Brief van Privacy First aan de Commissie Rechtsstaat

Geplaatst op 15 juli 2023 door Ellen Timmer

In november 2022 is de Staatscommissie rechtsstaat ingesteld, die advies zal gaan uitbrengen. In het kader van de voorbereiding van dat advies is een internetconsultatie gehouden, die op 1 juli jl. is gesloten. Op de consultatie zijn 61 reacties binnen gekomen en verder zijn er een groot aantal brieven geschreven aan de commissie, die op de documentenpagina te vinden zijn. Onder meer is door Privacy First gereageerd.

Brief Privacy First

Privacy First heeft in haar brief van 14 juli jl. aandacht gevraagd voor gegevensbescherming en daarmee samenhangende onderwerpen:

Geachte heer Kummeling,

Bij brief van 2 mei jl. verzocht u Stichting Privacy First om inbreng te leveren t.b.v. de werkzaamheden van de Staatscommissie Rechtsstaat. In deze brief delen wij graag een aantal relevante ervaringen en onze standpunten met u.

Grondwettelijke toetsing

Allereerst pleit Privacy First in dit verband graag voor de instelling van een Constitutioneel Hof ter toetsing van wetgeving en beleid aan de Grondwet, danwel afschaffing van het huidige grondwettelijk toetsingsverbod. Dit opdat de Grondwet die voor de meeste Nederlanders de afgelopen decennia een dode letter is gebleken, weer een levend document wordt ter ‘empowerment’ van de bevolking. Een krachtige en bij de rechter inroepbare Nederlandse Grondwet zou burgers bovendien sterkere rechten kunnen bieden dan vergelijkbare Europese en/of internationale mensenrechten en de bijbehorende supranationale jurisprudentie. In het Nederlandse rechtsstelsel prevaleert nu Europees recht, ook boven de Nederlandse Grondwet. Vanuit rechtsstatelijk perspectief zou echter altijd het recht moeten prevaleren dat aan mensen de sterkste rechtsbescherming biedt; in dergelijke gevallen zou de Nederlandse Grondwet voorrang moeten hebben boven Europees en internationaal recht, zeker wanneer dit ‘hogere’ Europees of internationaal recht op gespannen voet staat met universele mensenrechten, waaronder het recht op privacy.

Gebrekkige rechtsbescherming voor burgers in het digitale tijdperk

Al jaren ontvangt Privacy First vrijwel dagelijks klachten, meldingen en signalen van burgers en consumenten over de meest uiteenlopende privacyschendingen. Bij instanties zoals de Autoriteit Persoonsgegevens (AP) blijven dergelijke klachten vaak jarenlang onbehandeld op de plank liggen of worden onvoldoende serieus behandeld. Mensen voelen zich hierdoor aan het lijntje gehouden en van het kastje naar de muur gestuurd. Vaak hebben zij het gevoel dat zij nergens worden gehoord en nergens terecht kunnen. Dit is een modern, rijk en ontwikkeld land als Nederland onwaardig. De capaciteit en middelen van de AP zullen dus snel drastisch moeten worden vergroot, temeer nu betere rechtsbescherming tegen profiling en (semi-)besluitvorming middels algoritmen (AI) steeds urgenter wordt.

Deels geldt bovenstaande constatering ook voor de rechterlijke macht: talloze malen maakte Privacy First de afgelopen jaren mee dat rechters het zaakdossier niet beheersten en dat zij tijdens de zitting in Jip & Janneke-taal over cruciale technische kwesties moesten worden voorgelicht. Diplomatieker geformuleerd: is de rechterlijke macht wel voldoende geëquipeerd om complexe privacyrechtelijke zaken te kunnen beslechten en overzien zij de implicaties van hun vonnissen voldoende? Meer rechterlijke specialisatie op het terrein van privacy en ICT-recht lijkt gewenst.

Daarnaast is te overwegen om de onafhankelijkheid van de AP te versterken, bijvoorbeeld door de AP de status van Hoog College van Staat te geven. Er zou bovendien paal en perk gesteld moeten worden aan minachting van de onafhankelijkheid van de AP vanuit de politiek, getuige bijvoorbeeld recente kritische uitlatingen over de standpunten van de AP vanuit enkele Tweede Kamerfracties en vroegere vergelijkbare misplaatste kritiek op de AP door bewindslieden.

Toegang tot de rechter voor belangenorganisaties

De ontvankelijkheid van belangenorganisaties in ideële algemeen-belangacties of groepsacties ter rechterlijke toetsing van wetgeving en beleid onder art. 3:305a BW staat al jaren onder toenemende druk. Bij de invoering van art. 3:305a BW medio jaren ’90 werden belangenorganisaties door de overheid nog gezien als mede-handhavers van het recht en werd hen in de jaren daarna door de rechterlijke macht ruim baan gegeven om rechtszaken tegen de Staat te kunnen voeren. De afgelopen jaren is echter sprake van een negatieve tendens en is het voeren van dit type rechtszaken door de Hoge Raad bemoeilijkt en onnodig complex gemaakt, althans qua civielrechtelijke ontvankelijkheid. [1] Ook door de wetgevende macht worden de laatste jaren steeds meer drempels opgeworpen aan NGO’s om bestaande rechtsmiddelen te benutten, getuige bijvoorbeeld nieuwe representativiteitseisen onder art. 3:305a BW en een recente parlementaire motie om de ontvankelijkheid van belangenorganisaties verder te beperken. [2] Dit bemoeilijkt het effectieve functioneren van belangenorganisaties ter bescherming van de Nederlandse democratische rechtsstaat. Een mogelijke oplossing in dit verband zou de invoering van een nieuwe wettelijke mogelijkheid van direct beroep tegen wetgeving en beleid zijn via de Awb i.p.v. 3:305a BW (middels wijziging van art. 8:2 Awb), vergelijkbaar met rechtsmiddelen zoals die in andere landen bestaan.

Referendum

Vrijwel direct na het succesvolle referendum over de controversiële Wet op de inlichtingen- en veiligheidsdiensten heeft de Nederlandse wetgevende macht in 2018 het raadgevend referendum afgeschaft. Op de vroegere DDR na is Nederland sindsdien het enige land ter wereld dat het referendum na invoering weer heeft opgeheven. In de optiek van Privacy First heeft dit de bestaande kloof tussen burger en bestuur de afgelopen jaren verder vergroot en geleid tot verder verlies van vertrouwen in de nationale politiek. Dit heeft onze democratie verzwakt en, zonder de corrigerende werking van het referendum, ook onze rechtsstaat. Internationaalrechtelijk is een nationaal referendum immers een vorm van intern zelfbeschikkingsrecht: het collectieve recht van een nationale bevolking om haar eigen democratische en rechtsstatelijke toekomst te bepalen. Zoals alle mensenrechten dient dit recht voortdurend te worden bevorderd. Privacy First pleit daarom voor herinvoering van een correctief nationaal referendum.

