen worden. Het kabinet zal zich ervoor inzetten dat voorkomen wordt dat data als een betaalmiddel (het zogenoemde data as a currency) kan worden ingezet om (deels) voor diensten te betalen of toegelaten te worden.

[2] Zorgen over Europees voorstel voor delen financiële klantgegevens, 21 december 2023.

 

Aanvulling 12 maart 2024
In het NRC verscheen De financiële ‘superapp’ is in Nederland nooit gekomen (betaalmuur). Het PSD2-artikel gaat vooral over tegenwerking door de banken en niet over de risico’s voor de rekeninghouder. Natuurlijk komt een van de propagandisten van open finance, advocaat Emanuel van Praag, aan het woord. Toch jammer dat de journalist niet in de open finance ontwikkelingen die in Europa gaande zijn is gedoken.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

Big Brother in Duitsland: het ministerie van financiën en de Europese platformrenseignering

Geplaatst op 27 december 2023 door Ellen Timmer

Ook in Duitsland vinden Big Brother verkiezingen plaats, kijk op de Duitse Big Brother Awards site (in Nederland organiseert Bits of Freedom de verkiezing).
Sinds 2000 worden in Duitsland de BigBrotherAwards uitgereikt aan bedrijven, organisaties en personen die zich bijzonder en hardnekkig schuldig hebben gemaakt aan het schenden van de privacy van mensen, het verkopen van persoonlijke gegevens of het gebruiken van deze gegevens tegen hun oorspronkelijke belangen in, aldus deze pagina.

In 2023 was het Duitse ministerie van financiën (het Bundesfinanzministerium) een van de winnaars, zo valt in dit bericht te lezen. Het ministerie wint deze prijs vanwege de wet die digitale platforms (zoals in Nederland Marktplaats) persoonsgegevens te registreren ten behoeve van de de belastingheffing. Deze regels gelden ook in Nederland en zijn op Europees recht gebaseerd. Op grond van deze regels worden zeer veel gegevens verwerkt van mensen die niet belastingplichtig zijn. Anders gezegd: de regels zijn in strijd met de verplichting van de AVG tot dataminimalisatie. In het artikel wordt uitvoerig uitgelegd waarom de regels in strijd met de gegevensbeschermingsregelgeving van de EU zijn.

Renseignering als financieel sleepnet
Op dit blog besteedde ik eerder aandacht aan deze platformrenseignering, in het kader van het onderwerp renseignering, lees onder meer dit bericht. De renseignering door betaaldienstverleners, ook op grond van Europese regels, lijdt aan dezelfde kwaal (er wordt veel te veel verzameld), zie dit bericht.

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

Kredietscoring uitspraak van het Europese Hof | SCHUFA, kredietregistratie

Geplaatst op 26 december 2023 door Ellen Timmer

Op 7 december jl. heeft het Europese Hof uitspraken gewezen in zaken tegen het Duitse kredietregistratie- en waarderingsberijf SCHUFA. Dit is een onderneming die kredieten registreert en kredietwaardigheidsinformatie levert aan onder meer banken.

De uitspraak is interessant voor de positie van het Nederlandse Bureau Kredietregistratie (BKR) en diverse andere bedrijven in Nederland die hetzelfde werk doen als SCHUFA.

Onderwerp
SCHUFA houdt zich bezig met het voorspellen van het gedrag van kredietnemers, wat in het Engelstalige nieuwsbericht van het Hof ‘scoren’ wordt genoemd. Dat scoren vindt plaats door middel van een wiskundige statistische methode. In het nieuwsbericht is vermeld dat in het Duitse openbare insolventieregister informatie met betrekking tot het verlenen van kwijtschelding van resterende schulden zes maanden wordt bewaard, terwijl een gedragscode voor Duitse kredietinformatiebureaus een bewaartermijn van drie jaar voorschrijft voor hun eigen databases. De Duitse rechter heeft het Hof gevraagd om de reikwijdte van de bescherming van persoonsgegevens te verduidelijken, zoals bepaald in de algemene verordening gegevensbescherming (AVG).

