Brief Autoriteit Persoonsgegevens over de privatisering criminaliteitsbestrijding | Wwft, bancair sleepnet, plan van aanpak witwassen

Geplaatst op 4 november 2023 door Ellen Timmer

Op verzoek van het ministerie van Financiën stuurde de Autoriteit Persoonsgegevens (AP) een brief over de privatisering criminaliteitsbestrijding naar bedrijven (ook bekend als ‘witwasbestrijding’) aan het ministerie. Op 2 oktober jl. werd een afschrift van deze brief openbaar gemaakt.

In deze brief gaat de AP op een aantal onderwerpen in.

Grondrechten en de privatisering van de criminaliteitsbestrijding
Allereerst wordt onder het kopje ‘Wettelijke context’ besproken hoe de privatisering van de witwasbestrijding zich verhoudt tot de gegevensbescherming. De AP legt uit dat de criminaliteitsbestrijdende maatregelen niet verder mogen gaan dan nodig:

pagina 2


Het bancaire sleepnet
Vervolgens bespreekt de AP het bancaire sleepnet, het plan van de banken om samen alle financiële transacties van alle klanten (dus ook alle consumenten / burgers) te monitoren. Daarover zegt de AP dat de vijf grootste Nederlandse banken, met een marktaandeel van 90%, alle transacties van particulieren en bedrijven (natuurlijke personen en entiteiten) gaan analyseren. Dat gebeurt geautomatiseerd, structureel, continu, ongedifferentieerd en centraal. Het is een enorme omvangrijke, permanente verwerking van persoonsgegevens, waaruit een gedetailleerd profiel van iedere burger kan worden gedestilleerd. Dat is ongewenst, zeker nu het bestaande systeem van klantenmonitoring al een grote inbreuk is op de gegevensbeschermingsrechten. Het wetsvoorstel bevat een cumulatie van inbreuk makende maatregelen, terwijl slechts een klein percentage van de financiële transacties is te relateren aan criminaliteit (‘witwassen’).
De AP constateert dat op dit moment niet eens bekend is hoe het huidige monitoringsysteem functioneert en of het effectief is en de noodzaak voor wijziging niet kan worden onderbouwd. Het gaat veel te ver dat elke afwijking van een standaardpatroon wordt onderzocht. De conclusie van de AP is dat de voorstellen niet proportioneel zijn. De complete tekst:

pagina 2

pagina 3

pagina 4

pagina 5

De onomkeerbare gevolgen van de kabinetsplannen (‘irreparabel’)
Vervolgens gaat de AP in op de door de autoriteit gehanteerde kwalificatie ‘irreparabel’ en legt uit dat het opnemen van de 100 euro limiet bij consumenten niets verandert aan de disproportionaliteit van het sleepnet-voorstel:

De-risking
De AP gaat in op de schadelijkheid van de voorstellen voor (potentiële) klanten, onder het kopje ‘Uitsluiting en risico’s op discriminatie’:

Het huidige systeem van privatisering van de criminaliteitsbestrijding leidt al op grote schaal tot ‘de-risking’. Financiële instellingen hebben nl. geen zin in klanten waarvan zij denken dat de Wwft-naleving duur zal zijn. Dat zal met een bancair sleepnet en de voorgestelde ‘navraagplicht’ alleen maar erger worden.

De rol van de toezichthouders bij het waarborgen van grondrechten (zoals gegevensbescherming)
In het afsluitende deel van de brief wordt aandacht besteed aan de rol die de AP heeft bij het waarborgen van de grondrechten van burgers zoals zijn vastgelegd in de AVG en het Europese Handvest. Daarbij is van belang dat ook voor nationale wetgeving geldt dat deze de grondrechten moet respecteren (de grondslag moet ‘rechtmatig’ zijn). Daarbij heeft het Europese Hof het laatste woord:

pagina 6

pagina 7

Het is te hopen dat het nieuwe kabinet, als dat met de privatisering van de criminaliteitsbestrijding aan de slag gaat, aandacht zal besteden aan dit advies.

