Kritisch advies Raad van State over Nederlandse implementatiewet Data Governance Act

Geplaatst op 4 augustus 2023 door Ellen Timmer

De Raad van State maakte het in mei uitgebrachte advies door de Afdeling advisering over Uit­voe­rings­wet da­tago­ver­nan­ce­ver­or­de­ning op 31 juli bekend. Onder meer hekelt de Afdeling de complexiteit van de Europese regels, die onvoldoende wordt toegelicht en wijst de Afdeling op het risico dat de AFM de adviezen van de Autoriteit Persoonsgegevens zal kunnen negeren als het om gegevensbescherming gaat.

Samenvatting advies uitvoeringswet EU-datagovernanceverordening
De Afdeling advisering van de Raad van State heeft op 26 juli 2023 het advies vastgesteld over de wet die de Europese Datagovernanceverordening moet uitvoeren. Het advies is op 31 juli 2023 openbaar gemaakt en gepubliceerd op de website van de Raad van State.

Achtergrond van de dataverordening
De Europese Datagovernanceverordening (DGA) heeft als doel om meer gegevens beschikbaar te maken voor algemeen gebruik. De verordening is een belangrijk onderdeel van de Europese datastrategie om de data-economie te ondersteunen. Het is ook de eerste Europese verordening op dit gebied. Er zullen nog andere verordeningen volgen. De DGA stelt regels voor het hergebruik en beschikbaar stellen van overheidsgegevens. Ten tweede regelt de verordening het delen van gegevens door burgers of organisaties via een databemiddelingsdienst. Ten derde bevat de DGA regels om het vrijwillig delen van gegevens te stimuleren met het oog op het algemeen belang. Dat zou moeten gebeuren via zogenoemde data-altruïstische organisaties.

Wat regelt het wetsvoorstel?
Het wetsvoorstel regelt dat de DGA in Nederland ook uitgevoerd kan worden. Zo wordt de Autoriteit Consument en Markt (ACM) de toezichthouder voor naleving van de DGA. De ACM is ook de bevoegde autoriteit voor databemiddelingsdiensten en data-altruïstische organisaties. In het wetsvoorstel wordt verder geregeld dat de Autoriteit Persoonsgegevens (AP) advies geeft aan de ACM of de diensten en organisaties voldoen aan de AVG.

Complexiteit
De DGA is erg abstract en ook erg technisch. Het is daarom niet makkelijk om te zien welke betekenis de DGA en het wetsvoorstel in Nederland zullen hebben. Bovendien zullen hierna nog meer Europese verordeningen volgen. Elke verordening kent zijn eigen doelstelling, maar in de praktijk moeten de regels in samenhang worden toegepast. Dat betekent dat de complexiteit van de wetgeving toeneemt en er in de praktijk veel afstemming nodig zal zijn, wat tot vragen kan leiden. Dit geldt ook voor het toezicht op de verschillende verordeningen, en voor de verhouding tot bestaande regelgeving, zoals tot de Algemene Verordening Gegevensbescherming (AVG). In de toelichting bij het wetsvoorstel wordt aan deze complexiteit echter nauwelijks aandacht besteed. De regering zou in de toelichting de betekenis van de DGA en het wetsvoorstel moeten verduidelijken en ook moeten ingaan op de verhouding tot Europese en nationale regelgeving en het toezicht.

Samenwerking toezichthouders
Het wetsvoorstel regelt dat de ACM de toezichthouder wordt op naleving van de DGA, en ook de bevoegde autoriteit wordt voor databemiddelingsdiensten en data-altruïstische organisaties. De bevoegdheden van de ACM mogen volgens de DGA geen afbreuk doen aan de bevoegdheden van ándere autoriteiten, zoals de gegevensbeschermings- of cybersecurity-autoriteit. In het voorstel krijgt de AP de taak om de ACM te adviseren over de vraag of databemiddelingsdiensten en data-altruïstische organisaties aan de AVG voldoen. De ACM bepaalt vervolgens of de dienst of organisatie kan worden geregistreerd, zodat deze een Europees label en logo mag voeren. Daarnaast regelt het wetsvoorstel dat de ACM en de AP in een protocol afspraken moeten maken over hun samenwerking.

De Afdeling advisering vindt deze regeling niet passend. Het is niet uitgesloten dat de ACM bij een negatief advies van de AP toch tot registratie overgaat. Dat strookt niet met de gedachte van de DGA dat bij een ‘conflict’ de AVG voorgaat. Als het gaat om de uitleg en de toepassing van de AVG zou de interpretatie van de AP beslissend moeten zijn. De Afdeling adviseert dit in de toelichting expliciet te bevestigen.

De regeling roept de vraag op of het wettelijk regelen van de verhouding tussen ACM en AP wel wenselijk is: de regeling kan deze verhouding onnodig formaliseren. Aansluiting bij de bestaande praktijk van samenwerking op basis van onderlinge afspraken biedt meer flexibiliteit. Wettelijke regeling van de samenwerking tussen alleen de AP en de ACM ligt verder niet voor de hand omdat er ook samenwerking met andere autoriteiten nodig zal zijn, terwijl die niet wettelijk worden geregeld. De Afdeling adviseert daarom de verplichte advisering door de AP aan de ACM uit het voorstel te schrappen.

Volgens de Afdeling advisering zou verder de toezichtsstructuur beter doordacht moeten worden. Dan kan ook de vraag aan de orde komen of een bredere wettelijke regeling van de verhouding en samenwerking tussen de verschillende toezichthouders wenselijk en noodzakelijk is.

Transparantie van toezicht
De DGA regelt verder dat er een Europees Comité voor gegevensinnovatie komt. Dat Comité is een deskundigengroep waarin onder meer vertegenwoordigers van de nationale toezichthouders zitten, met de Europese Commissie als voorzitter. Het Comité heeft als taak om de Europese Commissie te adviseren en te ondersteunen bij verschillende onderwerpen. Zo adviseert het Comité over richtsnoeren (die bepaalde normen verder uitleggen) en ontwikkelt het Comité deze richtsnoeren ook zelf.

