Algoritmerisico’s in Nederland, onder meer bij de misdaadbestrijding | eerste rapportage Autoriteit Persoonsgegevens

Geplaatst op 25 juli 2023 door Ellen Timmer

De Autoriteit Persoonsgegevens (AP) maakte deze maand de eerste ‘Rapportage Algoritmerisico’s Nederland’ bekend, lees de aankondiging en het rapport. Uit de aankondiging:

Innovaties zoals intelligente chatbots en gebrekkig inzicht in bestaande algoritmes zijn op dit moment de belangrijkste algoritmerisico’s. Dit blijkt uit de eerste Rapportage Algoritmerisico’s Nederland, die de nieuwe directie Coördinatie Algoritmes van de Autoriteit Persoonsgegevens (AP) vandaag heeft gepubliceerd.

Voor meer grip op algoritmes en artificiële intelligentie (AI), moeten overheid en bedrijfsleven nog grote stappen maken. Twee uitdagingen komen op dit moment samen. Ten eerste de snelheid waarmee AI-innovaties de samenleving binnendringen, zoals slimme chatbots. Deze innovaties bieden nieuwe kansen, maar ook nieuwe risico’s.

Ten tweede staat Nederland voor de opgave om inzicht te krijgen in het gebruik van hoogrisico-algoritmes: algoritmes die grote impact hebben op het leven van mensen. In afwachting op Europese wetgeving, zijn nu al concrete acties van de overheid en het bedrijfsleven wenselijk.

Gebruik van algoritmes in de geprivatiseerde criminaliteitsbestrijding (Wwft) en andere misdaadbestrijdingstoepassingen
In het rapport wordt aandacht besteed aan het gebruik van algoritmes in het betalingsverkeer, onder meer in het kader van het opsporen van criminaliteit (‘witwasbestrijding’ en bestrijding terrorismefinanciering).

Betalingsverkeer

Inzet van algoritmes voor monitoring van het betalingsverkeer brengt de verantwoordelijkheid met zich mee om (groeps)discriminatie te voorkomen. Ook voor financiële dienstverlening worden algoritmes ingezet om efficiënter het betalingsverkeer en mogelijk ongewenste transacties te monitoren. In de financiële sector worden de huidige ontwikkelingen verwelkomd vanwege de wettelijke verplichting om het Nederlands betalingsverkeer op een gedegen manier te monitoren op illegale activiteiten. Zo zijn er risico’s op witwassen, financiering van terrorisme en algemenere fraude waarop banken alert moeten zijn en waarnaar zij actief op zoek moeten.

Monitoring van elke individuele transactie is door de omvang van het digitale betalingsverkeer niet mogelijk. Door algoritmes met patroonherkenning toe te passen op basis van data over ongebruikelijke transactiepatronen, modus operandi en risico-indicatoren, kunnen soortgelijke (ongebruikelijke) transacties snel worden herkend. Vermoedelijk illegale transacties kunnen door het systeem worden ‘gepauzeerd’, wat de transactie bevriest. Een medewerker van de bank bekijkt vervolgens –handmatig – of de inschatting van het algoritme terecht is. Bij een false positive, een onterechte aanmerking als mogelijk illegale transactie, merkt de medewerker de melding van het algoritme als foutief aan. De transactie kan dan alsnog doorgaan. Is de melding van het algoritme mogelijk wel terecht, dan kan er verder worden onderzocht of de transactie inderdaad in strijd is met toepasselijke wetgeving.

Inzet van algoritmes voor monitoring is echter niet zonder risico’s. Waar algoritmes ingezet worden om ongebruikelijke patronen te herkennen, bestaat ook snel het risico dat bias kan resulteren in ongewenste discriminerende effecten. Het is essentieel om vooraf mogelijke risico’s voor publieke waarden en grondrechten in kaart te brengen. Maar ook om tijdens de inzet bekende en onvoorziene risico’s te identificeren en te beheersen. Van belang is dat ook hier, net als bij andere toepassingen van technologie in de samenleving, mogelijk een chilling effect kan optreden. Dit dient ook meegenomen te worden bij het identificeren en beheersen van risico’s. Adequate risicobeheersing kan voorkomen dat het inzetten van algoritmes met een hoog risico voor publieke waarden en grondrechten ook daadwerkelijk groepen of individuen treft. De Nederlandsche Bank (DNB) onderzoekt of financiële instellingen beleid en procedures hebben en maatregelen nemen om het risico op discriminatie te beheersen.

Overigens vraag ik me af of DNB wel de geëigende partij is om te zorgen dat financiële instellingen bij de transactiemonitoring en klantenprofilering op grond van de Wwft de grondrechten van burgers respecteren. Tot nu toe is daar weinig van zichtbaar.

Security.nl besteedde in haar bericht aandacht aan de inzet van algoritmes voor monitoring betalingsverkeer en herinnerde aan de kritiek van Privacy First op het bancair sleepnet.

