Automatic exchange of tax information will develop into a general data sharing system by governments | OECD

Geplaatst op 14 augustus 2023 door Ellen Timmer

The mandatory system of data transfers from financial institutions to the US (based on the Foreign Account Tax Compliance Act, ‘FATCA’) is a daunting example of the risks of international data exchange. The problems of citizens and organisations being harmed by FATCA (e.g. the ‘accidental Americans’) are still unresolved, and there is insufficient attention to it internationally. Meanwhile, developments continue. Internationally, the US is the only country with its own data exchange law.

Common Reporting Standard
The rest of the world works with a system abbreviated as ‘CRS’, referring to the Common Reporting Standard. The OECD summarises it as follows:

The Common Reporting Standard (CRS), developed in response to the G20 request and approved by the OECD Council on 15 July 2014, calls on jurisdictions to obtain information from their financial institutions and automatically exchange that information with other jurisdictions on an annual basis. It sets out the financial account information to be exchanged, the financial institutions required to report, the different types of accounts and taxpayers covered, as well as common due diligence procedures to be followed by financial institutions.

Cryptocurrency
Recently cryptocurrency was included in CRS, showing that governments are tapping into a new revenue source with cryptocurrency.

Extending data exchange to other domains
The data exchange for tax purposes is gradually extended to other domains. Read for instance the publicaton of the Global Forum [*]:

Facilitating the Use of Tax-TreatyExchanged Information for Non-Tax Purposes. A Contribution to a Whole-of-Government Approach to Tackling Illicit Financial Flows

According to the subtitle, ‘non-tax purposes’ is about anti-money laundering, but no doubt it will not stop there.

Those decent governments acting adequately…
These exchange systems are based on the premise that all countries in the world are decent states under the rule of law, with reasonable tax laws and adequate legal protection. It is further assumed that such data exchange can take place securely. Unfortunately, the reality is different. International designers deliberately turn a blind eye to this.

 

[*] Gl0bal Forum on Transparency and Exchange of Information for Tax Purposes, read the introduction on the OECD site. One of the main goals of the Forum is putting an end to bank secrecy.

 

More information:

CRS

Is introduced on the OECD site. On that site there are pages about:

In June the CRS-standards were updated, see International Standards for Automatic Exchange of Information in Tax Matters.Crypto-Asset Reporting Framework and 2023 update to the Common Reporting Standard, 8 June 2023.

The non-tax purposes publication by the Global Forum: Facilitating the Use of Tax-TreatyExchanged Information for Non-Tax Purposes. A Contribution to a Whole-of-Government Approach to Tackling Illicit Financial Flows (pdf), July 2023.

OECD in general

The OECD deals with many other topics than tax and AML, e.g. food security, sustainability and global health.

FATCA

 

 

Addition 25 October 2024
Pursuant to DAC 8, it is now added that the information exchanged may also be used for customs duty assessment and enforcement, anti-money laundering and counter-terrorist financing, and enforcement of sanctions regulations (article in Dutch).

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , | Plaats een reactie

Data protection risks of international exchange of tax information between governments | CRS, FATCA

Geplaatst op 13 augustus 2023 door Ellen Timmer

Though there were many major tax information data leaks, there is no discussion on the data protection aspects of international exchange of of tax information between governments, based on the Common Reporting Standard (‘CRS’). An example is the large Bulgarian leak of taxpayer information: BBC article, OECD reaction. In July this year the Australian tax office was hacked. There was a major breach in Canada. Etcetera.

Another questionable aspect of tax data sharing, is that it is also provided to dubious regimes

The only one who seems to pay attention to the risks of international exchange of tax information, seems to be the English attorney Filippo Noseda, who represents a victim of FATCA, the American law that harms people with the American nationality that do not live in the US. He publishes his correspondence with relevant institutions, such as the Information Commissioner’s Office (UK), the European Parliament, the Petitions Committee (PETI), the European Data Protection Board (EDPB), the European Commission (TAXUD) and the Organisation for Economic Cooperation and Development (OECD).

On 10 August he wrote a letter to English members of parliament, expressing concerns about providing financial data to dubious regimes:

Yesterday, a presidential candidate who had alleged links between organised crime and government officials in Ecuador was shot dead at a rally (see BBC news below).

Now, Ecuador appears on HMRC’s list of jurisdictions to whom it sends information about citizens with bank accounts in the UK (reproduced below for ease of reference). This exchange takes place automatically and without any indicia of tax evasion something that had been heavily criticised by data protection authorities before the UK adopted the CRS.