De Afdeling advisering merkt op dat er duidelijkheid moet zijn over de openbaarheid van het werk van de nationale en Europese toezichthouders. Ook moet duidelijk zijn hoe zij belanghebbenden bij hun activiteiten betrekken en hoe zij verantwoording afleggen.

Bindende aanwijzing
De ACM kan een last onder dwangsom of een bestuurlijke boete opleggen als de verordening wordt overtreden. Het zal echter voor de praktijk niet altijd duidelijk zal zijn wat de normen van de DGA concreet inhouden. Daarom geeft de Afdeling advisering in overweging om de ACM ook de bevoegdheid te geven om een bindende aanwijzing te geven. Dan kan concreet worden aangegeven welke handelingen op grond van de verordening worden verwacht, vóórdat een last onder dwangsom of een bestuurlijke boete wordt opgelegd.

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Debanking in the UK | AML, CFT

Geplaatst op 3 augustus 2023 door Ellen Timmer

The UK sets a bad example on many human rights issues. Among other things, the UK leads the way in excluding people and organisations from the financial system, which is often based on so-called crime-fighting arguments. They call it ‘debanking’ there, others call it ‘de-risking’ . On that matter The Guardian published the article UK banks are closing more than 1,000 accounts every day, and wrote:

When people or organisations have their bank accounts closed, they often receive little or no explanation as to why this has happened, though the banks sometimes say it is due to concerns over financial crime such as money laundering and fraud

According to an organisation from the compliance industry: ‘Britain Changes Tune on De-risking‘ (article).

Whether that is the case I wonder. Compliance is so immensely expensive that the general trend is for banks to say goodbye to all customers who are too expensive in compliance measures. New rules will not change that unless governments abandon the bizarre expectations they have of the crime-fighting capabilities of financial institutions and other ‘obliged entities’.

Geplaatst in Bankrekening krijgen en behouden, English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , | 3 reacties

De nieuwste soort hoogrisicolanden | ‘derde landen waarvoor is aangetoond dat er een permanent en bijzonder hoog risico bestaat dat hun rechtsgebied voor omzeiling wordt gebruikt’

Geplaatst op 2 augustus 2023 door Ellen Timmer

In de internationale misdaadbestrijding zijn de ontwerpers van de systemen, zoals FATF en Europa, druk in de weer met het in de ban doen van landen die onvoldoende hun best doen om misdaad te voorkomen en te bestrijden (misdaadbestrijding wordt verhullend aangeduid als ‘witwasbestrijding’), die landen worden ook wel hoogrisicolanden genoemd. De lijsten veranderen voortdurend zodat ondernemingen die door de overheid worden ingeschakeld bij de misdaadbestrijding (bijvoorbeeld banken) nauwelijks kunnen volgen welk land er wel en niet op staat.

Hoogst vervelend is dat er nooit leesbare uitleg verschijnt over de redenen waarom een land een hoog risico vormt en op de zwarte lijst komt of er weer af gaat, laat staan dat er een fatsoenlijke Europese database is waarin het plaatsen en verwijderen goed wordt gedocumenteerd. Dat moet ‘de private sector’ maar doen vinden de arrogante ontwerpers van de internationale en nationale misdaadbestrijdingsconcepten en dat leidt er toe dat alleen grote ondernemingen die de rekeningen van de compliance industrie kunnen betalen enigszins weten hoe het er voor staat.

Landen waarvan wordt verondersteld dat zij een hoog risico vormen, pleeg ik als ‘schurkenstaten’ aan te duiden. Bekende schurkenstatenlijsten zijn afkomstig van de informele wereldregering FATF en van Europa. Verder houden individuele landen en allerlei instanties er hun eigen lijsten van schurkenstaten op na.

Europa kent een lijst van schurkenstaten op het gebied van misdaadbestrijding en een andere lijst die betrekking heeft op landen die zich op fiscaal gebied misdragen.

Nieuwe Europese categorie van hoogrisicolanden
Onlangs is er nieuwe categorie hoogrisicolanden bij gekomen die verband houdt met de Europese sanctieregels inzake Rusland, nl. [1]

derde landen waarvoor is aangetoond dat er een permanent en bijzonder hoog risico bestaat dat hun rechtsgebied voor omzeiling wordt gebruikt

In de considerans bij het besluit van 23 juni 2023 [2] wordt de gang van zaken beschreven:

(12) Indien na de vaststelling van individuele maatregelen en verdere contacten met het derde land het gezien de omvang, de soort of de systemische aard van de lopende omzeiling duidelijk blijkt dat die stappen onvoldoende of ontoereikend zijn om een dergelijke omzeiling in of via het betrokken derde land te voorkomen, moet de Unie verdere maatregelen kunnen nemen.

(13) Om de Unie in staat te stellen uitzonderlijke maatregelen als laatste redmiddel te nemen in de in de overwegingen 9 en 12 bedoelde gevallen, moet de mogelijkheid worden ingevoerd om de verkoop, levering, overdracht of uitvoer van gevoelige goederen en technologie voor tweeërlei gebruik, of goederen en technologie die kunnen bijdragen tot de verbetering van Ruslands militaire, technologische of industriële capaciteit of tot de ontwikkeling van zijn defensie- en veiligheidssector, zodanig dat dit Ruslands vermogen tot oorlogvoering versterkt, en waarvan de uitvoer naar Rusland op grond van Besluit 2014/512/GBVB en Verordening (EU) nr. 833/2014 is verboden, te beperken naar derde landen waarvan is aangetoond dat hun jurisdictie een voortdurend en bijzonder hoog risico loopt te worden gebruikt voor omzeiling.

(14) Besluiten om een derde land en beoogde goederen of technologie in het toepassingsgebied van die maatregel op te nemen, worden door de Raad met eenparigheid van stemmen genomen.

De aangewezen landen worden toegevoegd aan de annex van de sanctieregeling.

 

Noten

[1] Overweging 13 van Verordening (EU) 2023/1214 van 23 juni 2023.