Buitenwettelijke gegevensverwerkingen door de overheid

De wettelijke basis voor gegevensverwerkingen door de overheid dient in veel gevallen te worden versterkt. Te vaak ziet Privacy First dat de overheid verregaande gegevensverwerkingen uitvoert op basis van een ontbrekende of zeer magere wettelijke basis (bijvoorbeeld de taak van een gemeente om de openbare orde te handhaven die te pas en te onpas wordt gebruikt om burgers in de gaten te houden, in toenemende mate ook online). Mits er überhaupt sprake is van maatschappelijke noodzaak en proportionaliteit van dergelijke gegevensverwerkingen (dit kan vaak worden betwijfeld), zou het rechtsstatelijk juister zijn als de wetgever in dergelijke gevallen een specifieke wettelijke basis in het leven zou roepen, mét ook specifieke waarborgen en effectief toezicht.

In dit verband vestigt Privacy First ook graag de aandacht op enkele voorbeelden die exemplarisch zijn voor de uitholling van de Nederlandse rechtsstaat in de afgelopen jaren: de Nationaal Coördinator Terrorismebestrijding en Veiligheid, NCTV (nieuwe buitenwettelijke geheime dienst), het Team Openbare Orde Inlichtingen (TOOI) van de Nationale Politie (nauwelijks gereguleerd) en het Land Information Manoeuvre Centre (LIMC) van Defensie (buitenwettelijke inlichtingeneenheid tijdens de Coronacrisis). In de optiek van Privacy First zijn deze drie organisaties emblematisch voor het gebrek aan rechtsstatelijk gehalte en bewustzijn binnen sommige onderdelen van de Nederlandse overheid.

Uitwisseling van persoonsgegevens door toezichthouders

Privacy First maakt zich al jaren zorgen over het opvragen van persoonsgegevens door toezichthouders en vervolgens de uitwisseling daarvan. Vaak zien wij dat toezichthouders zeer uitgebreid informatie opvragen en die vervolgens delen. Voorbeeld: de gemeente vraagt informatie op bij een zorginstelling in het kader van Wmo-toezicht en deelt dat vervolgens met andere gemeenten in het kader van een RIEC-convenant. Tegelijkertijd vraagt de fiscus een kopie van alle digitale data en geeft aan dat zij die informatie met alle regionale gemeenten mag delen in het kader van hetzelfde RIEC-convenant. Als gevolg daarvan wisselen diverse toezichthouders enorme hoeveelheden persoonsgegevens uit, en kunnen ze bevoegdheden onderling aanvullen. Aangezien lokale overheden tegenwoordig zeer actief jagen op zorgfraudeurs treft dit de gezondheidsgegevens van miljoenen kwetsbare mensen.

In dit verband ook relevant: de verwerkingsverantwoordelijke die niet voldoet aan een informatieverzoek begaat een bestuursrechtelijke overtreding en kan aan de verantwoordelijke op grond van art. 5:20 Awb een last onder dwangsom worden opgelegd. Dit lijkt ons in strijd met HvJ État Luxembourg (C-245/19, par. 56-68) waar het HvJ nu juist heeft bepaald dat de houder van persoonsgegevens een dergelijk informatieverzoek in rechte moet kunnen betwisten zonder dat hij daarmee het risico loopt gestraft te worden. (In de praktijk zal de bestuursrechter vaak de dwangsom schorsen, maar dat is slechts een lapmiddel. Overigens is dit wel goed geregeld voor de fiscale informatieverplichting, waar de fiscus eerst een informatiebeschikking moet uitbrengen, waartegen bezwaar en beroep openstaat.)

Privatisering van overheidstaken

In toenemende mate is de afgelopen jaren sprake van publiek-private samenwerking en privatisering van overheidstaken, met alle gevaren en risico’s van dien, waaronder koppeling van systemen en digitale sleepnetten. In dit verband dient er meer aandacht te worden gevestigd op het functioneren van ondernemingen die overheidstaken uitvoeren (zoals banken in de witwasbestrijding) en die essentiële diensten leveren (telecombedrijven, energiebedrijven, ziekenhuizen etc). Momenteel is er veel aandacht voor een goed functionerende digitale overheid, maar niet voor het feit dat voor bedrijven die overheidstaken uitvoeren of essentiële diensten leveren hetzelfde moet gelden. Deze toenemende gegevensverzamelingen zijn zeer gevaarlijk voor burgers en er wordt door de wetgever onvoldoende aandacht besteed aan de risico’s. Op deze verwerkingen van persoonsgegevens is ook onvoldoende toezicht, mede doordat de AP onvoldoende budget heeft. Ons advies: stop met regelgeving die leidt tot mateloze verzameling van vertrouwelijke (persoons)gegevens met alle privacyrisico’s van dien. Een actueel voorbeeld in dit verband is de controversiële Wet gegevensverwerking door samenwerkingsverbanden (WGS).

Meer openbaarheid van bestuur

De Wet open overheid (Woo) is nieuw maar functioneert niet goed, omdat de digitale overheid nog niet op de Woo is ingericht. Open overheid moet in onze optiek zijn: 1) verbetering van de eigen informatiehuishouding, 2) meer en betere communicatie tussen overheid en burger en 3) hogere kwaliteit van de informatievoorziening door de overheid (rijksoverheid.nl schiet vaak tekort). Omgekeerd is tevens sprake van een zorgwekkende tendens richting steeds meer openbaarmaking van bedrijfsgegevens en gevoelige persoonsgegevens, getuige bijvoorbeeld de ontwikkelingen rond het UBO-register.

 

Desgewenst zal Privacy First over bovenstaande of verwante onderwerpen graag nader met u van gedachten wisselen. Wij zijn daartoe te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: info@privacyfirst.nl.

Hoogachtend,
namens Stichting Privacy First,

Vincent Böhre
juridisch adviseur

 

[1] Zie bijv. Hoge Raad 22 mei 2015: Staat/Stichting Privacy First, ECLI:NL:HR:2015:1296 en bijbehorende annotaties. Zie voor een overzicht van andere grootschalige rechtszaken van Privacy First tegen de Staat https://privacyfirst.nl/rechtszaken/.
[2] Zie Gewijzigde motie van het lid Stoffer c.s. over verkennen in hoeverre voor belangenorganisaties met een ideëel doel op grond van artikel 3:305a BW nadere vereisten aan representativiteit gesteld moeten worden (21 februari 2023), Kamerstukken II, 36169-37.