MPs on both sides of the political divide who care about Human Rights should take a closer look at HMRC’s list and ask themselves whether it is right that the UK government exchanges information almost mindlessly to regimes which could use the information to persecute its citizens, including jurisdictions that feature prominently on corruption indexes, such as the one published by Transparency International.

 

Some of his other recent letters on data protection matters are:

This letter to the Secretary General of the OECD follows recent questions to Parliament and a motion from 47 German MPs concerning the human rights implications of systems of automatic exchange of information, as well as fresh concerns about data safety following the hacking of the entire UK Electoral Register.

The attached letter discusses a recent revelation that the Australian Tax Office lost more than $557 million to cyber-attacks and the risks posed by the ‘Common Transmission System’ (CTS) maintained by the OECD and used by tax authorities the world over to exchange CRS data, as well as the ‘International Data Exchange System’ (IDES) maintained by the IRS.

This letter discusses a recent testimony given by the former IRS Chief of Criminal Investigations before the US Congress Finance Committee confirming the poor state of the IRS’s IT-systems processing taxpayers’ data, raising further concerns about the data protection safeguards of FATCA data transferred from the EU.

On 4 May 2020 Noseda sent a letter to OECD with an overview of his emails to OECD that raise concerns in relation to the data protection.

 

 

Noseda’s information on FATCA and cybersecurity of the exchange of tax information:
FATCA page, background information on FATCA and data protection, correspondence. Noseda has prepared a Hacking and Data Breaches List that includes various instances of hacking against tax authorities in the US, the UK and the rest of the EU.

Geplaatst in Belastingrecht, English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Banken willen meer meer meer informatie over hun rekeninghouders | publiek-private ‘samenwerking’ | Wwft, financiële surveillance

Geplaatst op 12 augustus 2023 door Ellen Timmer

Banken blijven vragen om toegang tot overheidsgegevens over hun rekeninghouders, lees het bericht van de NVB over de position paper die de banken aan de politieke partijen hebben gestuurd en waarover security.nl heeft bericht.
Banken zijn ongeschikt voor de criminaliteitsbestrijdingstaak die de overheid hen heeft gegeven. Dat houden ze onder de pet, want zij schrijven zoet:

Banken zijn een belangrijke partner in het bestrijden van financiële criminaliteit. Om klanten te ontzien en criminelen te verstoren vindt de NVB het cruciaal dat:
* Onderling delen van relevante informatie tussen publieke en private partijen (gepseudonimiseerd) mogelijk wordt
* Publieke registers (Basis Registratie Persoonsgegevens en UBO) weer beschikbaar komen voor banken
* Alleen ingezet wordt op risico-gebaseerde klantonderzoeken met als uitgangspunt: “Meer waar het moet, minder waar het kan”.

Er gaat teveel mis bij de banken
Bij de banken gaat zoveel mis bij de misdaadbestrijding, wat schadelijk is voor de rekeninghouders die niet goed worden bediend. Daarom moet het door de informele wereldregering FATF voorgeschreven systeem terug naar te tekentafel. Geef banken alleen taken waar zij geschikt voor zijn en waar ze het personeel en de middelen voor hebben.
En zorg nu eindelijk eens een keer voor een goede rechtsbescherming voor burgers die te maken krijgen met bedrijven die overheidstaken uitvoeren.

De gevaren van uitbesteding van overheidstaken | publiek-private samenwerking
Lees over de gevaren van het uitbesteden van overheidstaken ook het bericht en rapport van Privacy International over iets wat eufemistisch ‘publiek-private samenwerking’ (Public Private Partnerships, PPPs) wordt genoemd. Zij schrijven dat PPPs moeten worden uitgedaagd (machinevertaling):

De privatisering van publieke verantwoordelijkheden vereist meer toezicht dan ooit om ervoor te zorgen dat mensenrechten niet stilletjes worden geschonden. Dit geldt vooral wanneer de gebruikte systemen worden gebruikt voor surveillance en massale verwerking van persoonlijke gegevens. Het is bekend dat particuliere bedrijven spelen met de grenzen van wat wettelijk en ethisch gezien gedaan kan worden met de identiteit en gegevens van individuen, zonder hetzelfde niveau van verantwoording dat vereist is voor overheidsinstanties – een aanzienlijke schending van de grondrechten wanneer deze gebruikt worden om een openbare dienst te leveren.