[2] Besluit (GBVB) 2023/1217 van de Raad van 23 juni 2023 tot wijziging van Besluit 2014/512/GBVB betreffende beperkende maatregelen naar aanleiding van acties van Rusland die de situatie in Oekraïne destabiliseren, overzichtspagina.

 

 

Meer informatie:

  • De mogelijkheid om een nieuwe soort hoogrisicolanden aan te wijzen (landen die bijdragen aan de ontwijking van sancties tegen Rusland) maakt deel uit van het 11e pakket van sanctiemaatregelen regen Rusland, te vinden via de themapagina over de Ruslandsancties. Lees het persbericht en de vragen en antwoorden over het pakket.
  • De actuele lijst van de Europese Commissie van hoogrisicolanden op misdaadbestrijdingsgebied (Gedelegeerde Verordening (EU) 2016/1675 van de Commissie van 14 juli 2016 tot aanvulling van Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad door de identificatie van derde landen met een hoog risico die strategische tekortkomingen vertonen) dateert van 16 juli jl. en staat hier.
  • De Europese Raad heeft een pagina over fiscale hoogrisicolanden.
  • De zwarte lijst van FATF is hier te vinden (verdeeld in een ‘zwart’ en een ‘grijs’ deel).
  • Nederland hield in 2020 de Consultatie aanwijzing van laagbelastende staten 2021, de enige gepubliceerde consultatiereactie is van mij: “Het is ongewenst dat Nederland en andere EU-staten hun eigen lijsten van laagbelastende staten vaststellen en daarmee de internationale chaos rondom ‘onvrije landen’, landen die onvoldoende witwasbestrijdende maatregelen nemen en andersoortige ‘schurkenstaten’ verhogen. Ik begrijp dat Nederland goede sier wil maken met maatregelen tegen belastingfraude. Het is aan te bevelen om dat op een andere manier te doen” (ook geblogd).
Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Sanctieregels | Tags: , , , , , , | Plaats een reactie

Heeft Whatsapp een gerechtvaardigd belang? | AVG

Geplaatst op 1 augustus 2023 door Ellen Timmer

Onlangs schreef een lezer van dit blog dat hij bij Whatsapp bezwaar had gemaakt tegen verwerking van zijn persoonsgegevens en van Whatsapp de volgende reactie kreeg:

Bedankt voor je bericht.
Beantwoord dit bericht met de volgende informatie, zodat wij je bezwaar kunnen beoordelen:
– Tegen welke gegevensverwerking je bezwaar maakt. Jouw recht om bezwaar te maken is van toepassing wanneer wij legitieme belangen hebben om je gegevens te verwerken.
– Wat de impact van de verwerking van WhatsApp op jou is (zoals welke rechten en vrijheden volgens jou worden beïnvloed door de verwerking, en waarom).
– Eventuele aanvullende informatie die volgens jou voor ons nuttig is voor de beoordeling van je bezwaar (optioneel).
We kunnen je om meer gegevens vragen als je verzoek onvolledig is.
Met vriendelijke groet,
WhatsApp Privacy Operations

 

Ik heb de lezer volgende teruggeschreven:

In whatsapp heb ik me tot nu toe niet verdiept. Als het goed is lezen ze je app berichten niet (maar of dat echt zo is…). Mijn grootste bezwaar is dat ze het adresboek van gebruikers stelen en gebruiken om wereldwijd relaties in beeld te brengen. Dat betekent:

1. Ze krijgen persoonsgegevens van mensen in het adresboek die geen toestemming hebben gegeven en [a] dus niet door Meta c.s. verwerkt mogen worden; [b] voorts zien ze dat je een relatie hebt met de onder [a] genoemde mensen.

2. [a] Ze zien ook gegevens van mensen die whatsapp wel gebruiken (dus dan mag whatsapp die gegevens hebben) en [b] dat jij een relatie met de onder [a] genoemde mensen hebt.

Ik ben van mening dat 1. volledig illegaal is en dat 2 [b] ook illegaal is. Het gaat Meta c.s. niets aan met wie jij in welke frequentie contact hebt.

Zie over adresboeken ook dit blog. Wat de Belgische privacy autoriteit hier beslist is ook van toepassing op Meta c.s. Helaas gaat die uitspraak niet over het in beeld brengen van relaties. Ik vind dat dit nooit kan bij een messaging dienst.

Op basis van het bovenstaande zou ik bezwaar maken en zeggen dat de belangenafweging in jouw voordeel is (in kaart brengen relaties) en in het belang van de derden in jouw adresboek. (Zie over de drie criteria bij gerechtvaardigd belang ook dit blog en bekijk mijn andere berichten.)

 

De lezer laat mij weten het volgende aan whatsapp te hebben geschreven (grijs zijn de vragen van whatsapp en blauw zijn de antwoorden van de lezer):

Beantwoord dit bericht met de volgende informatie, zodat wij je bezwaar kunnen beoordelen:

– Tegen welke gegevensverwerking je bezwaar maakt. Jouw recht om bezwaar te maken is van toepassing wanneer wij legitieme belangen hebben om je gegevens te verwerken.
Mijn grootste bezwaar is dat Whatsapp het adresboek van gebruikers uitleest en persoonsgegevens buit maakt (steelt) en gebruikt om wereldwijd relaties in beeld te brengen. Dit betekent:
1. Whatsapp krijgt persoonsgegevens van mensen in mijn adresboek die geen toestemming hebben gegeven en [a] dus niet door Meta c.s. verwerkt mogen worden; [b] voorts ziet Whatsapp dat je een relatie hebt met de onder [a] genoemde mensen.
2. [a] Whatsapp ziet ook persoonsgegevens van mensen die whatsapp wel gebruiken en [b] dat ik een relatie met de onder [a] genoemde mensen hebt.
Ik ben van mening dat 1. volledig illegaal is en dat 2 [b] ook illegaal is. Het gaat Meta c.s. niets aan met wie ik in welke frequentie contact hebt.
Daarnaast maak ik bezwaar tegen verwerking van mijn gegevens door Meta/Whatsapp met betrekking tot:
* Business intelligence and analytics.
* Om informatie te bewaren en te delen met anderen
* Om veiligheid, integriteit en beveiliging te bevorderen

– Wat de impact van de verwerking van WhatsApp op jou is (zoals welke rechten en vrijheden volgens jou worden beïnvloed door de verwerking, en waarom).
Zie hierboven en https://ellentimmer.com/2020/06/14/adresboekjatten-3/
De belangenafweging valt in mijn voordeel uit (in kaart brengen relaties) en in het belang van de derden in jouw adresboek. Mijn persoonlijke belangen wegen zwaarder dan de door Meta/Whatsapp vastgestelde gerechtvaardigde belangen. Ik wil gewoon whatsapp kunnen blijven gebruiken zonder dat Whatsapp data graait m.b.t. mijn persoonsgegevens en mijn relaties en daar segmentatie en profilering op toepast.