Geplaatst in Grondrechten, ICT, privacy, e-commerce, Not-for-profit, Procesrecht, rechtspraak | Tags: , , , , , , , , , , , , , , | Plaats een reactie

Is open finance een nieuwe informatiebron voor toezichthouders, in aanvulling op de microdata van CBS? | open finance, AVG

Geplaatst op 14 juli 2023 door Ellen Timmer

Een lezer reageerde op mijn eerdere artikel over open finance bij DNB en meldde dat een position paper van DNB en AFM is uitgebracht, zie het bericht van DNB. Dat bericht en met name de paper staan bij mijn blogvoornemens, dat ik nu maar eens gedeeltelijk uitvoer.

De data owner van DNB en AFM

Opmerkelijk in de paper is dat DNB en AFM de vreemde opvatting hebben dat iedere rekeninghouder als ‘data owner’ mag beslissen over het aan derden verschaffen van de persoonsgegevens van zijn bankrekeningen, ook als het persoonsgegevens van derden (de ‘betrokkenen’ volgens de AVG) betreft. De toezichthouders zijn van mening dat aan die betrokkenen geen toestemming hoeft te worden gevraagd.

In de position paper wordt de suggestie gewekt dat de data owner de betrokkene in de zin van de AVG is, hetgeen niet het geval is.

Het begrip ‘data owner’ heeft in de paper de volgende definitie: “a data subject or customer“, en customer wordt gedefinieerd als “a natural or a legal person who makes use of financial products and services“.

Nieuwe informatiebron voor data-gedreven toezichthouders?

Wellicht dat DNB en AFM zoveel interesse voor dit onderwerp hebben, omdat ook zij kunnen profiteren van rekeninghouders met weinig belangstelling voor de betrokkenen, wiens persoonsgegevens in hun transactiegegevens zitten. Als die rekeninghouders hun transactiegegevens ‘open’ zetten via open finance, kunnen ook DNB en AFM als ‘data gedreven’ toezichthouders profiteren van extra persoonsgegevens. Zij kunnen de persoonsgegevens die via open finance beschikbaar komen combineren met alle persoonsgegevens die zij al hebben van burgers uit hoofde van hun toezichthoudende taak.

Zo verwerkt AFM zeer gedetailleerde gegevens van beleggers (zowel natuurlijke personen als entiteiten) en gebruikt daarbij microdata van het CBS [1], waarin persoonsgegevens voorkomen, zie onder meer de toepasselijke beleidsregel [2]. Die microdata kan AFM combineren met de vele andere gegevens die zij heeft en gebruiken om gedetailleerde profielen op te stellen van zowel natuurlijke personen als entiteiten. Ik ben er nog niet aan toe gekomen om na te gaan of AFM op haar site bekend maakt hoe zij de in de microdata opgenomen persoonsgegeven verwerkt en of zij betrokkenen informeert over de gegevensverwerking [3].

Als er een lezer is die dat al heeft uitgezocht, hoor ik dat graag.

 

NB 1 Ook de andere ontvangers van microdata zijn interessant.
NB 2 Dit blog is een iets verdere uitwerking van het commentaar dat ik op de reactie van de lezer gaf.

 

Noten

[1] De url verwijst naar de lijst van instellingen met doorlopende machtiging (max 3 jaar) voor CBS-microdata-bestanden, AFM wordt vermeld met:

  • AFM, Autoriteit Financiële Markten, team Consumentengedrag;
  • AFM, Autoriteit Financiële Markten, team Risicoanalyse.

Op de lijst komen een groot aantal andere ontvangers van microdata voor. Op deze pagina is een uitleg te vinden over de voorwaarden waaraan moet worden voldaan om microdata van het CBS te mogen krijgen.

[2] Beleidsregel toegang instellingen tot microdata CBS, vindplaats. In de toelichting wordt over gegevensbescherming het volgende vermeld:

In aanvulling op de aanbevelingen van de commissie heeft het CBS gekeken naar betere aansluiting van het beleid bij de Wet CBS en de Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van de Richtlijn 95/46/EG (PbEU 2016, L 119) (Algemene Verordening Gegevensbescherming, hierna: AVG).

Dit heeft geleid tot enkele aanscherpingen in het beleid rond de toegang tot en het gebruik van CBS-databestanden. In de beleidsregel zijn de voorwaarden voor instellingen verduidelijkt, om te verzekeren dat het gebruik van microdata in de remote access-voorziening wordt ingezet voor statistisch of wetenschappelijk onderzoek dat voldoet aan normen als zorgvuldigheid, controleerbaarheid en onafhankelijkheid. Verder is beter omschreven wat wordt verstaan onder het openbaar maken van de resultaten van het onderzoek. Ook zijn de toegangsvoorwaarden aangescherpt om de privacy nog beter te borgen.

Het CBS dient te voldoen aan de AVG en wil zijn data alleen beschikbaar stellen aan organisaties uit landen die aantoonbaar een passend beveiligingsniveau kennen. Om die reden verleent het CBS alleen nog toegang aan instellingen, diensten en organisaties die gevestigd zijn in landen die onder de reikwijdte van de AVG vallen (de Europese Economische Ruimte) of waarvoor een adequaatheidsbesluit van de Europese Commissie van toepassing is. Dit houdt ook in dat aan instellingen gevestigd in de bijzondere gemeenten Bonaire, St. Eustatius en Saba geen toegang wordt verleend. Zie verder de artikelsgewijze toelichting bij artikel 4.

Handhaving
Het CBS controleert of instellingen zich aan de voorwaarden voor bescherming van persoonsgegevens en voorkoming van onthulling houden. In voorkomend geval van schending van de voorwaarden kan het CBS maatregelen nemen. De website van het CBS bevat een overzicht van mogelijke schendingen en maatregelen (https://www.cbs.nl/nl-nl/onze-diensten/maatwerk-en-microdata/microdata-zelf-onderzoek-doen/regels-en-maatregelen).

[3] Ik kreeg wel signalen dat die gegevensverwerking door deze toezichthouders veel meer omvat dan officieel bekend wordt gemaakt.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie

The Unacknowledged Realities of Extraterritorial Taxation | FATCA, Citizenship Based Taxation, US

Geplaatst op 14 juli 2023 door Ellen Timmer

Those who want to know more about American tax practices harm decent European residents, can read The Unacknowledged Realities of Extraterritorial Taxation, written by Laura Snyder (Association of Americans Resident Overseas (AARO); Stop Extraterritorial American Taxation (SEAT)).

Abstract:

The U.S. extraterritorial tax system has evolved such that today it is more consequential than one century ago. The system, conceived in the stigmatization of overseas Americans, consists of highly penalizing taxation and banking policies that make it difficult for overseas Americans to live normally. The IRS is also a victim: it is unable to administer the system.
Many have sought to educate policymakers and the public. Detailed survey reports have been issued, documenting how overseas Americans experience the system. Research articles have been published, exposing certain problems of the system and, in some cases, proposing solutions.
To date, such efforts have failed to effect change. This is for several reasons: the continued stigmatization of overseas Americans, the high complexity of the system and misunderstandings about it, and the lack of political influence.
The academic press is replete with theories about why overseas Americans should be subject to worldwide taxation by the United States. For change to occur, it is important that the academic press looks beyond those theories to acknowledge the full import, complexities, and consequences of the system in place today.