Dit is volledig op banken van toepassing, die tech bedrijven zijn geworden die geen contact meer hebben met hun klanten. Privacy Internation heeft over wat zij ‘Public Private Surveillance Partnerships’ noemen een handboek geschreven. Verder hebben zij checklists samengesteld.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | 1 reactie

Sharing of transaction monitoring information by PSPs in the PSR proposal | financial data access and payments package EU

Geplaatst op 11 augustus 2023 door Ellen Timmer

Earlier, I wrote about the European financial data access and payments package. Part of that proposal is to allow payment service providers (PSPs), including banks, to share fraud-related information. The press release states:

Combat and mitigate payment fraud, by enabling payment service providers to share fraud-related information between themselves

The Q&A notes:

The new proposed prevention measures include: (…)
* A legal basis for PSPs to share fraud-related information between themselves in full respect of GDPR (via dedicated IT platforms);
* The strengthening of transaction monitoring;

The explanatory memorandum of the proposal

In the proposal for a Regulation on payment services in the internal market (PSR), the explanatory memorandum says the following:

A new provision is added requiring PSPs to have transaction monitoring mechanisms in place to provide for the application of strong customer authentication and to improve the prevention and detection of fraudulent transactions. This provision adds clarity to the notion of ‘inherence’, by detailing that such transaction monitoring mechanisms must be based on the analysis of payment transactions, taking into account elements which are typical of the payment service user in the circumstances of a normal use of the personalised security credentials, including environmental and behavioural characteristics such as those related to location of the payment service user, time of transaction, device being used, spending habits, online store where the purchase is carried out.

For the purpose of transaction monitoring, provisions have been added allowing PSPs to exchange, on a voluntary basis, personal data such as unique identifiers of a payee subject to information sharing arrangements. These information sharing arrangements must define details for participation and on operational elements, including the use of dedicated IT platforms. Before concluding such arrangements, the PSPs must conduct a data protection impact assessment and, where necessary, carry out prior consultation of the supervisory authority, according to Regulation (EU) 2016/679.

It is puzzling why the second paragraph of the quote above talks about exchanging personal data ‘on a voluntary basis‘, when processing personal data by definition requires a legal basis.

Preamble

The designers of PSR assume that payment service providers (PSPs) can have digital knowledge of the ‘environmental and behavioural characteristics‘ of the payment service user, read the preamble:

(101) The EBA should develop draft regulatory technical standards on the specific technical requirements related to transaction monitoring mechanisms. Such requirements should build on the added value stemming from environmental and behavioural characteristics related to payment habits of the payment service user.

Transaction monitoring in PSR is important for preventing fraud through payment transactions, read the preamble:

(102) To ensure that transaction monitoring mechanisms work effectively to enable payment service providers to detect and prevent fraud, in particular by detecting atypical use of payment services that could indicate a potentially fraudulent transaction, payment service providers should be able to process information about their customers’ transactions and their payment accounts. Payment service providers should, however, establish appropriate retention periods for different data types used for fraud prevention. Those retention periods should be strictly limited to the period necessary to detecting atypical, potentially fraudulent behaviour, and payment services providers should regularly delete the data that are not necessary anymore for fraud detection and prevention. Data processed for transaction monitoring purposes should not be used after the payment service user has ceased to be a customer of the payment service provider.

It is interesting to see that PSPs regularly have to delete data that are not necessary anymore for fraud detection and prevention. Why does this not apply to the proposed anti-money laundering (AML) rules being negotiated?

The preamble explains how the information sharing of PSPs should be done, it looks like the financial surveillance (‘bancair sleepnet’) already proposed by the Dutch government,

payment services providers should, for the purpose of transaction monitoring, make use of payment fraud data shared by other payment services providers on a multilateral basis such as dedicated IT platforms based on information sharing arrangements

The full text of the relevant paragraphs of the preamble (marking by me):

(103) Fraud in credit transfers is inherently adaptive and comprises an open-ended diversity of practices and techniques, including the stealing of authentication credentials, invoice tampering, and social manipulation. Therefore, to be able to prevent ever new types of fraud, transaction monitoring should be constantly improved, making full use of technology such as artificial intelligence. Often one payment service provider does not have the full picture about all elements that could lead to timely fraud detection. However, it can be made more effective with a greater amount of information on potentially fraudulent activity stemming from other payment service providers. Therefore, sharing of all relevant information between payment service providers should be possible. To better detect fraudulent payment transactions and protect their customers, payment services providers should, for the purpose of transaction monitoring, make use of payment fraud data shared by other payment services providers on a multilateral basis such as dedicated IT platforms based on information sharing arrangements. To improve the protection of payers against fraud in credit transfers, payment service providers should be able to rely on information as comprehensive and up to date as possible, namely by collectively using information concerning unique identifiers, manipulation techniques and other circumstances associated with fraudulent credit transfers identified individually by each payment services provider. Before concluding an information sharing arrangement, payment service providers should carry out a data protection impact assessment, in accordance with Article 35 of Regulation (EU) 2016/679. Where the data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons, payment service providers should consult the relevant data protection authority in accordance with Article 36 of that Regulation (EU) 2016/679. A new impact assessment should not be required when a payment service provider joins an existing information sharing arrangement for which a data protection impact assessment has already been carried out. The information sharing arrangement should lay down technical and organisational measures to protect personal data. It should lay down roles and responsibilities under data protection laws, including in case of joint controllers, of all payment service providers.