Oordeel
In het nieuwsbericht wordt het oordeel als volgt samengevat:

As regards ‘scoring’, the Court holds that it must be regarded as an ‘automated individual decision’ prohibited in principle by the GDPR, in so far as SCHUFA’s clients, such as banks, attribute to it a determining role in the granting of credit. According to the Administrative Court of Wiesbaden, this is the case. It is for that court to assess whether the German Federal Law on data protection contains a valid exception to that prohibition in accordance with the GDPR. If this is the case, it will still have to check whether the general conditions laid down by the GDPR for data processing have been met.

As regards information relating to the granting of a discharge from remaining debts, the Court considers that it is contrary to the GDPR for private agencies to keep such data for longer than the public insolvency register. The discharge from remaining debts is intended to allow the data subject to re-enter economic life and is therefore of existential importance to that person. That information is still used as a negative factor when assessing the solvency of the data subject. In this case, the German legislature has provided for data to be stored for six months. It therefore considers that, at the end of the six months, the rights and interests of the data subject take precedence over those of the public to have access to that information.

In so far as the retention of data is unlawful, as is the case beyond six months, the data subject has the right to have the data deleted and the agency is obliged to delete the data as soon as possible.

As regards the parallel storage of such information by SCHUFA for those six months, it is for the Administrative Court to weigh up the interests involved in order to assess its lawfulness. Should it conclude that parallel storage for six months is lawful, the data subject will still have the right to object to the processing of his or her data and the right to have the data erased, unless SCHUFA can demonstrate the existence of overriding legitimate grounds.

Finally, the Court emphasises that national courts must be able to exercise full review over any legally binding decision of a supervisory authority.

De uitspraak maakt duidelijk dat kredietscoring alleen onder voorwaarden is toegestaan en dat de kredietregistratiebedrijven de kwijtscheldingsgegevens niet langer mogen bewaren dan de Duitse wet voorschrijft.

Zoals bij alle verwerkingsverantwoordelijken geldt ook hier dat SCHUFA de illegaal verwerkte gegevens zo spoedig mogelijk moet verwijderen.

 

Meer informatie

Persberichten: es de en fr it hu pl pt ro
(geen Nederlands, was de vertaler Nederlands op vakantie?)

Zaak C-26/22
Overzichtspagina
Uitspraak in het Nederlands

Zaak C-634/21
Overzichtspagina
Uitspraak in het Nederlands

 

Aanvulling 8 maart 2024
Lees over de SCHUFA uitspraak het artikel Profilering en geautomatiseerde besluiten: een te groot risico? door Marlies van Eck. Zij besluit met:

Het lijkt erop dat de teugels strakker worden aangespannen als het gaat om geautomatiseerde besluiten en profilering. Dit heeft directe juridische gevolgen voor de particuliere sector, maar de uitspraken van het Europees Hof van Justitie over SCHUFA zetten ook de bestaande praktijk bij overheden onder druk. Want ook overheden werken met risicoprofilering. Omdat de rechter naar de geest van de AVG kijkt is het de vraag of risicoprofilering bij het controleren van burgers is toegestaan.

Aanvulling 17 mei 2024
De landsadvocaat heeft naar aanleiding van het SCHUFA-arrest op 12 maart 2024 advies uitgebracht, dat door de staatssecretaris van Financiën op 13 maart 2024 aan de Tweede Kamer is gestuurd, lees diens brief. Het College voor de Rechten van de Mens schrijft in de position paper voor het Rondetafelgesprek over risicoprofilering in het handhavingsbeleid:

Hof van Justitie van de EU: het Schufa-arrest [10]
Recent heeft demissionair staatssecretaris van financiën Van Rij de Tweede Kamer een brief gestuurd over de betekenis van het advies van de Landsadvocaat naar aanleiding van het Schufa-arrest van het Hof van Justitie van de EU. [11] Kortgezegd staat in het advies van de Landsadvocaat de legitimiteit van risicoprofilering in het algemeen ter discussie als voor geautomatiseerde gegevensverwerking geen expliciete wettelijke grondslag is verleend. Dit zou volgen uit de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). De staatssecretaris spreekt van ‘in potentie vergaande impact’ voor de Belastingdienst, en heeft de Autoriteit Persoonsgegevens om een nader advies gevraagd. Het College volgt deze ontwikkelingen op de voet.