In het rapport van de AP komen ook risico’s op andere terreinen van criminaliteitsbestrijding aan de orde. Onderwerpen zijn onder meer:

# Predictive policing en het Criminaliteits Anticipatie Systeem (CAS) van de Nederlandse politie
# Onvolwassen omgang met algoritmes in sommige gemeentelijke organisaties, onder meer bij fraudedetectie en voorspelling.

Onvoldoende toetsing aanbieders
De AP signaleert diverse andere risico’s, onder meer dat aanbieders en hun producten onvoldoende getoetst worden:

Producenten van hoog-risico-systemen voor bijvoorbeeld werving en selectie, onderwijsbeoordelingen, fraudedetectie maar ook predictive policing, hoeven een systeem niet extern te laten toetsen voordat zij dit op de markt kunnen brengen. Een eigen beoordeling van compliance met essentiële eisen en standaarden volstaat. Hierdoor blijft de kans nadrukkelijk bestaan dat niet-geschikte algoritmische systemen met hoog risico op de markt komen en ingezet worden door private en publieke partijen. Een dergelijk systeem verdwijnt pas van de markt als de toezichthouder constateert dat het AI-systeem niet in orde is. Mogelijk is dan al schade aangericht.

Dat is een levensgevaarlijke praktijk!

Aanbevelingen
Het rapport bevat diverse aanbevelingen, onder meer:

Zo lang er nog onvoldoende risicobeheersing is, doen organisaties er daarom verstandig aan terughoudend te zijn met de inzet van algoritmes.

Geplaatst in Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , , , , , , , , , , , , , | Plaats een reactie

Overleeft de mens de IT? | AI

Geplaatst op 24 juli 2023 door Ellen Timmer

Nog steeds wordt er veel over kunstmatige intelligentie geschreven, bijvoorbeeld door Mark Thiessen en Kees Verhoeven, Existentieel risico of niet, we moeten AI beheersen (NRC).

Ook de nieuwe criminele mogelijkheden krijgen aandacht, zoals in Cyberkriminelle nutzen vermehrt künstliche Intelligenz door Pascal Derungs (Infosperber) en WormGPT – The Generative AI Tool Cybercriminals Are Using to Launch Business Email Compromise Attacks door Daniel Kelley (Slashnext).

Het zal me benieuwen hoe mensen zullen worden beschermd tegen het ongure volk dat bezig is digitaal de wereld te veroveren.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Consultatie Wet digitale identificatie en authenticatie in de zorg (Wet Diaz)

Geplaatst op 23 juli 2023 door Ellen Timmer

Tot 17 augustus a.s. loopt een internetconsultatie over het voorstel voor de Wet digitale identificatie en authenticatie in de zorg (Wet Diaz), zie de aankondiging. Introductie op de internetconsultatiesite:

Het wetsvoorstel legt de focus op veilige identificatie en authenticatie voor de zorg met behulp van inlogmiddelen die voldoen aan betrouwbaarheidsniveau hoog én een door de overheid beheerd register voor het verstrekken van identificerende kenmerken van zorgaanbieders en zorgmedewerkers. Hiermee krijgen zorgaanbieders en zorgmedewerkers keuze in welke inlogmiddelen zij gebruiken, zo kunnen zij kiezen voor een middel dat het beste past bij de betreffende werkzaamheden. De goedgekeurde inlogmiddelen beschikken over het betrouwbaarheidsniveau hoog. Deze inlogmiddelen kunnen ook worden gebruikt door zorgverzekeraars en indicatieorganen om het burgerservicenummer van cliënten te raadplegen.

Het voornemen is om inlogmiddelen goed te keuren die zijn erkend onder de Wet digitale overheid, zoals DigiD, gecertifceerd zijn onder de NEN 7518 en die beschikken over een PKI-O-certifcaat. Deze nieuwe veilig inlogmiddelen gaan op termijn de huidige UZI-middelen vervangen.

Zie ook het wetsvoorstel met toelichting en de beleidskompas.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

Consultatie Verzamelbesluit gegevensverwerking politie en justitie 2024

Geplaatst op 22 juli 2023 door Ellen Timmer

Onlangs startte de internetconsultatie over het Verzamelbesluit gegevensverwerking politie en justitie 2024, lees de aankondiging. De consultatie over het conceptbesluit loopt tot 28 september a.s.

De toelichting op de consultatiepagina luidt:

Met dit Verzamelbesluit wordt een aantal aanpassingen gedaan in (onder meer) het Besluit politiegegevens en het Besluit justitiële en strafvorderlijke gegevens. In deze besluiten zijn regels gesteld over de verwerking van justitiële gegevens en politiegegevens. De meeste aanpassingen zijn verzocht door verschillende organisaties, zodat zij hun wettelijke taken en plichten (beter) kunnen uitvoeren. Soms gaat het enkel om een technische (bijvoorbeeld tekstuele) aanpassing. (…)

De belangrijkste wijzigingen in dit besluit zijn erop gericht dat verstrekking van justitiële gegevens of politiegegevens aan bepaalde organisaties mogelijk wordt gemaakt. Dat wordt gedaan zodat deze organisaties hun taken en plichten goed kunnen uitvoeren. Een voorbeeld daarvan is dat de verstrekking van justitiële gegevens aan het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) wordt geregeld. De wetenschappers van het WODC kunnen justitiële gegevens nodig hebben voor de onderzoeken die zij doen. Een ander voorbeeld is dat de verstrekking van politiegegevens aan het Bureau Financieel Toezicht (BFT) wordt geregeld. Het BFT heeft een toezichthoudende taak (op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme) en om goed toezicht te kunnen houden, hebben zij soms politiegegevens nodig.