De argumenten van whatsapp

Daar krijgt de lezer van whatsapp dit antwoord op:

Bedankt voor je bericht. Zo te zien maak je bezwaar tegen het verwerken van je persoonlijke gegevens op grond van de bepalingen van de verordening inzake gegevensbescherming.

Met de functie Uploaden van contacten openen en uploaden we meestal dagelijks de telefoonnummers in de adresboeken van gebruikers. Dit hangt af van verschillende factoren, waaronder hoe vaak iemand WhatsApp gebruikt. Meer informatie over de functie Uploaden van contacten vind je hier (https://faq.whatsapp.com/general/contacts/about-contact-upload). Als deze contacten nog geen WhatsApp gebruiken, beheren we deze informatie zodanig voor je dat niet-gebruikers van WhatsApp niet kunnen worden geïdentificeerd.

We bewaren deze telefoonnummers niet en verwerken ze alleen op dat moment om cryptografische hashwaarden te maken zodat we deze contacten op efficiëntere wijze aan WhatsApp-gebruikers kunnen koppelen als ze WhatsApp gaan gebruiken.

Omdat WhatsApp geen persoonlijke gegevens over niet-gebruikers opslaat, is er geen sprake van een gegevensverwerkingsactiviteit waartegen je bezwaar kunt maken. We hebben je bezwaar beoordeeld en vastgesteld dat, voor zover er volgens de verordening inzake gegevensbescherming een relevante juridische basis voor bezwaar is, we dwingende en legitieme gronden hebben voor de verwerking waar je bezwaar tegen maakt.

We hebben je verzoek beoordeeld en het lijkt erop dat je bezwaar maakt tegen de verwerking van persoonlijke gegevens waarvoor WhatsApp legitieme belangen heeft.

We hebben je bezwaar tegen de verwerking van je gegevens voor de onderstaande doelen beoordeeld:
– We verwerken je gegevens voor bedrijfskennis- en analysedoeleinden, en gebruiken deze gegevens om zakelijke inzichten te krijgen en nauwkeurig rapporten over het aantal gebruikers op te stellen. De verzameling van deze gegevens is bijvoorbeeld nodig om nauwkeurige rapporten aan regelgevende instanties te kunnen verstrekken.
– We bewaren en delen je gegevens met derde partijen, waaronder wetshandhavingsinstanties, en zodat we op juridische verzoeken kunnen reageren. We wegen je rechten altijd zorgvuldig af tegen de belangen van de derde partijen die je gegevens ontvangen.
– We bewaren en delen je gegevens om juridisch advies in te winnen of om onszelf te beschermen bij procesvoering en andere geschillen. Deze verwerking is nodig om onze wettelijke rechten te verdedigen of te doen gelden.
– We verwerken je gegevens om onze klantenservice te verbeteren, wat noodzakelijk is om de verwerking (zoals beschreven in ons Privacybeleid) uit te voeren, zodat we op een effectieve en optimale manier kunnen reageren op vragen en twijfels die onze gebruikers hebben.
– We houden gebruikersaccounts veilig en bestrijden bedreigingen, misbruik of inbreuk makende activiteiten op onze diensten om veiligheid, integriteit en bescherming te garanderen. Deze verwerking zorgt er ook voor dat onze diensten conform onze voorwaarden en beleidsregels worden gebruikt.

We hebben vastgesteld dat we dwingende legitieme redenen hebben voor deze verwerking. Dit betekent dat we na beoordeling van je bezwaar een verdere afwegingstest hebben uitgevoerd. Uit deze test concluderen we dat onze dwingende legitieme redenen (of die van anderen) zwaarder wegen dan je bezwaar. Daarom blijven we je gegevens verwerken voor deze doeleinden.

Je hebt het recht om een klacht in te dienen bij de Ierse functionaris voor gegevensbescherming, de hoofdtoezichthouder van WhatsApp (zie http://www.dataprotection.ie). Je hebt ook het recht om contact op te nemen met je lokale autoriteit voor gegevensbescherming en om een vordering voor de rechtbank te brengen.

Met vriendelijke groet,
WhatsApp Privacy Operations

 

Opvallend is dat whatsapp zegt dat zij de persoonsgegevens van niet-whatsapp gebruikers niet zouden verwerken, anders dan “cryptografische hashwaarden te maken zodat we deze contacten op efficiëntere wijze aan WhatsApp-gebruikers kunnen koppelen als ze WhatsApp gaan gebruiken“, wat mij gewoon verwerking lijkt. Er zouden geen persoonlijke gegevens van niet-gebruikers worden opgeslagen. Ik ben benieuwd of dit door een onafhankelijke toezichthouder technisch is getoetst.

De gegevens van whatsapp gebruikers worden wel verwerkt, onder meer “om zakelijke inzichten te krijgen” (wat ook de onderlinge relaties zal omvatten); waarom een gebruiker dat goed zou moeten vinden wordt niet uitgelegd. Alle persoonsgegevens van gebruikers worden volgens het antwoord gedeeld “met derde partijen, waaronder wetshandhavingsinstanties“, kennelijk zonder juridische noodzaak. Dat is bizar. Ook de andere elementen van de ‘onderbouwing’ rammelen.