[10] HvJEU 7 december 2023, ECLI:EU:C;2023:957 (SCHUFA Scoring).
[11] Staatssecretaris van Rij van Financiën, brief van 13 maart 2024, Kamerstukken II, 2023/24, 32 761, nr. 294.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Criminele en andere ongure mogelijkheden van AI | Autoriteit Persoonsgegevens bepleit deltaplan – Rathenau waarschuwt

Geplaatst op 25 december 2023 door Ellen Timmer

Artificial intelligence (kunstmatige intelligentie) biedt een schat aan criminele mogelijkheden. Verder is het een mooi hulpmiddel om mensen te beïnvloeden en de samenleving uit evenwicht te brengen, waar overheden en het grootbedrijf graag gebruik van maken. Er zijn positievere effecten, waarvan het de vraag is of die zwaarder wegen dan de negatieve mogelijkheden.

Autoriteit Persoonsgegevens waarschuwt
De Autoriteit Persoonsgegevens maakt zich zorgen en vreest dat de negatieve aspecten belangrijker zijn dan de positieve, lees hun bericht ‘AI- & algoritmerisico’s nemen toe, nationaal deltaplan nodig‘. De introductie begint met:

De risico’s van artificiële intelligentie (AI) en algoritmes nemen verder toe, onder meer door de opkomst van generatieve AI. Zoals het risico op verspreiding van desinformatie, maar ook op privacy-overtredingen en discriminatie. De toenemende inzet en technologische innovaties gaan op dit moment sneller dan we als samenleving zulke risico’s kunnen herkennen en aanpakken via bijvoorbeeld regelgeving en toezicht.

Hun rapportage is hier te vinden.

 

Rathenau Instituut: risico’s van generatieve AI vereisen terughoudendheid in gebruik
Het Rathenau Instituut publiceerde eerder deze maand het bericht ‘Risico’s van generatieve AI vereisen terughoudendheid in gebruik‘, waarin hun onderzoek naar generatieve AI wordt aangekondigd (rapport). Bekijk ook de andere berichten in de rubriek digitalisering, interessant allemaal.

 

Plaatje Rathenau Instituut uit het inleidende artikel.

 

Cyber Security Raad waarschuwt
In het nieuwsbericht van 22 december vraagt de Cyber Security Raad (CSR) aandacht voor de risico’s van AI, onder meer:

Maar ook cybercriminelen hebben voordeel. Zij kunnen met AI-software digitale kwetsbaarheden op grote schaal uitbuiten, en niet van echt te onderscheiden spam en phishing e-mails sturen. Ook kan met AI automatisch malware worden gegenereerd.

en:

De ernst en omvang van deze cybersecurityrisico´s onderstrepen nogmaals het belang van regulering van AI-toepassingen en blijvende aandacht voor besluitvorming door mensen.

 

Aanvulling 30 december 2023
De passage over CSR toegevoegd.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

De politiefunctie van banken en andere private actoren

Geplaatst op 24 december 2023 door Ellen Timmer

Aan de Tweede Kamer werd een white paper over versterking van de ‘politiefunctie’ gestuurd met een bijlage, voordat het boek van professor Hoogenboom werd bekend gemaakt.