(104) For the purpose of exchanging personal data with other payment service providers who are subject to information sharing arrangements, ‘unique identifier’ should be understood as referring to ‘IBAN’ as defined in Article 2 point 15 of Regulation (EU) 260/2012.

(105) To prevent legitimate exchanges of information on potentially fraudulent activity leading to unjustified ‘de-risking’ or withdrawal of payment account services to payment services users without explanation or recourse, it is appropriate to have safeguards in place. Payment fraud data shared under a multilateral information sharing arrangement that may entail the disclosure of personal data, including unique identifiers of payees potentially involved in fraud in credit transfers, should only be used by payment services providers for the purpose of enhancing transaction monitoring. Additional safeguards should be put in place by payment services providers, such as contacting the customer if he or she is the payer of a credit transfer which can be assumed to be fraudulent, and further monitoring of an account, where the unique identifier shared as potentially fraudulent designates a customer of that payment service provider. Payment fraud data shared amongst payment services providers in the context of such arrangements should not constitute grounds for withdrawal of banking services without detailed investigation.

Draft regulation

Relevant passages in the regulation are (marking by me):

Article 83 Transaction monitoring mechanisms and fraud data sharing
1. Payment service providers shall have transaction monitoring mechanisms in place that:
(a) support the application of strong customer authentication in accordance with Article 85;
(b) exempt the application of strong customer authentication based on the criteria under Article 85(11), subject to specified and limited conditions based on the level of risk involved, the types and details of the data assessed by the payment service provider;
(c) enable payment service providers to prevent and detect potentially fraudulent payment transactions, including transactions involving payment initiation services.

2. Transaction monitoring mechanisms shall be based on the analysis of previous payment transactions and access to payment accounts online. Processing shall be limited to the following data required for the purposes referred to in paragraph 1:
(a) information on the payment service user, including the environmental and behavioural characteristics which are typical of the payment service user in the circumstances of a normal use of the personalised security credentials;
(b) information on the payment account, including the payment transaction history;
(c) transaction information, including the transaction amount and unique identifier of the payee;
(d) session data, including the device internet protocol address-range from which the payment account has been accessed.

Payment service providers shall not store data referred to in this paragraph longer than necessary for the purposes set out in paragraph 1, and not after the termination of the customer relationship. Payment service providers shall ensure that the transaction monitoring mechanisms take into account, at a minimum, each of the following risk-based factors:
(a) lists of compromised or stolen authentication elements;
(b) the amount of each payment transaction;
(c) known fraud scenarios in the provision of payment services;
(d) signs of malware infection in any sessions of the authentication procedure;
(e) in case the access device or the software is provided by the payment service provider, a log of the use of the access device or the software provided to the payment service user and the abnormal use of the access device or the software.

3. To the extent necessary to comply with paragraph 1, point (c), payment service providers may exchange the unique identifier of a payee with other payment service providers who are subject to information sharing arrangements as referred to in paragraph 5, when the payment service provider has sufficient evidence to assume that there was a fraudulent payment transaction. Sufficient evidence for sharing unique identifiers shall be assumed when at least two different payment services users who are customers of the same payment service provider have informed that a unique identifier of a payee was used to make a fraudulent credit transfer. Payment service providers shall not keep unique identifiers obtained following the information exchange referred to in this paragraph and paragraph 5 for longer than it is necessary for the purposes laid down in paragraph 1, point (c).

4. The information sharing arrangements shall define details for participation and shall set out the details on operational elements, including the use of dedicated IT platforms. Before concluding such arrangements, payment service providers shall conduct jointly a data protection impact assessment as referred to in Article 35 of the Regulation (EU) 2016/679 and, where applicable, carry out prior consultation of the supervisory authority as referred to in Article 36 of that Regulation.