De zogenaamde onderbouwing door whatsapp ziet er hoogst twijfelachtig uit.

Tot slot

Ik ben benieuwd of er lezers zijn die wel eens dieper zijn gedoken in de gegevensverwerking door advertentiebedrijf Meta/Facebook, voor zover het whatsapp betreft en hoor graag jullie ervaringen.

 

Aanvulling 5 augustus 2023
Whatsapp beweert de aanpak te hebben gewijzigd, lees We’re updating our Privacy Policy for people in the European Region. Er is door noyb gereageerd met Meta apparently switches to consent for behavioral ads after five years of litigation.
Zie ook het bericht in VPN Gids Meta: ‘We hebben ‘intentie’ om grondslag voor gerichte advertenties te veranderen’ en Euractiv WhatsApp shifts legal basis for processing personal data in Europe.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , | 2 reacties

De foute brief van het Openbaar Ministerie aan zogenaamde demonstranten | vertrouwen in de overheid

Geplaatst op 31 juli 2023 door Ellen Timmer

Het vertrouwen in de overheid is de afgelopen week flink geschonden door het Openbaar Ministerie en de Koninklijke Marechaussee, vanwege waarschuwingsbrieven die zijn verzonden aan mensen die niets hebben misdaan.

Een van degenen die een dergelijke brief ontving, was Kirsten Verdel, die het epistel op twitter publiceerde [1]:

Zij kreeg deze dreigende brief terwijl zij helemaal niet bij de demonstratie was geweest.

Bij RTL verscheen over deze affaire het artikel Niet bij klimaatdemonstratie, toch ‘intimiderende’ brief OM: ‘Hoe dan?’. Daarin wordt beschreven dat Verdel  niet de enige was die ten onrechte een dergelijke brief kreeg.

Inmiddels heeft Verdel een nette brief gekregen dat een en ander wordt onderzocht. Het neemt niet weg dat het Openbaar Ministerie en de Koninklijke Marechaussee hier een zeer scheve schaats hebben gereden en het vertrouwen in de Nederlandse rechtsstaat hebben geschaad. Rondom demonstreren gebeuren in Nederland vaker vreemde zaken [2].

Deze affaire laat zien dat het vertrouwen in de Nederlandse overheid niet voor niets is afgenomen [3]. Lees in dit verband het artikel in het NRC over de AIVD-publicaties over ‘anti-institutionele extremisten’ [4], waarin Renske Leijten en Nicole Temmink, (ex-)fractieleden SP, worden geciteerd:

Met rapporten over ‘anti-institutionele extremisten’ zet de AIVD ten onrechte burgers in de hoek die zeer slechte ervaringen hebben met de overheid, zeggen de SP’ers Leijten en Temmink.

Als het Openbaar Ministerie en de Marechausse hebben lopen prutsen hoort er wat te zwaaien!

 

Noten

[1] Kirsten Verdel schreef op twitter:

Dit is eh… een intimiderende brief van het Openbaar Ministerie, die ik vandaag bij thuiskomst vond. Gericht aan mij (naam zoals in paspoort). Het enige is: ik was 5 november 2022 niet bij een demonstratie op Schiphol, maar bij een binnenspeeltuin en een bruiloft elders. ?!?!

In een later bericht meldt zij dat zij een brief van het OM heeft gekregen dat een en ander wordt onderzocht:

 

 

Dat is verheugend, maar het optreden van het OM blijft laakbaar.

[2] Artikel in De Groene over ondergraving door de overheid van het demonstratierecht, intro:

Zelfs gegevens van familie van demonstranten worden opgevraagd
Gegevens van demonstranten en hun familie worden voortdurend opgevraagd door de politie. Het recht op betoging is in het geding, zeggen experts.

Dergelijke praktijken zijn bij meer overheden aan de orde, zie bijvoorbeeld dit blog over Engelse praktijken: persoonsgegevens inzake een 91-jarige actievoerder worden rechtmatig opgeslagen in de  ‘Domestic Extremism Database‘, terwijl hij geen terrorist is.
Zie mijn blog over het bericht van Amnesty van november 2022 over een rapport (pdf) waarin wordt aangekaart dat het demonstratierecht in Nederland wordt ondergraven.

[3] Lees in dit verband ook mijn blog over de kritiek van Algemene Rekenkamer en Nationale Ombudsman: De Haagse beleidsmakers zijn het contact met de burger kwijt. Zie voorts recent: Overheid scoort laag op integriteit en openheid, Publiek Denken, 20 juli 2023, over het rapport Government at a Glance van de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO), al lijkt dat niet over onderwerpen als demonstratierecht te gaan.

[4] Artikel Kees Versteegh, ‘De AIVD waarschuwt voor polariseren, maar doet dat zélf door van alles op één hoop te gooien’ (betaalmuur), 24 juli 2023.

 

 

Aanvulling 22 augustus 2023
Lees over het vervolg op het bovenstaande:

 

 

Ze vertelt over de ervaringen van een ander persoonsverwisselingsslachtoffer. Ook Verdel krijgt zo’n merkwaardige uitnodiging, gevolgd door een bericht van het OM:

 

 

Probeert de Marechaussee te doen alsof zij geen ernstige flater hebben begaan? Belachelijk dat ‘verdachten’ moeten bewijzen dat ze er niet waren

Geplaatst in Grondrechten, Strafrecht | Tags: , , , , , , | 1 reactie

Dual citizenship is dull misery for many people, but apparently not for investors | investment treaties

Geplaatst op 30 juli 2023 door Ellen Timmer

Many victims of FATCA, the US tax information collection law that requires international financial institutions to serve the US, have had negative experiences with the consequences of dual citizenship.

Apparently, it can be different (for those who are rich). In the articleDual Nationals in Investment Treaty Arbitration: An Emerging Field of Inconsistent Decisions‘ by Javier García Olmedo, the author describes case law regarding investment treaties. From the introduction:

Nationality is a crucial marker for protection in international investment law. Only investors that qualify as nationals of a contracting party can access investment treaties. Most investment treaties, however, are premised on broad provisions defining eligible nationals. With respect to individuals, these instruments typically define protected investors as physical persons who hold the nationality of the home state party in accordance with its domestic laws.