Een definitie van het begrip ‘politiefunctie’ ontbreekt in de white paper, kennelijk omdat het moeilijk is te definiëren, zo doet deze passage vermoeden:

De politiefunctie laat zich onderscheiden naar drie functies: beschermen, begrenzen en bekrachtigen (…)
De politietaak is daarmee breed geformuleerd en heeft raakvlakken met alle drie de onderdelen van de politiefunctie. De politiefunctie is nadrukkelijk breder dan de politietaak, maar een praktische vertaling van de definitie waaruit helder blijkt welke organisaties en taakgebieden onder de politiefunctie vallen, is niet eenvoudig te maken

Er wordt naar een WRR-rapport [1] verwezen, misschien dat zij het begrip hebben gedefinieerd.

Andere organisaties met politiefunctie | nog meer chaos?
In de white paper wordt gesproken over “andere organisaties die binnen de politiefunctie werkzaamheden uitvoeren” en dat dit er steeds meer worden. De opstellers vinden dat positief, want dan kunnen taken waar de politie geen capaciteit voor heeft door anderen worden gedaan:

als de politie een taak niet kan uitvoeren dan kan een andere organisatie dat oppakken (en vice versa)

De keerzijde van al die anderen die met de politiefunctie bezig zijn, is dat het een chaos wordt (zie ook het boek van Hoogenboom) en dat het de vraag is of de grondrechten van burgers wel worden gerespecteerd. Daar zie ik in desbetreffende passage niets over.

Rol van de private sector
Op pagina 4 komt de rol van de burger aan bod, onder meer in:

Private organisaties (bedrijven) en burgers hebben – binnen wat redelijkerwijs van hen verwacht mag worden – een eigen verantwoordelijkheid om zorg te dragen voor (hun eigen) veiligheid.

Er is een ontwikkelagenda waarin onder meer wordt gesproken over de rol van de overheid en taakverdeling met andere organisaties binnen de politiefunctie, waarbij ook ‘Taakverdeling publieke organisaties met private organisaties, ‘sociaal domein’ en burgers‘ aan bod komt. Op pagina 8 wordt uitvoeriger ingegaan op private organisaties die taken binnen de politiefunctie uitvoeren, waarbij onder meer wordt gedacht aan hightech bedrijven, banken, particuliere beveiligingsbedrijven en sociale platforms.

Banken voorkomen geen misdaad
Over banken is het bekende onjuiste verhaal vermeld, dat hun overheidstaken op grond van de misdaadbestrijding zouden inhouden dat zij misdaad moeten voorkomen. De werkelijkheid is dat zij misdaad moeten detecteren en melden aan de overheid (als ‘ongebruikelijke transactie’, die niet verdacht hoeft te zijn) [2]:

De eigen verantwoordelijkheid van bedrijven speelt ook bij bijvoorbeeld (…) banken, die over grote hoeveelheden data beschikken, die een belangrijke rol vervullen met betrekking tot de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en een bijdrage leveren aan het voorkomen dat criminelen van hun diensten kunnen gebruikmaken.

Merkwaardig genoeg denkt men niet aan de witwasbestrijding in de passage over het onderzoek naar strafbare feiten door private partijen (pagina 9):

Private partijen houden zich ook bezig met het doen van onderzoek naar mogelijke strafbare feiten, maar dit beperkt zich tot wat mogelijk is zonder gebruikmaking van wettelijke bevoegdheden.

Minder rechtsbescherming
De opstellers constateren dat private organisaties zich aan minder regels hoeven te houden dan de overheid. Daarmee kunnen rechtsbeschermende regels worden ontdoken, zoals nu al grootschalig in de witwasbestrijding gebeurt. Men schrijft (markering door mij):

Soms beschikt een bedrijf over specifieke expertise, zoals op het gebied van cybersecurity, en over meer specialistische kennis en data. Dergelijke bedrijven hebben vaak meer handelingsruimte om te innoveren en hun koers aan te passen als de omstandigheden daarom vragen. Ze zijn over het algemeen meer wendbaar en kunnen sneller inspelen op situaties dan publieke organisaties.

Gelukkig wordt erkend dat de private criminaliteitsbestrijding strenge regulering en adequaat toezicht behoeft. Dat ontbreekt in de witwasbestrijding.