5. Payment service providers shall notify competent authorities of their participation in the information sharing arrangements referred to in paragraph 5, upon validation of their membership by participants of the information sharing arrangement or, as applicable, of the cessation of their membership, once that cessation takes effect.

6. The processing of personal data in accordance with paragraph 4 shall not lead to termination of the contractual relationship with the customer by the payment service provider or affect their future on-boarding by another payment service provider.

(…)

Article 89 Regulatory technical standards on authentication, communication and transaction monitoring mechanisms
The EBA shall develop draft regulatory technical standards which shall specify: (…)
(g) the technical requirements for transaction monitoring mechanisms referred to in Article 83.

(…)

Article 80 Data protection
Payment systems and payment service providers shall be allowed to process special categories of personal data as referred to in Article 9(1) of Regulation (EU) 2016/679 and Article 10(1) of Regulation (EU) 2018/1725 to the extent necessary for the provision of payment services and for compliance with obligations under this Regulation, in the public interest of the wellfunctioning of the internal market for payment services, subject to appropriate safeguards for the fundamental rights and freedoms of natural persons, including the following:

(a) technical measures to ensure compliance with the principles of purpose limitation, data minimisation and storage limitation, as laid down in Regulation (EU) 2016/679, including technical limitations on the re-use of data and use of state-of-the-art security and privacy-preserving measures, including pseudonymisation, or encryption;

(b) organizational measures, including training on processing special categories of data, limiting access to special categories of data and recording such access.

Financial surveillance

Although the suggestion is made that only fraud data is exchanged by PSPs, it seems that joint transaction monitoring by PSPs is also possible under this regulation. It will make the Dutch proposal for a ‘banking dragnet’ (‘bancair sleepnet’) unnecessary.

The legal protection of account holders and data subjects is not mentioned in the proposal (other than reference to the GDPR). If public tasks are outsourced to PSPs and they are allowed to analyse in detail the financial behaviour of account holders and draw consequences from it, this should include strong legal protection and an independent supervisor with sufficient resources to clamp down on offenders

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Plaats een reactie

Challenging Public Private Surveillance Partnerships – Privacy International | AML, CFT

Geplaatst op 10 augustus 2023 door Ellen Timmer

Privacy International (PI) wrote about a phenomenon also visible in crime fighting: the privatisation of public responsibilities. PI focuses on the use of private technology companies (nowadays banks also qualify as technology companies) through public-private partnerships (‘PPPs’) and announced:

As states around the world seek to expand their surveillance capabilities and harness the power of data to deliver public services, they are often tempted to use the services of private technology companies – through public-private partnerships (‘PPPs’). These collaborations are taking on a new form, diverging from traditional public procurement relationships and becoming much more co-dependent.

The privatisation of public responsibilities requires more scrutiny than ever to ensure human rights are not quietly abused. This is particularly true when the systems deployed are used for surveillance and mass processing of personal data. Private companies have been known to play with the limits of what can legally and ethically be done with individuals’ identities and data, without the same level of accountability required of public authorities – a significant affront to fundamental rights when used to deliver a public service.

Civil society has the power to expose the risks and issues that emerge from these partnerships, through investigation and public reporting. But identifying concrete risks and potential human rights abuses is not an easy task for anyone as it requires a multilevel understanding of the tech, law and governance mechanisms involved. Building on our own investigative work and on the expertise of our partners around the world, Privacy International has designed a handbook for civil society organisations, non-governmental organisations, academics and individuals to navigate these partnerships, providing keys to obtain crucial information, understand the technology at stake and identify privacy and governance concerns.

To support anyone trying to find out more about a public-private surveillance partnership and identify key risks and issues, this handbook is divided in to four main sections: the first section covers investigative risks, the second section explains how to gather key information related to the partnership through a variety of means, the third section provides some methods to investigate the technology at play in the partnership, and the fourth section looks into governance concerns and safeguards, including international best practice, data protection issues, and other governance mechanisms.
The checklists provided at the end of this handbook can be used as an overview of key things to investigate, and to help you keep track of your work.

This handbook is intended to help you:
* Investigate a public-private partnership, find out relevant information
* Ask the right questions to the partners involved (private and public)
* Identify concerns related to the technology involved and the governance of the partnership

We have separately developed a set of safeguards for public-private surveillance partnerships, that you can use for advocacy ideas once you have identified concerns through this handbook.

It looks like an important initiative, that may be useful in challenging the anti-money laundering (AML) and countering terrorist financing (CFT) concepts of FATF, the EU and the national EU-governments.