Inleiding
In het conceptbesluit, waarvan ook een toelichting deel uitmaakt, staat in het algemene deel van de toelichting:

Dit besluit voorziet in een aantal wijzigingen van het Besluit justitiële en strafvorderlijke gegevens (hierna: Bjsg), het Besluit politiegegevens (hierna: Bpg), het Besluit politiegegevens bijzondere opsporingsdiensten, het Besluit politiegegevens buitengewoon opsporingsambtenaren, het Besluit inbeslaggenomen voorwerpen en het Besluit verplichte politiegegevens. Het betreft een aantal wijzigingen van juridischinhoudelijke aard. Daarnaast bevat het besluit enkele technische wijzigingen en worden bepaalde artikelonderdelen waar nodig geactualiseerd of uitgebreid. De aanpassingen vinden hun aanleiding in een periodieke herijking van voornoemde regelgeving en betreffen met name wensen vanuit de uitvoeringspraktijk. Zij houden verband met het (beter) kunnen uitvoeren en naleven van wettelijke taken en plichten.

De juridisch-inhoudelijke wijzigingen bestaan uit de toevoeging van nieuwe grondslagen voor de verstrekking van justitiële en strafvorderlijke gegevens en politiegegevens, en houden in een enkel geval in het vervallen van een grondslag voor gegevensverstrekking. Met betrekking tot de verstrekking van justitiële gegevens bevat dit besluit een nieuwe grondslag voor gegevensverstrekking aan De Nederlandsche Bank. Daarnaast is in dit kader een nieuwe grondslag in het leven geroepen voor het Wetenschappelijk Onderzoek- en Documentatiecentrum van het Ministerie van Justitie en Veiligheid. De grondslag voor het verstrekken van justitiële gegevens aan Joh. Enschedé Facilities BV is komen te vervallen. In het Besluit politiegegevens zijn grondslagen toegevoegd voor het kunnen verstrekken van politiegegevens aan een aantal instanties ten behoeve van het uitvoeren van hun taken. Het gaat hierbij om het Nationaal Cyber Security Centrum, de Nationaal rapporteur mensenhandel en seksueel geweld tegen kinderen, het Bureau Financieel Toezicht, het Bureau Toezicht Wwft, de Kansspelautoriteit, de Nationale Ombudsman, de belastinginspecteur, de Politieacademie, en de korpschef.

Hierna bespreek ik enkele elementen van het voorstel.

WODC
Opvallend is dat het WODC gepseudonimiseerde gegevens krijgt. In de toelichting staat daarover het volgende:

In de praktijk worden de justitiële gegevens door Justid aan het WODC verstrekt, waarbij wordt gewerkt met een kluisprocedure. Het WODC versleutelt (pseudonimiseert) de gegevens en slaat ze op in de onderzoeks- en beleidsdatabank justitiële documentatie (hierna: OBJD), zodat zij door de wetenschappers van het WODC enkel versleuteld worden gebruikt voor het wetenschappelijke onderzoek. Alleen waar dat noodzakelijk is voor specifiek onderzoek worden gegevens terug-herleid om aan andere gegevens gekoppeld te worden. Na deze koppeling vindt opnieuw versleuteling plaats. De gegevensverstrekking vindt elektronisch plaats via een beveiligde verbinding en de systemen waar de gegevens in worden opgeslagen hebben een adequaat beveiligingsniveau. Op deze manier wordt gewaarborgd dat de inbreuk op de persoonlijke levenssfeer van de betrokkenen om wiens gegevens het gaat, zeer beperkt

is, al dan niet afwezig. Nadat eenmalig een volledig bestand is verstrekt, worden vervolgens alleen de gegevens geleverd die wijzigen.

Na de verstrekking van de justitiële gegevens door Justid aan het WODC vallen de gegevens niet meer onder het regime van de Wet justitiële en strafvorderlijke gegevens, maar als strafrechtelijke gegevens onder het regime van de AVG. Daarbij gelden specifieke regels op het gebied van verwerking van gegevens voor wetenschappelijke onderzoek. Na verstrekking bepaalt het WODC op basis van de AVG wat de bewaartermijn van de gegevens in de OBJD is. De bewaartermijnen houden onder andere rekening met de periode waarover de gegevens redelijkerwijs beschikbaar moeten zijn voor het uitvoeren van onderzoek en het principe van controleerbaarheid en wetenschappelijke integriteit. De gegevens in de OBJD worden in beginsel langdurig bewaard, omdat deze langdurig beschikbaar moeten zijn voor onderzoek naar criminele carrières, recidive en historisch criminologisch onderzoek. Elke drie jaar wordt opnieuw gemotiveerd waarom en hoe lang de gegevens bewaard blijven. Het WODC ziet hierop toe en legt dit vast. Door een expliciete motivatie voor het bewaren van de gegevens wordt tegemoetgekomen aan de beginselen van dataminimalisatie in de AVG.