Publiek-private samenwerking
In het document komen uit de witwasbestrijding bekende onderwerpen aan de orde. Één daarvan is de ‘publiek-private samenwerking’.
Dat is iets waarvan in de witwasbestrijding geen sprake is, bedrijven zijn op grond van Europese en Nederlandse regelgeving verplicht taken vervullen, zonder dat hen wordt gevraagd of zij daar wel voor zijn toegerust en of het wel effectief is.

Gegevensdeling
Misdaadbestrijders klagen voortdurend over gegevensdeling. Het vreemde is dat de overheid al over een schat van gegevens beschikt die ook binnen de huidige regels benut kunnen worden. Het onderwerp wordt in de white paper gekoppeld aan de geweldsbevoegdheid van de politie.
De passage over gegevensdeling op pagina 10 laat zien dat de opstellers niet goed begrijpen waar het bij privacy over gaat, ze schrijven:

Het uitwisselen van gegevens is cruciaal voor organisaties binnen de politiefunctie om goed met elkaar te kunnen samenwerken. Het gaat daarbij vaak om het delen of verwerken van persoonsgegevens. Dat gaat niet altijd even gemakkelijk. Door het uitwisselen of verwerken van gegevens wordt de privacy van een betrokkene geschaad en dat mag niet zomaar. Hierbij dienen de nodige waarborgen te worden getroffen, zoals het stellen van kwaliteitseisen en het inrichten van toezicht hierop.

Er staat “Door het uitwisselen of verwerken van gegevens wordt de privacy van een betrokkene geschaad“, dat klopt niet. De politie mag alleen persoonsgegevens verwerken (wat ook uitwisselen omvat) als daar een wettelijke grondslag voor is. Dat betekent dat er een goede reden moet zijn om de gegevens te verwerken. Verder hoort ook de politie zich aan de grondbeginselen van de gegevensbescherming te houden, zoals:

  • dat gegevens niet langer worden bewaard dan nodig is,
  • dat er niet meer wordt verwerkt dan nodig (dataminimalisatie),
  • dat betrokkene over de verwerking wordt geïnformeerd en in staat wordt gesteld te verifiëren of de gegevens juist zijn en op juiste gronden worden verwerkt en
  • dat voldoende cybersecuritymaatregelen worden genomen (zoals loggen wie welke gegevens inziet).

De politie heeft reprimandes van de Autoriteit Persoonsgegevens gekregen, zie recent dit bericht. Bits of Freedom heeft een digitaal dossier over de politie, daar zijn goede redenen voor. De politie heeft volop problemen met het gegevensdelen [3].

Grondrechten zijn er niet voor niets

In het pleidooi voor meer gegevensdelen wordt vergeten dat de grondrechten van burgers er niet voor niets zijn. Het doel daarvan is burgers te beschermen tegen een megalomane overheid (en ook tegen grote bedrijven).
Terecht schreef strafadvocaat Petra van Kampen [4], naar aanleiding van opmerkingen van een lid van de korpsleiding dat grondrechten (zoals gegevensbescherming/privacy) zouden moeten worden opgeofferd aan het belang van de opsporing:

Als er iets de rechtsstaat ondermijnt, dan is het wel het betoog dat grondrechten voor sommigen van ons op de helling kunnen en dat het strafrecht vooral minder humaan moet zijn.

Dat is iets waar de schrijvers van de white paper wel wat meer oog voor zouden mogen hebben.

Bij het nadenken over de politiefunctie is het  belangrijk aandacht te besteden aan het signaleren van fouten, adequate klachtmogelijkheden voor de burger en laagdrempelige rechtsbescherming, die er voor zorgt dat private en publieke partijen de burger netjes behandelen.

 

Noten

[1] Wetenschappelijke Raad voor het Regeringsbeleid (2021) ‘Politiefunctie in een veranderende omgeving’.