Keywords:

Extraterritorial Taxation, Citizenship-Based Taxation, Residency-Based Taxation, Emigration, Internal Revenue Service, IRS, Regulatory Authority, Tax Treaties, Stigmatization, Citizenship, Advocacy, Human Rights, Taxpayer Bill of Rights

 

 

BACKGROUND:
US law causing problems for its citizens abroad
The US has a different system of taxation from all other countries in the world, ‘Citizenship-Based Taxation’ (CBT), read my introduction in Dutch on FATCA and my articles in Dutch and English. Some recent articles in English:

The international exchange of tax information shows that governments may harm decent people in their efferts to ‘slash the scope for tax abuse’.

Fundamental rights are not only an issue in the relationship with the US. Read HMRC giving Hong Kong refugees’ financial details to China, the Telegraph.

Geplaatst in Belastingrecht, English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , , , , | Plaats een reactie

Nederlanders in het buitenland kunnen geen bankrekening meer bij een Nederlandse bank aanhouden

Geplaatst op 13 juli 2023 door Ellen Timmer

Al eerder schreef ik over de maatschappelijk onbetamelijke praktijk van banken om bankrekeningen van in het buitenland wonende Nederlanders te sluiten, met vervelende gevolgen voor betrokkenen.

Een lezer van mijn blog attendeerde mij op het artikel ‘Rapport onderzoek sluiten bankrekeningen van Nederlanders in het buitenland’ dat verscheen op de site van Stichting GOED – Grenzeloos Onder Eén Dak [*]. Uit het artikel:

Een Nederlander in het buitenland die in een land woont met een zwak of corrupt regime of waar toezicht op integriteit van het financiële systeem zwak is, kan wellicht een verhoogd risicoprofiel hebben. Echter, het maakt niet uit in welk land je woont, bankrekeningen worden met volkomen willekeur en zonder gegronde reden, door de bank opgezegd. Zelfs wanneer men volstrekt betrouwbaar is, al jarenlang klant bij een bank, simpele standaard bancaire producten gebruikt met relatief geringe bedragen en lage frequenties.

Dit kan in voorkomende gevallen tot zeer ongewenste situaties leiden.

Tot op heden is er nog niet veel bekend in de aard en omvang van deze ‘negatieve’ impact voor Nederlanders in het buitenland. Om hier een beter inzicht in te krijgen, hebben de stichtingen SNBN en GOED en de VBNGB de handen ineengeslagen om een zo groot mogelijk aantal respondenten te krijgen.

 

Het genoemde onderzoek heeft tot een rapport geleid dat met onderstaand persbericht is aangekondigd:

Uitkomsten onderzoek

Uit het rapport blijkt dat ABN Amro de bank is die op grote schaal nette rekeninghouders heeft opgezegd, 45% van de opzeggingen komt volgens de mensen die deelnamen van deze bank.

Voor Nederlanders in het buitenland is een Nederlandse bankrekening van belang, om de volgende redenen:

● Inkomsten vanuit Nederland (63%)
● Betalingen in Nederland (60%) – hieronder vallen ook transacties met familie en vrienden, problemen met acceptatie van buitenlandse bankpassen
● Risico’s toekomstige uitkeringen oudedagsvoorzieningen in Nederland (32%)
● Beperkingen huidige oudedagsvoorzieningen (pensioenfondsen: 14%, UWV: 7%)

Daarnaast zijn er in het woonland beperkingen en risico’s:
● Vertrouwen in de buitenlandse bank en/of valuta (21%)
● Openen van rekening bij buitenlandse bank niet mogelijk (14%)
● Beperking op het meenemen van fondsen bij terugkeer naar Nederland (13%)

Ook de bejegening door Nederlandse banken laat te wensen over:

Als laatste ervaren Nederlanders buiten Nederland het gedrag van banken en de overheid als wantrouwend of erger. Transacties die normaal zijn binnen Nederland worden per definitie wantrouwend of als frauduleus behandeld. “Een grote wolk gedoe met nul effect” aldus het commentaar van een respondent.

In het rapport worden de volgende aanbevelingen gedaan:

  • Los bankproblemen Nederlanders buiten Nederland op
  • Op zijn minst een basisrekening
  • Accepteer alle betalingen tussen IBAN-nummers
  • Meer duidelijkheid over FinTechs
  • Banken moeten transparanter handelen
  • Versoepeling witwasbeleid

De banksector moet tot de orde worden geroepen

Het rapport maakt duidelijk dat het hoog tijd is dat de Nederlandse banksector tot de orde wordt geroepen en terugkeert naar de kerntaak: een zorgvuldige behandeling van hun klanten in Nederland en de Nederlanders in het buitenland.

 

 

[*] Deze stichting behartigt de belangen van Nederlanders in het buitenland van vertrek en verblijf tot eventuele terugkeer.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , | Plaats een reactie

Gezagscrisis

Geplaatst op 12 juli 2023 door Ellen Timmer

Op de site van Raad voor het Openbaar Bestuur (ROB) wordt een interessante publicatie aangekondigd, die als titel ‘De gezagscrisis’ heeft en is geschreven door filosoof Ad Verbrugge:

De gezagscrisis

In het essay De gezagscrisis stelt filosoof Ad Verbrugge dat de postmoderne mens en de vermarkte overheid beide poreus zijn geworden en zichzelf nauwelijks nog bij elkaar kunnen houden.

Totstandkoming
In 2022 – bij de start van het adviestraject Het gezag van de overheid – vroeg de Raad voor het Openbaar Bestuur Ad Verbrugge een essay te schrijven over dit thema. Dat essay lag ten grondslag aan het in november 2022 verschenen ROB-signalement Gezag herwinnen – over de gezagswaardigheid van het openbaar bestuur.
Ad Verbrugge heeft zijn oorspronkelijke essay daarna verder uitgewerkt in de lijvige publicatie De gezagscrisis, dat in juni 2023 verscheen bij Boom uitgevers. Hierbij treft u die hoofdstukken aan uit De gezagscrisis die een link hebben met het oorspronkelijke essay uit 2022.

Over de auteur
Ad Verbrugge is docent sociale en culturele filosofie aan de Vrije Universiteit te Amsterdam.

Het essay kan via de site van de ROB gedownload worden.