Voor de gegevensverstrekking aan het WODC is een gegevensbeschermingseffectbeoordeling – beter bekend als een data protection impact assessment (hierna: DPIA) – vastgesteld. Hierin is met inachtneming van het voorgaande (zoals de waarborgen als de versleuteling van gegevens en de maatregelen rondom de beveiliging daarvan) positief geadviseerd over deze wijziging in het Bjsg.

Uit het tweede lid van dit nieuwe artikel volgt dat het WODC gepseudonimiseerde gegevens ten behoeve van wetenschappelijk onderzoek en statistiek verder kan verstrekken aan derden, ofwel onderzoekers die niet werkzaam zijn bij het WODC, die daar om verzoeken. Als gezegd betreft het nieuwe artikel 31a een structurele grondslag voor verstrekking van justitiële gegevens aan het WODC ten behoeve van beleidsinformatie, wetenschappelijk onderzoek en statistiek. De aan het WODC verstrekte gegevens worden geautomatiseerd versleuteld (gepseudonimiseerd) opgeslagen in de OBJD en er wordt gebruik gemaakt van de eerdergenoemde kluisprocedure. Het WODC kan hierdoor snel en doorlopend gebruik maken van de betreffende gegevens voor wetenschappelijke onderzoeken in versleutelde vorm én met de juiste waarborgen op het gebied van privacyregelgeving. Indien de versleuteling telkens via Justid moet gebeuren duurt dit langer. Bovendien hoeft er op deze wijze minder capaciteit aan de zijde van Justid te worden aangesproken. Met het oog op de behartiging van voornoemde veiligheidswaarborgen en efficiëntiedoeleinden is het de bedoeling dat wetenschappelijke onderzoekers die niet werkzaam zijn bij het WODC, het WODC verzoeken om de gepseudonimiseerde gegevens uit de OBJD te verkrijgen, indien zij deze nodig hebben ten behoeve van specifieke wetenschappelijke of statistische onderzoeken. Het derde lid bepaalt dat het WODC aan deze verstrekking voorwaarden kan verbinden. In elk geval zullen deze voorwaarden inhouden dat het WODC bij de behandeling van een verzoek om gegevensverstrekking eenzelfde procedure toepast als wanneer het gaat om het gebruik van gegevens voor wetenschappelijk onderzoek door het WODC zelf. Deze procedure houdt in dat de onderzoeker door middel van documentatie, zoals bijvoorbeeld een onderzoeksvoorstel, datamanagementplan en DPIA, moet aantonen dat de gegevens nodig zijn ten behoeve van wetenschappelijk onderzoek of statistiek. Bij de beoordeling van een verzoek worden de criteria gehanteerd die zijn vastgelegd in de Nederlandse Gedragscode Wetenschappelijke Integriteit van de Koninklijke Nederlandse Akademie van Wetenschappen en de wet- en regelgeving omtrent gegevensbescherming, conform het databeleid van het WODC. Een verzoek van een onderzoeker die niet werkzaam is bij het WODC om nietgepseudonimiseerde gegevens zal, zoals ook thans het geval is, op grond van artikel 31 moeten worden beoordeeld door de minister.

Afpakken
De wijzigingen hebben ook betrekking op ontneming (afpakken). Het doel van de wijziging is om de informatiepositie van het Centraal Justitieel Incassobureau (CJIB) met betrekking tot de omvang en vindplaats van mogelijke vermogensbestanddelen waarop verhaal mogelijk is te verbeteren:

Het CJIB heeft in het kader van een goede taakuitvoering van reeds andere opgelegde taken namelijk aangegeven in meer gevallen politiegegevens nodig te hebben die door de politie of een bijzondere opsporingsdienst, zoals de FIOD, worden verwerkt overeenkomstig de artikelen 9, 10, eerste lid, onderdelen a en c, Wpg. Gegevens uit opsporingsonderzoeken en gegevens waarmee inzicht wordt verkregen in de betrokkenheid bij ernstige criminaliteit kunnen inzicht verschaffen in het vermogen van een persoon. Het CJIB heeft deze gegevens niet alleen nodig ten behoeve van de inning van een ontnemingsmaatregel, maar ook voor het innen van andere geldelijke sancties, zoals geldboetes, de maatregel kostenverhaal, de schadevergoedingsmaatregel en het verbeurdverklaren van niet in beslag genomen voorwerpen, waarbij het vermoeden is dat er vermogen is weggesluisd of verhuld. De tenuitvoerlegging van deze geldelijke sancties kan mede omvatten het instellen van een Strafrechtelijk Executie Onderzoek, een gijzelingsprocedure, het veilig stellen van voorwerpen of het verstrekken van een opdracht aan een gerechtsdeurwaarder om beslag te leggen.
De gegevens die het CJIB ontvangt uit de infobox Crimineel en Onverklaarbaar Vermogen (iCOV; een samenwerkingsverband tussen de politie, Belastingdienst, Douane, FIOD, CJIB, Financial Intelligence Unit, bijzondere opsporingsdiensten en het openbaar ministerie, dat rapportages met gegevens levert) zien hoofdzakelijk op fiscaal geregistreerde inkomen en vermogen. Verhuld vermogen blijft daarbij buiten beeld. De ruimere mogelijkheid voor verstrekking van politiegegevens aan het CJIB is daarom noodzakelijk, zodat aan de hand daarvan een goed beeld van iemands vermogenspositie kan worden gevormd, het door de veroordeelde verhulde vermogen beter in kaart kan worden gebracht en geldelijke sancties beter kunnen worden geïnd. (…)