[2] Deze foute veronderstelling komt terug op pagina 11: “Op het gebied van preventie en verstoring spelen private organisaties een belangrijke rol. Denk aan de rol die banken vervullen bij de Wwft. Kort gezegd komt het er op neer dat banken en andere instellingen voorkomen dat criminelen via hun rekeningen geld witwassen dat ze met misdaad hebben verdiend. Zoals met drugshandel of oplichting“.

[3] Op dit blog schreef ik over nieuwsgierige agenten die in andermans gegevens neuzen (blog 1, blog 2) en meldde ik het artikel over de Rotterdamse politie in Gedrag en cultuur bij de politie | de blauwe muur van stilte. Lees ook Megalomane data-analyse en brakke politie-systemen en Algoritme-gebruik politie voldoet niet aan basisvereisten | onderzoek Algemene Rekenkamer naar algoritmes rijksoverheid. Hoe bizar de gegevenshuishouding van de politie is blijkt uit het security.nl bericht ‘Minister weet niet wanneer politie stopt met bijhouden van data 9 miljoen mensen‘.
De Autoriteit Persoonsgegevens schreef in 2018 over de achterblijvende naleving van gegevensbeschermingsvoorschriften door de politie: “De Nationale Politie moet beter controleren wie bepaalde gegevens gebruikt of inziet. Onbevoegden mogen niet aan de haal kunnen met bepaalde informatie. De Autoriteit Persoonsgegevens (AP) heeft de Nationale Politie een last onder dwangsom opgelegd om de controle op dit punt binnen zes maanden in te voeren. De Nationale Politie heeft de beveiliging op dit punt niet binnen de termijn aangescherpt. Daarom heeft de AP een dwangsom van 40.000 euro ingevorderd.

[4] Petra van Kampen oud – lid algemene raad NOvA, “Grondrechten”, 21 september 2021.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | 1 reactie

Tegen beter weten in? Europa gaat door met sanctiemaatregelen | 12e sanctiepakket

Geplaatst op 23 december 2023 door Ellen Timmer

Onlangs heeft Europa het nieuwste sanctiepakket afgekondigd, zie het bericht van de Europese Raad over het 12e sanctiepakket [1].

Gebeurt dat tegen beter weten in? Zie bijvoorbeeld de opinie van Julia Friedlander en Josh Lipsky [2] in het FD, ‘Het grote, boze sanctiewapen mist steeds vaker zijn doel‘. Dat geluid hoor ik vaker van deskundigen, ook Rob de Wijk zegt dat sancties niet werken.

 

Noten

[1] Nieuwsbericht Raad: 12th package of sanctions on Russia’s war of aggression against Ukraine: additional 61 individuals and 86 entities included in the EU’s sanctions list, 18 december 2023. Zie ook het bericht bij EAAS.

Er wordt verwezen naar:

[2] Het FD schrijft: “Julia Friedlander is ceo van Atlantik-Brücke in Berlijn en voormalig adviseur voor Europese zaken bij de Amerikaanse National Security Council en het ministerie van financiën. Josh Lipsky is directeur van het Atlantic Council GeoEconomics Center en was voorheen adviseur bij het IMF.

 

Aanvulling 29 april 2024
FD: Vermogen Russische oligarchen blijft ondanks sancties groeien, 8 april 2024.
Bijna alle oligarchen zijn criminelen, maar niet allemaal: Europese Hof verwerpt sancties tegen twee Russische oligarchen, FD 10 april 2024.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Sanctieregels | Tags: , | Plaats een reactie

Een moderne mythe: ‘ik heb toch niets te verbergen?’ | AVG

Geplaatst op 22 december 2023 door Ellen Timmer

Wie Duits kan lezen, kan over deze moderne mythe meer te weten komen in het door Leena Simon geschreven artikel Nichts zu verbergen? Ein moderner Mythos und 12 Argumente dagegen, dat op de site van IT-specialist Kuketz werd gepubliceerd.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Professor Hoogenboom en de opstand van de Limburgse burgemeesters tegen het ministerie van Veiligheid

Geplaatst op 21 december 2023 door Ellen Timmer

Vorige week was criminoloog Bob Hoogenboom (hoogleraar fraude) aanwezig bij de aanbieding van zijn boek over het falen van de rijksoverheid om te zorgen voor een goede organisatie en financiering van de politie (en de politiefunctie).

