Gebruik van mobiel nummer voor identificatie bevordert fraudemogelijkheden

Geplaatst op 16 september 2023 door Ellen Timmer

Het is vreemd dat mobiele nummers grootschalig voor authenticatiedoeleinden gebruikt worden, terwijl mobiele telefonie nog steeds niet veilig is. Dat wordt onder meer veroorzaakt dat het een consumentenproduct is en de telecomproviders de noodzakelijke kosten voor een betere cybersecurity niet willen maken, omdat de dienst anders te duur zou worden.

Gevolg van de onveiligheid is een oneindige stroom van problemen, onder meer door simswapping en misbruik van nummers, daar schreef ik al eerder over.

De problemen zijn nog steeds niet opgelost, zo blijkt uit het bericht op security.nl: Duitse toezichthouder schakelt 7800 telefoonnummers uit wegens WhatsAppfraude. Het geeft aan dat het tijd wordt dat bij messagingdiensten als whatsapp en Signal het mobiele nummer niet meer wordt gebruikt. Dat maakt het criminelen veel te makkelijk. Hetzelfde geldt voor het gebruik van het mobiele nummer voor allerlei andere diensten.

 

Meer informatie:

Op dit blog besteedde ik eerder aan de cybersecurity risico’s verbonden aan telefonie:

Geplaatst in Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: | Plaats een reactie

Advocaat tegen vals spelende overheid? | verschoningsrecht advocatuur

Geplaatst op 15 september 2023 door Ellen Timmer

Bij Mr. Online verscheen een artikel over een advocaat die strijdt tegen een vals spelende overheid: Tim de Greve grilt cliënt én wederpartij. Hij is de advocaat die bezig is met de zaak tegen de overheid over het verschoningsrecht. Over de procedures waarbij hij is betrokken schreef ik al eerder, onder meer in dit artikel.

Overigens heerst bij wetgevende instanties, onder meer het ministerie van Financiën, de overtuiging dat advocaten hun verschoningsrecht op grote schaal misbruiken. Men wil daarom het verschoningsrecht inperken. Een aantal berichten over wetgevende plannen zijn in mijn rubriek verschoningsrecht te vinden.

 

Aanvulling 27 september 2023
Lees ook dit artikel en de aanvullingen.

Geplaatst in Belastingrecht, Dienstverlening - juridisch financieel [advocaten, accountants, belastingadviseurs e.d.], Grondrechten | Tags: , | Plaats een reactie

Niet-anonieme social media-accounts? Slechte ideeën van Nederlandse politieke partijen | AVG, adtech

Geplaatst op 14 september 2023 door Ellen Timmer

Op security.nl is te lezen welke onverstandige ideeen Nederlandse politieke partijen hebben over de anonimiteit van social media accounts. Lees bijvoorbeeld CDA wil anonieme sociale media-accounts kunnen verbieden en Volt voor digitale euro, Europese digitale ID en pseudonimiteit op social media. Het staat me bij dat ik uit D66-hoek iets soortgelijks heb gehoord.

Het is duidelijk dat deze partijen niets begrijpen van advertentiebedrijven (adtech) en de datagraai economie. In theorie is het niet erg als mensen zich bekend moeten maken, zeker als ze zich online misdragen.

Probleem is dat het zeer ongewenst is als mensen zich bekend moeten maken aan datagraaibedrijven als Google en Facebook.

Zelf heb ik er al moeite mee mijzelf bekend te maken aan kranten en andere media, omdat ze dan vervolgens precies weten wat ik lees. Het beste zou zijn als Google/Facebook c.s. niets meer krijgen, behalve een bevestiging van een betrouwbare derde – bijvoorbeeld die stichting van Bart Jacobs (IRMA/Yivi) – dat betrokkene bekend is en meerderjarig.

Dat soort gedachten lijken niet door te dringen bij politieke lieden die nog analoog denken.

Wat mij betreft moet het nog verder gaan: ik vind dat het verboden moeten worden dat advertentiebedrijven kopieën ID en andere persoonsgegevens verwerken. Alleen een geselecteerde en gescreende groep bedrijven (vergunningplicht) moet deze mogelijkheid hebben, na een zware selectie op integriteit, goede IT, naleving van de AVG en dergelijke.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Conferentie over de financiële toekomst van de aarde | SIBOS-conferentie en de nieuwe SWIFT-berichtenstandaard | financiële surveillance

Geplaatst op 13 september 2023 door Ellen Timmer

Alle topmensen van de financiële wereld komen deze maand bijeen tijdens de SIBOS-conferentie [1] die wordt georganiseerd door SWIFT [2], de internationale berichtendienst ten behoeve van financiële instellingen. SWIFT speelt een essentiële rol in het internationale betalingsverkeer [3], een rol die naar verwachting zal toenemen vanwege de nieuwe berichtenstandaard die per maart van dit jaar is ingevoerd.

Tijdens deze SIBOS-conferentie zal de berichtenstandaard ISO 20022 uitgebreid aan de orde komen.

Nieuwe berichtenstandaard ISO 20022
Over die standaard schreef ik al eerder [4] en over de wensen van Tax Justice Network (TJN), een organisatie die overheidsbeleid promoot, dat het berichtensysteem van SWIFT wordt ingezet bij internationale uitwisseling van  vertrouwelijke gegevens over burgers en organisaties [5]. Het lijkt er op dat de wensen van TJN al door SWIFT worden vervuld, want op de site van SWIFT komt uitgebreid aan de orde dat de transactiegegevens door middel van de nieuwe berichtenstandaard [6] kunnen worden ‘verrijkt’ met extra gegevens, waarvan financiële instellingen en andere gebruikers van SWIFT commercieel kunnen profiteren, doordat het makkelijker wordt om klantprofielen te maken [7]. Ook de grote klanten van financiële instellingen kunnen daarvan profiteren.

Het mes snijdt aan twee kanten, want diezelfde ‘verrijking’ kan er voor zorgen dat financiële instellingen hun overheidstaken op het gebied van misdaadbestrijding beter kunnen vervullen [8].

Bancair sleepnet is internationaal in aantocht
Het Nederlandse bancaire sleepnet van Transactiemonitoring Nederland (TMNL) is een lichtend voorbeeld voor SWIFT, in een artikel [9] schrijft de organisatie (machinevertaling):

De introductie van ISO 20022 zal het screenen een stuk efficiënter maken, door rijkere gegevens over transacties te verstrekken en het aantal fout-positieven te verminderen, maar het screeningsproces kan nog verder worden verbeterd door dubbel werk te verminderen.
Andere gebieden van compliance met financiële criminaliteit hebben laten zien wat er mogelijk is als de sector samenwerkt aan gegevens, platforms en gebruiksconcepten – enkele voorbeelden zijn Transaction Monitoring Nederland, Project COSMIC in Singapore en de Fintel Alliance in Australië.

In hetzelfde artikel wordt gezegd dat misdaadbestrijding door het door financiële instellingen uitwisselen van klantgegevens de toekomst heeft. SWIFT laat weten dat haar berichtenstandaard er klaar voor is.

Over de positie van de burger en het midden- en kleinbedrijf kwam ik niets tegen.

Surveillance maatschappij is in aantocht
Praktisch kan de verrijking van transactiegegevens neerkomen op financiële surveillance van iedere burger en organisatie. Het kan er voor zorgen dat de macht van financiële instellingen nog meer wordt vergroot. Verder zullen de gegevens over de hele aardbol worden uitgewisseld, zonder aandacht voor de vraag of de gegevens in al die buitenlanden wel veilig en vertrouwelijk zijn.

Niet voor niets stond recent in de Financial Times: “In de komende twee jaar zal al het financiële in ons leven worden gedeeld” (blog). Dat is de trend.

 

NB Details over welke gegevens verwerkt worden en wie toegang krijgt tot de gegevens, trof ik in de door mij geraadpleegde bronnen niet aan. Ik heb geen toegang tot het besloten deel van SWIFT, waarin de documentatie inzake ISO 20022 is te vinden.

 

Noten

[1] Bekijk het programma van de conferentie die op 18 tot en met 21 september a.s. plaats vindt.
[2] Hun site is swift.com.
[3] Lees mijn berichten over SWIFT.
[4] ISO-standaard voor SWIFT-messaging, 9 juli 2023.
[5] Tax Justice Network stelt voor gegevens van uiteindelijk belanghebbenden en andere persoonsgegevens mee te sturen met iedere betalingstransactie | SWIFT-messaging, AML, CFT, witwasbestrijding, 19 april 2023.
[6] Meer informatie over de nieuwe standaard op de pagina About ISO 20022. Op diverse plaatsen is informatie over de voordelen van de nieuwe standaard te vinden. Helaas zitten de details in het besloten deel van SWIFT verstopt.
[7] Zie over de commerciële mogelijkheden van de rijkere transactiegegevens onder meer het key documents overview:

Since March 2023, the way the Swift community exchanges payments messages has been transformed with ISO 20022. This promises to unlock huge opportunities for financial institutions, such as boosting operational efficiency, enhancing customer experience, and enabling innovative new services.

Pagina over de standaard:

Thanks to its structured and richer data elements, ISO 20022 enables counterparties, intermediaries, and beneficiaries to increase automation in transaction processing, reducing costly manual interventions, and improving visibility on cash flows and cash positions, for example, in payment transactions. It provides banks with better insight into the business purpose of a financial transaction, enabling the provision of improved value-added services.
Businesses, as payment users, can gain more insight from their payments data into the behaviours and choices of their customers, as more complete and accurate party data leads to more effective and efficient screening, compliance, and anti-money laundering (AML) processes. Lastly, payments scenarios such as ‘Payment on Behalf of’ (POBO) can be fully supported, avoiding complex workarounds.

Pdf How ISO 20022 is transforming the language of payments:

The next stage of transformation will come from better-quality data in those payments. This will further improve the efficiency, speed and compliance of payments, enabling better customer experience and opportunities for new client services. (…)
For example SWIFT traffic shows 72-94% of party data fields in payments use free-format options with unstructured data to identify parties, with potentially vague or missing critical information needed to effectively screen and process payments. Financial institutions cite up to 10% of payments requiring manual intervention as a consequence. (…)
Moving to better quality data in payments is important, bringing significant benefits in increased automation, faster processing, more effective reconciliations, improved mitigation of financial crime risk, and better data-driven insights on the purpose and context for payments. Better data is also a platform for innovation, enabling banks and third parties to offer new, value-added services for customers. Improvements in data need to happen consistently and end-to-end across client payment initiation, domestic payment systems, financial institutions and their payments providers.

en verder op:

• It provides banks with better insight into the business purpose of a payment, enabling improved value-added services to be offered.
• It enables businesses as payment users to gain more insight from their payments’ data regarding the behaviours and choices of their own customers.
• More complete and accurate party data leads to more effective and efficient screening, compliance and anti-money laundering (AML) processes.

Het enthousiasme is groot over de extra klantinformatie die met de berichtenstandaard kan worden gegenereerd, zie bijvoorbeeld deze pagina:

Financial institutions have a lot to gain by capturing more customer information and seeking broader insights into their customers so they can provide timely and new services. But first, you need a clearer understanding of your customers’ payment activity and the purpose of different payments. (…)

* Gain more insights into customer behaviour – By using purpose codes and business service codes in the dedicated data elements, you can better identify trends in your customers’ payment activity. With more information about who customers are transacting with and why, you can suggest additional products or services, and identify areas of improvement. For example, by identifying tuition fee payments, you could run a campaign to guide students towards accessing unclaimed benefits, student loans or non-financial services such as job search support.

In maart 2023 schrijft SWIFT:

The payments industry continues its rapid evolution. The adoption of the ISO 20022 data standard is helping speed up the move towards greater integration and digitisation of the entire payments space. It’s also supporting the drive for enhanced interoperability, and creating more visible, useable data and analytics. All of this is helping banks better understand their customers, how best to serve them, and ultimately creating better outcomes for the industry as a whole.
The starter’s pistol is ready and we’ll soon be out of the blocks for the global migration of cross-border payments to the ISO 20022 standard, beginning in March 2023. We have several exciting years ahead, as we move towards the final destination of having all domestic and cross-border payments using rich and structured data. (…)

Some of the questions banks should be asking themselves, Schmidt said, are: “What can I do for my clients when I have an understanding of who they transact with, when they transact, and how they transact? What actionable information can I extract from this rich and structured data?”
We’ve only started scratching the surface of these questions as an industry. That’s why, alongside the very real benefits of adopting ISO 20022 for payments now, banks can also look forward to exciting new possibilities in the future.

[8] Op de pagina over ‘financial crime compliance’ (‘FCC’) worden onschuldige voorbeelden over verwarringwekkende plaatsnamen en namen gegeven.
Over andere FCC functionaliteit wordt gezwegen, terwijl die er ongetwijfeld in zal zitten. Op een andere paging wordt aangegeven dat het gegevensdelen tussen financiële instellingen door de nieuwe berichtenstandaard wordt gefaciliteerd:

The more opportunities we have to share data, centralise important compliance process documentation, and bring the global financial community together, the better it is for everyone. 
By sharing Know Your Customer (KYC) information, banks can better understand potential risks associated with their counterparts, react to situations more quickly, and make more informed decisions about how to evolve those relationships in the future. 

en elders:

A significant reduction in false positives
Structured data also means improved compliance processes. “We anticipate a significant reduction in false positives,” Schmidt said. A false positive is akin to a false alarm, flagging as risky transactions that are actually innocent. When working with huge amounts of data and screening for sanctioned entities, for example, false positives are a significant issue because they require time, cost, and human effort to investigate and process.
“Having structured data allows banks to make sure that all their compliance processes are correctly aligned while the payment is in process, as well as after the transaction is completed,” Schmidt said. (…)
The ISO 20022 standard is predicted to eliminate a significant portion of false positives, thereby saving banks money and allowing valuable resources to be directed toward analysing real risks. “The breadth of identifiers that can be embedded in the payments allows us to improve the quality of the risk checks we do. That means, for one, you eliminate the noise, which means eliminating costs. And, you can then spend a lot more energy on the risks you actually want to identify,” Schmidt said.

[9] De originele tekst, afkomstig uit het artikel Addressing sanctions friction in an instant payments world, luidt:

The introduction of ISO 20022 will go a long way towards making screening more efficient, providing richer data on transactions and reducing false positives, but the screening process could be enhanced even further by reducing duplication. 
Other areas of financial crime compliance have shown what is possible when the industry collaborates on data, platforms and utility concepts – some examples being Transaction Monitoring Netherlands, Project COSMIC in Singapore, and the Fintel Alliance in Australia.

 

Meer informatie: lees de  berichten op dit blog over open finance, financiële surveillance en financiële mensenrechten.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

De integriteit van aanbieders van inlogmiddelen is niet gewaarborgd | Wet digitale overheid

Geplaatst op 12 september 2023 door Ellen Timmer

De Wet digitale overheid (Wdo) is op 12 mei jl. gedeeltelijk in werking getreden en moet het juridische kader gaan worden voor de aanbieders van ‘inlogmiddelen’, dat zijn digitale sleutels waarmee toegang kan worden verkregen tot onder meer besloten overheidssites.

Inlogmiddelen

DigiD
Het ‘DigiD’ is een voorbeeld van zo’n inlogmiddel. Vroeger was het niet meer dan inlognaam en wachtwoord (zeer onveilig!). Tegenwoordig is het veiliger vanwege meerfactorauthenticatie: gebruikers kunnen op hun smartphone een app installeren en zich via hun identiteitsbewijs identificeren [1] en vervolgens met hulp van de app inloggen op onder meer de site van de Belastingdienst.

Private inlogmiddelen
Het DigiD is een publiek inlogmiddel, een inlogmiddel door de overheid uitgegeven. Bedoeling van de Wdo is dat er private ondernemingen inlogmiddelen mogen uitgeven. In de oorspronkelijke versie van de Wdo [2] was wel gedacht aan technische en organisatorische eisen aan de private aanbieders, maar niet aan integriteitstoetsing of aan de mogelijkheid dat grote Amerikaanse datagraaiers zich ontfermen over de persoonsgegevens van Nederlandse burgers. Gelukkig was het parlement alert en kwam er een aanvullende wet (‘novelle’) [3] waarin de eisen aan de private aanbieders werden aangescherpt. Ten opzichte van de oorspronkelijke tekst van de Wdo is een en ander duidelijk verbeterd (wijzigingen in artikelen 9 en 11), maar het is de vraag of het genoeg is.

Hierna bespreek ik de relevante passages uit de Wdo en het ontwerpbesluit.

Toetsing van private aanbieders

Artikel 9 Wdo (nog niet in werking getreden) bevat in de definitieve tekst bepalingen over integriteit, in lid 4 staat:

4. Een houder van een erkenning als bedoeld in het tweede of derde lid voldoet aan de voor hem bij of krachtens algemene maatregel van bestuur gestelde eisen en aan de aan de erkenning verbonden voorschriften en beperkingen. De eisen behelzen in ieder geval een leveringsplicht en regels inzake te hanteren tarieven.

en in het zesde lid is onder meer opgenomen:

6. Onze Minister weigert een erkenning indien: (…)

c. de aanvrager niet aannemelijk heeft gemaakt dat met de erkenning geen inkomsten worden verkregen uit het gebruik, verhandelen of verstrekken van gegevens over gebruikers of authenticatie van gebruikers, anders dan voor het doel waarvoor de erkenning wordt verleend;  (…)

e. zwaarwegende redenen zich tegen erkenning verzetten, waarvan in ieder geval sprake is wanneer ernstig gevaar bestaat voor de cyberveiligheid of staatsveiligheid of in geval ernstig gevaar bestaat dat de erkenning mede zal worden gebruikt om strafbare feiten te plegen of uit strafbare feiten verkregen of te verkrijgen voordelen te benutten of anderszins de betrouwbaarheid en veiligheid van het Nederlandse stelsel voor elektronische dienstverlening in gevaar komt.
Alvorens te beslissen op een aanvraag kan het Bureau bevordering integriteitsbeoordelingen, bedoeld in artikel 8 van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur, om een advies als bedoeld in artikel 9 van die wet worden gevraagd.

Een gelijksoortige tekst als in artikel 9 lid 6 is te vinden in artikel 11 lid 8.

De eisen aan de private aanbieders van inlogmiddelen worden verder uitgewerkt in een ministeriële regeling. Voor zover ik heb kunnen nagaan is het ontwerp van 18 januari 2022 [4] de meest recente versie. In artikel 7 van het ontwerp staat dat er nadere eisen worden gesteld met betrekking tot onder meer:

m. de integriteit en kwalificaties van het bestuur van de organisatie van de aanbieder van het identificatiemiddel en van het personeel dat betrokken is bij de inzage of het beheer van identificatiemiddelen;

Apart is dat uit artikel 9 blijkt dat iedere bij het handelsregister ingeschreven onderneming een aanvraag kan doen, dus ook éénmanszaken:

Een aanvraag wordt ingediend door een rechtspersoon of onderneming in de zin van de Handelsregisterwet 2007.

Blijkens artikel 10 gaat de aanvraag onder meer vergezeld van:

b. een beschrijving van de organisatie van de rechtspersoon of onderneming en de wijze waarop de zeggenschap daarbinnen is georganiseerd;

Raadpleging van het Landelijk Bureau BIBOB is in artikel 30 van het ontwerp geregeld:

Alvorens te beslissen over het wijzigen, schorsen of intrekken van een erkenning vanwege zwaarwegende redenen als bedoeld in artikel 9, zesde lid, van de wet, kan aan het Bureau bevordering integriteitsbeoordelingen door het openbaar bestuur, bedoeld in artikel 8 van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur, om een advies als bedoeld in artikel 9 van die wet worden gevraagd.

Integriteit is onvoldoende gewaarborgd

Ik vind het hiervoor beschreven systeem onvoldoende. Nu persoonsgegevens het ‘nieuwe goud’ zijn, dienen aan aanbieders van inlogmiddelen veel hogere eisen te worden gesteld, zoals we ook kennen uit het financiële recht. Daar vindt toetsing op integriteit plaats van vermogensverschaffers (aandeelhouders, financiers e.d.) en toetsing van bestuurders en commissarissen op integriteit en vakkennis. Verder is toetsing van personen met belangrijke posities, zoals systeembeheerders, gewenst.

Er dient altijd toetsing plaats te vinden
Het systeem van artikel 9 lid 6  sub e. Wdo is dat de vergunningverlenende instantie advies aan het bureau Bibob kan vragen. Dat is onvoldoende. Naar mijn mening dient iedere private aanvrager getoetst te worden (en die toetsingen dienen periodiek herhaald te worden). Voorts is gewenst dat iedere private aanbieder een systeem heeft van periodieke toetsing van personeel en bestuurders, bijvoorbeeld door middel van een VOG.

Vermogensverschaffers dienen getoetst te worden
De reikwijdte van het onderzoek is eveneens te beperkt. In artikel 7 van de ontwerpregeling wordt alleen gesproken over het bestuur van de organisatie en het personeel. De vermogensverschaffers zijn ook van belang en behoren ook doorlopend getoetst te worden, zoals in de financiële sector het geval is.

Het is te hopen dat het verantwoordelijke ministerie tot het inzicht komt dat deze private activiteit met meer waarborgen omgeven moet worden, om te voorkomen dat criminelen of andere partijen met slechte bedoelingen, private inlogmiddelen gaan aanbieden.

 

Noten

[1] Daar is wel een nieuwe smartphone en een nieuw identiteitsbewijs voor nodig.
[2] Zie wetgevingsdossier 34972.
[3] Zie wetgevingsdossier 35868.
[4] Vindplaats ontwerpbesluit: hier.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , | 4 reacties

De maatschappelijke onderneming heet nu ‘steward ownership’

Geplaatst op 11 september 2023 door Ellen Timmer

Wie het onderwerp maatschappelijke onderneming kwijt is, kan weer helemaal op de hoogte komen door op ‘steward ownership’ te zoeken.

Juristen kunnen in januari a.s. een cursus van de Stichting tot Bevordering der Notariële Wetenschap volgen, bekijk het programma:

Steward ownership
Donderdag 25 januari 2024, 13.30 – 16.00
Docenten: mr. F.A. Baggerman, freelance kandidaat-notaris
mr. E.A.E.M. van Blokland, kandidaat-notaris

Ben je geïnteresseerd in de mogelijkheden van het structureren van de onderneming van de toekomst? In deze cursus bespreken de docenten wat steward ownership is. We bespreken waarom ondernemers hiervoor kiezen en lichten toe hoe dit juridisch kan worden vormgegeven. Ook worden relevante thema’s zoals (bestuurders)aansprakelijkheid besproken.

Overigens kom ik nergens tegen dat de maatschappelijke onderneming al juridische handen en voeten heeft.

Mijn indruk dat het nog steeds in het luchtfiets-stadium is, met veel goede bedoelingen en ronkende verklaringen. Een illustratie daarvan is de bewering “Bij Steward Ownership is de onderneming van niemand”, wat niet waar kan zijn. Ook de goede bedoelingen die je tegenkomt, zoals [*]

Steward-ownership is een bedrijfsstructuur die een alternatief biedt voor het primaat van de aandeelhouderswaarde. Het zorgt ervoor dat bedrijven hun langetermijndoelen prioriteit geven boven kortetermijnwinsten

zijn sympathiek maar doen niets af aan de juridische kenmerken van de onderneming.