 

More information:

There are also versions of the handbook in other languages available: French, Spanish and ??? (Arabic?).

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

BKR is verplicht zelf verwijderingsverzoeken te beoordelen | AVG

Geplaatst op 9 augustus 2023 door Ellen Timmer

In juni deed het Gerechtshof Arnhem-Leeuwarden een interessante uitspraak over het Bureau Kredietregistratie (BKR), de omstreden stichting uit de financiële sector. Eerder stelde de Hoge Raad al vast dat BKR zelf verwerkingsverantwoordelijke in de zin van de AVG is en zich niet achter de financiële instellingen kan verschuilen waar ze voor werkt.

De uitspraak van het gerechtshof ligt in het verlengde daarvan. Zie met name overweging 2.11 (‘CKI’ is het kredietregister dat BKR bijhoudt):

2.11. Tussen partijen is niet in geschil dat BKR verwerkingsverantwoordelijke is voor de verwerking van persoonsgegevens in het CKI. Zoals uit het hiervoor aangehaalde artikel 21 AVG blijkt, rust op de verwerkingsverantwoordelijke de verplichting om een bezwaar van een betrokkene in behandeling te nemen en de verwerking te staken, tenzij aan een van de uitzonderingsgronden van artikel 21 AVG is voldaan. Bovendien dient de verwerkingsverantwoordelijke op grond van artikel 12 lid 2 AVG de uitoefening van de rechten van betrokkenen uit hoofde van artikel 15 tot en met 22 te faciliteren. Uit de hiervoor aangehaalde artikelen volgt dan ook dat BKR als verwerkingsverantwoordelijke is gehouden om een bezwaar van een betrokkene en een daaruit voortvloeiend verwijderingsverzoek in behandeling te nemen.
BKR heeft aangevoerd dat sprake is van ketenverantwoordelijkheid en dat zij om die reden zelf slechts een beperkte uitvoerende verantwoordelijkheid heeft. Haar verantwoordelijkheid is volgens haar beperkt tot het waarborgen van de volledigheid, de accuraatheid en beschikbaarheid van de kredietgegevens in het CKI (in die zin dat de kredietgegevens in het CKI worden weergegeven zoals kredietaanbieders die op doorlopende basis aanleveren overeenkomstig het daadwerkelijke verloop van de kredietovereenkomsten) en strekt zich niet uit tot de rechtmatigheidstoets van de verwerking van de persoonsgegevens in het CKI.
Het hof volgt BKR hier niet in. Ook als sprake is van ketenverantwoordelijkheid, is BKR verwerkingsverantwoordelijke voor de gegevens zoals weergegeven in het CKI. BKR en de kredietaanbieders zijn ieder afzonderlijk verantwoordelijk voor het geheel van de verwerking van persoonsgegevens in het CKI en dus de registratie van achterstands- en bijzonderheidscoderingen. (…)
Integendeel, van BKR kan juist gelet op haar verantwoordelijkheden, bevoegdheden en mogelijkheden verlangd worden dat zij als verwerkingsverantwoordelijke zich over een bezwaar of verwijderingsverzoek buigt, omdat de gegrondheid van het bezwaar of een toewijzing van het verzoek ertoe kan leiden dat de door BKR verwerkte persoonsgegevens in het CKI niet in stand kunnen worden gelaten.

De uitspraak maakt duidelijk dat het hoog tijd is dat de door de overheid verplichte kredietregistratie anders wordt ingericht. Op dit moment loopt een consultatie, die op 3 september a.s. sluit. Dat is een goede gelegenheid om aan te dringen op een volledig andere inrichting van het systeem.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , | Plaats een reactie

Anti-OESO campagne | belastingrecht

Geplaatst op 8 augustus 2023 door Ellen Timmer

Er is een internationale campagne tegen de OESO gaande, onder meer door Tax Justice Netwerk (TJN). Geen Nederlands medium schrijft er over, terwijl ik graag zou willen weten waar het werkelijk over gaat, wat de verschillen zijn en hoe het zit met de praktische uitvoerbaarheid. Dus voorlopig zullen we het moeten doen met de propaganda van door overheden gefinancierde marketingclubs als TJN.

TJN verwijst naar dit Duitstalige artikel op de DW site.

 

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie

Cybersecurity in de financiële sector en de blinde vlak van AFM en DNB

Geplaatst op 7 augustus 2023 door Ellen Timmer

Hoewel financiële instellingen datalekken niet aan betrokkenen hoeven te melden (artikel), moeten zij wel degelijk cybersecurity maatregelen nemen.