Met betrekking tot informatie van het Team Criminele Inlichtingen (hierna: TCI) (politiegegevens die worden verwerkt overeenkomstig artikel 10, eerste lid, onderdeel a, Wpg) wordt nog opgemerkt dat deze informatie vaak zachte gegevens bevat over personen die mogelijk betrokken zijn bij zware criminaliteit. De betrouwbaarheid van dergelijke informatie kan niet altijd worden vastgesteld. Voor de verwerking van dergelijke gegevens geldt binnen de politie een strikt regime. Het ligt dan ook in de rede dat de verstrekking aan het CJIB ten behoeve van de inning van geldelijke sancties wordt beperkt tot de TCI-gegevens die operationeel gebruikt kunnen worden (gegevens met de afhandelingscodes 11 (operationeel te gebruiken) of 01 (alleen te gebruiken na overleg met de afzender), als bedoeld in bijlage I bij het Besluit verplichte politiegegevens). De politie dient te allen tijde een afweging te maken ten aanzien van de verstrekking, waarbij rekening wordt gehouden met de te verstrekken gegevens en de taak waarvoor het CJIB die gegevens nodig heeft. Het hoofd van het TCI wordt betrokken bij deze afweging en de wijze waarop de gegevens worden verstrekt. Indien het in het kader van de uitvoering van de wettelijke taken van het CJIB of naar aanleiding van een vordering daartoe nodig is om de gegevens aan een derde te verstrekken, zoals in geval een gerechtsdeurwaarder de opdracht krijgt om beslag te leggen, verstrekt het CJIB alleen de gegevens die noodzakelijk zijn voor de beslaglegging, zoals administratieve kenmerken en de locatie van een voorwerp.

Nationaal Cyber Security Centrum (NCSC)
Het NCSC krijgt het recht gegevens te ontvangen. Het IP-adres speelt hier een rol in, al is dat niet persoonlijk als van een VPN gebruik wordt gemaakt:

Ten behoeve van slachtoffernotificatie zal in de meeste gevallen het Internet Protocoladres (hierna: IP-adres) van het besmette systeem van een slachtoffer worden gebruikt voor notificatie. Het IP-adres zal via het NCSC gedeeld worden met andere partijen die genoemd zijn in de Wbni, zoals organisaties die tot taak hebben anderen te informeren, aangewezen computercrisisteams, of de Internet Service Providers (hierna: ISP). Deze partijen hebben goed zicht op hun achterban en kunnen hen notificeren. Een ISP kan dan bijvoorbeeld een vertaling doen naar welke klant er achter het IP-adres zat op het specifieke tijdstip. Vervolgens kan de ISP een notificatie naar de klant sturen, waarna de klant het besmette systeem (bijvoorbeeld een laptop of smartphone) kan identificeren aan de hand van de context over het besmette systeem die aan hem wordt meegegeven. Het is daarom essentieel, en in het belang van het slachtoffer, dat bij de slachtoffernotificatie zo veel mogelijk context wordt meegegeven over het besmette systeem die kan helpen bij de identificatie van het systeem. Dreigingsinformatie kan van verschillende niveaus zijn. In sommige gevallen is deze informatie herleidbaar tot individuele aansluitingen, die vervolgens weer herleidbaar kunnen zijn tot personen. Voor die gevallen is het noodzakelijk om een grondslag tot verstrekking van politiegegevens te creëren.

Wwft-toezichthouders
Ook de toezichthouders onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) krijgen politiegegevens. Aan de toelichting te zien richt de gegevensverstrekking zich primair op de Wwft-plichtige zelf:

De politie en andere opsporingsdiensten kunnen op grond van hun taakoefening beschikken over feiten en omstandigheden waaruit blijkt dat er een gerede kans is dat instellingen zich niet houden aan de verplichtingen zoals neergelegd in de Wwft. Het gaat daarbij voornamelijk om opsporingsgegevens, maar ook om informatie uit de dagelijkse politiepraktijk. Gedacht kan worden aan uitspraken uit getapte telecommunicatie en uit verhoren of constateringen uit in beslag genomen administratie. Daarnaast kan informatie over relevante politiële antecedenten of betrokkenheid bij eerdere, soortgelijke strafbare feiten van belang zijn. Voor het effectief uitoefenen van risicogebaseerd Wwft-toezicht door de toezichthouders is het belangrijk dat deze politiegegevens op structurele basis kunnen worden gedeeld met de voornoemde, landelijk georganiseerde toezichthouders op niet-financiële Wwft-instellingen. Primair betreft de gegevensverstrekking informatie over rechtspersonen die een functie vervullen als poortwachter in het kader van de Wwft. Secundair betreft het ambtshouders of medewerkers die de overtredingen begaan of faciliteren.