 

NB Aangezien de brief van de AP niet machineleesbaar was heb ik plaatjes gemaakt van de teksten met de bijbehorende voetnoten.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , , , , | Plaats een reactie

Een oceaan van medische persoonsgegevens waar iedereen in kan vissen: ‘datalek by design’ in de zorg

Geplaatst op 3 november 2023 door Ellen Timmer

In het artikel ‘Datalek by design’ in de zorg laat burgerrechtenorganisatie Privacy First weten zeer bezorgd te zijn over de grenzeloze behoefte aan persoonsgegevens in de medische sector. Men schrijft onder meer:

‘Privacy by design’ oplossingen staan in de weg van het belangrijkste doel: een oceaan van data waar iedereen in kan vissen.

In dezelfde zin Jona Walk tijdens een presentatie bij een bijeenkomst over het thema privacy in Europa, lees het verslag van de bijeenkomst en haar artikel Medische privacy onder druk.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Activisten en demonstranten worden gemonitord door Europol | webinar EDRi/Statewatch 7 november

Geplaatst op 2 november 2023 door Ellen Timmer

Het demonstratierecht wordt in Europa ondergraven, zo constateren burgerrechtenorganisaties EDRi (samenwerkingsverband privacy organisaties) en Statewatch. Zij organiseren op 7 november a.s. een webinar over de manier waarop de Europese politie not-for-profit organisaties en activisten in de gaten houdt.

Lees de aankondiging Webinar: Activists and NGOs under watch! Are you in Europol’s databases? (vertaling: “Webinar: Activisten en not-for-profit organisaties in de gaten gehouden! Sta je in de databases van Europol?”).

 

 

Aanvulling 11 december 2024
Zie over Nederland de antwoorden op Kamervragen naar aanleiding van het rapportIn beeld bij de politie: camerasurveillance bij vreedzaam protest in Nederland‘ van Amnesty International, door hen bekend gemaakt op 16 oktober 2024. Op 9 december jl. werden vragen beantwoord naar aanleiding van de bevindingen van Amnesty International over het gebruik van gezichtsherkenning en andere biometrische surveillancetechnologieën door de Nederlandse politie.

Geplaatst in Europa, Grondrechten | Tags: , , , , , , , | Plaats een reactie

Standpunt Europees parlement over surveillance voorstel Commissie | chatcontrol

Geplaatst op 1 november 2023 door Ellen Timmer

Op 26 oktober jl. was een persconferentie over het surveillance voorstel van de Europese Commissie, ook bekend onder de naam ‘chatcontrol‘. De video van de conferentie is hier te vinden. Bij het afsluiten van dit bericht kon ik bij de LIBE commissie geen persbericht van het Europees parlement over de conferentie vinden.

Berichten over de persconferentie
Security.nl schreef op 30 oktober jl.: Europees Parlement tegen Brussels plan voor client-side scanning. Wel willen de europarlementariërs leeftijdsverificatie. De mensen die reageren op het security.nl bericht constateren terecht dat het idee van leeftijdsverificatie door de asociale media een zwak punt is in de opvatting van de europarlementariërs, hoe doe je dat zonder de datagraaiers teveel persoonsgegevens te verschaffen?

Ook AG Connect doet verslag: Europees Parlement over anti-kinderpornowet: client-side scanning van tafel. Daarin wordt geconstateerd dat het Europese parlement nog moet stemmen (13 november) en dat ook de Raad van Europa er nog iets van moet gaan vinden.

Mijn zoekactie leverde verder een Zweedstalig artikel op, volgens de machinevertaling constateert de auteur, Henrik Alexandersson, dat we er met de kritiek vanuit het parlement nog lang niet zijn. Hij schrijft:

Als het oorspronkelijke voorstel van de Commissie niet sneuvelt in de Raad van Ministers, zal het voortleven in de triloogonderhandelingen tussen de Raad, het Parlement en de Commissie.
In trilogen wordt alles achter gesloten deuren gedaan – en het resultaat van een compromis kan daar onmogelijk beter zijn dan wat het Europees Parlement zojuist op tafel heeft gelegd. Waarschijnlijk veel slechter.
Op 13 november zal de LIBE-commissie van het Europees Parlement stemmen om haar nieuwe standpunt te bevestigen.
Op 4-5 december is er weer een vergadering van de Raad van Ministers, voorafgegaan door de EU-Raad op 1 december.