Financiële toezichthouder AFM publiceerde recent een bericht waarin aandacht wordt gevraagd voor de Digital Operations Resilience Act (DORA). DNB publiceerde diverse berichten over cybersecurity, onder mee:

Blinde vlek voor communicatie met de klant en de gegevensverwerking op grond van de Wwft
Mij valt op dat deze toezichthouders niet optreden tegen de huidige praktijken van financiële instellingen om onveilig met de klanten te communiceren inzake het cliëntenonderzoek op grond van onder meer de Wwft.

Zo zijn er weinig banken die een beveiligd kanaal aanbieden voor het uploaden van vertrouwelijke documenten (inclusief persoonsgegevens) [*]. Er wordt zeer veel per e-mail uitgewisseld, wat een inherent onveilig communicatiemiddel is, zie bijvoorbeeld de Belastingdienst:

Een van de ernstigste AVG-overtreders is ING Bank die persoonsgegevens van uiteindelijk belanghebbenden per e-mail opvraagt. Met moeite kan een andere route worden gevonden, die door deze bank wordt afgeraden omdat de verwerking dan langer zou duren.

Ook is er geen aandacht bij AFM en DNB voor de wijze waarop financiële instellingen met het cliëntenonderzoek omgaan en of wel correct aan dataminimalisatie wordt gedaan, om de cybersecurity risico’s te verminderen.

 

[*] Er is een enkele bank die een beperkte hoeveelheid gegevens via de bank-app of via de site laat verlopen, dat kan dan alleen de rekeninghouder zelf.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | 1 reactie

Annullment of the Travel Rule Regulation | Regulation (EU) 2023/1113 (Wtr3)

Geplaatst op 6 augustus 2023 door Ellen Timmer

Simon Lelieveldt announced [1] he is underway in the work of setting up a coordinated action to challenge the newest version of the European Travel Rule Regulation [2], also referred to as ‘Wire Transfer Regulation’ (Wtr). His focus will  be on the extra requirements for cryptocurrency providers.

Payment data sent all over the world
The Wtr is regulation unknown to the public, which requires payment service providers to send data on the payer and recipient of remittances with every transfer of funds [3]. That requirement does not only apply within the EU. Payment service providers outside the EU also receive all that data, with all the data protection risks that entails. Lelieveldt writes on the data protection risks:

So what we can see is that we have the FATF ‘recommending’ to spread out data all over the world (a bad idea to begin with) and the EU rulemakers topping it up to a degree, eliminating proportionality and finalizing the rule without understanding it is related to other rules.
There are fundamental arguments against the whole EU travel rule as well as the part where it is disproportional in its workings.

In the newest version of Wtr cryptocurrency providers are also included. They have more obligations than payment service providers [4].

 

Notes

[1] Thread on constitutionality of the Travel Rule in crypto.

[2] Regulation (EU) 2023/1113 of the European Parliament and of the Council of 31 May 2023 on information accompanying transfers of funds and certain crypto-assets and amending Directive (EU) 2015/849, EUR-Lex page.

[3] In the current version of Wtr, Regulation (EU) 2015/847 (article 4), the general rule is that the following information on the payer is accompanying the transfer:
* the name of the payer;
* the payer’s payment account number; and
* the payer’s address, official personal document number, customer identification number or date and place of birth;
and on the payee:
* the name of the payee; and
* the payee’s payment account number.
For transfers within the EU and below 1000 euro there are less requirements.

[4] See the article mentioned under [1]. In 2019 Lelieveldt wrote ‘G20 and FATF should not infringe on the human right to privacy by prescribing mass surveillance for virtual assets!

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

Gaan DNB en AFM nu alles doen wat de AVG-God verboden heeft? Datagedreven convenant

Geplaatst op 5 augustus 2023 door Ellen Timmer

“Gaan DNB en AFM nu alles doen wat de AVG-God verboden heeft?”

Dat is de eerste gedachte die bij me opkomt als ik de titel van het artikel door AFM over een nieuw convenant lees: Meer aandacht voor data en digitalisering in vernieuwd convenant AFM en DNB.