Overigens heb ik de indruk dat de praktijk van de Wwft is te bekijken welke Wwft-plichtigen diensten voor een crimineel hebben verricht, waarbij het om volledige reguliere diensten kan gaan die niets met enig crimineel handelen te maken hebben.

Voorbeeld:
als een boekhouder de administratie van een bv van een crimineel, maar met gewone bedrijfsactiviteiten, heeft samengesteld, heeft die boekhouder niets crimineels gedaan. Echter, zodra een Wwft-plichtige diensten verleent aan een crimineel zal hij of zij onschuld moeten bewijzen, door te laten zien het complete cliëntenonderzoek te hebben gedaan. Bij boekhouders komt daar dan nog bij dat gekeken moet worden of iets crimineels uit de administratie is af te leiden.

Anders gezegd: zodra een crimineel tegen de lamp loopt, wordt iedereen die diensten aan hem heeft geleverd onder de loep genomen, om te kijken of hij of zij wegens nalatigheid op grond van de Wwft kan worden bestraft.

Relatie met Wet gegevensverwerking door samenwerkingsverbanden (WGS)?
Op dit moment worden al op grote schaal persoonsgegevens door allerlei overheidsinstanties uitgewisseld. Met het geconsulteerde ontwerp wordt dat nog meer. De vraag rijst dan wel wat de toegevoegde waarde van het wetsvoorstel WGS nog is.

Tot slot
Zie voor verdere details het ontwerpbesluit met toelichting. Ik ben benieuwd of er iemand bezig is met het Nederlandse gegevensuitwisselingslandschap, want het ziet er knap ingewikkeld uit.

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce, Strafrecht | Tags: , , , , , , , , , , , , , , , , , , , , | Plaats een reactie

Maatschappelijk verantwoord ondernemen leidt tot uitsluiting | MVO

Geplaatst op 21 juli 2023 door Ellen Timmer

Maatschappelijk verantwoord ondernemen (‘mvo’) zorgt er in Duitsland voor dat bedrijven zich uit ‘moeilijke’ buitenlanden terugtrekken. Daar doen ze geen zaken meer mee.

Lees het bericht van ondernemersorganisatie DIHK, Duurzaamheid mag niet ten koste gaan van diversificatie [1]. Daarin wordt melding gedaan van een onderzoek naar de uitwerking van de Duitse wet op zorgplicht in leverantieketens [2].

Het mkb wordt zwaar getroffen, allereerst omdat de regels voor hen niet uitvoerbaar zijn, zij trekken zich daarop terug uit de handel met ‘moeilijke’ buitenlanden. In de tweede plaats worden zij – als zij het grootbedrijf beleveren – geconfronteerd met wurgcontracten waarin het grootbedrijf probeert de mvo-verplichtingen bij de mkb-leverancier weg te leggen [3]:

Bovendien blijkt uit het onderzoek dat kleinere bedrijven sterk worden getroffen: “Om aan hun eigen due diligence-verplichtingen te voldoen, wenden de direct getroffen bedrijven zich tot hun leveranciers en zakenpartners, vaak mkb-bedrijven, en verplichten hen om uitgebreid bewijs te leveren door middel van contractuele clausules”.

Dergelijke wurgcontracten ben ik in het verleden ook tegen gekomen, vooral grote Amerikaanse bedrijven maakten zich daar schuldig aan bij hun overeenkomsten met Europese leveranciers uit het mkb.

 

Afbeelding uit het rapport.

 

Een schadelijk gevolg van de Duitse mvo-wet is dat ook grote bedrijven zich terug trekken uit moeilijke landen [4]. Dat is een niet-verrassend verschijnsel, wat ook zichtbaar is in de financiële sector, waar steeds meer landen worden uitgesloten van het financiële stelsel [5].

Het praktische gevolg van de Duitse mvo-wet lijkt me dat het duurzaam ondernemen in de betreffende landen juist niet wordt bevorderd. Dat kan toch niet de bedoeling zijn?

Nu maar hopen dat Europa en Nederland [6] niet dezelfde fouten gaan maken als de Duitsers.

 

Noten

[1] Nachhaltigkeit sollte nicht auf Kosten der Diversifizierung gehen, DIHK, 29 juni 2023. Zie ook het rapport (in het Duits).

[2] Lieferkettensorgfaltspflichtengesetz.

[3] Machinevertaling van:

Zudem zeige die Erhebung die starke Betroffenheit kleinerer Betriebe: “Um die eigenen Sorgfaltspflichten einzuhalten, wenden sich die direkt betroffenen Unternehmen an ihre Lieferanten und Geschäftspartner, häufig KMU, und verpflichten sie über vertragliche Klauseln zu umfassenden Nachweisen.”