Maatschappelijke bv
De Nederlandse overheid is bezig geweest met de maatschappelijke bv, waar ik al een tijd weinig over heb gehoord, al wordt in een verslag uit november 2022 gezegd dat men er mee bezig is:

Er wordt wel gewerkt aan een wettelijke regeling voor de maatschappelijk BV die de zichtbaarheid en herkenbaarheid van sociale ondernemingen bevordert en hen daarmee een betere uitgangspositie biedt op de markt.

Lees ook dit antwoord op kamervragen, gegeven in juli 2022.

Ik blijf me afvragen of een aparte rechtsvorm wel nodig is en of niet meer gezocht moet worden naar een systeem van erkenning en certificering.

 

[*] Machinevertaling van de op deze locatie gevonden tekst.

Geplaatst in Grondrechten, Rechtspersonenrecht | Tags: , , | Plaats een reactie

De poortwachtersheffing van de notaris | Wwft

Geplaatst op 10 september 2023 door Ellen Timmer

Door middel van ‘moderne’ criminaliteitsbestrijdingswetgeving (ook bekend als ‘witwasbestrijding’) worden overheidstaken naar bedrijven overgeheveld. Kern van die regels is dat bedrijven onderzoeken of hun klant criminele activiteiten heeft en zo ja, dan moeten zij ‘ongebruikelijke transacties’ melden bij een onderdeel van de politie, FIU-Nederland.

Deze privatisering is zeer kostbaar en levert weinig op, zo leren onderzoeken die zijn gedaan naar de criminaliteitsbestrijdingsactiviteiten van banken [1].

Ondernemingen met criminaliteitsbestrijdingstaken berekenen de kosten door aan hun klanten. Consumenten merken er niet zo veel van, maar alle anderen (zoals ondernemingen en not-for-profit organisaties) worden geconfronteerd met bijvoorbeeld extra kosten die banken in rekening brengen vanwege hun overheidstaken, waarbij die banken geen verantwoording verschuldigd zijn aan hun klanten [2].

Poortwachtersheffing
Een aantal notarissen hebben een fraaie naam bedacht voor de rekening die zij aan hun klanten sturen vanwege de uitvoering van overheidstaken. Ze noemen het ‘poortwachtersheffing‘ of ‘poortwachtersvergoeding‘ [3].
Het woord poortwachtersheffing geeft mooi aan wat er aan de hand is: de overheid delegeert overheidstaken (onderzoek of de klant een crimineel is, onderzoek naar criminele geldstromen) en zorgt er daarmee voor dat de rekening voor de activiteiten niet bij de overheid terecht komt, maar bij de ‘poortwachter’, die het zonder democratische controle doorberekent aan de klant. Ik heb er maar meteen een tag van gemaakt.

Overigens suggereren de notarissen dat het verifiëren van de identiteit van de klant een speciale poortwachtersactiviteit is, terwijl dit sinds mensenheugenis een basale taak is van notarissen. Waarschijnlijk doen ze dat om te verhullen dat zij net als banken criminaliteit moeten opsporen [4].

 

Noten

[1] Zie de berichten over de kosten van de witwasbestrijding, onder meer Anti-witwasbeleid kost miljarden en levert weinig op en Twijfels aan het nut en de effectiviteit van de witwasbestrijding door banken | rapport SMV.

[2] Daarover schreef ik onder meer:

[3] Zie onder meer Korte, “Wat is poortwachters toeslag?“, Een goede notaris, “Wat is de Poortwachtersheffing bij de notaris“. Op de site van de KNB kwam ik het begrip niet tegen.

[4] Ik gebruik hier ‘opsporen’ in de ruime betekenis (niet in de juridische betekenis).

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , | Plaats een reactie

Gedachten zijn niet meer vrij | neuroprivacy, digitaal gedachtenlezen

Geplaatst op 9 september 2023 door Ellen Timmer

Met de toegenomen digitale mogelijkheden zijn de gedachten niet meer vrij. Neurotechnologie ontwikkelt zich zo snel dat het de mensenrechten bedreigt. UNESCO bepleit wereldwijd geldende regelgeving die er voor zorgt dat mensenrechten worden gerespecteerd.

Lees de voorbereidende studie (pdf) van UNESCO, over de ethiek van neurotechnologie en waarin wordt aanbevolen om een normatief kader tot stand te brengen.

In de inleiding wordt uitgelegd dat door middel van neurotechnologie toegang wordt verkregen tot het menselijk zenuwstelsel en dat daarmee monitoring, onderzoek, beoordeling, manipulatie en nabootsing mogelijk is. Neurotechnologie biedt geneeskundige mogelijkheden, wat fijn is voor mensen die ziek zijn. Echter, het kan ook bij gezonde mensen worden gebruikt, met allerlei gevolgen, bijvoorbeeld gedragsbeïnvloeding en schending van de privacy. Dat betekent dat er iets moet gebeuren, lees [1]:

Aangezien neurotechnologie rechtstreeks interageert met de hersenen, die centraal staan in de menselijke identiteit, autonomie, privacy en menselijke ontplooiing, roept de snelle vooruitgang en commercialisering ervan unieke ethische, juridische en maatschappelijke problemen op die moeten worden aangepakt.

Zie voorts [2]:

Neurotechnologie kan hersengegevens en digitale gegevens met betrekking tot de hersenactiviteit registreren en doorgeven, wat inbreuk kan maken op de mentale privacy. De meeste van de gegenereerde neurale gegevens zijn onbewust, wat betekent dat iemand onbewust of onbedoeld informatie kan verstrekken via neurotechnologie die hij anders niet zou verstrekken. De informatie die met neuroapparaten wordt verzameld en verwerkt, kan worden gebruikt om iemand te identificeren of om zijn of haar hersenactiviteit te onthullen, met name wanneer dit duidt op een stigmatiserende neurologische of mentale gezondheidstoestand of anderszins kan worden gebruikt voor discriminerende doeleinden. Naast de medische toepassing zijn neurale gegevens ook steeds meer in trek in de consumentenmarkt voor digitale fenotypering, emotionele informatie, neurogaming en neuromarketing. Dit brengt risico’s met zich mee van misbruik door hacking, ongeoorloofd hergebruik, extractie van privacygevoelige gegevens, digitale surveillance, crimineel misbruik van informatie, commerciële en politieke manipulatie en ander misbruik, wat wijst op de noodzaak van een speciale definitie en bescherming van neurale gegevens. Inmenging van derden in de werking van apparaten voor niet-goedaardige doeleinden of kwaadwillig hacken zijn ook ernstige zorgen.