Aan het begin van het convenant wordt het uitgangspunt geformuleerd dat alles gedeeld mag worden met een piepkleine AVG-noodrem:

De bij de toezichthouders aanwezige informatie wordt in beginsel geacht over en weer relevant te zijn voor elkaars taakuitoefening, en kan ingevolge de Toezichtwetgeving eigener beweging of op verzoek met de ander worden gedeeld wanneer het doel daarvan gelegen is in die taakuitoefening en verstrekking van de informatie niet in strijd is met de Algemene verordening gegevensbescherming. De toezichthouders informeren elkaar bovendien actief over ontwikkelingen bij onder toezicht staande instellingen, die voor de ander relevant zijn. Ook bij wetgeving waarbij de andere toezichthouder geen wettelijke taak heeft, zoals de Wtt en wetgeving inzake resolutie, wordt, voor zover die wetgeving in informatie-uitwisseling voorziet, op dezelfde wijze samengewerkt als in dit convenant beschreven.

Dat uitgangspunt kan grote gevolgen hebben.

Volgens dat bericht gaat het convenant eveneens over voorkoming dat dubbel wordt uitgevraagd:

De AFM en DNB moeten elkaar proactief informeren over voorgenomen data-uitvragen die het domein van de ander kunnen raken, deze waar relevant met elkaar afstemmen en waar mogelijk samenvoegen tot een gezamenlijke data-uitvraag.

De samenwerking heeft voorts betrekking op digitaal onderzoek, iets waarmee beide toezichthouders druk bezig zijn. Wat dat digitaal onderzoek precies inhoudt wordt uit de tekst van het convenant niet duidelijk, er staat niet meer dan:

1.11 Samenwerking digitaal onderzoek
De toezichthouders werken samen op het gebied van digitaal onderzoek en maken hierover nadere werkafspraken.

In de toelichting staat:

Afspraak 1.11
Digitaal onderzoek omvat OSINT en eDiscovery onderzoek. Kort gezegd zijn dit vormen van (forensisch) onderzoek waarbij feiten worden opgespoord en gereconstrueerd in digitale systemen. Dit gebeurt bijvoorbeeld bij incidentonderzoeken. Digitaal onderzoek is van groot belang vanwege de trend van digitalisering in de samenleving in het algemeen en de financiële wereld in het bijzonder. De met digitaal onderzoek belaste organisatieonderdelen van de toezichthouders werken al geruime tijd samen. Deze samenwerking wordt in het convenant opgenomen in het kader van transparantie.

Een reden om de krachten te bundelen is om voor het toezicht effectiever te kunnen zijn. Dankzij de samenwerking vindt een kruisbestuiving plaats waardoor de toezichthouders meer expertise en capaciteit ontwikkelen dan zij zelfstandig hebben. Dit draagt bij aan meer efficiency en doelmatigheid en is ook wenselijk omdat expertise op het gebied van OSINT en eDiscovery schaars is.

Dit zet de deur open naar praktijken die elders zijn te zien zijn, namelijk dat grootschalig gegevens worden gekocht van datahandelaren, zoals advertentiebedrijven, kredietbeoordelaars en witwasinformatiebedrijven, maar ook van ongure gegevensaanbieders (bijvoorbeeld op het dark web) [1].

Persoonsgegevens

Op welke manier wordt omgegaan met de grote hoeveelheden persoonsgegevens waarover de toezichthouders beschikken, blijkt beperkt uit het convenant. In eerder geciteerde artikel 1.1.1 van het convenant staat wel een noodrem, maar wat dat praktisch inhoudt is niet uit het convenant af te leiden.

De toezichthouders hebben veel vertrouwelijke gegevens onder zich. Zo verwerkt de AFM op grond van Mifid 2 de persoons- en bedrijfsgegevens van alle beleggers en houden beide toezichthouders zich bezig met personentoetsing (toetsing van personen op geschiktheid en betrouwbaarheid) van huidige en toekomstige functionarissen bij onder toezicht staande ondernemingen. Verder worden grote hoeveelheden persoonsgegevens verwerkt in het kader van het toezicht op de naleving van de misdaadbestrijdingsregelgeving door onder toezicht staande ondernemingen [2] en gebeurt er nog meer.

Van mensen uit de praktijk hoor ik dat de werkelijkheid bij de toezichthouders anders is dan de schone AVG-theorie , dat er AVG-overtredingen plaats vinden en dat er onvoldoende toezicht is op naleving door AFM en DNB van de principes van de gegevensbescherming.

 

Noten

[1] Lees mijn blogs OSINT en datagraaiende overheden | de VS koopt op grote schaal persoonsgegevens van datahandelaren en Stiftung Neue Verantwortung: disproportionate use of commercially and publicly available data: Europe’s next frontier for intelligence reform?

[2] Bekend onder de naam ‘witwasbestrijding’, voorts bestrijding van terrorismefinanciering en de sanctieregelgeving.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie