IT-expert Lukasz Olejnik published this on mastodon:
We are Large Language Model. Resistance is futile. Your biological and technological distinctiveness will be added to our own. Your individuality will be adapted to service our collective knowledge. You will be assimilated.
Het Nederlands Juristen Comité voor de Mensenrechten (NJCM) kondigde in oktober jl. aan dat zij een community wil starten met het oog op mensenrechten en digitale technologie. Zij gaan vanuit verschillende invalshoeken de grote risico’s van technologische ontwikkelingen beter in beeld brengen en willen onderzoeken welke mensenrechten meer aandacht nodig hebben wanneer het gaat om digitale technologieën.
Degenen die benieuwd zijn naar meer informatie kunnen een mail sturen naar njcm@law.leidenuniv.nl.
Er komt allerlei regelgeving voor cryptovaluta aan, zie onder meer het bericht van DNB Crypto-assets regulation: from patchwork to framework, waarin een speech in het Engels wordt aangekondigd met:
Crypto-assets regulation: from patchwork to framework
“Crypto’s zijn lang een soort experiment geweest, ergens in de marge van het financiële stelsel. Maar crypto’s hebben sindsdien een stormachtige ontwikkeling doorgemaakt en vormen inmiddels zelfs een potentieel risico voor de financiële stabiliteit. Overal ter wereld zijn daarom op nationaal niveau nieuwe regels ingevoerd om beter toezicht te kunnen houden op deze markten en activiteiten. Om de consistentie van die regels en toezicht te bevorderen, heeft de Financial Stability Board een wereldwijd raamwerk met aanbevelingen ontwikkeld. Dit raamwerk verkleint de kans op regelgevingsarbitrage, maar is flexibel genoeg om ruimte te bieden aan landen die verdergaande maatregelen willen nemen – bijvoorbeeld met het oog op risico’s voor de monetaire stabiliteit,” zei Steven Maijoor op 10 oktober 2023 op het Digital Asset Symposium van de Bank of England en de Financial Stability Board.
Dit gaat de cryptovaluta sector duurder maken maar ook zorgen voor een vorm van respectabiliteit, waarvan ik me afvraag of dat terecht is. Verder zijn overheden verheugd dat er een nieuw belastingheffingsobject bij komt.
Burgerrechtenorganisatie Privacy First maakt zich zorgen over Europese voorstellen die er voor gaan zorgen dat financiële persoonsgegevens ruim worden verspreid, lees hun artikel:
Privacy First bepleit terughoudendheid bij het verspreiden van financiële persoonsgegevens
Inbreng bij het parlementair overleg over Europese open finance verordening (‘FIDA-verordening’)24 oktober 2023
Op 5 oktober jl. heeft Privacy First bij de commissie Financiën van de Tweede Kamer aandacht gevraagd voor de risico’s verbonden aan het voorstel voor de Europese verordening raamwerk delen financiële klantdata, de ‘FIDA-verordening’ [1]. De Nederlandse regering is positief over het voorstel [2], terwijl daarvoor volgens Privacy First geen reden is, nu de onderbouwing en het doel van het voorstel mager is, afgezet tegen de risico’s voor de privacy en rechtspositie van burgers. Privacy First vindt het al met al dan ook jammer dat gekozen wordt voor nog meer datadeling van financiële gegevens van burgers, zonder dat er duidelijke aanwijzingen zijn dat burgers wier data het betreft hier behoefte aan hebben.
Het voorstel voor de FIDA-verordening borduurt voort op de onder de herziene Betaalrichtlijn (PSD2) geïntroduceerde mogelijkheden voor klanten van banken om toegang tot hun betaalrekeningen te verlenen. Uit de Nederlandse evaluatie van PSD2 [3] bleek dat het gebruik van de nieuwe PSD2-diensten gering is.
Privacy First ziet onder het voorstel duidelijke risico’s voor de privacy en rechtspositie van burgers. Toegang tot financiële data heeft grote waarde voor zowel commerciële partijen als overheidsinstanties, zodat een druk kan ontstaan op burgers om deze datadeling ook daadwerkelijk mogelijk te maken.
De argumenten dat het grootschalige datadelen aan burgers ten goede zou komen, maken geen geloofwaardige indruk. De meeste financiële partijen geven klanten al online en real-time toegang tot hun data en het is voor klanten niet lastig die data desgewenst zelf te verstrekken aan derde partijen. Burgers houden op deze wijze beter grip op hun data dan onder de voorstellen.
Privacy First maakt zich zorgen over de toenemende en grootschalige verspreiding van financiële data van burgers, zonder dat betrokkenen goed kunnen overzien waar deze data terechtkomen, waarvoor de data gebruikt worden en aan welke partijen in binnen- en buitenland de data verder verstrekt worden. In tegenstelling tot wat de Europese Commissie stelt, lijkt dit voorstel kortom niet bij te dragen aan betere bescherming van financiële data noch tot meer regie bij de eigenaren van deze data.
Op 6 oktober werden vragen van de leden van de commissie Financiën openbaar [4], waaruit helaas niet blijkt dat de leden van de commissie zich voldoende bewust zijn van de risico’s die aan het voorstel voor de FIDA-verordening zijn verbonden. Slechts twee partijen namen de moeite om vragen te stellen.
Privacy First beraadt zich nu op verdere actie.
[1] https://finance.ec.europa.eu/digital-finance/framework-financial-data-access_en
[2] https://www.tweedekamer.nl/kamerstukken/detail?id=2023Z17665&did=2023D42859
[3] https://www.rijksoverheid.nl/documenten/rapporten/2022/06/20/evaluatie-psd2
[4] https://www.tweedekamer.nl/kamerstukken/detail?id=2023Z14558&did=2023D41034
Op 4 oktober jl. besliste de Rotterdamse rechtbank dat de Nederlandse wetgever in strijd met Europees recht een pseudo-vergunningenregime voor de cryptovalutasector heeft geïntroduceerd (zoals ik al schreef). Het geeft aan dat het ministerie verantwoordelijk voor deze regelgeving, het ministerie van Financiën, niet bereid is om zich aan Europese regels te houden.
Uit de inhoudsindicatie door de rechtbank:
De rechtbank volgt de cryptodienstverleners in hun standpunt dat de wijze waarop DNB registratieverzoeken beoordeelt in strijd is met de reikwijdte van de door de Europese wetgever in de gewijzigde vierde anti-witwasrichtlijn (AMLD5) neergelegde registratieplicht voor cryptodienstverleners. De kosten van de werkzaamheden van DNB in het kader van de registratieverzoeken die buiten deze reikwijdte vallen, zijn in 2021 ten onrechte aan de cryptodienstverleners doorbelast. De beroepen zijn gegrond. Omdat het rechtmatig in rekening brengen van de toezichtkosten over het jaar 2021 bij de cryptodienstverleners op grond van de thans geldende regelgeving niet mogelijk is, heeft de rechtbank zelf in de zaak voorzien en de besluiten van DNB waarbij zij de toezichtkosten over dit jaar bij de cryptodienstverleners in rekening heeft gebracht, herroepen.
In de uitspraak worden de bezwaren van de cryptovalutabedrijven als volgt samengevat:
3. De cryptodienstverleners voeren als beroepsgrond aan dat de kosten van de beoordeling van de registratieverzoeken door DNB ten onrechte als onderdeel van de kosten van het doorlopend toezicht voor 2021 aan hen zijn doorbelast. Daartoe hebben zij naar voren gebracht dat DNB bij de beoordeling van registratieverzoeken handelt buiten het bestek van het door de Europese wetgever beoogde registratieregime en dat DNB ook niet betwist dat het bedrag dat voor de beoordeling van registratieverzoeken in rekening wordt gebracht niet kostendekkend is. Volgens de cryptodienstverleners bestaat het registratieregime op basis van artikel 47 van de AMLD5 uit twee vereisten, te weten de verplichte registratie en de voorafgaande toetsing op betrouwbaarheid en geschiktheid van de leidinggevenden en uiteindelijk begunstigden. De kosten die gemoeid zijn met het opvragen en bestuderen van alle andere informatie door DNB in het kader van een registratieverzoek kunnen volgens de cryptodienstverleners dan ook niet aan hen worden doorbelast.
De rechtbank overweegt dat in de Nederlandse wet meer wordt gevraagd dan op grond van Europese regels (AMLD5) nodig is:
3.5. De rechtbank stelt vast dat de wettelijk verplicht te verstrekken en te beoordelen gegevens bij een registratieverzoek aanmerkelijk meer en andere gegevens betreffen dan de gegevens die nodig zijn om een aanbieder op grond van artikel 23f van de Wwft te kunnen inschrijven in het openbaar register van aanbieders en om de geschiktheid en betrouwbaarheid van de beleidsbepaler(s) en uiteindelijk belanghebbende(n) van de aanbieder te kunnen toetsen. Daarbij komt nog dat DNB op grond van artikel 3, eerste lid, aanhef en o, van de Uitvoeringsregeling bovenop de in dit artikellid genoemde gegevens andere gegevens en bescheiden kan opvragen die zij in het belang van de registratie nodig acht, wat zij blijkens de toelichting op het door haar gebruikte registratieformulier ook daadwerkelijk doet.
3.6 Hoewel bij de beoordeling van registratieverzoeken op deze wijze door DNB sprake is van een aan haar bij of krachtens de Wwft opgedragen taak en daaruit voortvloeiende werkzaamheden, is daarvoor geen grondslag aanwezig in de AMLD5. Zoals ook de Afdeling advisering van de Raad van State in haar advies van 3 juni 2019 (nr. W06.19.0080/III en TK, 2018-2019, 35245, nr. 4) over de Implementatiewet wijziging vierde anti-witwasrichtlijn heeft opgemerkt, maakt de richtlijn het niet mogelijk om de daarin voorgeschreven registratieplicht vorm te geven als een (verdergaande) vergunningplicht, waarbij er vooraf een toets plaatsvindt of een instelling kan voldoen aan haar Wwft-verplichtingen.
zodat de rechtbank tot onverbindendheid concludeert. De rechtbank verklaart de beroepen gegrond en vernietigt de bestreden besluiten van DNB.
Lees over deze zaak ook het artikel van Simon Lelieveldt: Long story short: Dutch judge finds DNB (Dutch AML-supervisor for crypto) did overstep its mandate in registration verifications and invalidates parts of AML law. In 2019 legde hij al uit waarom de Nederlandse implementatie incorrect is.
Het FD schreef Rechter streept deel rekeningen DNB aan cryptobedrijven weg.
Data brokers are parties unknown to the public that are highly hazardous to citizens because of the uncontrolled data collections they create. They collect information for credit assessment, anti-money laundering and many other purposes.
Recently Financial Conduct Authority (FCA) of the UK fined Equifax Ltd £11 million for role in one of the largest cyber-security breaches in history.
In my opinion, this is not enough. It is high time that there is a licensing regime for all types of data traders and that reliability and integrity tests take place just like in the financial sector
The press release of the FCA:
In 2017, Equifax’s parent company, Equifax Inc, was subject to one of the largest cybersecurity breaches in history. Cyber-hackers were able to access the personal data of approximately 13.8 million UK consumers because Equifax outsourced data to Equifax Inc’s servers in the US for processing.
The UK consumer data accessed by the hackers ranged from names, dates of birth, phone numbers, Equifax membership login details, partially exposed credit card details, and residential addresses.
The cyberattack and unauthorised access to data was entirely preventable. Equifax did not treat its relationship with its parent company as outsourcing. As a result, it failed to provide sufficient oversight of how data it was sending was properly managed and protected. There were known weaknesses in Equifax Inc’s data security systems and Equifax failed to take appropriate action in response to protect UK customer data.
Equifax did not find out that UK consumer data had been accessed until 6 weeks after Equifax Inc had discovered the hack. The firm was informed about the incident approximately five minutes before it was announced by the American parent company. This meant Equifax was unable to cope with complaints it received when the incident was announced and led to delays in contacting UK customers.
Following the cybersecurity breach, Equifax made several public statements on the impact of the incident to UK consumers which gave an inaccurate impression of the number of consumers affected. Equifax also treated consumers unfairly by failing to maintain quality assurance checks for complaints following the cybersecurity incident, meaning complaints were mishandled.
Regulated financial firms must have effective cyber security arrangements to protect the personal data they hold. Firms must keep systems and software up to date and fully patched to prevent unauthorised access and remain responsible for data they outsource.
When an FCA-authorised firm becomes aware of a data breach, it is essential it promptly notifies affected individuals in a way which is fair, clear and not misleading and implements fair complaints handling procedures.
Therese Chambers, Joint Executive Director of Enforcement and Market Oversight, said: ‘Financial firms hold data on customers that is highly attractive to criminals. They have a duty to keep it safe and Equifax failed to do so. They compounded this failure by the ways they mishandled their response to the data breach. Regulated firms are on the hook, regardless of whether they outsource or not.
‘The risk of identity theft never stops. Cyber criminals are sophisticated and innovative; it is imperative that firms maintain the highest standards in data protection.’
Jessica Rusu, FCA Chief Data, Information and Intelligence Officer, said: ‘Cyber security and data protection are of growing importance to the security and stability of financial services. Firms not only have a technical responsibility to ensure resiliency, but also an ethical responsibility in the processing of consumer information. The Consumer Duty makes it clear that firms must raise their standards.’Notes to editors
1. Final Notice.
2. Given the public interest in this matter, the FCA confirmed its investigation into Equifax Ltd in 2017.
3. Equifax Ltd agreed to resolve this matter and qualified for a 30% (Stage 1) discount under the Authority’s executive settlement procedures. Were it not for this discount, the Authority would have imposed a financial penalty of £15,949,200 (before 30% discount) on Equifax Ltd.
4. Equifax Ltd also received a 15% credit for mitigation in acknowledgement of its high level of cooperation during the investigation, the voluntary redress it offered to consumers and the global transformation programme it instituted after the incident.
5. The Information Commissioner’s Office investigated the data breach and imposed a £500,000 fine on Equifax Ltd in 2018.
6. The data outsourced was for the Equifax Identity Verifier and Global Consumer Solutions. The Equifax Identity Verifier product is one of the B2B services Equifax Ltd provides to business customers, which helps businesses to verify and authenticate their customers’ identities. Global Consumer Solutions is a product that gives retail consumers access to their credit reports and it also provides a web monitoring service.
Sinds enige tijd is in Nederland een groepering actief onder de naam ‘Human Rights in Finance’ (HRIF).
Aan deze groep is Simon Lelieveldt verbonden, een deskundige die zich al lang druk maakt over de uitwassen van de privatisering van de criminaliteitsbestrijding, ook bekend onder de naam ‘witwasbestrijding’. Hij was betrokken bij succesvolle acties vanuit de Nederlandse cryptovaluta sector tegen het optreden van de Nederlandse overheid, onder meer de Bunq uitspraak en de recente uitspraak over de onrechtmatigheid van de doorbelasting van kosten door DNB aan cryptovaluta bedrijven (lees daarover het Engelstalig blog door Lelieveldt).
De activiteiten van HRIF zijn breder dan alleen crypto, zo hebben ze aangedrongen op het controversieel verklaren van het plan van aanpak witwassen door de Tweede Kamer, dringen aan op annulering van de Europese verordening die het meesturen van persoonsgegevens bij iedere betaling voorschrijft (door hen de ‘Funds Travel Rule’ genoemd) en hebben de Europese bankentoezichthouder EBA gevraagd om een mensenrechtenaudit uit de voeren op haar richtlijnen.
In een Engelstalig bericht van 14 oktober jl. deelt de organisatie mee dat via een EU-inbreukprocedure intrekking van de onrechtmatige Nederlandse witwasbestrijdingsregels wordt gevorderd. De procedure heeft betrekking op het verkapte vergunningenregime dat Nederland in strijd met Europees recht voor de cryptosector heeft geïntroduceerd. Verder wordt aan de orde gesteld dat de rapportageplicht in Nederland betrekking heeft op ‘ongebruikelijke transacties’ in plaats van op ‘verdachte transacties’, zoals door Europa voorgeschreven.
De Nederlandsche Bank (DNB), de witwasbestrijdingstoezichthouder voor de financiële sector, onder meer de banken, maakte op 18 oktober bekend dat een nieuwe aanpak wordt voorgelegd aan de financiële sector, door middel van het bericht DNB legt nieuwe aanpak witwassen voor aan financiële sector.
Blijkens de titel legt DNB de voorstellen alleen voor aan de ondernemingen onder haar toezicht, terwijl het logisch zou zijn de hele Nederlandse bevolking te consulteren. Misschien vallen zij onder ‘andere belanghebbenden’. Het is verstandig de activiteiten van financiële instellingen en hun toezichthouder met aandacht te bekijken aangezien daar een ongegrond geloof is in wat kunstmatige intelligentie vermag.
Het complete bericht:
DNB legt nieuwe aanpak witwassen voor aan financiële sector
Nieuwsbericht toezicht
Gepubliceerd: 18 oktober 2023Toezichthouder de Nederlandsche Bank legt in een consultatie een nieuwe aanpak voor de bestrijding van witwassen voor aan financiële instellingen en andere belanghebbenden. In een vandaag gepresenteerd beleidsdocument zet DNB uiteen hoe het financiële instellingen meer praktische aanknopingspunten maar ook meer verantwoordelijkheden wil geven bij de vervulling van hun poortwachtersrol in de bescherming van de sector tegen financiële criminaliteit.
Deze meer risicogebaseerde benadering moet helpen de financiële sector schoner te houden, de misdaadbestrijding effectiever, en tegelijkertijd ook helpen voorkomen dat te strenge controles leiden tot het onnodig weigeren of hinderen van klanten.
Financiële instellingen en andere belanghebbenden kunnen tot en met 30 november a.s reageren op de voorstellen. De definitieve versie van het beleidsdocument zal begin 2024 gepubliceerd worden.
De voorstellen van DNB volgen op haar oproep vorig jaar om het voorkomen van financiële criminaliteit op een meer risicogebaseerde manier aan te pakken. Dat gebeurde in het DNB-rapport ‘Van herstel naar balans’, waarin DNB vaststelde dat de huidige praktijk doelgerichter kan worden gemaakt, binnen het wetgevende kader van de Wet ter voorkoming van witwassen en terrorismefinanciering (Wwft).
Financiële instellingen kunnen efficiënter en effectiever te werk gaan in hun controles van klanten en transacties, mede door gebruik van innovatieve technische middelen (bijvoorbeeld door toepassing machine learning technieken) en met meer nadruk op een risicogebaseerd aanpak. Behalve doelgerichter moet de meer risicogebaseerde aanpak ook helpen voorkomen dat strenge controles de toegang voor klanten tot bancaire dienstverlening en het financiële stelsel onnodig in de weg zit.
Na de publicatie vorig jaar van het DNB-rapport ‘Van herstel naar balans’ hebben financiële instellingen en DNB in verschillende rondetafelbijeenkomsten overlegd over de invulling van de vernieuwde aanpak. De Nederlandse Vereniging van Banken (NVB) heeft mede op basis van deze gesprekken eigen standaarden gepubliceerd waarin voorbeelden worden gegeven hoe banken specifieke Wwft-bepalingen kunnen invullen. Het nieuwe beleidsdocument van DNB is gericht op de gehele financiële sector.
Zie ook: Consultatie DNB Q&A en Good Practices Wwft
Zie ook Rapport ‘Van herstel naar balans’, september 2022
Two committees of the European parliament (ECON and LIBE) announced: Anti-Money Laundering Authority: call for host city applications opens. The Authority for Countering Money Laundering and Financing of Terrorism (AMLA) is the non-democratic body that makes rules that private companies with crime-fighting functions (including banks) must abide by.
Read my article on AMLA and the system (created by the AML package) it will be part of: EU’s Iron Fist – Europe authoritarianly steamrolls over national supervisors and obliged entities.
The AML package is sold with tough narratives, such as ‘Stopping the flow of dirty money, that disguise the fact that fundamental rights of citizens will be violated and that the system does not take into account the understandability of the rules and and the practicability of the obligations for private companies.
In de Verenigde Staten is de handel in financiële persoonsgegevens al heel groot.
Lees bijvoorbeeld How Mastercard sells its ‘gold mine’ of transaction data (Hoe Mastercard zijn goudmijn aan transactiegegevens verkoopt).
Europese banken kijken hier verlekkerd naar. Ze moeten de transacties al analyseren voor de misdadbestrijding (wat geld kost), het is natuurlijk nog leuker om er geld mee te verdienen.
Privacy International signaleerde de trend al in 2017, zie Case Study: Fintech and the Financial Exploitation of Customer Data (Casestudie: Fintech en de financiële exploitatie van klantgegevens), dat ze introduceren met (machinevertaling) [*]:
Financiële instellingen verzamelen en gebruiken steeds meer gegevens over ons gedrag, onze interesses, netwerken en persoonlijkheden om financiële beslissingen over ons te nemen, zoals onze kredietwaardigheid.
Financiële instellingen zoals verzekeraars, kredietverstrekkers, banken en startups van financiële mobiele apps verzamelen en gebruiken steeds meer gegevens om beslissingen over mensen te nemen.
Europa is druk bezig met open finance en verliest de grondrechten uit het oog, zie de open finance artikelen op dit blog, onder meer dit.
[*] Oorspronkelijke tekst:
Financial services are collecting and exploiting increasing amounts of data about our behaviour, interests, networks, and personalities to make financial judgements about us, like our creditworthiness.
Increasingly, financial services such as insurers, lenders, banks, and financial mobile app startups, are collecting and exploiting a broad breadth of data to make decisions about people.
Een beschaafde overheid zorgt er voor dat rechtshulp ook bereikbaar is voor mensen met minder geld, zeker omdat de belangrijkste tegenstander diezelfde overheid is!
De advocaten die in deze gespecialiseerde rechtsgebieden actief zijn hebben recht op een fatsoenlijke beloning.
>>> Lees meer over gefinancierde rechtshulp. >>>
Ellen Timmer - juridische artikelen en berichten 