He ends with the conclusion that claims by dual nationals is an emerging field within international investment law, that individuals are increasingly seizing opportunities that states have inadvertently created for them and that claims by dual nationals will continue to increase, and more awards will soon be rendered in pending cases.

I still don’t understand why nationality should be such an important criterion.

Geplaatst in English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Grondrechten | Tags: , , , | Plaats een reactie

Compliance industrie kan zich in de handen wrijven met de modernisering van het Nederlandse sanctiestelsel

Geplaatst op 29 juli 2023 door Ellen Timmer

De Nederlandse overheid heeft overspannen verwachtingen van de mogelijkheden van bedrijven om de sanctieregelgeving toe te passen en is daarom van plan het regelgevende systeem aan te passen.

In juli is de ‘Preconsultatie Modernisering van het Nederlandse sanctiestelsel‘ van start gegaan. Uit de aankondiging:

Het kabinet werkt aan de modernisering van het Nederlandse sanctiestelsel. Het doel van de modernisering is om nog beter te kunnen voldoen aan de eisen die gesteld worden vanuit de Europese sanctiebesluiten en -verordeningen. In dat kader vraagt het kabinet uw inbreng op bouwstenen voor een toekomstbestendige Sanctiewet. Dit preconsultatiedocument heeft als doel om gericht inbreng op te halen en daarmee te komen tot betere en effectieve wetgeving die nauwer aansluit bij de nalevingpraktijk. De modernisering zal er onder andere voor zorgen dat het sanctiewettoezicht op bepaalde groepen wordt uitgebreid en gemoderniseerd, dat de mogelijkheden voor overheidsingrijpen worden vergroot en dat er betere gegevensuitwisseling kan plaatsvinden.

Uw inbreng op deze preconsultatie zal worden meegenomen bij de verdere uitwerking van de nieuwe Sanctiewet en de aanpassing van aanpalende wetgeving. Het uiteindelijke, volledige wetsvoorstel en de bijbehorende toelichting zullen eveneens op een later moment via internetconsultatie ter consultatie worden aangeboden. (…)

  • De bevoegdheden van overheden en uitvoeringsinstanties worden toekomstbestendig ingericht met het oog op bestaande en nieuwe sancties.
  • Het toezicht op de Sanctiewet dat nu geldt voor de financiële sector en een aantal andere partijen zal worden uitgebreid naar nieuwe partijen, waaronder advocaten, notarissen en accountants.
  • De regels voor instellingen die via de Sanctiewet onder toezicht staan, worden gemoderniseerd (voor zowel de bestaande als nieuwe partijen). Denk aan het onderzoek naar klanten, het screenen van deze klanten en het melden van het toepassen van een beperkende maatregel.
  • De strafrechtelijke handhaving van bepaalde schendingen van sancties zal worden aangevuld met een bestuursrechtelijk handhavings-instrumentarium voor schendingen.
  • De ongewenste gevolgen van de toepassing van een bevriezing in Nederland worden opgevangen door het vergroten van de mogelijkheid van overheidsingrijpen.
  • Er komen mogelijkheden tot het plaatsen van aantekeningen in relevante registers om marktpartijen en overheidsorganisaties bewust te maken van het toepassen van een sanctie.
  • Om betere gegevensuitwisseling tussen (overheids)organisaties mogelijk te maken worden de wettelijke grondslagen versterkt.
  • Overige Europese ontwikkelingen, bijv. n.a.v. de op Rusland gerichte sanctiepakketten, worden waar mogelijk betrokken.

De voornemens staan een nota die de titel ‘preconsultatiedocument‘ heeft gekregen.

Het mag dan een consultatie van het ministerie van Buitenlandse Zaken zijn, de teksten doen denken aan het proza van het ministerie van Financiën, een ministerie dat specialist is in het creëren van een megalomane bureaucratie die weinig effectief is en geen rekening houdt met de verschillende posities van de bedrijven die deze overheidstaken moeten uitvoeren.

Criminalisering van bedrijven
Kenmerkend voor het financiële denken is dat de bedrijven zelf als crimineel worden aangemerkt, lees bijvoorbeeld teksten als (pagina 3 nota, markering door mij):

In de loop der jaren is het aantal sanctiemaatregelen (van niet-financiële aard) sterk gegroeid waardoor meer partijen risico’s lopen op het schenden van sanctiemaatregelen, bijv. door zelf in strijd te handelen met gebods- en verbodsbepalingen of door derden te faciliteren om sancties te omzeilen.

De partijen waarvoor uitbreiding wordt voorzien zijn die partijen die een belangrijke spilfunctie vervullen in het economische verkeer, omdat zij het bijvoorbeeld mogelijk maken dat overeenkomsten tot stand komen, transacties worden uitgevoerd of rechtspersonen worden opgericht. Leidend uitgangspunt is om het toezicht uit te breiden naar groepen die gezien de aard van hun activiteiten een hoger risico lopen op het schenden van de geldende sanctiemaatregelen en het faciliteren daarvan en daarom hun bedrijfsvoering moeten inrichten om dit risico te beheersen.

Het is weer veel ‘risico beheersen’ en ‘faciliteren’. Het zogenaamde ‘schenden’ is in de  nota niet het leveren van producten aan foute Russen, maar het niet signaleren dat de klant aan foute Russen levert.

Aangezien de ‘hoog risico bedrijven’ niet uit zich zelf de wetten naleven, zo denken de schrijvers van de nota, is er veel toezicht en harde bestraffing nodig. In de praktijk betekent dit dat ondernemingen veel tijd en geld moeten besteden aan compliance toneelstukjes [1] (om te laten zien dat zij de wet naleven), zodat er geen tijd meer overblijft voor het echte werk (mogelijke misdaad signaleren).

Gelukkig wordt in de nota wel naar uitvoerbaarheid en effectiviteit gevraagd [2], maar wordt er naar de reacties geluisterd?