Reactie Huri Sahin
ROB-raadslid Huri Sahin gaf tijdens de Atrium-lezing ‘De betrouwbare overheid’ op 1 juni jl. een reactie op het essay van Verbrugge en sprak daarnaast over het eerder verschenen ROB-signalement ‘Gezag herwinnen’, zie dit bericht. Sahin’s presentatie kan hier gedownload worden.

Geplaatst in Grondrechten | Tags: , | Plaats een reactie

Debatavond 19 september 2023 – ‘Privacy in Europa’

Geplaatst op 11 juli 2023 door Ellen Timmer

Op 19 september a.s. organiseert Privacy First een debatavond over privacy in Europa. In de aankondiging staat onder meer:

Nelleke Groen (voormalig bestuurslid van Stichting Privacy First) presenteert deze avond en voelt de sprekers en de genodigden nieuwsgierig en kritisch aan de tand over ‘Privacy in Europa’.

Privacy in Europa
Vanuit Europa is er veel aandacht voor onze persoonlijke data. In sommige gevallen is dit wenselijk (“Prominenten eisen regulering rondom AI”), maar in andere gevallen roept het kritische vragen op. Zoals: de voorstellen over Open Finance, de gevolgen van de European Digital Health Space, en de Digital Services Act. Op de laatste debatavond (van 16 mei) bleken de standpunten over dit soort onderwerpen sterk van elkaar te verschillen, met heftige debatten tot gevolg.

Goed beslagen ten ijs
Stichting Privacy First wil zich duidelijk en goed gefundeerd kunnen uitspreken over Europese onderwerpen. Hiertoe moeten standpunten worden geformuleerd die kloppen, en helder zijn, nadat alle voors en tegens goed zijn onderzocht. Daar hebben we ú voor nodig! Tegelijkertijd kunt u er zelf ook veel baat bij hebben.

De avond vindt plaats van 20-22 uur in de Eendracht te Abcoude. Aanmelding is mogelijk per e-mail of via dit formulier.

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Maakt het gebruik van encryptie en VPN iemand verdacht?

Geplaatst op 10 juli 2023 door Ellen Timmer

Voor Privacy First schreef ik onderstaand artikel:

 

Maakt het gebruik van encryptie en VPN iemand verdacht?

Encryptie en VPN’s zijn nuttige hulpmiddelen om je te beschermen tegen online narigheid. Maar de Europese bankentoezichthouder (EBA) en de Franse overheid verklaren je daarmee tot een verdacht persoon. Dat is kwalijk en verontrustend. Hoe zit dit allemaal in elkaar? Privacy First legt het uit.

Op dit moment heb je weinig mogelijkheden om je te beschermen tegen de grenzeloze datagraaizucht van advertentiebedrijven als Google en Meta (Facebook) met hun ‘gratis’ producten. Een van de weinige mogelijkheden die er wél zijn, is het gebruik van een VPN (virtual private network), waardoor je eigen IP-adres wordt vervangen door het IP-adres van de VPN-server. Een VPN is dus nuttig voor iedereen die zorgen heeft over tracking: het volgen van je surfgedrag (door advertentiebedrijven) op basis van je IP-adres.

Daarnaast versleutelt een VPN je internetverbinding, waardoor je bijvoorbeeld veiliger gebruik kunt maken van openbare wifi.

Een andere bron van narigheid zijn e-mail en messaging. Gewone e-mail (bijvoorbeeld via Outlook, Gmail of Thunderbird) is een notoir onveilige communicatievorm, die je veiliger kunt maken door je mail te encrypten. Niet voor niets heeft de Nederlandse Rechtspraak ervoor gekozen alleen beveiligd te mailen via een van de gecontroleerde aanbieders.

Bij een messaging-toepassing als WhatsApp is die encryptie al het geval, maar daarbij speelt weer het probleem dat het een product van een advertentiebedrijf (Meta/Facebook) is, met alle privacy-risico’s van dien. Een goed alternatief voor WhatsApp is het onafhankelijke Signal (dat ook encryptie toepast).

Tenslotte is het voor iedereen aan te bevelen om ook data-dragers (zoals harde schijven en USB-sticks) te encrypten en te beveiligen tegen onrechtmatige toegang.

Europese bankentoezichthouder: VPN is verdacht
De Europese bankentoezichthouder European Banking Authority (EBA) leeft in een andere wereld, want in een consultatiedocument over criminaliteitsbestrijding door financiële instellingen veronderstelt deze organisatie dat het gebruik van geëncrypte e-mail (zoals de door de Rechtspraak aanbevolen diensten) en het gebruik van VPN een aanwijzing kunnen zijn voor criminele activiteiten.

De EBA denkt dat het IP-adres van een klant ‘vast’ bij een klant hoort, wat bij VPN niet het geval is. Je kunt immers met meerdere mensen gebruik maken van een VPN-dienst, waardoor iedereen het IP-adres van de bijbehorende VPN-server krijgt. De toezichthouder zegt echter dat het verdacht is als de klant een IP-adres gebruikt dat gekoppeld is aan meerdere klanten (wat dus juist bij VPN het geval is) of als het IP-adres ‘inconsistent’ is met andere informatie over de klant. Eveneens merkwaardig is dat de EBA bij hoog-risicoklanten adviseert om het IP-adres vaker te checken en te zien of dat IP-adres ook bij andere klanten in gebruik is.

Uit het consultatiedocument blijkt verder dat financiële producten met privacy-bevorderende kenmerken een aanwijzing kunnen vormen voor criminaliteit. Het is een vergissing van de EBA om te veronderstellen dat privacy-enhancing features per definitie fout zouden zijn. Dat soort features zijn juist zeer gewenst en moeten beslist bevorderd worden. Privacy betekent namelijk niet dat de klant onbekend is, maar dat er maatregelen zijn om het onnodig rondslingeren van gegevens te voorkomen. Iets wat gelet op het zeer grote aantal datalekken, ook bij de overheid, zeer gewenst is.

Franse burgers zijn verdacht omdat zij hun computers versleutelden
Het voorgaande sluit goed aan bij de alarmbel die de Franse privacy-organisatie La Quadrature du Net (LQDN) onlangs luidde, in een artikel over Franse burgers, die door de Franse overheid werden verdacht van terrorisme. Omdat zij communiceerden via Signal, en hun hardware hadden geëncrypt.

Communiceren via Signal en het encrypten van je hardware is juist heel verstandig, gelet op de risico’s die iedereen loopt door de datagraaipraktijken van advertentiebedrijven en criminelen. LQDN is dus heel boos op de Franse overheid, en concludeert dat die volledige transparantie van iedere burger eist, op straffe van verdenking van criminaliteit of terrorisme, waarmee de gegevensbeschermingsrechten van burgers worden geschonden.

Gegevensbescherming is nodig
Het voorgaande geeft aan hoe belangrijk het is dat overheden erop worden gewezen dat gegevensbescherming nodig is ter bescherming van mensen.

Gegevensbeschermingstips: kijk op www.fixjeprivacy.nl en www.laatjeniethackmaken.nl.

 

Aanvulling
In bovenstaand artikel spreek ik over dit consultatiedocument van EBA en over het artikel Criminalization of encryption: the 8 december case van La Quadrature du Net.

 

 

Aanvulling 11 juli 2023
Rosanne Hertzberger schreef voor het NRC de mooie column Vóór digitale privacy? Wat ben je, een terrorist of pedofiel? (ik mis alleen nog de witwasser in de titel).

Aanvulling 29 april 2024
De Europese politie is van mening dat burgers zich niet mogen beschermen tegen datagraaiende advertentiebedrijven, criminelen en ander onguur volk, lees bij security.nl Politiechefs roepen overheden op uitrol end-to-end encryptie te stoppen, die verwijst naar een bericht van Europol. Zie eerder OM: versleutelde chatapps wegens vele criminele berichten nieuwe darkweb

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | 3 reacties

ISO-standaard voor SWIFT-messaging

Geplaatst op 9 juli 2023 door Ellen Timmer

Niet alleen de organisaties die financiële surveillance van iedere burger promoten zijn geïnteresseerd in de mogelijkheden die het SWIFT messaging systeem biedt.

Onlangs verscheen dit artikel over het Aurora project van BIS, waarin wordt gemeld dat er een nieuwe ISO-standaard voor financiële messaging is, ISO 20022, die in de plaats komt voor de huidige norm, ISO 15022. Ook hier wordt gesproken over de data analyse mogelijkheden die het SWIFT-messaging systeem biedt:

Using the network approach, AI and machine learning could be applied to identify suspicious activity. (…)

ISO 20022 could enhance capabilities
BIS highlighted that global adoption of the ISO 20022 financial messaging standard could be opportune for deploying such systems. (…)
ISO 20022 allows for a much higher level of transaction data than the previous standard (ISO 15022). More data could drive financial institutions’ ability to target issues and create new products based on data analysis.

al wordt geconstateerd: “Privacy caught in the crossfire“.

 

Lees de berichten op dit blog over SWIFT en financiële surveillance.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Plaats een reactie

Identiteitsfraude wordt bevorderd door de excessieve hoeveelheid persoonsgegevens die overal rondzwerven, zoals in de witwasbestrijding | proefschrift N.S. van der Meulen

Geplaatst op 8 juli 2023 door Ellen Timmer

Het proefschrift van N.S. van der Meulen uit 2010 over identiteitsdiefstal [1] , waarin zij met name aandacht besteedt aan financiële identiteitsfraude, is actueler dan ooit. Opvallend is dat de ontwerpers van de regels voor private criminaliteitsbestrijding (bestrijding van witwassen en terrorismefinanciering door bedrijven, onder meer  banken), hier geen aandacht aan besteden.

Onderwerp van het proefschrift is de vraag hoe overheden, financiële dienstverleners, consumenten en anderen financiële identiteitsdiefstal faciliteren. Verder geeft zij aandacht aan de implicaties voor bestaande maatregelen.

Digitalisering zorgt voor toename van criminele mogelijkheden
In het proefschrift wordt beschreven hoe de digitalisering van processen bij zowel overheid als private partijen bijdragen aan de toename van criminele mogelijkheden. Dit wordt onder meer veroorzaakt doordat bij digitalisering de primaire aandacht ligt bij het functioneren van de software en gegevensbescherming een (dure) sluitpost is. Als voorbeeld worden de risico’s van creditkaarten genoemd [2]. De toenemende risico’s zijn ook een gevolg van de focus op gebruiksgemak [3]:

Gemak is echter vaak een vijand van beveiliging. Dit wordt in deze studie mede geïllustreerd door het feit dat gebruikersgemak zich vaak vertaalt naar gemak voor de criminele wereld, omdat laagdrempeligheid voor gebruikers vaak ook misdadige activiteiten faciliteert.

De waarde van identiteitsgegevens is toegenomen, doordat de omvang van digitale identificatie toeneemt. Van der Meulen signaleert dat het belang van het onder meer het Nederlandse burgerservicenummer is toegenomen met een navenante groei van de gegevensbeschermingsrisico’s.

De Nederlandse overheid heeft op dit punt met het inlogmiddel DigiD het slechte voorbeeld gegeven, door het heel lang mogelijk te maken dat kon worden ingelogd met alleen inlognaam en wachtwoord [4].

Overvloed aan gegevens
Voorts, zo signaleert Van der Meulen, is sprake van een overvloed aan gegevens, die beschikbaar en toegankelijk zijn. Zowel de overheid als private partijen (onder meer data handelaren) verzamelen op zeer grote schaal gegevens over mensen. Deze ontwikkeling is versterkt door de gedachte van overheden dat veel gegevens zouden bijdragen aan verbetering van veiligheid en bestrijding van de misdaad [5]:

Naast de mogelijkheid om steeds meer gegevens te verzamelen en op te slaan hebben partijen, de staat als beschermer in het bijzonder, ook de noodzaak hiervan benadrukt. Deze noodzaak komt voort uit de overtuiging dat het verzamelen en opslaan van gegevens een geschikt middel is om risico’s te verkleinen en om bij te dragen aan ‘publieke veiligheid’, of althans het veiligheidsgevoel van burgers en consumenten. De gebeurtenissen van 11 september 2001 en de algemene strijd tegen terrorisme hebben, zowel in de Verenigde Staten als in Nederland, de behoefte aan het verzamelen en opslaan van gegevens versterkt. Deze tendens om het verzamelen en opslaan van gegevens in te zetten als middel om risico’s te verkleinen en misdaad te verminderen is al enige tijd aanwezig, zoals bleek uit een analyse van de achtergrond van antiwitwaswetgeving. Terwijl het verzamelen en opslaan van gegevens vaak wordt ingezet als middel om publieke veiligheid te bevorderen, kunnen deze activiteiten echter ook een potentiële staat van individuele onveiligheid faciliteren.

Van der Meulen signaleert dat de grootschalige verzameling van persoonsgegevens riskant is voor burgers, nu de informatiebeveiliging niet altijd op orde is. Als voorbeeld worden de datalekken bij data handelaren in de VS (informatiehandelbureaus) genoemd. Deze branche vormt een aantrekkelijk doelwit voor identiteitsdieven, mede omdat het bestaan van deze industrie de toegankelijkheid van persoonsgegevens vergroot.

Voorts speelt een rol dat het internet een onveilige omgeving is, waaraan internet service providers onvoldoende bijdragen (paragraaf 7.4).

Financiële sector centraal bij identiteitsfraude
Criminelen richten hun primaire aandacht op de financiële sector, aangezien daar iets te halen valt en identiteitsfraude daarbij een hulpmiddel is. Hoofdstuk 5 van het proefschrift heeft financiële dienstverleners als onderwerp. Diverse deelonderwerpen passeren de revue, onder meer misbruik van creditkaarten en pinpas, en kredietregistratie door BKR. De risico’s van skimming (pinpas) en internetbankieren worden uitgebreid vermeld.

Aan het slot wordt geconstateerd dat financiële dienstverleners een centrale rol spelen in het faciliteren van financiële identiteitsdiefstal, waarbij de risico’s in de VS groter zijn dan in Nederland [6]. Hoewel er maatregelen zijn genomen, nemen de risico’s toe:

As a result, the continuous advancements made by perpetrators with respect to their methods have engaged the financial industry into a rat race which challenges banks to maintain an acceptable balance between security and user convenience. The best state of affairs then to achieve appears to be reasonable insecurity.

De ‘gratis’ diensten van advertentiebedrijven, onder andere Facebook, spelen een belangrijke rol bij financiële identiteitsfraude. Dit wordt in hoofdstuk 6 van het proefschrift beschreven [7]. Er lijkt in 2023 weinig veranderd te zijn aan de digitale naïviteit van de gebruikers van de ‘gratis’ diensten. Het proefschrijft beschrijft dat er een ontwikkeling gaande is dat diefstal van gegevens niet meer alleen via de gratis diensten gaat, maar ook via allerlei andere wegen, die voor de gebruiker lastiger te detecteren zijn:

The lack of active consumer involvement means consumers facilitate aspects of financial identity theft without actually having the ability to prevent such facilitation.

Dat betekent dat maatregelen gericht op ‘bewustwording’ van de gebruiker onvoldoende zijn [8].

Ook het onoverzichtelijke landschap van betaaldienstverleners en -tussenpersonen is riskant voor burgers, zie paragrafen 7.2 en 7.3 van het proefschrift. Het geldezel-gebeuren is onderwerp van paragraaf 7.5.

Privatisering van de bestrijding van criminaliteit en terrorisme
In het proefschrift [9] wordt beschreven hoe verificatie van de identiteit een centrale rol speelt in de private criminaliteitsbestrijding in Nederland, wat begon met een vrijwillige gedragscode voor banken. Daar kwam wetgeving voor in de plaats, geïnspireerd door de G7 (FATF) en Europa. Het begon met de Wet identificatie bij dienstverlening (Wid) en Wet melding ongebruikelijke transacties (Wet MOT). Deze wetten werden later samengevoegd tot de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de reikwijdte werd verbreed tot een grote groep van ondernemingen.
Deze regelgeving leidt tot grootschalige gegevensverzamelingen over mensen en organisaties, niet alleen bij financiële instellingen maar ook bij de vele andere ondernemingen die een criminaliteitsbestrijdingstaak hebben gekregen. Gevolg van de nadruk op identificatie is dat identiteitsgegevens steeds interessanter worden voor criminelen:

The curious aspect about this approach to money laundering is how the emphasis placed on the correct identification of the client also places a premium on identities themselves. For such requirements increase the necessity for those involved in money laundering practices to misuse the identity of another person in an effort to prevent potential repercussions. As a result the recommendations set forth could potentially lead to a displacement of the problem through the commitment of identity related crime in an effort to accomplish the money laundering objective. (…) Identity becomes a principal tool for perpetrators of money laundering to circumvent the requirements provided through the anti-money laundering framework.

Financiële instellingen tobben al langer met de identificatievereisten, zo beschrijft de paragraaf. In 2005 begonnen banken te vragen om een kopie van een identiteitsbewijs. Echter:

The claim, however, was misleading as the requirement for a copy of the passport was merely one interpretation of the law; it was not an explicit mandate. The Minister of Finances along with the Dutch Central Bank decided the method used by the banks to verify the identity of existing clients was not unlawful.

Het kopietje paspoort wordt juridisch wel mogelijk, maar uiteindelijk is de primaire eis in de wet is dat bepaalde gegevens inzake het identiteitsbewijs worden geregistreerd:

Through the introduction of the prevention of money laundering and financing terrorism act, the government removed the fiscal obligation to maintain a copy of the identification document by financial service providers. The Act instead requires financial service providers to obtain and store the information maintained on the identification document. In particular the Act requires the service providers to store the following information once the service provider has identified and verified the identity of the client: name, date of birth, address, and the city of residence. Even so, the Act still provides financial service providers with the opportunity to request a copy of an identification document since the Act states “…or a copy of a document which contains a personal identification number and was used for identification of the client.”

Hoe vaak identiteitsfraude bij banken in Nederland voorkomt, is volgens Van der Meulen niet bekend [10].

De beschikbaarheid van persoonsgegevens is een grote rol gaan spelen in de bestrijding van misdaad en terrorisme, zo wordt in paragraaf 8.1 beschreven. Individuele gegevensbescherming moet wijken voor de misdaadbestrijding. Er is een obsessie met gegevensverzameling, waarbij Den Tex wordt geciteerd:

It’s natural. Governments, companies and especially large companies, all over the world have this insatiable HUNGER. The poor things. It is not Hunger, of course, it is obsession. Pure obsession. What they need is therapy. Intensive therapy. Their information hunger has turned into to full scale irreversible information obesity. They cannot live without feeding their obsession.”

Handelaren in persoonsgegevens
Die gegevenshonger wordt onder meer bevredigd door een sector die nog steeds ongereguleerd is, te weten de handelaren in persoonsgegevens (advertentiebedrijven zoals Google, kredietbeoordelingsbedrijven en leveranciers van criminaliteitsbestrijdingsinformatie). Die sector is een van de grootste risico’s voor de gegevensbescherming van burgers.

Van der Meulen beschrijft dat datahandelaren [11] in de financiële sector een grote rol spelen. Zie leveren kredietwaardigheids- en criminaliteitsbestrijdingsinformatie. Hun belang is gegroeid, ook al zijn zij bij het publiek onbekend. Zij vormen een gegevensbeschermingsrisico voor burgers, wat door grote datalekken aan het licht is gekomen. Daarvan is het ChoicePoint datalek in de VS een voorbeeld. Criminelen maakten een klantenaccount aan en haalden een grote hoeveelheid persoonsgegevens van Amerikaanse burgers binnen. Met die gegevens werden vijftig nepbedrijven opgezet met gebruikmaking van persoonsgegevens van nietsvermoedende burgers [12]. Daarna werden datalekken bij andere Amerikaanse handelaren bekend, zoals bij LexisNexis, (niet genoemd in het proefschrift) Experian en vele anderen.
In Nederland is door de voorganger van de Autoriteit Persoonsgegevens onderzoek gedaan naar illegale praktijken van bepaalde datahandelaren (handelsinformatiebureaus) [13].