[4] Zie onder meer:

Und: In der Überprüfung der Lieferanten und des Engagements in bestimmten Ländern und Regionen sehen Betriebe aller Größenklassen eine Herausforderung. Knapp ein Viertel der großen Unternehmen denkt sogar über Rückzug und den Abbruch von Handelsbeziehungen nach – was die Diversifizierung der Lieferketten zusätzlich erschwert.

[5] Ik schreef een blog over een oppervlakkige Argos uitzending over Irak met onder meer: “Het westen reageert volledig verkeerd op dit soort landen. Door hen in de rubriek schurkenstaten te plaatsen, wordt de kans dat die landen ooit een beter banksysteem krijgen nog minder en krijgt het ondergronds bankieren extra kansen.

[6] Nederland is met mvo bezig, lees mijn blogs: Een wetsvoorstel over maatschappelijk ondernemen waarvoor de indienende leden van de Tweede Kamer zich moeten schamen, 18 januari 2023 en Een wet met onmogelijke verplichtingen voor het mkb | Wet verantwoord en duurzaam internationaal ondernemen, 7 december 2022.

Geplaatst in Europa, Grondrechten, Internationale handel | Tags: , , , | Plaats een reactie

In de VS vindt men dubbele belasting betalen heel normaal | financiële grondrechten, FATCA

Geplaatst op 20 juli 2023 door Ellen Timmer

In het FD verscheen een artikel van Bart Mos over de in Italië gearresteerde Nederlandse fiscalist die internationaal bekende sterren bij stond. Hij werd gearresteerd op verzoek van de Amerikaanse overheid en zegt dat hij niets misdaan heeft. In het artikel staat onder meer:

Butselaar bezweert niemand te hebben geholpen om belasting te ontduiken. ‘Ik heb slechts dubbele belastingheffing voor mijn cliënten willen voorkomen’, vertelt hij. Om vervolgens uit te leggen dat internationaal opererende kunstenaars, zoals dj’s en fotomodellen, vaak gedwongen worden om dubbel of soms zelfs driedubbel belasting te betalen.

Het zal de slachtoffers van FATCA niet verrassen. Een hoogleraar wordt geciteerd:

Hoogleraar belastingrecht Jan van de Streek aan de Universiteit Leiden erkent dat er in het voorbeeld van Butselaar mogelijk sprake is van een onwenselijke dubbele heffing, ‘maar zelfs als je dubbele heffing ontduikt, blijft ook dat belastingontduiking’, zegt hij.

Als het waar is – daar ga ik van uit – dan is het bizar dat dit Amerikaanse wangedrag internationaal wordt getolereerd.

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , | Plaats een reactie

Banken worden digitale dienstverleners die hun klanten niet meer kennen | Wwft, Wft, KYC

Geplaatst op 19 juli 2023 door Ellen Timmer

Overal in Europa gebeurt hetzelfde: banken sluiten hun filialen en worden digitale dienstverleners die hun klanten niet meer kennen. Zo ook in Duitsland, waarover in de Süddeutsche het artikel Noch gut 20 000 Bankfilialen in Deutschland verscheen.

Het is daarom lachwekkend dat de internationale overheden (FATF en de EU) en nationale overheden denken dat banken cliëntenonderzoek kunnen doen en hun klanten kunnen kennen, in het kader van de criminaliteitsbestrijding (ook bekend als ‘witwasbestrijding’ en bestrijding van terrorismefinanciering) en hun financiële zorgplicht.

Geplaatst in Bankrekening krijgen en behouden, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Hoger beroep inzake Belgische FATCA-uitspraak

Geplaatst op 18 juli 2023 door Ellen Timmer

Op 23 mei werd een spectaculaire uitspraak gedaan door de Belgische gegevensbeschermingsautoriteit [1].

Inmiddels is er het nodige gebeurd. Op 28 juni jl. is in hoger beroep een voorlopige uitspraak gedaan door het hof te Brussel, uitspraak in het Frans.
Informatie over de uitspraak is te vinden op GDPRhub. Lees ook het bericht van Jeroen Terstegge op LinkedIn. Aan de voorlopige uitspraak ging een hoorzitting vooraf, waarover Fabien Lehagre op LinkedIn schreef [2].
In december 2023 heeft hetzelfde hof de einduitspraak gewezen en de zaak terugverwezen voor een nieuwe beslissing. De gegevensbeschermingsautoriteit schrijft:

Deze beslissing werd vernietigd bij arrest van 20 december 2023 van het Marktenhof (2023/AR/801)0 , dat de zaak terugverwijst naar de Geschillenkamer, anders samengesteld, zodat deze opnieuw uitspraak kan doen over de grond van de zaak, rekening houdend met de overwegingen van het Marktenhof

 

Noten

[1] Press release: Belgian DPA prohibits the transfer of tax data of Belgian “Accidental Americans” to the USA, 24 May 2023, Belgian DPA prohibits the transfer of tax data of Belgian “Accidental Americans” to the USA. Zie ook de uitspraak in het Frans.
Ik schreef er blogs over: eerste blog, tweede blog. Via dit bericht zijn vertalingen van de uitspraak te vinden.