Juristen
Uit de nota blijken overspannen verwachtingen op sanctiegebied van de juridische beroepsgroep (onder meer advocaten en notarissen). Waar dat op gebaseerd is, is mij nog steeds een raadsel. Zij verkopen geen producten (zoals exporteurs) en doen niet op grote schaal financiële transacties (zoals banken). Mij lijkt hun rol op het gebied van het signaleren van sanctieovertredingen irrelevant. Noch in de nota, noch in eerdere documenten die ik over het onderwerp las, is iets te vinden over de feitelijke rol van juristen.

Sanctie-ubo
Het ubo-register komt ook in de nota voor, ook al is het ubo-criterium in de sanctieregelgeving anders. Uit de nota:

2.1 Grondslagen voor het gebruik van het UBO-register (uiteindelijke belanghebbende)
Om te weten of een rechtspersoon of juridische constructie onder sancties valt, moeten instellingen weten wie de uiteindelijke belanghebbenden zijn van hun cliënt. Indien een rechtspersoon of juridische constructie voor meer dan 50 procent eigendom is of gecontroleerd wordt door gesanctioneerde personen, valt deze rechtspersoon of juridische constructie zelfstandig ook onder sancties. Om instellingen te assisteren bij het verrichten van dit onderzoek wordt een grondslag gecreëerd zodat zij die een poortwachtersfunctie vervullen bij de sanctienaleving toegang hebben tot de informatie uit de UBO-registers. Deze grondslag is op dit moment voorzien in de Wijzigingswet beperking toegang UBO-registers dat tot 28 juni 2023 ter consultatie voorlag. [7]

[7] Zie hierover: Overheid.nl | Consultatie Wijzigingswet beperking toegang UBO-registers (internetconsultatie.nl).

Als straks ieder bedrijf ‘poortwachter’ is gemaakt, is het ubo-register de facto openbaar.

De overheidskant
Bij snelle doorlezing kom ik niets tegen over de verbetering van de overheidskant van de regelgeving. Een van de problemen van de sanctieregelgeving op dit moment is dat de overheidsinformatie gebrekkig is, een toegankelijke database met regelgeving en toelichting ontbreekt en dat taken over verschillende instanties zijn verspreid.

Tot slot
De compliance industrie zal zich in de handen wrijven, want de regelgeving zal ongetwijfeld nog ingewikkelder en onbegrijpelijker worden en kennis vereisen die bij betrokken ondernemingen niet aanwezig is.

 

Noten

[1] Vastleggen en bewijzen dat er maatregelen zijn genomen, dat die maatregelen regelmatig worden geactualiseerd, dat het personeel voldoende is opgeleid, enzovoorts.

[2] “Vraag 2: Hoe beoordeelt u de uitvoerbaarheid en effectiviteit van de artikelen 1 t/m 3 over de administratieve organisatie en interne controle?

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Sanctieregels, Ubo-register | Tags: , , , , , | 1 reactie

Europe persists with ‘open finance’ despite criticism from citizens and despite major cybersecurity risks | European financial data access and payments package

Geplaatst op 28 juli 2023 door Ellen Timmer

Though there was criticism from citizens and NGOs, Europe is proceeding with its ‘open finance‘ plans, promising citizens they will get a “wider range of better and cheaper financial products and services“.
In reality, the proposals are only in the interests of certain sections of the business community and there is a high risk that all the benefits will end up with the well-known big US tech companies.

Commission proposals
The European Commission recently presented its financial data access and payments package, consisting of:

  • Proposal for a Regulation on a framework for financial data access (FIDA Regulation, this is the open finance proposal)
  • Proposal for a Regulation on payment services in the internal market (PSR)
  • Proposal for a Directive on payment services and electronic money services in the internal market (PSD3)

Open finance represents the European desire for all account holders to open up their account data (which contains very large amounts of third-party personal data) to fintech companies, which can use the wisdom they extract from the transaction data to create “innovative” products. The major problems with cybersecurity are mentioned as a concern but are not seriously addressed in the European proposals.

As with PSD2, there is a lack of attention to the fact that payment transaction data includes data of third parties (‘silent third parties’) who have not given their consent for their personal data to be processed.

The European Commission is not taking data protection seriously
Even if there is a verbal commitment to data protection, the reality at the Commission is different.
Read for instance the article by noyb, a NGO that is defending data protection rights of Europeans, on the press conference held by EU Commissioner Didier Reynders. This Commissioner used the official press conference of the European Commission to discredit the work of civil rights organizations like noyb:

Commissioner Reynders used his time on stage to (for the third time) make the allegation that citizens and “non-profits” bring cases before the CJEU as a “business model”. This is an unacceptable attack on the important work of civil rights organizations

Open finance
There is every reason to pay close attention to the European Commission’s open finance proposals.

 

More information:

General information on the financial data access and payments package (European Commission):

FIDA Regulation (draft for an open finance regulation)

PSR and PSD3 (drafts regarding the European payments system)

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Not-for-profit | Tags: , , , , , , , , , | 1 reactie

Cryptoconsultaties

Geplaatst op 27 juli 2023 door Ellen Timmer

Onlangs zijn twee consultaties gestart waarin cryptovaluta centraal staan, die door het ministerie van Financiën als volgt zijn aangekondigd:

Uitvoeringswet verordening bij geldovermakingen en overdrachten van cryptoactiva te voegen informatie.
Het wetsvoorstel strekt tot uitvoering van Verordening (EU) 2023/1113 betreffende bij geldovermakingen en overdrachten van bepaalde cryptoactiva te voegen informatie en tot wijziging van Richtlijn (EU) 2015/849 (PbEU 2023, L 150) en tot wijziging van Richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering.

Zie de aankondiging. Net als bij geldtransacties moeten bij cryptotransacties allerlei gegevens van betaler en ontvanger worden meegestuurd, dit alles in het kader van de criminaliteitsbestrijding.