Voor zover ik weet is er sinds het afronden van het proefschrift onvoldoende veranderd. Het is  hoog tijd voor vergunningplicht voor dit soort activiteiten, ongeacht of de datahandel op het gebied van marketing, kredietwaardigheid of misdaadbestrijding plaats vindt.

Overheid is informatiebron voor criminelen
Van der Meulen concludeert dat overheidsinstellingen de belangrijkste bron van informatie voor identiteitsfraudeurs zijn [14]:

This leads to the development of an overall image which assumes that for potential perpetrators of financial identity theft government agencies may generally form a more attractive target to facilitate the first stage of financial identity theft. They may use information agencies as an intermediary, but this seems far less likely than in the United States, where the industry itself actually maintains an important place in the information market.

Dat zou een les moeten zijn die gevolgen heeft voor de omgang met persoonsgegevens in (semi-)openbare registers, zoals het handelsregister, het ubo-register en open overheidsdata.

Slotopmerkingen
Het is een lezenswaardig proefschrift dat nog steeds zeer relevant is.

Hoewel de privatisering van de criminaliteitsbestrijding (witwasbestrijding) enorme gegevensbeschermingsrisico’s oplevert voor burgers en organisaties, is voor dat aspect bij de overheid geen aandacht. Dat is teleurstellend, nu er in de literatuur, zoals in dit proefschrift, al lang op is gewezen.

 

Noten

[1] N. S. van der Meulen, Fertile grounds: The facilitation of financial identity theft in the United States and the Netherlands (2010). Te downloaden via deze pagina, rechtstreeks: pdf.
[2] Zie de Nederlandstalige samenvatting is op pagina’s 282 en verder, onder het kopje ‘Van elite naar massa’ wordt beschreven dat credit card aanbieders vooral geïnteresseerd zijn in veel klanten en minder in gegevensbescherming: “In het spanningsveld tussen zorgvuldige identificatieprocessen bij de uitgifte van credit cards enerzijds en klantenpotentieel in een sterk concurrerende markt anderzijds kiezen dienstverleners in de Verenigde Staten vaak voor het laatste ten koste van het eerste“. Lees ook de beschrijving in de samenvatting over de onveilige creditcard-authenticatie in de VS. Nederland deed dat beter.
[3] Uit de samenvatting, zie [2].
[4] In paragraaf 4.4.2 wordt geschreven over identiteitsfraude met het DigiD, zie pagina 137-141.
[5] Uit de samenvatting, zie [2].
[6] Paragraaf 5.5, pagina 188 en verder.
[7] Pagina’s 194-197. Pagina 195, bovenaan: “Howard Rush et al. describe how due to their popularity social networking sites have become appealing places for perpetrators of cybercrime. (…) With respect to social networking sites, academic researchers have expressed interest in user concerns, or rather a lack thereof, with regard to privacy and trust“.
[8] Op pagina 203 wordt gewaarschuwd: “The lack of active consumer involvement means consumers facilitate aspects of financial identity theft without actually having the ability to prevent such facilitation. This is a vital aspect to bear in mind with respect to the overall opportunity structure of financial identity theft, especially in light of countermeasures and the potential for their effectiveness. Certain sources appear to neglect the ability factor when they write “[w]e must realize that we are the front line of defense against cybercrime; we must understand that our carelessness could facilitate a successful cyberterrorist or information warfare attack on the critical infrastructures of our society.” 1092 This is not about carelessness anymore. Perpetrators have now managed to place their entire operation outside of the reach of consumers, which makes the act of crime repression, let alone prevention, far more challenging. The technological sophistication of current operations requires significant background knowledge which even the savviest consumers often do not posses. They, along with their instruments such as their computers, are used without their knowledge or influence“.
[9] Pagina 160 en verder.
[10] Aan het slot van paragraaf 5.2.2 staat “In the Netherlands, only anecdotal evidence appears to be available about errors committed by financial service providers during the application process. Banks resist the release of information about how such incidents occur, but in light of good compliance there is reason to believe such incidents of financial identity theft most likely occur through look-alike fraud or falsified identification documents. As a result, there is a certain dependency of financial service providers on the government as provider. For the quality of both the documents and the issuance process also influence the identification of (prospective) clients“.
[11] Zie hoofdstuk 7.
[12] Een beschrijving van het datalek in 2004 is te vinden op pagina’s 206-208.
[13] Pagina’s 209-212.
[14] Pagina 212.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce, Ubo-register | Tags: , , , , , , , , , , , , , , , , , | 1 reactie

“Sturen of gestuurd worden? Over de legitimiteit van sturen met data” | ROB advies

Geplaatst op 7 juli 2023 door Ellen Timmer

In 2021 bracht de Raad voor het Openbaar Bestuur (ROB) een advies uit over de digitale overheid, “Sturen of gestuurd worden? Over de legitimiteit van sturen met data“. In december 2021 heeft het kabinet aangegeven aan de slag te gaan met de aanbevelingen.

In de brief van 9 juni jl. brengt de verantwoordelijk staatssecretaris, Van Huffelen, verslag uit van de voortgang. Het is interessant om te zien welke projecten binnen de overheid lopen.

Ik blijf het jammer vinden dat er bij deze staatssecretaris nul aandacht is voor de data gedreven uitvoering van overheidstaken door de private sector, met name in de criminaliteitsbestrijding (‘witwasbestrijding’) door financiële instellingen, waarvoor de in het ROB-advies beschreven principes ook horen te gelden (daar schreef ik al eerder over).

 

Meer informatie:

De ROB schrijft op de pagina over het advies onder meer:

Omslag in denken over sturen met data
Met zijn advies wil de Raad bijdragen aan een omslag in het denken in politiek, beleid en het democratisch debat over stu­ren met data. Dit door de focus te verleggen van:

* het verzamelen van data over burgers naar het verzamelen van data over partijen die sturen met data;
* inzicht in de motieven en overwegingen van burgers naar inzicht in de motieven en overwegingen van partijen die sturen met data;
* burgers die worden gestuurd met data naar burgers behoeden voor risi­co’s van data-sturing en ze het beleid laten mee – en bijsturen.

Deze omslag in het denken moet overheden en private marktpartijen, waaronder techbedrijven, die sturen met data aanzetten om dat verantwoord te leren doen.

Publieke verantwoording
De Raad wil de focus in het debat verleggen met behulp van publieke verantwoording. Dat zou vooral in het teken moeten staan van het versterken van het zelfcorrigerend vermogen van de democratie en het leervermogen van het openbaar bestuur. Publieke ver­antwoording creëert een podium om vanuit een breder perspectief te kijken naar sturen met data, waarbij niet de effectiviteit en efficiëntie centraal staan, maar de publieke doelen en waarden.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , | Plaats een reactie