Overigens denk ik dat de grote techbedrijven al lang bezig zijn met deze techniek, aangezien met smartphones en andere slimme apparaten al heel veel gemeten kan worden.

 

Noten

[1] Machinevertaling van:

Since neurotechnology directly interacts with the brain, which is central to human identity, autonomy, privacy, and human flourishing, its rapid advancement and commercialization raises unique ethical, legal, and societal concerns that need to be addressed.

[2] Machinevertaling van:

Neurotechnology may record and transmit brain data and digital data related to the brain activity, which can infringe upon mental privacy. Most of the generated neural data is unconscious, meaning that one may unknowingly or unintentionally provide information through neurotechnology that they otherwise would not. The information collected and processed from neurodevices can be used to identify someone, or reveal their brain activity, particularly where this indicates a stigmatising neurological or mental health condition or could otherwise be used for discriminatory purposes. Beyond the medical application, neural data is also increasingly sought after in the consumer market for digital phenotyping, emotional information, neurogaming, and neuromarketing. This raises risks of misuse through hacking, unauthorised reuse, extraction of privacy-sensitive data, digital surveillance, criminal misuse of information, commercial and political manipulation and other abuses, pointing to the need for a special definition and protection of neural data. Third-party interference in device function for non-benign purposes or malicious hacking are also serious concerns.

 

Meer informatie:

Een greep uit de artikelen over het onderwerp:

Dat dit er aan zit te komen is geen verrassing, ik schreef eerder:

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

De eigen criminaliteitsbestrijdingshandleiding van de Nederlandse banken | Wwft

Geplaatst op 8 september 2023 door Ellen Timmer

In Nederland is de versnippering rondom de private misdaadbestrijding (ook bekend als ‘witwasbestrijding’ en de bestrijding van terrorismefinanciering) enorm. Waar een klein land klein in kan zijn… Naast de wet en de formele uitvoeringsregels produceren overheidstoezichthouders zoals DNB en AFM allerlei documenten met aanwijzingen, toelichting en soms ook aanvullende regels.

De NVB Standaarden
De Nederlandse banken hebben nu ook een duit in het zakje gedaan, door eigen ‘standaarden’ vast te stellen (aankondiging). Opvallend is dat die standaarden niet in het Nederlands zijn. Alleen een document getiteld ‘extra informatie’ is dat wel.
Het maakt duidelijk dat de standaarden voor de Europese bankentoezichthouder en de nationale toezichthouder DNB bestemd zijn. Het geeft ook aan dat de banken geen belangstelling hebben voor de klanten die consument zijn of tot het midden- en kleinbedrijf behoren.

Waar zijn ze voor?
In de Nederlandstalige toelichting wordt gezegd dat de standaarden:

heldere uitgangspunten [bieden] voor het risicogebaseerd toepassen van de open normen in de Wwft in het klantonderzoek door banken. Met als doel: meer consistentie en risicorelevantie in het klantonderzoek. Banken willen een effectieve en efficiënte poortwachter zijn. Met klantonderzoek dat zo min mogelijk impact heeft op bonafide klanten, maar dat het criminelen moeilijk maakt om het financiële systeem te misbruiken voor onder meer witwassen.

Dat zijn de vaagheden die voor de hele private misdaadbestrijding zouden moeten gelden, maar waarvan in de praktijk niets terecht komt.
De NVB beweert in de toelichting dat duidelijkheid zou worden gecreëerd:

De standaarden geven antwoord op de vraag: wat is een adequate uitvoering van het wettelijk verplichte klantonderzoek? Wat moeten banken weten en vastleggen over klanten en risico’s? De standaarden zijn opgesteld voor banken. Maar ze geven ook andere partijen duidelijkheid. Bijvoorbeeld consumenten(organisaties) en medewerkers in bepaalde sectoren. De standaarden geven ook andere poortwachters meer inzicht in welke informatie banken nodig hebben voor hun wettelijk verplichte onderzoek naar klanten en transacties.

Raadpleging van de standaarden leert me dat deze niet meer dan een handleiding voor naleving van de Wwft zijn en dat de gewenste duidelijkheid (zie het citaat hierboven) niet wordt gegeven.

Het woord ‘standaard’ wordt ten onrechte aan de documenten gekoppeld.

Expected Transaction Profile-standaard
Banken hebben wonderbaarlijke competenties, aangezien zij het Expected Transaction Profile (ETP) van iedere klant kunnen vaststellen, zo volgt uit de ETP standaard. In de standaard wordt verondersteld dat klanten in groepen met dezelfde kenmerken kunnen worden ingedeeld (peer groups) en dat het verwachte transactie profiel daarop kan worden gebaseerd.

Het document ziet er uit als een basishandleiding transactiemonitoring.

Hoe de praktijk van ETP precies werkt, wordt niet duidelijk. Praktijkvragen rondom transactiemonitoring zijn bijvoorbeeld:

  • Is er voldoende kennis van ondernemingsbranches en organisatietypen en de verschillen binnen branches en typen om te kunnen bepalen wat gebruikelijk gedrag is?
  • Is er voldoende kennis over burgers, bijvoorbeeld over mensen met banden met hoogrisicolanden (wordt verondersteld in “Example: a client periodically performs transactions ranging from e.g. €50-500 per transaction to an EC high risk third country to support family and behaves in line with the client group’s ETP.“)
  • Is er wetenschappelijke basis om het transactieprofiel te baseren op leeftijdsgroep, verblijfplaats, omvang vermogen, type product en lengte van de cliëntenrelatie? Of op bedrijfssector, bedrijfsomvang en juridische vorm? Is een stichting riskanter dan een bv en zo ja, waar is dat op gebaseerd?
  • Wat zijn de risico’s waar de standaard over spreekt?
  • Wanneer is iets een ‘afwijking’ (deviation)? Is het een afwijking als een consument een erfenis krijgt (want de meeste mensen krijgen niet jaarlijks een erfenis)?
  • Hoeveel fouten komen uit de transactiemonitoringsystemen en waardoor worden die fouten veroorzaakt?
  • Welke menselijke fouten worden gemaakt en waar komt dat door?