Heeft de nieuwe generatie politici en ambtenaren maling aan de grondrechten?
Privacy expert Jeroen Terstegge schreef op linkedin terecht:

Het lijkt wel of de nieuwe generatie politici en ambtenaren hun jurisprudentie niet kent of wil kennen. Het Europese Hof houdt niet van ‘blanco surveillance’, noch van het ontbreken van essentiële waarborgen. 👇

* Digital Rights Ireland, 2014: https://eur-lex.europa.eu/legal-content/nl/TXT/?uri=CELEX:62012CJ0293
* Quadrature du Net: 2020: https://eur-lex.europa.eu/legal-content/nl/TXT/?uri=CELEX:62018CJ0511
* Schrems II, 2020: https://eur-lex.europa.eu/legal-content/nl/TXT/?uri=CELEX:62018CJ0311

Maar ja, dan moet iemand weer naar de rechter….. Wel grote kans dat de wet, als die er komt,  ongeldig wordt verklaard.

 

Aanvulling 5 januari 2024
Netzpolitik berichtte 4 januari: EU-Bürgerbeauftragte untersucht Europols Lobby-Drehtür, over Europol medewerkers die naar een lobbyorganisatie voor chatcontrol zijn overgestapt. Netzpolitik volgt het onderwerp.
Overigens las ik dat de Europese Commissie vastbesloten is met het wetgevingsvoorstel door te gaan.

Eerder negeerde de Nederlandse regering al de motie Van Ginneken, lees de brief.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Undermining Democracy: The European Commission’s Controversial Push for Digital Surveillance | chatcontrol

Geplaatst op 1 november 2023 door Ellen Timmer

Tech expert Danny Mekić on 13 October published his article Undermining Democracy: The European Commission’s Controversial Push for Digital Surveillance. He explains that the European Commission wants to turn digital communication apps, such as WhatsApp, iMessage, Instagram, TikTok and X, into mass surveillance tools so that digital communications of all EU citizens, including their live conversations, photos and videos, can be automatically scanned for criminal offences.

These unwise European proposals are known under the name ‘chatcontrol’ or ‘client side scanning’ or ‘CSAM’ (Child Sexual Abuse Material), read the articles on this blog.

 

Addition 31 January 2024
Interesting article: Bugs in our pockets: the risks of client-side scanning, Journal of Cybersecurity, 2024, 1–18. Abstract (marking by me):

Abstract
Our increasing reliance on digital technology for personal, economic, and government affairs has made it essential to secure the communications and devices of private citizens, businesses, and governments. This has led to pervasive use of cryptography across society. Despite its evident advantages, law enforcement and national security agencies have argued that the spread of cryptography has hindered access to evidence and intelligence. Some in industry and government now advocate a new technology to access targeted data: client-side scanning (CSS). Instead of weakening encryption or providing law enforcement with backdoor keys to decrypt communications, CSS would enable on-device analysis of data in the clear. If targeted information were detected, its existence and, potentially, its source would be revealed to the agencies; otherwise, little or no information would leave the client device. Its proponents claim that CSS is a solution to the encryption versus public safety debate: it offers privacy—in the sense of unimpeded end-to-end encryption—and the ability to successfully investigate serious crime. In this paper, we argue that CSS neither guarantees efficacious crime prevention nor prevents surveillance. Indeed, the effect is the opposite. CSS by its nature creates serious security and privacy risks for all society, while the assistance it can provide for law enforcement is at best problematic. There are multiple ways in which CSS can fail, can be evaded, and can be abused.

Geplaatst in English - posts in English on this blog, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | 1 reactie

Voorstellen aanpassing privatisering criminaliteitsbestrijding controversieel verklaard | Wwft, plan van aanpak witwassen

Geplaatst op 31 oktober 2023 door Ellen Timmer

Op 17 oktober jl. is een lijst bekend gemaakt van controversiële onderwerpen zoals vastgesteld door de Tweede Kamer. Op die lijst staan ook een aantal items over de privatisering criminaliteitsbestrijding (‘witwasbestrijding’):

  • Voorstel Wet plan van aanpak witwassen (bancair sleepnet, navraagplicht), dossier 36228.
  • Brief 17 mei 2023 Voortgang beleidsagenda aanpak witwassen (31477-90).
  • Brief 2 oktober 2023 Beantwoording Autoriteit Persoonsgegevens Wetsvoorstel Plan van aanpak (2023Z16444).
Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , | 2 reacties

Vraag over de vergunningplichtige statutaire bestuurder van de Wtt 2018

Geplaatst op 31 oktober 2023 door Ellen Timmer

Naar aanleiding van mijn bericht van 6 oktober jl., Iedere statutair bestuurder die van meer dan één rechtspersoon bestuurder is, heeft straks een Wtt 2018 vergunning nodig, kreeg ik de volgende vraag (met aan het slot een compliment, leuk!):

Naar aanleiding van uw blogpost d.d. 6 oktober 2023 over de verruiming van de toepasselijkheid van de Wtt 2018 zou ik graag uw standpunt willen weten over het volgende.

In uw blogpost geeft u aan dat met het wetsvoorstel Wijzigingswet financiële markten 2024 de toepasselijkheid van de Wtt 2018 uitgebreid zal worden tot iedereen die statutair bestuurder is van meer dan één rechtspersoon.
Ik vraag mij af of dat zo is. Dit baseer ik op het volgende.

1. Criterium van overwegend administratief bestuur: in de memorie van toelichting bij het wetsvoorstel wordt over de inhoud van de bestuurdersrol het volgende benoemd:

Het doet er daarbij niet toe of het optreden plaatsvindt op basis van een opdrachtovereenkomst of een andere overeenkomst zoals een arbeidsovereenkomst – de kern is dat een persoon of rechtspersoon diensten aanbiedt om rechtspersonen of vennootschappen (vooral) administratief te besturen. Of hier sprake van is, kan onder meer blijken uit het karakter van de werkzaamheden die als bestuurder verricht moeten worden, het type rechtspersonen of vennootschappen waarvoor de bestuursactiviteiten worden verricht of het aantal rechtspersonen of vennootschappen waarvoor, al dan niet middels een arbeidsovereenkomst, de bestuurlijke activiteiten worden verricht.

Ik lees uit deze passage dat (slechts) een bepaalde soort van bestuur (overwegend administratieve taken) hier vergunningsplichtig gemaakt zal worden.

2. (Extra) criterium van zakelijke relatie. Een zakelijke relatie is volgens art. 1 Wtt 2018 zakelijke, professionele of commerciële relatie tussen een trustkantoor en een natuurlijke persoon, een rechtspersoon of een vennootschap, [..]. De bewoordingen zakelijk, professioneel dan wel commercieel zouden geïnterpreteerd worden als de eis van een (aparte) overeenkomst op grond waarvan de trustdienst verleend wordt, als er (tevens) een arbeidsovereenkomst is gesloten tussen de bestuurder en de client.

In de MvT wordt benoemd dat de nieuwe aanvulling “ten behoeve van” ook middels een arbeidsovereenkomst kan zijn, maar “ten behoeve van” en “cliënt” (lees: diegene met wie er een zakelijke relatie is aangegaan” zijn twee van elkaar losstaande eisen. Althans, een arbeidsovereenkomst is op zichzelf niet per definitie zakelijk, professioneel dan wel commercieel.

Vanuit deze redenering kan worden gesteld: Statutair bestuurder A heeft een arbeidsovereenkomst met BV B, maar een (aanvullende) overeenkomst tot dienstverlening met een zakelijk/commercieel/professioneel karakter over het bestuurderschap ontbreekt. Is er dan nog sprake van een trustdienst?

Graag zou ik van u willen vernemen of u zich kunt vinden in deze argumenten.
Overigens moet ik bekennen dat ik uw blog met plezier volg.

Mijn reactie:

Dank voor uw vraag. Helaas ontbreekt mij de tijd om dit soort thema’s juridisch uitgebreid uit te werken.

U verwijst naar de memorie van toelichting bij het wetsvoorstel en naar de ‘zakelijke relatie’ in de Wtt 2018 (ws. gebaseerd op dezelfde term in de Wwft).

Het ministerie van Financiën, verantwoordelijk voor zowel de Wtt 2018 als de Wwft, is onvoldoende op de hoogte van het burgerlijke recht. In het Nederlandse rechtspersonenrecht (boek 2 BW) bestaat geen ‘administratief’ bestuurder. Alle statutair bestuurders van rechtspersonen zijn volledig verantwoordelijk voor wat er in de rechtspersoon gebeurt. Juridisch bestaat ‘administratief’ besturen dus niet. Het statutaire bestuur is verantwoordelijk voor een goede administratie en voor het door de rechtspersoon voldoen aan de algemene juridische verplichtingen (zoals het doen van belastingaangifte en het deponeren van de jaarrekening bij het handelsregister).