[2] Lehagre:

📰 Update ⚖ : Belgian Government Appeals Decision by Autorité de protection des données – Gegevensbeschermingsautoriteit (APD) on #FATCA exchanges
👉 In a significant development, the Belgian Government has taken a crucial step in response to the recent decision by the Belgian Data Protection Authority (APD) to prohibit, the transfers of personal data of Belgian “Accidental Americans” by the FOD Financiën – SPF Finances to the Internal Revenue Service under the intergovernmental FATCA agreement. They has filed an appeal, so showing its determination to address the matter through legal channels rather than on a diplomatic level.
📅 An initial hearing has been scheduled for the 28th of June, marking the first step in the appeals process. It’s important to note that this appeal does not have a suspensive effect on the decision of the DPA.
⚖️ The ultimate judgment is anticipated to be delivered in Q4 of 2023, whereby it is possible that the case would be  referred to the Court of Justice of the European Union (CJEU) for further consideration. The CJEU’s involvement could have significant implications for the future of automatic information exchanges in Europe.
🔍 Indeed, should the case be presented before the CJEU, there is a high probability that the legality of automatic information exchanges will be called into question when the CJEU follows the logic of its earlier case law when it comes to mass collection and processing of personal data. Exchanges made under #FATCA and #CRS could potentially be declared illegal under the #GDPR.
🌐 We will provide updates as the case progresses. Stay tuned for further developments on this critical matter that could have wide-ranging implications.

 

Over de schade door FATCA / CBT:

Demsabroad op twitter, 13 juni 2023:

SEAT op twitter, 19 juni 2023:

 

 

Aanvulling februari 2024
Aangevuld met de uitspraak van december 2023.

Geplaatst in Bankrekening krijgen en behouden, Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , , | Plaats een reactie

“Vóór digitale privacy? Wat ben je, een terrorist of pedofiel?” | AVG, surveillance

Geplaatst op 17 juli 2023 door Ellen Timmer

Rosanne Hertzberger schreef voor het NRC de mooie column Vóór digitale privacy? Wat ben je, een terrorist of pedofiel? (ik mis alleen nog de witwasser in de titel).

Het sluit mooi aan op mijn artikel over verdachtmaking van gebruik van VPN en andere soorten encryptie.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

De partij van de stoere misdaadbestrijdingspraat

Geplaatst op 15 juli 2023 door Ellen Timmer

Kort voordat de minister-president het kabinet liet vallen op een ‘asielkwestie’ [*], stuurde zijn partijgenote op het ministerie van veiligheid (want aan justitie doen ze op dat ministerie nauwelijks meer) een ronkend verhaal de deur uit over misdaadbestrijding, met als titel ‘Straffer strafrechtelijke aanpak tegen georganiseerde misdaad‘. In dat verhaal wordt met geen woord gesproken over het budget dat nodig is voor alle mooie plannen.

Ik blijf het fascinerend vinden dat deze partij prat wil gaan op krachtige misdaadbestrijding, terwijl juist deze partij er voor gezorgd heeft dat er onvoldoende budget is voor politie en rechtspraak. Keer op keer wordt in verkiezingstijd de misdaadbestrijdingstamtam geslagen en vervolgens gebeurt het tegenovergestelde.

Niet op stemmen, dus.

 

NB Het is ook de partij van het toeslagensysteem en de toeslagenaffaire.
En  het is de partij van de mislukte privatisering van de zorg, die leidt tot ongelofelijk veel onnodige kosten vanwege mislukte en inefficiënte ‘marktwerking’. Zie het advies ‘Met de stroom mee’ (19 juni 2023) van de Raad voor Volksgezondheid & Samenleving (RVS) (aankondiging). Daarin wordt de vloer aangeveegd met de ineffiency die een gevolg is van de privatisering (citaat uit samenvatting):

In de eerste plaats zou het concurrentiemodel binnen delen van de zorg (eerstelijnszorg, wijkverpleging, GGZ en acute zorg) plaats moeten maken voor een regionaal samenwerkingsmodel. Samenwerking wordt mogelijk via een gedeelde zorgplicht voor gemeenten en zorgverzekeraars, die zorgaanbieders en inkopers verplichten om met elkaar samen te werken. Door deze regionale sturing kan de schaarse capaciteit beter worden ingezet voor het organiseren van zorgvoorzieningen waarvan de toegang nu onder druk staat, zoals huisartsenzorg. Bovendien krijgen burgers zo niet meer te maken met verschillende loketten en bepalingen.

Niet alleen burgers worden gek van alle loketten. Ook de professionele partijen in de zorg (zoals zorgaanbieders) worden er gek van.
(Overigens is het de vraag of een inkomensafhankelijke zorgpremie zoals RVS adviseert verstandig is, omdat daarmee de verhoudingen voor burgers nog onduidelijker worden. Nu is dat al een ramp door het ondoorzichtige toeslagensysteem.)

 

 

[*] Maarten van Rossum gaat uit van bewuste opzet, beluister de de podcast De val van het kabinet: ‘Rutte is moordenaar’.

Geplaatst in Grondrechten, Strafrecht | Tags: , | 1 reactie