Harde woorden
Op LinkedIn schreef hij harde woorden over de ministeries (vooral het ministerie van Veiligheid is verantwoordelijk), zie met name de laatste volzin:

Vandaag aanbieding tijdens vergadering burgemeesters van Limburg. Een aantal van hen heeft de minister verzocht het regionaal beleidsplan (wettelijk verplicht en uitwerking van de nationale agenda van de minister van Justitie) te vernietigen. Daar valt niet mee te werken. Er is sprake van ‘opstandige betrokkenheid’ van deze burgemeesters en de politie in het hele land. De gepolitiseerde beleidsmachine in Den Haag staat op gespannen voet met het lokale gezag, de professionele verantwoordelijkheid van de politie en noden van burgers.

De titel van zijn boek is ‘Ben ik van Limburg, de Nationale Politie of de minister?‘ (te koop bij uitgever Boom) en op de omslag van het boek staan eveneens harde woorden over de brallende taal van het ministerie van Veiligheid:

In de Limburgse media werd er over geschreven:

Falen van het ministerie van Veiligheid c.s.
In de samenvatting van het boek is te lezen dat de problemen in Limburg mede worden veroorzaakt door de bezuinigingen op de politie, het Openbaar Ministerie en de rechterlijke macht en door ander falend beleid, lees onder meer:

De achterstelling kan deels verklaard worden door de bezuinigingen op de politie, het Openbaar Ministerie en de rechterlijke macht. Er is de afgelopen tien jaar sprake van een paradoxale financiering. Naast bezuinigingen en weer deels corrigeren daarvan (‘zigzagbeleid’) is veel geld gegaan naar integrale samenwerkingsverbanden (ondermijningsfonds), ‘hulpconstructies’ (RIEC, MIT/NSOC, SKC), versterking van de strafrechtelijke keten en het geweldsmonopolie (DSI/BBE, stelsel bewaken en beveiligen) en intelligence, maar niet naar de sterkte van de uitvoeringsorganisaties zelf. Er is geld naar Limburg gegaan voor ondermijning en de financiering van het RIEC, maar de politie is niet extensief betrokken bij de verschillende multidisciplinaire programma’s. De RIEC- en ondermijningprojecten worden overwegend door partners uitgevoerd.

Naast het gebrek aan capaciteit en het aanbod van (inter)nationale criminaliteit worden het gezag en de politie overvraagd door wensen, eisen en verlangens vanuit Den Haag. Dit gebeurt in de vorm van de vierjaarlijkse vastgestelde landelijke beleidsagenda door de minister in samenspraak met het LOVP. Deze dient wettelijk ‘vertaald’ te worden in regionale beleidsplannen. Overvraging van de politie – en daardoor inperking van het gezag – wordt in de hand gewerkt door Kaderbrieven van de Nationale Politie waarin honderden doelstellingen worden benoemd (aantallen, doorlooptijden, output). Deze doelstellingen zijn een uitwerking van het landelijk beleidskader. De politie dient via managementrapportages (maraps) en jaarverslagen te rapporteren aan de nationale korpsleiding.

Er is een wijdvertakt overlegsysteem ontstaan voor de negentien portefeuilles en programma’s van de Nationale Politie. Politiefunctionarissen (recherche, intelligence, HRM, control, PDC, AVIM, bewaken en beveiligen, cyber, forensische opsporing etc.) zijn regelmatig met elkaar in overleg. Het leidt tot verdere harmonisering binnen portefeuilles. Maar ook tot bureaucratisering en de noodzaak van politieleiders om tijd en energie te steken in verandering, monitoring en verantwoording die schuren met operationele betrokkenheid. Kritiek is er op de geringe samenhang tussen portefeuilles. Intern is de Nationale Politie nog te veel in silo’s georganiseerd. Dat werkt door in Limburg.

Overvraging wordt verder in de hand gewerkt door het beroep dat wordt gedaan op de capaciteit van Limburg voor nationale inzet (…)

 

Dus: lees dit boek! Wat beschreven wordt is vast niet uniek voor Limburg.

Van het ministerie van Veiligheid komt stoere taal en intussen lijden politie en justitie onder bezuinigingen en wordt in de witwasbestrijding door banken grootschalig geld verspild. Het is duidelijk dat er veel werk aan de winkel is voor het ministerie van Veiligheid, mogelijk is een ingrijpende reorganisatie van het ministerie nodig.

Geplaatst in Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , | Plaats een reactie

Goede doelen schenden de privacy op dezelfde manier als advertentiebedrijven | Donateursbelangen, AVG

Geplaatst op 21 december 2023 door Ellen Timmer

Stichting Donateursbelangen maakte deze week bekend dat goede doelen de privacy van donateurs stelselmatig schenden, lees:

Donateursbelangen heeft met hulp van deskundigen onderzoek gedaan naar de marketingpraktijken van goede doelen. De organisatie schrijft in het eerste artikel over het onderzoek:

Dit onderzoek laat zien dat goede doelen donateurs profileren en segmenteren waarbij, onder andere op basis van vermogen of leeftijd van de donateur, donateurs getarget worden met (online) marketing. Denk hierbij aan het vinden en targeten van zogenaamde ‘major donors’ en het begeleiden van senioren tot het doen van een nalatenschap aan het desbetreffende goede doel. Veel privacyverklaringen van goede doelen zijn hier niet helder over en het is voor donateurs niet duidelijk op basis van welke verwerkte persoonsgegevens ze getarget worden en hoe men inzage kan krijgen in welke gegevens zijn vastgelegd en hoe men eventueel hiertegen bezwaar kan maken. Als je als donateur niet weet dat dit gebeurt, kun je er ook geen bezwaar tegen maken.

Misdragingen Rode Kruis en andere goede doelen.
In het artikel wordt beschreven hoe het Rode Kruis zich misdraagt. Onder meer plaatst het Rode Kruis tracking cookies zonder toestemming, de (potentiële) donateurs worden niet geïnformeerd over de persoonsgegevens die buiten betrokkenen om worden verzameld (terwijl dat op grond van de AVG moet) en (potentiële) donateurs kunnen niet schenken zonder onnodige persoonsgegevens te verschaffen aan het Rode Kruis.

Ook andere goede doelen schenden de privacy van donateurs.

CBF grijpt niet in
Donateursbelangen schrijft dat de toezichthouder van de goede doelen, het CBF, wel erkent dat de praktijken van de goede doelen de grondrechten van burgers schenden. CBF weigert op te treden en verwijst naar de Autoriteit Persoonsgegevens (terwijl van algemene bekendheid is dat de AP onderbezet en ondergefinancierd is).

Goede doelen horen zich te gedragen
Donateursbelangen besluit het artikel terecht met:

Het is onwenselijk dat non-profitorganisaties dezelfde privacyschendingen toepassen als de big tech for-profit organisaties. Vaker dan door goede doelen gedacht, geldt dat het recht op privacy van donateurs zwaarder weegt dan het belang van het goede doel bij de verwerking van persoonsgegevens.

Het is stuitend dat de malafide praktijken van advertentiebedrijven zoals Facebook en Google worden overgenomen door organisaties die zogenaamd voor goede doelen opkomen.

Alle reden om deze privacyschendende goede doelen niets meer te schenken of na te laten, zou ik zo zeggen.

 

Aan het onderzoek van Donateursbelangen werd in de media onder meer door VPN Gids en security.nl aandacht besteed

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | 2 reacties