Uitvoeringswet verordening cryptoactiva.
Dit wetsvoorstel strekt tot wijziging van de Wet op het financieel toezicht (Wft) ter uitvoering van Verordening (EU) 2023/1114 van het Europees Parlement en de Raad van 31 mei 2023 betreffende cryptoactivamarkten en tot wijziging van Verordeningen (EU) nr. 1093/2010 en (EU) nr. 1095/2010 en Richtlijnen 2013/36/EU en (EU) 2019/1937 (PbEU 2023, L 150) (MiCA).

Zie de aankondiging. In de Europese verordening ‘MiCA’ worden cryptovaluta gereguleerd op een manier die lijkt op de regulering van de financiële sector.

Mijn indruk is dat voor cryptovaluta strengere regels gelden dan in het gewone betalingsverkeer, maar of dat zo is zullen de cryptovalutaspecialisten moeten uitmaken.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

Publicatie persoonsgegevens van verdachte in strijd met artikel 8 EVRM | EHRM

Geplaatst op 26 juli 2023 door Ellen Timmer

Het Europese Hof voor de Rechten van de Mens besliste in juni dat de Griekse overheid onjuist handelde door een portret en persoonsgegevens van een verdachte van fraude te publiceren, zonder betrokkene op de hoogte te stellen en zonder dat betrokkene in rechte voldoende mogelijkheden had om tegen de openbaarmaking van de persoonsgegevens op te komen. Daarbij speelde een rol dat zij werd verdacht van minder zware feiten dan haar mede-verdachten en dit in de publicatie niet correct naar voren kwam. Het Hof concludeerde dat artikel 8 EVRM was geschonden.

Onderwerp van de procedure (uit de uitspraak):

1. The application concerns the publication of the applicant’s photograph and personal data in the press for a period of six months after she had been charged with certain offences. The applicant complained that the publication had taken place following an order of the public prosecutor to that effect, without her having prior knowledge of it, without her being able to contest the decision and without her being distinguished from her co-accused as regards the offences she had been charged with, which gave the public the impression that she had been charged with more serious (forms of) offences than was actually the case.

Over de vraag of de openbaarmaking gerechtvaardigd was, concludeerde het Hof dat het gegeven de omstandigheden niet het geval was:

60. The foregoing considerations are sufficient to enable the Court to conclude that the interference with the applicant’s right to respect for her private life occasioned by the prosecutor’s order and the police announcement was not sufficiently justified in the particular circumstances of the case and, notwithstanding the national court’s margin of appreciation in such matters, was disproportionate to the legitimate aims pursued. Accordingly, there has been a violation of Article 8 of the Convention.

Dit wordt in overwegingen 50 tot en met 59 toegelicht, onder meer in (markering door mij):

57. Turning to the assessment of the proportionality of that publication and whether the authorities provided relevant and sufficient reasons for it, the Court observes that Greek domestic law provides for certain safeguards when the prosecutor orders the publication of personal data and photographs in the context of pending criminal proceedings, such as notification to the defendant beforehand and a right of appeal. However, in the specific case of setting up or joining a criminal organisation the above-mentioned safeguards do not apply. In particular, the applicant was not informed officially of the publication of her photograph and personal data, either before the publication or afterwards, but was informed of it accidentally through her friends. The Court takes issue with this aspect of the domestic law. In particular, it has already found a violation of Article 8 of the Convention in cases in which the photographs of accused people had been given to the press without their consent when there was no basis for this in domestic law (see Sciacca, cited above, § 30) or when the interference was not justified (see Khuzhin and Others, cited above, § 117). Although a legally binding obligation to obtain an accused person’s consent before the publication of his or her photograph and of the charges faced could run counter to the purpose of the law, the Court nevertheless considers that the applicant should at least have been notified prior to the dissemination of her photograph and the details of the pending criminal charges, since the fact of being the subject of criminal proceedings did not curtail the scope of the broader protection of her private life which she enjoyed as an “ordinary person” (see Sciacca, cited above, § 29).

58. Moreover, the applicant had no right to appeal against the prosecutor’s order for the publication of her photograph and personal data. The law provided that for specific categories of offences, the order would be in force immediately and would be approved by the prosecutor of the Court of Appeal, but without specifying the criteria for such approval (see paragraph 17 above). Even though Article 8 of the Convention contains no explicit procedural requirements, it is important for the effective enjoyment of the rights guaranteed by this provision that the relevant decision-making process is fair and such as to afford due respect to the interests safeguarded by it. Such a process may require the existence of an effective procedural framework whereby an applicant can assert his or her rights under Article 8 under conditions of fairness (see Ciubotaru v. Moldova, no. 27138/04, § 51, 27 April 2010). However, in the circumstances of the present case, the applicant had no opportunity either to be heard prior to the decision being taken or to apply for a review and put forward her arguments after the decision was taken.

59. Lastly, the Court takes note of the applicant’s argument that she had only been charged with the misdemeanour of joining a criminal organisation as provided for in Article 187 § 5 of the Criminal Code and not with the more serious form of that offence as provided for in Article 187 § 1 of the Criminal Code. While the prosecutor’s order described with sufficient clarity the exact offences that the applicant had been accused of, the police announcement in execution of the prosecutor’s order made no distinction among the defendants, stating merely that they had been accused of the offences “as applicable”. The police announcement was later published in the media. In this connection, the Court considers that the processing of personal data relating to criminal charges calls for enhanced protection because of the particular sensitivity of the data at issue (…). It is therefore of the utmost importance that when sensitive data are being published in the context of pending criminal proceedings or in the context of the investigation of criminal offences that those data accurately reflect the situation and the charges pending against an accused person, regard also being had to the observance of the presumption of innocence.

Meer informatie:
Uitspraak van het Europese Hof voor de Rechten van de Mens van 20 juni 2023, ‘Margari v. Greece’, ECLI:CE:ECHR:2023:0620JUD003670516 (no. 36705/16), persbericht Hof, uitspraak.

 

NB Als ik probeer naar de EHRM portal HUDOC te gaan rinkelt het van de adtech. Vreemd.

Geplaatst in Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , | Plaats een reactie