Ook de voorbeelden voegen niets toe:

  • Voorbeeld 2a gaat over een cliënt is ingedeeld in de groep ‘jongeren’, maar wat de ETP dan inhoudt wordt niet gezegd.
  • Het tweede voorbeeld (2b) gaat over een supermarkt, waarbij contanten altijd een punt van zorg voor de bank zijn. De vraag is of alle supermarkten op dat punt hetzelfde zijn. Verder bevat het voorbeeld geen concrete informatie.
  • In het derde voorbeeld (2c) zou een ouder van een PEP aan het ‘smurfen’ zijn (kleine transacties beneden een bepaalde drempel). Er wordt niet verteld of de PEP een  buitenlander of een Nederlander is en ook niet welke soort PEP het is (een lid van de Tweede Kamer? een burgemeester?). Wat houdt het smurfen in? Komt het veel voor dat Nederlandse leden van de Tweede Kamer crimineel gedrag vertonen en dat hun ouders daar aan meewerken? Het voorbeeld geeft geen enkele duidelijkheid.

Op een aparte pagina wordt ingegaan op de bewijslevering door de bank dat er goed wordt gehandeld (‘Criteria to demonstrate effective implementation‘). Ook deze pagina heeft het karakter van een basishandleiding en geeft geen helderheid.
Ik ben heel benieuwd of onafhankelijk onderzoek wordt gedaan naar de vraag of het systeem van transactiemonitoring wel werkt.

Deze standaard voldoet niet aan wat ik onder het kopje ‘Waar zijn ze voor?’ heb geciteerd.

De ubo-standaarden
De NVB heeft twee ubo-standaarden uitgebracht, één over de ubo identificatie en verificatie en een tweede over de pseudo ubo.

Ubo-identificatie-standaard
Opvallend is dat de banken er in de ubo-identificatie-standaard er van uitgaan dat zij op het ubo-register mogen afgaan, bij vaststelling van de identiteit van de ubo (anders dan tekst van de wet en de parlementaire geschiedenis). In hoogrisicosituaties zou de ubo kunnen bepaald op basis van een verklaring door de cliënt met aanvullende informatie, waarbij als voorbeelden het aandeelhoudersregister, de trust akte, een verklaring door een derde en jaarrekeningen worden genoemd (paragraaf 1.1), wat mij wat mager lijkt.
Bij de verificatie van de identiteit is vermeld dat eveneens van het ubo-register mag worden uitgegaan. In hoogrisico situaties zou wel een kopie van het identiteitsdocument moeten worden gevraagd, waarbij niet wordt uitgelegd wat daarvan de misdaadbestrijdingsrelevantie is (anders dan dat DNB het leuk vindt).
Interessant is dat hier voorbeelden worden gegeven van situaties met laag of neutraal risico:

– eenvoudige bedrijfsstructuren, bijv. tot maximaal twee lagen tussen cliënt en ubo;
– cliënten met één of twee aandeelhouders;
– structuren met alleen Nederlandse entiteiten;
– cliënten zonder risicovolle activiteiten of andere risicovolle indicatoren.

Dat is wel een heel beperkte opvatting van laag of neutraal risico, waarvan de vraag is of het wel klopt. Overigens wordt in deze standaard niet u uitgelegd wat hoogrisicosectoren zijn (is in mijn beleving bijna alles) en wat ‘complexe’ producten zijn. Hoe ruim het begrip hoogrisicolanden wordt genomen wordt ook niet duidelijk. Nog enkele aantekeningen:

  • Langer bestaande ondernemingsstructuren kunnen door allerlei oorzaken ingewikkeld worden (bijvoorbeeld door fusie en overname), zijn zij dan toch allemaal hoogrisico?
  • Twee voorbeelden bevatten het element dat eigendom of criminele opbrengsten worden verhuld, hoe weet je dat dat geval is?
  • In een voorbeeld wordt een Belgische betaaldienstverlener als neutraal risico genoemd, terwijl voor zover ik weet alle betaaldienstverleners volgens DNB en EBA hoog risico zijn.

Het hoogrisicovoorbeeld geeft niet aan waarom de situatie hoog risico is. Is dat omdat het een telecombedrijf is? Of omdat de directe aandeelhouders in de Verenigde Arabische Emiraten (VAE) en Zuid-Afrika zitten? Welke betekenis heeft het dat de helft van de aandelen van de Zuid-Afrikaanse moeder aan de beurs zijn genoteerd en de andere helft berusten bij een familie trust? En welke betekenis heeft dat de aandelen in de VAE-entiteit worden gehouden door een VAE rechtspersoon, een Chinese rechtspersoon en een rechtspersoon in Jordanië? Doordat veel verschillende landen en aandeelhouders betrokken zijn, is het natrekken van al die partijen lastig. Overigens wordt ook geen antwoord gegeven op de vraag wie de ubo is. Zo op het eerste gezicht lijken er geen natuurlijke personen met een economisch belang van meer dan 25% te zijn. Is dan het bestuur van de klant ubo? Aan dit voorbeeld heeft niemand iets.

Ook deze standaard is niet meer dan een basishandleiding die voldoet aan de pretenties die ik eerder heb genoemd.

Pseudo-ubo standaard
Datzelfde kan van de pseudo-ubo standaard worden gezegd, waarin opvalt dat het achterhaalde ‘aanwijzen’ van de pseudo-ubo voorkomt (‘designating a member of senior management as pseudo-UBO‘). Er wordt niets aangewezen. Op grond van de Nederlandse regelgeving zijn alle statutair bestuurders pseudo-ubo (als er geen ‘gewone’ ubo is). Dus ‘designating risk relevant directors‘ is in strijd met de Nederlandse regels.

Vreemde tekst over stichtingen en verenigingen
Over stichtingen en verenigingen wordt de vreemde opmerking gemaakt dat bij grote besturen zou voorkomen dat “feitelijke zeggenschap kan worden vastgesteld via statuten“. Hier begrijp ik helemaal niets van. Het statutaire bestuur is het hoogste gezag in deze rechtspersonen en verantwoordelijk voor de goede gang van zaken. Op zijn hoogst kunnen er mensen zijn die binnen de kaders van de statuten verantwoordelijk zijn voor dagelijks bestuur, maar ik heb nergens gezien dat alleen dagelijks bestuurders ubo zijn van stichting en vereniging. Ik ben heel benieuwd waar de NVB dit vandaan haalt.

Kerkgenootschappen
Kerkgenootschappen zijn een verhaal apart, of de paragraaf daarover aansluit bij de Nederlandse uitvoeringsregels heb ik niet nagekeken.

Kritische noot
Op de pagina over de impact van de pseudo-ubo regels, plaatst de NVB een kritische noot:

For banks the broad identification and verification of senior management as UBO, causes significant administrative efforts without being risk relevant.
(…) The impact is notably not proportional for associations, foundations and religious organisations that usually have large boards.

Deze passage daarna begrijp ik niet:

Outreach is simplified and more targeted when not all board members but only the statutory directors need to be identified as pseudo-UBO.

Alle board members zijn toch statutory director? Ik ben benieuwd of een bankier mij kan uitleggen wat hier wordt bedoeld.

Hoogrisicolanden-standaard
Er wordt gesproken over EDD measures (verscherpt cliëntenonderzoek) for EC high risk third countries (door de Europese Commissie aangewezen hoogrisicolanden). Dergelijk hoogrisicolanden worden afgekort tot ‘EC HRTC’. Op de huidige lijst staan onder meer Gibraltar, de VAE en Zuid Afrika.
Op grond van artikel 9 Wwft moet verscherpt cliëntenonderzoek plaats vinden inzake:

  • transacties,
  • zakelijke relaties en
  • correspondentbankrelaties

gerelateerd aan EC HRTC. De grote vraag is wanneer transacties en relaties ‘gerelateerd’ zijn. Op die essentiële vraag wordt geen antwoord gegeven.

Overigens vraag ik me af of Nederlandse banken dergelijke cliënten wel bedienen, aangezien het cliëntenonderzoek zeer kostbaar is. De praktijk leert dat banken proberen afscheid te nemen van iedereen die teveel werk oplevert.

Als het verscherpte cliëntenonderzoek moet plaats vinden op deze grond, moeten er extra maatregelen worden genomen, die meer van hetzelfde zijn, zie de pagina over EDD-measures.

Bij de voorbeelden zit een voorbeeld over een Nederlander die in een een EC HRTC (bijvoorbeeld Gibraltar of Zuid Afrika) op vakantie is en een andere Nederlander die familie in een EC HRTC (bijvoorbeeld Syrië) ondersteunt.

Tot slot
Het is teleurstellend dat de NVB met de standaarden niet de beloofde helderheid brengt. De versnippering van de informatie over meerdere losse documenten is onhandig.
Het zou beter zijn als NVB een handboek zou uitbrengen dat één document omvat en dat duidelijk aangeeft dat het een korte Wwft-handleiding voor het personeel is, waarmee ook aan EBA en DNB uitleg wordt gegeven over de aanpak.

Het verschaffen van helderheid aan klanten is een verhaal apart.

 

 

Aanvulling 28 november 2023
De NVB gaat vrolijk verder met het produceren van handleidingen. Zie Meer duidelijkheid voor cryptodienstverleners bij klantonderzoek door banken, dat verwijst naar de nieuwste handleidingen:

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Stichting en vereniging, Virtuele valuta | Tags: , , , , , , , , , , | Plaats een reactie

The EU’s virtual fantasies

Geplaatst op 7 september 2023 door Ellen Timmer

In July the European Commission issued a press release announcing the adoption of a strategy on virtual worlds:

Today, the Commission has adopted a new strategy on Web 4.0 and virtual worlds to steer the next technological transition and ensure an open, secure, trustworthy, fair and inclusive digital environment for EU citizens, businesses and public administrations.

The internet is evolving at an extremely fast pace.  Beyond the currently developing third generation of the internet, Web 3.0, whose main features are openness, decentralisation, and user full empowerment, the next generation, Web 4.0, will allow an integration between digital and real objects and environments, and enhanced interactions between humans and machines.

In the Commission document the ‘virtual worlds’, Web 3.0 and Web 4.0 are explained as follows:

Virtual worlds are persistent, immersive environments, based on technologies including 3D and extended reality (XR), which make it possible to blend physical and digital worlds in real-time, for a variety of purposes such as designing, making simulations, collaborating, learning, socialising, carrying out transactions or providing entertainment.

Web 3.0 is the third generation of the World Wide Web. Its main features are openness, decentralisation, and users’ full empowerment enabling them to control and realise the economic value of their data, manage their online identities and participate in governing the web. Semantic web capabilities allow linking data across webpages, applications and files. Decentralised technologies and digital twins enable peer-to-peer transactions, transparency, data democracy and innovation along entire value chains.

Web 4.0 is the expected fourth generation of the World Wide Web. Using advanced artificial and ambient intelligence, the internet of things, trusted blockchain transactions, virtual
worlds and XR capabilities, digital and real objects and environments are fully integrated and communicate with each other, enabling truly intuitive, immersive experiences, seamlessly blending the physical and digital worlds.

It sounds like something that a mankind still at war everywhere is far from ready for. And it makes me fear that Europe has sold its soul to the US Big Tech devil.

My impression is that this puts them way ahead of the music, now that we are currently living in a very insecure digital landscape.

 

More information:

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | 3 reacties