De argumentatie wordt er door het ministerie van Financiën bij gehaald, omdat het vergunningplichtig maken van statutair bestuurderschap eigenlijk illegaal is. Helaas is er tot nu toe niemand geweest die dit wilde aankaarten, maar dat maakt het niet minder illegaal.

Het begrip ‘zakelijke relatie’ in de Wtt 2018 en Wwft is relevant voor de vraag wie de cliënt is van het trustkantoor respectievelijk de Wwft-plichtige onderneming. Het is niet van belang voor de vraag welke rol de vergunningplichtige statutair bestuurder (= trustkantoor) heeft op grond van het burgerlijke recht.

Ik blijf het daarom mordicus oneens met het standpunt van het ministerie van Financiën. Het vergunningplichtig maken van het zijn van statutair bestuurder is illegaal en leidt tot gekunstelde discussies. Ook de vergunningplicht van domicilieverlening is naar mijn mening illegaal, ook daar zijn er gekunstelde discussies die een gevolg zijn van dat het eigenlijk niet kan.

Het is hoog tijd dat brancheorganisaties uit het bedrijfsleven ophouden met lieve zoete gerritje spelen richting ministerie van Financiën en de illegaliteit van deze vergunningplicht aankaarten.

Geplaatst in Bestuur en toezicht bij rechtspersonen, Financieel recht, onder meer Wft, Wtt, Rechtspersonenrecht, Trustkantoren | Tags: , | Plaats een reactie

“Tienduizenden Nederlanders met terrorismecode in politiesystemen: demonstreren kan al genoeg zijn”

Geplaatst op 30 oktober 2023 door Ellen Timmer

Bij Follow the Money verscheen het artikel van David Davidson, “Tienduizenden Nederlanders met terrorismecode in politiesystemen: demonstreren kan al genoeg zijn“. Het geeft aan hoe zorgelijk het in Nederland met de rechtsstaat is gesteld.

Intro van het artikel:

Tienduizenden Nederlanders die nergens van verdacht zijn, staan vermeld in een terrorismeregister van de politie dat zijn oorsprong kent in de periode na de aanslagen op 11 september in 2001. Dat kunnen ook activisten en demonstranten zijn. ‘Het gaat om veel mensen die op geen enkele manier een bedreiging vormen voor onze rechtsstaat.’

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Sanctieregels | Tags: , , , , , , , | Plaats een reactie

Wanneer gaat het ministerie van Financiën nu eindelijk Bureau Kredietregistratie (BKR) onder handen nemen?

Geplaatst op 29 oktober 2023 door Ellen Timmer

Onlangs is de wetgevingsconsultatie gesloten, waarin het ministerie van Financiën voorstelde alle wensen van het Bureau Kredietregistratie (BKR) te vervullen. Dat was geen goed plan, lees de consultatiebijdrage van Privacy First.

Intussen blijft het klachten regenen over het functioneren van het BKR, het consumentenprogramma Radar besteedde er de afgelopen maand weer aandacht aan, lees:

 

Op dit blog besteed ik regelmatig aandacht aan het BKR, lees de berichten.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

ACM: Effectief digitaal toezicht cruciaal voor verantwoorde digitalisering

Geplaatst op 28 oktober 2023 door Ellen Timmer

Eergisteren stuurde de Autoriteit Consument & Markt (ACM) een nieuwsbericht de wereld in onder de titel ‘Effectief digitaal toezicht cruciaal voor verantwoorde digitalisering‘. Er wordt ook verwezen naar deze pagina met de beleidsuiting (pdf) van de ACM.

In het nieuwsbericht staat dat burgers in het digitale domein beter moeten worden beschermd. Kennelijk is dit de zoveelste oproep van een overheidsinstantie aan het politieke bestuur om de pretenties dat er digitaal wordt opgekomen voor de burger eindelijk waar te maken.

Het is hoog tijd dat toezichthouders zoals ACM en de Autoriteit Persoonsgegevens eindelijk voldoende budget krijgen om de vele digitale zondaars hard aan te pakken.

De beleidsuiting:

Geplaatst in Handelsrecht, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie